Используя описанный протокол взаимодействия, магазин должен следовать правилам защиты информации.
Мы настоятельно рекомендуем в ссылках для получения уведомлений использовать защищённое соединение SSL/TLS.
Для проверки целостности и аутентичности запросов, в ходе взаимодействия магазина и системы «Инвойсбокс» могут быть использованы различные механизмы. Базовый вариант с использованием MD5-хеширования подключён по-умолчанию. Для поддержания более высоких требований к безопасности, взаимодействие может осуществляться с использованием клиентских и серверных сертификатов, сформированных центрами сертификации магазина или системы «Инвойсбокс». В случае взаимодействия с использованием сертификатов, магазин должен проверять подлинность веб-сервисов системы «Инвойсбокс», сохранять конфиденциальность приватных ключей, следить за сроком действия сертификатов. В случае компрометации приватного ключа, магазин обязан незамедлительно уведомить службу поддержки системы «Инвойсбокс».
С целью дополнительного контроля аутентичности запросов, при обращении к веб-сервису системы «Инвойсбокс», магазин может передавать пару значений («логин» и «пароль») с использованием спецификации Web Services Security UsernameToken Profile (http://www.oasis-open.org/committees/download.php/16782/wss-v1.1-spec-os-UsernameTokenProfile.pdf). Логин и пароль формируется системой «Инвойсбокс» и передаются магазину службой поддержки. Магазин должен сохранять конфиденциальность переданной пары. В случае компрометации пары «логин» и «пароль», магазин обязан незамедлительно уведомить службу поддержки системы «Инвойсбокс» об этом.