Guía migración firma SHA-256

 

Tengo un comercio. ¿Me afecta este cambio?

Este cambio afecta y se requiere realizar a cualquier comercio que utilice TPV-PC de Redsýs comercializado por entidades financieras, ya sea de forma directa, o indirectamente a través de otros integradores técnicos. En general todos los comercios que utilizan TPV-PC están afectados.

No confundir este cambio del algoritmo de firma de los mensajes intercambiados con TPV-PC con el cambio de certificado realizado en Octubre de 2016. En los siguientes puntos mencionamos cómo afecta a los comercios este cambio de algoritmo de firma.

¿Qué es la firma, el SHA-1 y donde se utiliza en relación con TPV-PC?

Toda comunicación entre un comercio y el TPV-PC de Redsýs actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde el comercio para solicitar cualquier tipo de pago/devolución/anulación, consulta de operaciones o envío de ficheros, como la respuesta por parte de TPV-PC al servidor del comercio para informar del resultado.

El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

Al igual que el resto de la industria, el TPV-PC de Redsýs ha cambiado el sistema de firma entre el comercio y TPV-PC para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el TPV-PC deben adecuar sus sistemas para utilizar el nuevo método.

 

 

¿En qué me afecta este cambio?

El cambio del algoritmo de firma implica a la petición/respuesta entre el servidor del comercio y TPV-PC. Por lo tanto, el comercio deberá generar una nueva firma usando el algoritmo SHA-256 en aquellas situaciones donde actualmente empleaba el algoritmo SHA-1. Por lo tanto, el comercio deberá validar correctamente la nueva firma de respuesta enviada por TPV-PC.

Los comercios que emplean la Web de canales proporcionada por Redsýs para el uso de TPV-PC no necesitan realizar ningún cambio. Las modificaciones asociadas a la firma son responsabilidad de TPV-PC y por lo tanto es transparente para el comercio.

Redsýs proporcionará la nueva librería/interfaz con firma SHA-256 a aquellos comercios que actualmente estén trabajando con Tpv-Pc Implantado Windows o Implantado Java en SHA-1. Una vez registrada, el comercio deberá comprobar que las peticiones se procesan correctamente y que las repuestas se envían firmadas en SHA-256. Por lo tanto, el comercio deberá validar correctamente la nueva firma de respuesta. La documentación actualizada se puede descargar en esta misma página web.

El proceso de obtención de la firma para los comercios que trabajan con Web Service será siempre el mismo en todos los casos. Lo único que variará será el algoritmo usado para cifrar la cadena sobre la que se firma. Redsýs ofrece a los comercios el siguiente link donde validar la generación de la firma. La documentación actualizada se puede descargar en esta misma página web.

El proceso de obtención de la firma para los comercios que trabajan con Ficheros será siempre el mismo en todos los casos en los que sea necesario firmar las operaciones. Para poder garantizar la integridad de las mismas, éstas se firman de forma individual. Lo único que variará será el algoritmo usado para cifrar la cadena sobre la que se firma. Redsýs ofrece a los comercios el siguiente link donde validar la generación de la firma. La documentación actualizada se puede descargar en esta misma página web.

El proceso de obtención de la firma para los comercios que trabajan con Implantado Web será siempre el mismo en todos los casos. Lo único que variará será el algoritmo usado para cifrar la cadena sobre la que se firma. Redsýs ofrece a los comercios el siguiente link donde validar la generación de la firma. La documentación actualizada se puede descargar en esta misma página web.

 

El servicio de iTPV-PC sigue las mismas pautas de generación y verificación de firma que el Web-Service. Por lo tanto, se deberá modificar el algoritmo usado para cifrar la cadena sobre la que se firma. La formación de dicha cadena es la misma que está realizando actualmente el comercio para cada servicio.

 

¿Por qué debo hacer modificaciones en mi sistema?

El algoritmo actual (SHA-1) en el que se basa la seguridad de la conexión del comercio con TPV-PC (y viceversa) es un algoritmo declarado obsoleto por la industria y los estándares de seguridad, y podría ser objeto de ataques en el futuro. Para asegurar la mayor seguridad en la conexión con los servicios de pagos, los métodos actuales deben actualizarse a los nuevos estándares basados en algoritmos de firma más potentes.

Los comercios deben adecuar sus sistemas a las nuevas especificaciones para garantizar la continuidad del servicio de TPV-PC.

Es muy importante para el comercio actualizar su software de comunicación con TPV-PC lo antes posible de cara a garantizar la actividad y continuidad del negocio.

 

 

¿Cuál es la fecha límite para adaptar mi comercio?

Actualmente están conviviendo ambos algoritmos de firma en TPV-PC. A partir del 2 de Marzo de 2020, sólo se permitirá firmar con el algoritmo SHA-256 y el resto de peticiones no se procesarán. Es importante que los comercios realicen los cambios necesarios cuanto antes para certificar su correcto funcionamiento.

 

 

¿Qué tipos de conexión con TPV-PC se ven afectadas?

Deben actualizarse todas las formas de comunicación desde el comercio a TPV-PC que utilizan SHA-1 en la firma: generación de ficheros y conexión host-to-host (vía Web Service). Igualmente, el comercio debe actualizar el procesamiento de las respuestas que informan del resultado de una operación desde TPV-PC al servidor del comercio.

 

 

¿Quién puede ayudarme a realizar el cambio?

Los cambios a realizar en el software del comercio dependen de las características de cada uno y de la plataforma software que utilice, por lo que se recomienda que cada comercio utilice los mismos recursos técnicos que fueron empleados en la implementación original del TPV-PC en su comercio, ya que no hay una implementación estándar aplicable a todos los comercios.

 

 

¿Cómo activo el nuevo tipo de firma?

Para activar el nuevo tipo de firma no es necesaria ninguna configuración específica en TPV-PC. Puede empezar a enviar conexiones en cuanto haya comprobado que su implementación es correcta.

El nuevo tipo de firma se genera con la misma clave de comercio actual para SHA-1. Por favor, asegúrese de su valor accediendo (con el usuario que se les proporcionó cuando se dio de alta el comercio/terminal) a la web de canales: Módulo de administración – Configuración – Consultar Clave de Comercio.