Cambios seguridad Paypal 2016 | SSL | Afectará a Tiendas online y webs

Cambios en la seguridad de Paypal para el 2016

PayPal ha comunicado que en el año 2016 va a proceder a realizar una serie de cambios que afectan a la seguridad, puesto que el PCI Security Standards Council (Consejo de estándares de seguridad de la industria de las tarjetas de crédito) acaba de realizar cambios en sus estándares de seguridad de los datos. Estos estándares afectan a millones de empresas que manejan información de tarjetas de crédito, aceptan pagos electrónicos o prestan servicios a otras empresas que lo hacen.

El PCI Security Standards Council recomienda encarecidamente a los proveedores de alojamiento, como es el caso de PayPal, retirar aquellas versiones del estándar de seguridad Transport Layer Security (TLS) que sean anteriores a la versión 1.2. El estándar de seguridad TLS y su predecesor, Secure Socket Layer (SSL), se basan en código cifrado concebido para proteger las comunicaciones en una red de equipos.

Estos cambios no significan que los sistemas de PayPal no sean seguros a día de hoy. Se puede seguir usando este sistema con total seguridad ya que PayPal supervisa todas las transacciones de forma ininterrumpida para proteger del fraude y el robo de identidad. El propósito de estos cambios es contribuir a que las empresas estén protegidas frente a posibles vulnerabilidades en el futuro. PayPal valora la recomendación del consejo de PCI e incluso ha informado que durante el 2017 continuará realizando cambios para mejoras de seguridad.

¿Qué cambios se van a realizar y cuándo?

PayPal ha facilitado una línea de tiempo de las modificaciones técnicas que requieren cambios importantes, que debemos realizar cómo proveedor de servicios.

Ahora Los puntos finales del entorno de pruebas y tlstest.paypal.com. están activos. Hay nuevas direcciones IP SFTP activas. El entorno de pruebas está emitiendo certificados de credenciales de API con el nuevo estándar (2048 bits, SHA-256).
14 de enero de 2016 Pasada esta fecha, los puntos finales de API del Entorno de pruebas admitirán solo el nuevo estándar (certificados HTTP/1.1, TLS 1.2 y SHA-256). Esto incluye que www.sandbox.paypal.com solo acepte HTTPS para los reenvíos de IPN.
31 de enero de 2016 Producción empezará a emitir certificados de credenciales de API con el nuevo estándar (2048 bits, SHA-256).
29 de febrero de 2016 Se eliminarán los puntos finales de prueba del Entorno de pruebas.
17 de marzo de 2016 Las nuevas direcciones IP SFTP se añadirán al DNS de reports.paypal.com.
14 de abril de 2016 Se eliminarán las direcciones IP SFTP antiguas del DNS de reports.paypal.com.
12 de mayo de 2016 La dirección IP SFTP antigua dejará de funcionar.
17 de junio de 2016 Pasada esta fecha, los puntos finales de API de producción iniciarán la transición al nuevo estándar (certificados HTTP/1.1, TLS 1.2 y SHA-256)
30 de septiembre de 2016 Los reenvíos de IPN a www.paypal.com admitirán solo HTTPS.
1 de enero de 2018 Todas las credenciales de API de certificados deberán haber realizado el cambio al nuevo estándar.

¿Afecta este cambio en tu página web?

El cambio principalmente va a afectar a aquellas páginas web o tiendas online que efectúen cobros con la pasarela de PayPal, por lo que todas las páginas que no efectúen su conexión a través del SSL (Certificado digital SSL o lo qué es lo mismo, navegar con la web en HTTPS), dejarán de poder operar con normalidad cuando un cliente compre a través de su web. El cambio significativo, implica que cuando se realiza un Reenvío de verificación de IPN sin uso de https, la web no podrá procesar los pedidos correctamente.

El cambio de la verificación de IPN se debe realizar antes del 30 de Septiembre de 2016.

Si no tienes PayPal para cobrar a clientes, ¿tienes obligación de contratar un certificado SSL para tu web?

Aunque la noticia se refiere a los cambios que realiza PayPal para adaptarse mejor a las nuevas normativas, si manejas datos de clientes (datos personales, pedidos, documentación, formularios, etc) es muy recomendable que solicites un Certificado de Seguridad para encriptar todos esos datos y que no sean robados. No es “obligatorio” por el momento, pero sí “MUY RECOMENDABLE” para evitar males mayores.

Ten en cuenta una cosa, en un tiempo no muy lejano, toda la navegación web, se tendrá sí o sí que realizar por HTTPS.

Aunque no uses PayPal en tu web y utilices por ejemplo en tu e-commerce un TPV de tu banco, éstos ya procesan los datos de las tarjetas fuera de su e-commerce, por lo que no recoge esos datos “delicados” en su web, pero sí tienes datos de tus clientes que también son delicados y deben ser protegidos correctamente.

¿Qué debes hacer ahora?

Puesto que el cambio se producirá durante el año 2016, y aún teniendo tiempo, es importante que los cambios se vayan realizando a la mayor brevedad posible para evitar incidencias de última hora.

Icare, en su compromiso de mejorar sus servicios y adecuarnos a todos los estándares de seguridad, y cómo su proveedor de servicios, ahora es Partner de COMODO SSL para Certificados SSL.

COMODO es una empresa líder en soluciones de Ciber-Seguridad reconocida mundialmente por todos sus servicios y calidad.

Al ser Partner de COMODO, podemos ofrecer precios hasta un 20% más económico que si se contratase el Certificado SSL desde COMODO directamente. Además, ofrecemos en el precio la instalación y gestión del Certificado.

Nosotros nos ocupamos de todo, solamente tendrás que tomar la decisión de elegir el certificado de seguridad que prefieras poner en su página web, ya que existen 3 tipos de certificados que ofrecen diferentes opciones.

Si estás interesado, un Asesor técnico se pondrá en contacto contigo para informarte con más detalle y ofrecerte las diversas opciones de certificados y el precio que tendrá incluir este certificado anualmente en tu página web.

* Los certificados SSL son renovables por periodos de 1 o 2 años.
** Los certificados SSL requieren una IP dedicada para su funcionamiento, que tiene un coste adicional de 36€ anuales más IVA.
*** COMODO ofrece sus certificados disponibles tanto para “sin www” cómo “con www” por lo que solamente tendrás que contratar “sin www” en tu dominio. Otras autoridades requieren que se compre 1 certificado para “sin www” y otro para “con www” .
Aún sin comentarios