¡Cambio obligatorio del TPV!

Autor: Pablo
17th Nov 2015

 

Buenos días,

Para los que tengan o administren una tienda online y acepten pagos con tarjeta, es decir, que tengan un TPV virtual con Redsys, tengo que daros una mala noticia: ¡Cambio obligatorio!
Todas las tiendas web con TPV Virtual deben cambiar su conexión antes del 23 de Noviembre de 2015.

 

Banco-Sabadell

 

Tengo una tienda online, ¿En qué me afecta el cambio?

Este cambio afecta y se requiere realizarlo a cualquier tienda de comercio electrónico que utilice el tpv virtual Redsys comercializado por las entidades financieras*, ya sea de forma directa, o indirectamente a través de otros integradores técnicos. En general todos los comercios que utilizan el tpv virtual están afectados.

*Entidades financieras afectadas:

Abanca Corporación Bancaria
Banca March
Banca Pueyo
Banco Alcalá
Banco Bilbao Vizcaya Argentaria
Banco Caixa Geral
Banco Caminos
Banco Cooperativo Español
Banco de Caja España de Inversiones, Salamanca y Soria
Banco de Crédito Social Cooperativo
Banco de Sabadell
Banco Finantia Sofinloc
Banco Mediolanum
Banco Popular Español
Banco Santander
Bancofar
BancoPopular-E
Bankia
Bankinter
Bankoa
Barclays Bank PLC
BBVA Banco de Financiación
Caixabank Consumer Finance
Caixa de Credit dels Enginyers – Caja de Crédito de los Ingenieros
Caixa Popular
Caixa Rural de l´Alcudia
Caixa Rural Galega
Caixa Rural la Vall «San Isidro»
Caixabank
Caja de Arquitectos, Sociedad Cooperativa de Crédito
Caja de Crédito Cooperativo
Caja Laboral Popular
Caja Rural Central
Caja Rural d´Algemesí
Caja Rural de Albacete, Ciudad Real y Cuenca, Sociedad Cooperativa de Crédito
Caja Rural de Almendralejo
Caja Rural de Aragón
Caja Rural de Asturias
Caja Rural de Burgos, Fuentepelayo, Segovia y Castelldans
Caja Rural de Casas Ibáñez
Caja Rural de Castilla-la Mancha
Caja Rural de Extremadura
Caja Rural de Gijón
Caja Rural de Granada
Caja Rural de Guissona
Caja Rural de Jaén
Caja Rural de Navarra
Caja Rural de Salamanca
Caja Rural de Soria
Caja Rural de Teruel
Caja Rural de Utrera
Caja Rural de Zamora
Caja Rural del Sur
Caja Rural Nuestra Señora del Rosario
Caja Rural San José de Almassora
Cajasiete, Caja Rural
Catalunya Banc
Deutsche Bank
Novo Banco
Sociedad Conjunta para la Emisión y Gestión de Medios de Pago
Unoe Bank

¿Por qué debo hacer modificaciones en mi sistema?

El algoritmo actual (SHA-1) en el que se basa la seguridad de la conexión de la tienda con el tpv virtual (y viceversa) es un algoritmo declarado obsoleto por la industria y los estándares de seguridad, y podría ser objeto de ataques en el futuro. Para asegurar la mayor seguridad en la conexión con el servicio de pagos los métodos actuales deben actualizarse a los nuevos estándares basados en algoritmos de firma más potentes.

Las tiendas web deben adecuar sus sistemas a las nuevas especificaciones para garantizar la continuidad del servicio de pago a través del tpv virtual. Tras el 23/11/2015 el tpv virtual dejará de admitir solicitudes de conexión utilizando el mecanismo actual basado en SHA-1.

Dada la fecha límite de uso, es muy importante para la tienda actualizar su software de conexión con el tpv virtual lo antes posible de cara a garantizar la actividad y continuidad de negocio.

¿En qué me afecta este cambio?

El cambio del algoritmo de firma implica a la conexión entre el servidor de la tienda y el tpv virtual. Para poder seguir utilizando el tpv virtual a partir de (23/11/2015), las tiendas web deben modificar sus sistemas para utilizar el nuevo modelo de firma. También afecta a la forma de recibir en la tienda web las notificaciones on-line desde el tpv virtual sobre el resultado de las operaciones de pago, que sirven para que la tienda conozca al momento si un pedido ha sido pagado satisfactoriamente usando el tpv virtual.

 

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con el tpv virtual?

Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el tpv virtual de Redsys ha cambiado el sistema de firma entre el comercio y el tpv virtual para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el tpv virtual deben adecuar sus sistemas para utilizar el nuevo método.

 

¿Quién puede ayudarme a realizar el cambio?

Los cambios a realizar en el software de la tienda web dependen de las características de cada tienda web y de la plataforma software que utilice, por lo que se recomienda que cada comercio utilice los mismos recursos técnicos que fueron empleados en la implementación original del tpv virtual en su tienda, ya que no hay una implementación estándar aplicable a todos los comercios.

Para tiendas cuya plataforma se basa en software abierto de mercado, como Magento, Prestashop, Oscommerce, Woocommeerce, Virtuemart,…etc., existen módulos descargables que permiten facilitar el proceso de conexión. Si es su caso diríjase a su proveedor del módulo, plugin o extensión para que le facilite una versión actualizada. También tiene disponibles módulos descargables para su instalación en las principales plataformas de tienda en www.redsys.es sección Servicios Web/Descarga de documentación y ejecutables.

Nosotros también le podemos ayudar a actualizar su sistema de pagos antes de la fecha de desconexión. Recuerda que la fecha limite para actualizar el tpv virtual es el 23 de Noviembre de 2015, pasada esa fecha dejará de recibir pagos mediante tarjetas con el antiguo tpv. Para más información contacta con nosotros en info@experta.pro