Cambio obligatorio TPV Redsys en Prestashop

Comparte este artículo

¡Cambio obligatorio! Todas las tiendas web con TPV Virtual deben cambiar su conexión antes del 23 de Noviembre de 2015. Por motivos de seguridad es necesario que adapte su conexión con el TPV Virtual al nuevo tipo de firma basado en SHA-256.

Si tienes una tienda online y permites el pago a través de TPV virtual de Redsys es muy probable que hayas recibido recientemente (o recibas en un futuro próximo) un correo electrónico indicando que por motivos de seguridad deben cambiar su conexión con la plataforma de Redsys.

Si este es tu caso seguramente te habrás echado las manos a la cabeza pensando ya esta realizando cambios y voy a tener que desembolsar un presupuesto en que un técnico especializado solucione este cambio, pues bien, aunque parezca algo complicado Redsys nos ha proporcionado la actualización de su módulo para hacerlo todo mucho más fácil.

redsys sha-256

Tengo un Prestashop con plataforma de pago Redsys ¿Me afecta este cambio?

Este cambio afecta y se requiere realizarlo a cualquier tienda de comercio electrónico que utilice el tpv virtual Redsys comercializado por las entidades financieras, ya sea de forma directa, o indirectamente a través de otros integradores técnicos. En general todos los comercios que utilizan el tpv virtual están afectados.

Estoy afectado por el cambio pero, ¿Como actualizo?

Para los usuarios de Prestashop se reduce en descargar e instalar la actualización del módulo de Redsys. Afortunadamente nos lo han puesto fácil y el módulo puede descargarse gratuitamente desde este enlace.

Este módulo solo es compatible para versiones de prestashop 1.5.2.0 o superiores.

Una vez descargado, basta con instalarlo por el procedimiento habitual de Prestashop (no es necesario desinstalar el módulo antiguo).

Un último paso: Al haber cambiado el método de encriptación, la clave que usábamos anteriormente ha dejado de ser válida, por lo que debes configurar el módulo con la nueva clave. Para obtenerla, basta con entrar en el portal de administración del TPV (http://canales.redsys.es) con tu usuario y contraseña, ir al apartado “Consultar datos del comercio” y pulsar sobre la opción “ver clave”. Copia la clave de 256 bits que aparece en pantalla, pégala en la pantalla de configuración del módulo, en la casilla “clave secreta de encriptación”, guarda los cambios y tu tienda Prestashop estará lista para vender de nuevo a través de TPV.

¿Pueden surgir problemas al actualizar el módulo?

En principio, se trata de un proceso bastante sencillo y que no debería presentar ningún tipo de problema. Lo único que debe tenerse en cuenta es que el nuevo algoritmo de encriptación del módulo requiere tener habilitada la librería mcrypt en tu hosting. En todos nuestros hosting esta librería esta instalada por lo que no deberás preocuparte.

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con el tpv virtual?

Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el tpv virtual de Redsys ha cambiado el sistema de firma entre el comercio y el tpv virtual para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el tpv virtual deben adecuar sus sistemas para utilizar el nuevo método.


Comparte este artículo
Scroll al inicio