Server key merupakan informasi sensitif yang memiliki banyak kemampuan yang dapat dipergunakan untuk berkomunikasi dengan sistem Backend Midtrans. Server Key harus dijaga kerahasiaannya dan disimpan secara aman. Apabila server key diketahui oleh pihak yang tidak berwenang, server key dapat dimanfaatkan untuk membuat proses transaksi yang tidak sah dan digunakan untuk beberapa hal seperti:
- Membuat dan mengesahkan pembayaran dari beberapa saluran pembayaran, seperti kartu kredit, transfer bank, dompet digital, dll.
- Mendapatkan informasi status transaksi.
- Mengubah status transaksi (cancel, capture, approve, deny, expire). Status transaksi dapat ditimpa dengan memanggil API Midtrans menggunakan server key.
- Mengubah status fraud dari transaksi. Apabila sistem Midtrans mengindikasi status challenge oleh sistem pendeteksi fraud, server key dapat digunakan untuk merubah status transaksi tersebut menjadi approve atau deny.
- Menerbitkan pengembalian uang (refund).
- Membuat status transaksi palsu yang dikirimkan kepada URL notifikasi anda yang dapat merubah status transaksi pada sistem backend anda.
Berikut adalah beberapa best practice dalam menjaga keamanan server key:
- Jangan membagikan server key dimanapun, seperti repositori publik (Github, Gitlab, BitBucket), pastebin, dan lain-lain. Hal ini sangat perlu untuk dihindari.
- Simpan server key di file config dari kode atau sistem basis data. Sebaiknya tidak menuliskan server key sebagai nilai pada variabel string pada kode.
- Jika ingin menggunakan repositori untuk menyimpan kode (Github, Gitlab, dan lain-lain), pastikan file config yang mengandung server key terdapat di .gitignore sehingga server key tersebut tidak terunggah ke repositori.
- Server key hanya digunakan untuk berkomunikasi dengan API Midtrans dari sisi server. Jangan menggunakan server key pada aplikasi di sisi client.
Kami sangat menyarankan Anda untuk memeriksa kembali implementasi anda dalam proses menggunakan dan menyimpan server key.
Jika Anda membutuhkan bantuan lebih lanjut, silahkan hubungi tim support Midtrans melalui email ke support@midtrans.com.