Ultima actualización 13/01/2015

5. Seguridad: comprobación de prepago

5.1 Firma SHA-IN

Para verificar los datos que se han enviado a su sistema (en el caso de e-Commerce los campos ocultos de la página de pago), Ingenico ePayments requiere el método de verificación de datos seguros SHA. Para cada pedido el servidor genera una cadena de caracteres única (=digest), para la que se ha generado un hash con el algoritmo SHA que elija: SHA-1, SHA-256 o SHA-512.

Se puede realizar un cálculo similar tras la transacción, para comprobar los parámetros devueltos con las URL de redireccionamiento. Llamamos a esto SHA-OUT.

5.1.1 Creación de la cadena

La cadena para la que se generará un hash se construye concatenando los valores de los campos enviados al pedido, ordenado alfabéticamente, con el formato ‘PARÁMETRO=valor’. Cada parámetro con su valor va seguido de una frase de contraseña. Esta frase de contraseña se define en la página Información técnica de su cuenta de Ingenico ePayments, en la pestaña “Verificación de datos y origen”, sección “Comprobaciones de e-Commerce”. Tenga en cuenta que todos estos valores distinguen entre mayúsculas y minúsculas cuando se compilan para formar la cadena delante del hash.

Importante

  • Todos los parámetros que envíe (y que aparecen en la Lista de parámetros a incluir en el cálculo SHA-IN) se incluirán en la cadena para la que se va a generar el hash;
  • Todos los nombres de parámetros deben estar en MAYÚSCULAS (para evitar la confusión de mayúsculas o minúsculas);
  • Todos los parámetros deben de estar ordenados alfabéticamente;
  • Los parámetros que no dispongan de un valor NO se deben incluir en la cadena para la que se va a generar el hash;
  • Algunos algoritmos de ordenación colocan caracteres especiales delante de la primera letra del alfabeto, mientras que otros los colocan al final. En caso de duda, respete el orden que se muestra en la lista SHA;
  • Cuando decida transferir su cuenta de prueba a producción a través del enlace del menú de cuenta, se configurará automáticamente una frase de contraseña SHA-IN aleatoria en su cuenta de producción;
  • Para mayor seguridad, se solicita que utilice distintas frases de contraseña SHA en los entornos de prueba y de producción. Si se detecta que son idénticas, nuestro sistema cambiará su frase de contraseña de PRUEBA (en cuyo caso, recibirá un correo de notificación).

 

Cuando se genera el hash de la cadena compuesta con el algoritmo SHA, se devolverá un resumen hexadecimal. La longitud del resumen SHA es de 40 caracteres para SHA-1, 64 para SHA-256 y 128 para SHA-512. Este resultado se debe enviar a nuestro sistema en su solicitud de pedido, mediante el campo “SHASIGN”.

Nuestro sistema recompondrá la cadena SHA en función de los parámetros recibidos y comparará el resumen del comerciante con nuestro resumen generado. El pedido se rechaza si el resultado no es idéntico. Esta comprobación garantiza la precisión y la integridad de los datos del pedido.

Puede probar su SHASIGN aquí, y puede realizar una transacción de prueba con el resumen SHA calculado por nuestro sistema aquí.

Ejemplo de un cálculo SHA-1-IN (solo con parámetros básicos)

Parámetros (en orden alfabético):

AMOUNT=1500 (15.00 x100)
CURRENCY=EUR
LANGUAGE=en_US
ORDERID=1234
PSPID=MyPSPID

Frase de contraseña SHA-IN (en Información técnica):
Mysecretsig1875!?

Cadena para la que se va a generar el hash:
AMOUNT=1500Mysecretsig1875!?CURRENCY=EURMysecretsig1875!?LANGUAGE=en_USMysecretsig1875!?
ORDERID=1234Mysecretsig1875!?PSPID=MyPSPIDMysecretsig1875!?

Resumen resultante (SHA-1):
F4CC376CD7A834D997B91598FA747825A238BE0A


Si el SHASIGN enviado en los campos HTML ocultos de la transacción no coinciden con el SHASIGN construido en nuestro extremo con los detalles del pedido y la frase de contraseña introducida en el campo de frase de contraseña SHA-IN (en la página Información técnica), recibirá el mensaje de error “pedido desconocido/1/s" en los Registros de errores de su cuenta (en la página de pago se mostrará un mensaje de error general).

Si no se envía nada en el campo "SHASIGN" en los campos HTML ocultos, cuando se introduzca una frase de contraseña en el campo de frase de contraseña SHA-IN (en la página Información técnica) que indica que desea utilizar una firma SHA con cada transacción – recibirá el mensaje de error “pedido desconocido/0/s".

A continuación está el campo oculto utilizado para transmitir la firma SHA a nuestro sistema:

Campo Descripción
SHASIGN Cadena de caracteres única para validación de datos de pedidos. Una cadena para la que se ha generado un hash con el algoritmo SHA-1 siempre tendrá 40 caracteres de longitud.

5.2 Referencia

Además de la comprobación SHA, puede configurar la denominada comprobación de referencia. Con esta configuración, nuestro sistema comprueba el origen de la solicitud de transacción, es decir, de qué URL procede la solicitud (= la referencia). El objetivo es que ninguna URL no autorizada (que no esté configurada en su cuenta) pueda llamar a la página de pago.

Si accede a la pestaña "Verificación de datos y origen" de su página Información técnica, en la sección "Comprobaciones para e-Commerce" puede introducir una o varias URL que desee habilitar para llamar a la página de pago: orderstandard.asp / orderstandard_utf8.asp.

Importante

  • Las URL deben empezar siempre con http:// o https://
  • Puede introducir la URL completa o simplemente el nombre de dominio; en el último caso se aceptarán todos los subdirectorios y páginas de dicho dominio
  • En el caso de disponer de varios dominios, se pueden introducir varias URL, p. ej., http://www.mysite.com;http://www.mysite.net;https://www.secure.mysite.com. Las URL deben ir separadas por punto y coma, sin espacios delante o detrás del punto y coma.
  • Si realiza una transacción de prueba desde nuestra página de prueba, recuerde introducir la URL de nuestro sitio como referencia, de lo contrario recibirá un error.
Aunque la referencia permite a nuestro sistema identificar el origen de un pedido, no garantiza la integridad de los datos. Por tanto, nuestro sistema requiere el uso de una firma SHA.

Los errores posibles relacionados con la referencia son "pedido desconocido/1/r" y "pedido desconocido/0/r". Acceda a Errores posibles para obtener más información acerca de estos errores.

Este sitio web utiliza cookies para poder darle la mejor experiencia de usuario. Si usted no desea aceptar estas cookies, permitimos que cambie la configuración de cookies. Haga clic en "Aceptar" para permitir todas las cookies de este sitio web.

Ajustes de cookies

Introducción

Funcional

Cookies funcionales son necesarios para el sitio web funcione correctamente. Estas cookies no se pueden desactivar.

Optimizado

Cookies de optimización nos permiten analizar el uso del sitio para que podamos medir y mejorar nuestro sitio web.
Este es el nivel predeterminado.

Personalizado

Cookies de personalización se utilizan para los medios sociales y la personalización antelación. Ellos nos permiten mostrarle información relacionada con su empresa. 


Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma

Ejemplo de funcionalidad no permitido

  • Guardar los datos personales
  • Seguimiento anónimo a través de Google Analytics
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics
  • Servir contenido relevante a sus intereses
  • Servir anuncios relevantes para sus intereses
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale