Este cambio afectará a partir del 30 de marzo de 2022 a cualquier comercio que utilice TPV-PC de Redsýs, ya sea de forma directa, o indirectamente a través de otros integradores técnicos. En general todos los comercios que utilizan TPV-PC están afectados.
No confundir este cambio del algoritmo de firma de los mensajes intercambiados con TPV-PC con el cambio de certificado realizado en Octubre de 2016. En los siguientes puntos mencionamos cómo afecta a los comercios este cambio de algoritmo de firma.
Toda comunicación entre un comercio y el TPV-PC de Redsýs actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde el comercio para solicitar cualquier tipo de pago/devolución/anulación, consulta de operaciones o envío de ficheros, como la respuesta por parte de TPV-PC al servidor del comercio para informar del resultado.
El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.
Al igual que el resto de la industria, el TPV-PC de Redsýs ha cambiado el sistema de firma entre el comercio y TPV-PC para adecuarse a los nuevos estándares de seguridad, por lo que todos los comercios que utilizan el TPV-PC deben adecuar sus sistemas para utilizar el nuevo método.
El cambio del algoritmo de firma implica a la petición/respuesta entre el servidor del comercio y TPV-PC. Por lo tanto, el comercio deberá generar una nueva firma usando el algoritmo SHA-256 en aquellas situaciones donde actualmente empleaba el algoritmo SHA-1. Por lo tanto, el comercio deberá validar correctamente la nueva firma de respuesta enviada por TPV-PC.
Los comercios que emplean la Web de canales proporcionada por Redsýs para el uso de TPV-PC no necesitan realizar ningún cambio. Las modificaciones asociadas a la firma son responsabilidad de TPV-PC y por lo tanto es transparente para el comercio.
Redsýs proporcionará la nueva librería/interfaz con firma SHA-256 a aquellos comercios que actualmente estén trabajando con Tpv-Pc Implantado Windows o Implantado Java en SHA-1. Una vez registrada, el comercio deberá comprobar que las peticiones se procesan correctamente y que las repuestas se envían firmadas en SHA-256. Por lo tanto, el comercio deberá validar correctamente la nueva firma de respuesta.
La documentación actualizada se puede descargar aquí.
Según el tipo de conexión, el proceso de obtención de la firma será el siguiente:
El algoritmo actual (SHA-1) en el que se basa la seguridad de la conexión del comercio con TPV-PC (y viceversa) es un algoritmo declarado obsoleto por la industria y los estándares de seguridad, y podría ser objeto de ataques en el futuro. Para asegurar la mayor seguridad en la conexión con los servicios de pagos, los métodos actuales deben actualizarse a los nuevos estándares basados en algoritmos de firma más potentes.
Los comercios deben adecuar sus sistemas a las nuevas especificaciones para garantizar la continuidad del servicio de TPV-PC.
Es muy importante para el comercio actualizar su software de comunicación con TPV-PC lo antes posible de cara a garantizar la actividad y continuidad del negocio.
Actualmente están conviviendo ambos algoritmos de firma en TPV-PC. A partir del 30 de Marzo de 2022, sólo se permitirá firmar con el algoritmo SHA-256 y el resto de peticiones no se procesarán. Es importante que los comercios realicen los cambios necesarios cuanto antes para certificar su correcto funcionamiento.
Deben actualizarse todas las formas de comunicación desde el comercio a TPV-PC que utilizan SHA-1 en la firma: generación de ficheros y conexión host-to-host (vía Web Service). Igualmente, el comercio debe actualizar el procesamiento de las respuestas que informan del resultado de una operación desde TPV-PC al servidor del comercio.
Los cambios a realizar en el software del comercio dependen de las características de cada uno y de la plataforma software que utilice, por lo que se recomienda que cada comercio utilice los mismos recursos técnicos que fueron empleados en la implementación original del TPV-PC en su comercio, ya que no hay una implementación estándar aplicable a todos los comercios.
Para activar el nuevo tipo de firma no es necesaria ninguna configuración específica en TPV-PC. Puede empezar a enviar conexiones en cuanto haya comprobado que su implementación es correcta.
El nuevo tipo de firma se genera con la misma clave de comercio actual para SHA-1. Por favor, asegúrese de su valor accediendo (con el usuario que se les proporcionó cuando se dio de alta el comercio/terminal) a la web de canales: Módulo de administración – Configuración – Consultar Clave de Comercio.