支付扩展准入与审核流程

支付处理是 Genstore 商家工作流程的核心部分。我们的商店全天候运行，面向全球客户销售商品。我们依赖支付合作伙伴提供安全的支付体验，并支持商家完成收款、结算与提现。

若支付扩展未能满足以下要求，Genstore 有权采取包括但不限于以下措施：

• 从支付网关列表中移除该扩展
• 暂停或限制对支付生态系统的访问
• 终止合作伙伴参与支付生态系统
• 采取任何其他必要的行动

安全与合规

支付扩展必须确保买家支付信息的安全，并遵守行业标准和法律要求：

• 数据收集与合规：合法、安全地收集付款信息，符合 PCI DSS 要求；不得存储未经授权的买家数据。
• 交易处理：所有交易须在 5 天内结算，并按照 Genstore 指定参数执行。
• 重定向：在站外支付场景中，必须正确将买家重定向回 Genstore。
• 风险与欺诈控制：合作伙伴必须主动监控交易风险。如商家付款中出现异常高比例的欺诈或高风险交易（由 Genstore 判断），Genstore 将有权采取限制或移除措施。

透明度与商家协议

• 透明度：支付合作伙伴必须为商家提供透明、易于理解的费用项目说明。
• 商家协议：任何费用不得在发票上伪装为“Genstore 费用”。
• 终止协议：商家应有权在提前 7 天通知后终止协议，而不会被收取罚金或额外费用。

禁止的行为

支付扩展不得执行以下任何操作：

• 使用除支付应用 API 和强制 Webhookd 之外的任何 Genstore API。
• 要求商家额外安装其他应用才能完成交易。
• 使用支付定制功能来更改结账页面的支付选项。
• 启用不必要的请求范围（如网络访问或受保护的客户数据访问）。
• 滥用支付凭证；支付凭证仅能用于原始交易或 Genstore 明确批准的服务场景。
• 未经 Genstore 授权，重新分配、共享、转移或出售对支付平台的访问。
• 创建虚假或欺诈性的商家、订单或交易。

命名规范

为确保商家选择支付方式时的清晰与公平，支付扩展必须遵守以下命名要求：

• 不得包含营销文本（如 “全球最佳支付提供商：50 种支付方式”）。
• 不得通过命名操纵字母顺序获得更高排名。
• 扩展名称必须准确反映实际支付方式，这是商家唯一可见的信息。

功能要求

支付扩展至少必须支持：

• 收款、退款和测试交易
• 符合提供信用卡支付的国家/地区所要求的强客户认证（Strong Customer Authentication, SCA），包括 3-D Secure 验证（如适用）

技术要求

• 幂等性：为确保一致的用户体验，支付扩展必须实现幂等性。
• 重试策略：在网络错误时，支付扩展必须根据重试策略重试其请求。
• 相互 TLS（mTLS）：必须通过相互 TLS 验证，确保 Genstore 与您的支付扩展之间双向流量安全可信，必须使用 Genstore 的 CA 证书进行验证。
• HMAC 验证：安装阶段的重定向请求需验证 hmac 参数；但在从 Genstore 向您发起的支付操作请求（如 payment 、 refund 、 capture 和 void ）中，hmac 参数不包含在请求中。
• 速率限制：扩展调用需遵守 API 速率限制指南 。
• API 版本控制：必须使用受支持的 API 版本，不得在生产环境使用 unstable 版本。扩展应配置固定 API 版本，并遵循 Genstore 的版本更新周期。
• 3-D Secure：在法律或行业标准要求使用 3-D Secure 的国家/地区，信用卡支付扩展必须支持 3-D Secure 认证。
• 合规 Webhooks：必须实现合规的 Webhooks 。

商家体验要求

• 可用性：扩展必须保持 ≥ 99.95% 的正常运行时间（24/7）。
• 响应时效：出现中断或严重问题时，合作伙伴需在 2 小时内响应。

支付扩展的限制

• 行项目、订单 ID 和结账 ID 无法通过支付应用 API 获取。
• 支付扩展不会在 Genstore 应用商店展示，只能在 Genstore 商家后台 → 设置 → 支付 中安装与启用。