Migracion a SHA256 en Redsys

Comenzamos informando sin duda de algo importante para los comercios on-line y es que disponen como fecha límite  el 23 de noviembre de 2015 para realizar los cambios necesarios para adaptar sus módulos de pago de Redsys o programación a medida para funcionar con Sha256. En este enlace se puede consultar las entidades afectadas  ver entidades.

 

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con el tpv virtual?

Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el tpv virtual de Redsys ha cambiado el sistema de firma entre el comercio y el tpv virtual para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el tpv virtual deben adecuar sus sistemas para utilizar el nuevo método.

 

¿Por qué debo hacer modificaciones en mi sistema?

El algoritmo actual (SHA-1) en el que se basa la seguridad de la conexión de la tienda con el tpv virtual (y viceversa) es un algoritmo declarado obsoleto por la industria y los estándares de seguridad, y podría ser objeto de ataques en el futuro. Para asegurar la mayor seguridad en la conexión con el servicio de pagos los métodos actuales deben actualizarse a los nuevos estándares basados en algoritmos de firma más potentes.

Las tiendas web deben adecuar sus sistemas a las nuevas especificaciones para garantizar la continuidad del servicio de pago a través del tpv virtual. Tras el 23/11/2015 el tpv virtual dejará de admitir solicitudes de conexión utilizando el mecanismo actual basado en SHA-1.

Dada la fecha límite de uso, es muy importante para la tienda actualizar su software de conexión con el tpv virtual lo antes posible de cara a garantizar la actividad y continuidad de negocio.

 

¿Cuál es la fecha límite para adaptar mi tienda?

Tal y como indicábamos más arriba, el tpv virtual de Redsys dejará de aceptar solicitudes de pago de las tiendas sin actualizar a partir del día 23 de noviembre del 2015.

Os dejamos el documento que Redsys han enviados a sus clientes para proceder a la migración [DESCARGAR].

Recuerda que en Hispamax somos expertos en desarrollo y migraciones,  podemos realizar esto por ti, disponemos de todos los módulos actualizados para todas las tiendas virtuales más usadas como Prestashop, Magento, WooCommerce, OsCommerce, OpenCart, VirtueMart y ZenCart.