Cambio importante en la seguridad del TPV Virtual de Redsys

redsys-visa

Tengo un comercio on-line. ¿Me afecta este cambio?
Este cambio afecta y se requiere realizarlo a cualquier tienda de comercio electrónico que utilice el tpv virtual Redsys comercializado por las entidades financieras (ver entidades), ya sea de forma directa, o indirectamente a través de otros integradores técnicos. En general todos los comercios que utilizan el tpv virtual están afectados.

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con el tpv virtual?
Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el tpv virtual de Redsys ha cambiado el sistema de firma entre el comercio y el tpv virtual para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el tpv virtual deben adecuar sus sistemas para utilizar el nuevo método.

¿En qué me afecta este cambio?
El cambio del algoritmo de firma implica a la conexión entre el servidor de la tienda y el tpv virtual. Para poder seguir utilizando el tpv virtual a partir de (23/11/2015), las tiendas web deben modificar sus sistemas para utilizar el nuevo modelo de firma. También afecta a la forma de recibir en la tienda web las notificaciones on-line desde el tpv virtual sobre el resultado de las operaciones de pago, que sirven para que la tienda conozca al momento si un pedido ha sido pagado satisfactoriamente usando el tpv virtual.

¿Por qué debo hacer modificaciones en mi sistema?
El algoritmo actual (SHA-1) en el que se basa la seguridad de la conexión de la tienda con el tpv virtual (y viceversa) es un algoritmo declarado obsoleto por la industria y los estándares de seguridad, y podría ser objeto de ataques en el futuro. Para asegurar la mayor seguridad en la conexión con el servicio de pagos los métodos actuales deben actualizarse a los nuevos estándares basados en algoritmos de firma más potentes.

Las tiendas web deben adecuar sus sistemas a las nuevas especificaciones para garantizar la continuidad del servicio de pago a través del tpv virtual. Tras el 23/11/2015 el tpv virtual dejará de admitir solicitudes de conexión utilizando el mecanismo actual basado en SHA-1.

Dada la fecha límite de uso, es muy importante para la tienda actualizar su software de conexión con el tpv virtual lo antes posible de cara a garantizar la actividad y continuidad de negocio.

¿Cuál es la fecha límite para adaptar mi tienda?
El tpv virtual de Redsys dejará de aceptar solicitudes de pago desde las tiendas sin actualizar a partir del día 23/11/2015

¿Quién puede programar mi tienda online al nuevo sistema?
Los técnicos de Informática La Escala disponemos de los conocimientos necesarios para poder hacer estos cambios de seguridad en su web. Sólo hay que contacte con nosotros por email ([email protected]) o en el teléfono (600 66 10 67) y le haremos llegar un presupuesto para hacer las adaptaciones necesarias en el sistema de pago online de su tienda web.

 


 

 

Publicado en Artículos Etiquetado con: , , ,