ID Akun
ID Akun dikirim kembali dari server integrator selama alur pengaitan; ID Akun digunakan untuk membantu Google mengidentifikasi akun pokok dengan dua cara. Pertama, untuk mengidentifikasi beberapa instrumen yang menggunakan akun pengguna dasar yang sama untuk menilai risiko dan penipuan. Yang kedua ini digunakan oleh agen layanan pelanggan Google untuk mengidentifikasi akun ini. Nilai ini harus mengidentifikasi akun pengguna secara unik di seluruh permintaan pengaitan, dan harus tidak dapat diubah di akun tertentu serta harus dapat diidentifikasi oleh pengguna.
Misalnya, jika integrator menggunakan alamat email untuk identitas, ini dapat berupa alamat email. Namun, jika integrator menggunakan alamat email untuk login, tetapi alamat tersebut dapat diubah, alamat email tersebut adalah pilihan yang buruk untuk ID akun. Apa pun yang dipilih, nilainya harus sama untuk beberapa upaya atribusi dengan identitas pengguna integrator pembayaran yang sama.
Paket Aplikasi Android (APK)
Format file paket yang digunakan oleh sistem operasi Android untuk distribusi dan penginstalan aplikasi seluler.
Pembuatan Versi API
Spesifikasi ini mendukung pembuatan versi. Versi yang didukung dikonfigurasi di server Google. Saat berpindah dari versi N ke M (dengan M adalah versi utama yang lebih besar dari N), integrator harus mendukung N dan M hingga Google memverifikasi bahwa semua traffic telah dimigrasikan ke M. Versi diidentifikasi secara berbeda berdasarkan konteks. Android API dan WebRedirect API akan meneruskan versi API sebagai parameter ke permintaan. Panggilan server ke server meneruskan versi sebagai bagian dari jalur URL.
Versi tidak ditetapkan oleh alur. Jadi, selama migrasi dari N ke M, integrator mungkin melihat tangkapan dengan versi M dan pengembalian dana dengan versi N untuk transaksi yang sama. Selama pengaitan, integrator mungkin mendapatkan permintaan autentikasi versi M dengan permintaan pengaitan versi N.
ID Asosiasi
associationID mengidentifikasi pengaitan antara akun pelanggan
dan instrumen Google. associationId sangat mirip dengan GPT. Bahkan, ini memiliki masa aktif yang sama dengan GPT dan memiliki kardinalitas 1:1 terhadap GPT. associationId
berbeda dengan GPT dalam sensitivitasnya. GPT adalah token sensitif
yang digunakan untuk pembayaran. associationId adalah ID publik yang
mewakili hubungan yang sama, tetapi tidak bersifat sensitif.
associationId diteruskan ke integrator pembayaran selama
associateAccount. Nilai yang sama ini diteruskan selama autentikasi ulang ke
integrator. Hal ini memungkinkan integrator memiliki konteks tentang akun yang harus
diautentikasi. Jika ID Pengaitan diteruskan, akun yang sama yang
diidentifikasi selama pengaitan asli harus diisi sebelumnya dan
diautentikasi.
Integrator pembayaran diharapkan untuk menyimpan semua ID asosiasi dan mengaitkannya dengan akun integrator tertentu selama masa berlaku kontrak antara integrator dan Google.
ID Permintaan Autentikasi
Pengambilan metode refreshToken, associateAccount, dan (secara opsional) mengambil referensi ke autentikasi. Referensi ini tersedia dalam bentuk requestId autentikasi tertentu yang dirujuk oleh Google. Kolom ini akan
digunakan oleh integrator pembayaran untuk memverifikasi bahwa metode tersebut memang dilakukan dengan
autentikasi yang berhasil.
Metode pengambilan dapat memiliki requestId autentikasi yang terisi. Hal ini terjadi
dalam dua kasus. Jika Google mengautentikasi pengguna tepat sebelum pengambilan gambar, Google akan mengisi kolom requestId autentikasi. Google juga sering mengautentikasi pengguna pada waktu penyiapan ketika jadwal pembayaran otomatis disiapkan. Google mencatat requestId autentikasi pada jadwal tersebut dan mengirimkan requestId beserta setiap rekaman yang terkait dengan jadwal tertentu tersebut.
Integrator pembayaran diharapkan menyimpan semua requestIds autentikasi selama 30
hari. Jika integrator pembayaran ingin mengaudit requestIds autentikasi yang dapat ada pada permintaan perekaman, termasuk yang disertakan dalam jadwal pembayaran, integrator harus menyimpan semua requestId autentikasi selama
masa kontrak antara integrator dan Google.
Perusahaan
Perusahaan adalah konsep yang didefinisikan dalam konfigurasi dan kontrak Google. Perusahaan menentukan hubungan antara integrator dan Google. Kunci PGP dan (secara opsional) Root CA SSL dikaitkan dengan perusahaan. Yang terpenting, perusahaan dikaitkan dengan satu atau beberapa ID akun integrator pembayaran. GPT yang dibuat dalam perusahaan sebagian besar berfungsi untuk semua ID akun integrator pembayaran dalam perusahaan. Beberapa pengecualian berlaku. Misalnya, jika GPT dikaitkan dengan akun yang menggunakan mata uang dalam satu mata uang (dan tidak mendukung biaya nilai tukar mata uang asing) dan mencoba melakukan pembelian pada ID akun integrator pembayaran dalam mata uang yang berbeda.
Metode Pembayaran (FOP)
Semua transaksi mencakup satu atau beberapa metode pembayaran (FOP), seperti kartu kredit atau Transfer Dana Elektronik, yang digunakan oleh pengguna untuk membayar produk atau layanan kepada Google, atau oleh Google untuk membayar pengguna dalam hal pengguna AdSense dan developer Google Play. Metode pembayaran juga sering disebut Instrumen Pembayaran, Instrumen, dan Metode Pembayaran.
Token Pembayaran Google (GPT)
GPT adalah nilai acak yang dienkode base64 dan aman untuk web yang dihasilkan oleh server Google pada waktu pengaitan dan diteruskan ke server integrator. GPT adalah ID pribadi yang mewakili hubungan antara akun pengguna dengan integrator dan instrumen Google. GPT adalah token yang menggantikan kredensial pengguna atau ID akun. Token ini digunakan selama alur pembelian untuk mengidentifikasi akun ke kredit atau debit dan bersifat rahasia bagi kedua belah pihak. GPT tidak boleh dikirim dalam teks yang jelas dan harus dienkripsi untuk memastikan privasi.
GPT berbeda dengan associationId karena associationId tidak dilindungi
dan bebas diteruskan melalui sarana publik (URL, koneksi yang tidak aman). GPT hanya diketahui
oleh Google dan integratornya.
Integrator pembayaran diharapkan menyimpan semua GPTS dan mengaitkannya dengan akun integrator tertentu selama masa berlaku kontrak antara integrator dan Google.
Idempotensi
Operasi idempoten dapat diterapkan beberapa kali tanpa mengubah hasil atau memiliki efek samping baru di luar penerapan awal operasi. Biasanya idempotensi menggunakan "kunci" untuk mengidentifikasi permintaan
yang sama. Semua permintaan yang ditentukan antara kedua server menggunakan kunci idempotensi yang ditentukan dalam header permintaan. Header permintaan memiliki ID permintaan yang digunakan sebagai kunci idempotensi. ID permintaan bersifat unik secara global. Permintaan idempoten harus sama persis dengan isi JSON dengan satu pengecualian. requestTimestamp
akan berbeda untuk setiap permintaan. Ini adalah perbedaan
yang penting. requestTimestamp adalah waktu server mengirim permintaan ini. Bersifat unik per percobaan. Hal ini membantu mengurangi kemampuan untuk melakukan serangan replay.
Demikian pula, respons idempoten harus sama persis isi JSON, kecuali responseTimestamp akan berbeda untuk setiap respons.
Semua metode server ke server kecuali untuk metode Echo harus idempoten. Permintaan autentikasi ke UI integrator (baik Android maupun Web) tidak idempoten.
Untuk contoh perilaku idempoten, lihat dokumen referensi.
Pengenal (ID)
ID merepresentasikan transaksi atau komunikasi antara integrator pembayaran dan Google.
Instrumen
Instrumen tersebut merepresentasikan metode pembayaran tersimpan yang terkait dengan satu pelanggan Google. Contoh instrumen meliputi:
- Nomor kartu kredit yang tercatat
- Rekening bank & nomor rute
Pengguna dapat memiliki beberapa instrumen yang dikaitkan dengan identitas Google mereka.
Mikro
Nilai uang dalam API ini diwakili menggunakan format yang disebut "micros", sebuah standar di Google. Mikro adalah format presisi tetap yang berbasis bilangan bulat. Untuk mewakili nilai uang dalam mikro, kalikan nilai mata uang standar dengan 1.000.000.
Contoh:
- USD$1,23 = 1230000 USD mikro
- USD$0,01 = 10.000 USD mikro
Integrator Pembayaran
Integrator eksternal yang memproses pembayaran untuk transaksi pengguna.
ID Akun Integrator Pembayaran
ID ini mewakili batasan seputar kontrak antara Google dan integrator. ID Akun Integrator dibuat oleh Google dan ditetapkan ke integrator selama waktu penyiapan. Biasanya hal ini disebut sebagai "MID". Semua permintaan dan respons harus menyertakan ID ini. ID ini buram dan tidak boleh diurai. Format ID ini mungkin tidak konsisten di semua ID yang diterbitkan.
ID ini tidak pernah berubah selama masa aktif transaksi. Dalam kasus pengambilan dan pengembalian dana, ID yang sama digunakan.
Batasan ID Akun Integrator ditentukan oleh kontrak itu sendiri. Umumnya, batasan yang berlaku adalah seputar invoice. Misalnya, integrator mendukung CAD dan MXN ditagih sebagai USD, tetapi memerlukan transaksi EUR untuk ditagih dalam EUR. Dalam hal ini, dua ID akun integrator pembayaran yang berbeda akan digunakan, satu untuk invoice USD dan satu lagi untuk invoice EUR.
ID dapat dihentikan secara bertahap untuk diganti dengan ID baru. Jika ID tidak digunakan lagi, Google akan berhenti memulai pengambilan ke ID tersebut. Namun, integrator harus memenuhi pengembalian dana untuk transaksi yang dilakukan
terhadap ID tersebut selama satu tahun sejak inisiasi pengambilan terakhir (inisiasi
tangkapan ditentukan sebagai requestTimestamp yang ditemukan di requestHeader).
PII
Informasi Identitas Pribadi (PII) adalah informasi yang mengidentifikasi individu secara pribadi dan data lainnya yang dapat ditautkan secara wajar ke informasi tersebut oleh Google, seperti nama, alamat email, alamat surat, atau nomor telepon pengguna, baik sendiri maupun kombinasi
ID permintaan
requestId mengidentifikasi semua komunikasi antara Google dan integrator
pembayaran.
SPII
Informasi Identitas Pribadi Sensitif (SPII) adalah subkumpulan informasi identitas pribadi (PII) yang berisiko tinggi bagi pengguna jika disusupi atau disalahgunakan. SPII sering memiliki persyaratan penanganan dan penyimpanan yang ketat yang diberlakukan oleh entitas hukum, peraturan, atau kepatuhan.
Token
Token menambahkan lapisan keamanan tambahan saat kredensial sensitif seperti PII atau SPII dipertukarkan antara Google dan integrator.
Alamat Pengguna
Pada waktu pembuatan instrumen, Google akan memeriksa apakah pengguna adalah pelanggan Google Payments. Hal ini terlepas dari menjadi pelanggan Google. Untuk menjadi pelanggan Google Payments, kita memerlukan alamat penagihan pengguna. Beberapa lembaga regulasi mengharuskan kami mengetahui alamat lengkap pengguna, sementara lembaga lainnya mengharuskan kami mengetahui alamat lengkap pengguna.
Jika integrator pembayaran memiliki alamat yang tersimpan untuk pengguna ini, Google ingin mendapatkan alamat tersebut selama alur pengaitan untuk mengisi otomatis formulir alamat untuk pengguna tersebut. Pengguna memiliki opsi untuk mengubah alamat yang telah diisi sebelumnya. Pra-pengisian alamat pengguna mengurangi hambatan dalam menambahkan instrumen dan meningkatkan rasio konversi pengguna yang menambahkan instrumen ini.
Jika alamat tersebut dibagikan, Google juga akan menggunakannya sebagai penghitungan dalam model risikonya. Hal ini memungkinkan mesin risiko Google memahami alamat penagihan yang ditagih pengguna sambil membandingkannya dengan lokasi IP yang saat ini digunakan pengguna.
Berbagi alamat hanyalah sebuah pengoptimalan. Tidak masalah dan dapat diharapkan bahwa beberapa integrator tidak akan memiliki alamat penagihan untuk pengguna atau tidak dapat membagikan alamat ini.
Encoding Base64 yang Aman untuk Web
Standar encoding yang ditentukan dalam RFC 4648 bagian 5, Encoding Base 64 dengan URL dan Alfabet Aman Nama File, terkadang juga disebut sebagai encoding "Base64 yang aman untuk web" atau "base64url". (Ini sama dengan encoding base64 dengan URL dan alfabet aman nama file dari RFC 3548 bagian 4.) Semua nilai yang dienkripsi dan ditandatangani harus dienkode menggunakan standar ini.