¡Cambio obligatorio! Todas las tiendas web con TPV Virtual deben cambiar su conexión antes del 23 de Noviembre de 2015. Por motivos de seguridad es necesario que adapte su conexión con el TPV Virtual al nuevo tipo de firma basado en SHA-256.

Seguramente ya te habrá llegado el mensaje enviado por Redsys para que actualices método de conexión, para ello en este post te vamos a explicar como actualizar el módulo oficial de Redsys sin tener conocimiento de programación.

Cambio obligatorio TPV Redsys en Magento

Estoy afectado por el cambio pero, ¿Como actualizo?

Redsys ya ha actualizado su módulo en su pagina oficial, donde podremos descargar la nueva versión del módulo para magento.

Una vez descargado la nueva versión del módulo lo que tenemos que hacer es acceder mediante FTP a nuestro servidor y subir el modulo descargado (le preguntará si desea remplazar los ficheros, teneis que aceptar para que los cambios se hagan efectivos).

Un último paso: Al haber cambiado el método de encriptación, la clave que usábamos anteriormente ha dejado de ser válida, por lo que debes configurar el módulo con la nueva clave. Para obtenerla, basta con entrar en el portal de administración del TPV (http://canales.redsys.es) con tu usuario y contraseña, ir al apartado “Consultar datos del comercio” y pulsar sobre la opción “ver clave”. Copia la clave de 256 bits que aparece en pantalla, pégala en la pantalla de configuración del módulo, en la casilla “clave secreta de encriptación”, guarda los cambios y tu tienda Magento estará lista para vender de nuevo a través de TPV.

Atención el nuevo módulo de Redsys solo es compatible con versión 1.8 y superiores de Magento.

¿Pueden surgir problemas al actualizar el módulo?

En principio, se trata de un proceso bastante sencillo y que no debería presentar ningún tipo de problema. Lo único que debe tenerse en cuenta es que el nuevo algoritmo de encriptación del módulo requiere tener habilitada la librería mcrypt en tu hosting. En todos nuestros hosting esta librería esta instalada por lo que no deberás preocuparte.

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con el tpv virtual?

Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el tpv virtual de Redsys ha cambiado el sistema de firma entre el comercio y el tpv virtual para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el tpv virtual deben adecuar sus sistemas para utilizar el nuevo método.