Comercio

Tengo un comercio on-line. ¿Me afecta este cambio?

Este cambio afecta y se requiere realizarlo a cualquier tienda de comercio electrónico que utilice el tpv virtual Redsys comercializado por las entidades financieras (ver entidades), ya sea de forma directa, o indirectamente a través de otros integradores técnicos. En general todos los comercios que utilizan el tpv virtual están afectados.

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con el tpv virtual?

Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el tpv virtual de Redsys ha cambiado el sistema de firma entre el comercio y el tpv virtual para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el tpv virtual deben adecuar sus sistemas para utilizar el nuevo método.

¿En qué me afecta este cambio?

El cambio del algoritmo de firma implica a la conexión entre el servidor de la tienda y el tpv virtual. También afecta a la forma de recibir en la tienda web las notificaciones on-line desde el tpv virtual sobre el resultado de las operaciones de pago, que sirven para que la tienda conozca al momento si un pedido ha sido pagado satisfactoriamente usando el tpv virtual.

¿Por qué debo hacer modificaciones en mi sistema?

El algoritmo actual (SHA-1) en el que se basa la seguridad de la conexión de la tienda con el tpv virtual (y viceversa) es un algoritmo declarado obsoleto por la industria y los estándares de seguridad, y podría ser objeto de ataques en el futuro. Para asegurar la mayor seguridad en la conexión con el servicio de pagos los métodos actuales deben actualizarse a los nuevos estándares basados en algoritmos de firma más potentes.

Las tiendas web deben adecuar sus sistemas a las nuevas especificaciones para garantizar la continuidad del servicio de pago a través del tpv virtual.

Es muy importante para la tienda actualizar su software de conexión con el tpv virtual lo antes posible de cara a garantizar la actividad y continuidad de negocio.

¿Cuál es la fecha límite para adaptar mi tienda?

Las tiendas web deberían haber migrado al nuevo tipo de conexión con firma SHA 256 antes del 18/10/2016

¿Existe documentación técnica específica para este cambio?

Sí, puede encontrar toda documentación descriptiva del cambio de SHA-1 en esta misma página (sección Documentación, en la parte derecha), y también accediendo al portal de administración del tpv virtual, en la sección de documentación.

En dicha dirección también ponemos a su disposición de forma gratuita APIs con librerías de código en diferentes lenguajes de programación que le faciliten la implementación del nuevo sistema de firma, reduciendo el impacto de la implementación al cambio de unas pocas líneas de código que invoquen a las funciones de las librerías.

Además hemos habilitado un servicio especial de soporte a la migración. Para ponerse en contacto por favor es necesario indicar su número de comercio (FUC) y entidad financiera adquirente, téngalos a mano (consulte información de contacto en el área superior derecha de esta misma página).

Mi tienda usa un módulo descargado de internet para la conexión con el tpv virtual. ¿Debo cambiarlo?

Sí. Las tiendas que usan plataformas abiertas de software como Prestashop, Woocommerce, Oscommerce, Virtuemart,�etc, normalmente utilizan módulos descargables, plugins o extensiones desarrollados por terceros que facilitan la conexión con el tpv virtual de Redsys. Estos módulos deben ser actualizados para soportar el nuevo método de seguridad en la conexión. Por favor, póngase en contacto con su proveedor del módulo de tpv para solicitar una actualización. También tiene disponibles módulos descargables para su instalación en las principales plataformas de creación de tiendas en www.redsys.es sección Servicios Web/Descarga de documentación y ejecutables, o pulse (aquí).

¿Qué tipos de conexión con el tpv virtual se ven afectadas?

Deben actualizarse todas las formas de conexión on-line desde el comercio al tpv virtual que utilizan SHA-1 para el firmado: conexión por redirección a página de pago y conexión host-to-host (vía webservice o redirección http). Igualmente el comercio debe actualizar la conexión entrante donde recibe las notificaciones on-line que informan del resultado de una operación desde el tpv virtual al servidor del comercio.

¿Quién puede ayudarme a realizar el cambio?

Los cambios a realizar en el software de la tienda web dependen de las características de cada tienda web y de la plataforma software que utilice, por lo que se recomienda que cada comercio utilice los mismos recursos técnicos que fueron empleados en la implementación original del tpv virtual en su tienda, ya que no hay una implementación estándar aplicable a todos los comercios.

Para tiendas cuya plataforma se basa en software abierto de mercado, como Prestashop, Oscommerce, Woocommeerce, Virtuemart,...etc., existen módulos descargables que permiten facilitar el proceso de conexión. Si es su caso diríjase a su proveedor del módulo, plugin o extensión para que le facilite una versión actualizada. También tiene disponibles módulos descargables para su instalación en las principales plataformas de tienda en www.redsys.es sección Servicios Web/Descarga de documentación y ejecutables, o pulse (aquí).

Ya he realizado el cambio ¿Cómo puedo probar que todo funciona?

Hemos puesto a su disposición una herramienta de simulación de firma para que pueda comprobar que el cálculo de la nueva firma es correcto. Puede acceder en la siguiente dirección (enlace).

Además para probar tiene disponible nuestro entorno de test. Si no tiene cuenta de acceso al entorno de test, puede contactar con nosotros para facilitarle el acceso a través de nuestro servicio de soporte a la migración. Para ponerse en contacto es necesario indicar su número de comercio (FUC) y entidad financiera adquirente, por favor, téngalos a mano:

Mi tienda utiliza un módulo que descargué de la página web oficial de Redsys (www.redsys.es). ¿Debo actualizarlo?

Si usted ha bajado su módulo de la web oficial de Redsys, a partir de la versión 2.8 tendrán implementados los cambios, es decir, su módulo está actualizado. Si lo ha bajado de otro sitio web, deberá consultar con su proveedor.

¿Cómo activo el nuevo tipo de firma?

Para activar el nuevo tipo de firma no es necesaria ninguna configuración específica en el tpv virtual.

Puede empezar a enviar conexiones en cuanto haya probado con nuestros sistemas que su implementación es correcta.

El nuevo tipo de firma se genera con otra clave diferente a su clave actual para SHA-1. Por favor, asegúrese que ha configurado en su tienda la nueva clave SHA-256 en lugar de la clave antigua SHA-1 (disponible para su consulta en el portal de administración, opción Consulta datos comercio/ver clave).

Técnicos integradores de tiendas y desarrolladores

¿Existe documentación técnica específica para este cambio?

Sí, puede encontrar toda documentación descriptiva del cambio de firma SHA-1 en esta misma página, o accediendo al portal de administración del tpv virtual, en la sección de documentación.

En dicha dirección ponemos a su disposición de forma gratuita, APIs con librerías de código en diferentes lenguajes de programación que le faciliten la implementación del nuevo sistema de firma, reduciendo el impacto de la implementación al cambio de unas pocas líneas de código que invoquen a las funciones de las librerías.

Además hemos habilitado un servicio especial de soporte a la migración(Consulte los datos de contacto en la sección superior derecha de esta página). Para ponerse en contacto por favor es necesario indicar su número de comercio (FUC) y entidad financiera adquirente, téngalos a mano.

¿Existen APIs que me faciliten el trabajo?

Sí, puede encontrar toda documentación descriptiva del cambio de SHA-1, APIs con librería código y ejemplos de uso en diferentes lenguajes, en esta misma páginam o accediendo accediendo al portal de administración del tpv virtual, en la sección de documentación.

Las APIs con librerías de código en diferentes lenguajes de programación le facilitan la implementación del nuevo sistema firma, reduciendo el impacto de la implementación al cambio de unas pocas líneas de código que invoquen a las funciones de las librerías.

¿Se requiere una clave nueva? ¿Dónde la consigo?

Sí, el nuevo sistema de firma requiere un dato secreto diferente a la clave que su comercio utiliza actualmente para la firma SHA-1. Puede encontrar secreto la nueva clave SHA-256 a utilizar accediendo al portal de administración del tpv virtual, en la opción de Consulta datos de comercio/Ver clave.

Ya he realizado el cambio ¿Cómo puedo probar que todo funciona?

Hemos puesto a su disposición una herramienta de simulación para que pueda comprobar que el cálculo de la nueva firma es correcto. Puede acceder en la siguiente dirección (enlace).

Además tiene disponible nuestro entorno de test en la dirección. Si no tiene cuenta de acceso al entorno de test, puede contactar con nosotros para facilitarle el acceso a través de nuestro servicio de soporte a la migración. Para ponerse en contacto es necesario indicar su número de comercio (FUC) y entidad financiera adquirente, por favor, téngalos a mano.