TPV virtual cambio a SHA256

Redsys

Redsys ha empezado a actualizar sus comunicaciones entre tiendas y sus servidores a partir del 23/11/2015 toda las comunicaciones se encriptarán en SHA256.

Toda comunicación entre una tienda web y el tpv virtual de Redsys actualmente va firmada electrónicamente utilizando un algoritmo llamado SHA-1. Esto incluye tanto la llamada desde la tienda al tpv virtual para solicitar el pago con tarjeta de un pedido, como la notificación on-line por parte del tpv virtual al servidor de la tienda para informar del resultado de un pago realizado.
El algoritmo SHA-1 ha sido declarado obsoleto por la industria al no considerarse lo suficientemente seguro (podría ser atacado) y está siendo retirado de todos los sitios web, certificados y software de seguridad. SHA-1 debe ser sustituido por algoritmos más robustos, que utilizan una clave de tamaño mayor que hace imposible a día de hoy que un atacante pueda romper su seguridad sin conocer la clave.

El cambio del algoritmo de firma implica a la conexión entre el servidor de la tienda y el tpv virtual. Para poder seguir utilizando el tpv virtual a partir de (23/11/2015), las tiendas web deben modificar sus sistemas para utilizar el nuevo modelo de firma. También afecta a la forma de recibir en la tienda web las notificaciones on-line desde el tpv virtual sobre el resultado de las operaciones de pago, que sirven para que la tienda conozca al momento si un pedido ha sido pagado satisfactoriamente usando el tpv virtual.

Listado de bancos afectados.

Redsys ha puesto a la disposición de los comercios plugins para varias aplicaciones como Prestashop, Woocomerce,… Pueden descargar en la propia web de Redsys