Jump to content

Edit History

ps_developer

ps_developer

Hola, estoy siguiendo este hilo por encima.

Entiendo que las soluciones de instalar un módulo Prestashop que no requiere suscripción, requieren instalar el certificado + clave privada de la FNMT con el riesgo que conlleva en caso de intrusión en el servidor. He visto alguno de los Prestashops que gestiono instalado en un servidor compartido no protegido correctamente (no teniendo los vhosts aislados unos de otros) y un hacker consiguiendo acceso completo a todos los vhosts en el servidor incluyendo los Prestashops a través de plugins antiguos inseguros de algún Wordpress.... es un riesgo real por lo que yo intentaré evitar cualquier solución que requiere instalar certificado+ clave privada en el servidor en directorios accesibles por Prestashop/php.

Hace tiempo propuse una solución de firma en la nube pero también requiere un servicio de suscripción y además no resuelve el tema de la "autenticación en el API" que también requiere el certificado.

Se me ocurre otra idea a nivel técnico que:

- creo que debería ser factible técnicamente

- no requiere instalar el certificado en el servidor

- tampoco requiere un servicio de firma en la nube o similar y resuelve el tema de la autenticación del API

Por si algún otro desarrollador quiere comentar.

En Prestashop, al menos en mi propia web y en otras webs que gestiono la factura se genera en el momento de cambio de estado del pedido a "Pedido Enviado", es decir requiere una acción manual en el backoffice de Prestashop.

En este caso, la opción mejor que se me ocurre es:

- Tener Autofirma instalado en el mismo ordenador que uses para gestionar el backoffice con el certificado + clave privada de la empresa instalados. Normalmente ya lo tendreis instalados si utilizais el mismo ordenador para hacer gestiones con la administración

- Cada vez que hagas el cambio de estado de un pedido a "Pedido Enviado" desde el Backoffice de prestashop:

- el módulo utiliza Autofirma instalado en tu navegador local para realizar la firma de las facturas

- el módulo utiliza Autofirma instalado en tu navegador local para autenticarse con Verifactu

- La conexión M-TLS hacia Verifactu se haría directamente desde tu navegador (Javascript) hacia el webservice de Verifactu (no sería M2M a través del servidor donde corre Prestashop porque no podría ser así con M-TLS).

- La clave privada del certificado nunca sale de Autofirma, nunca sale de tu ordenador local

- Al poner un pedido en "Pedido Enviado", el navegador te haría un prompt para abrir Autofirma y seleccionar el certificado para hacer la firma y autenticación de la conexión

- Por si hubiese fallos con el envío (porque el webservice de Verifactu no esté funcionando en un momento dado) tendrías otra opción en el menú del backoffice para hacer el envío de todas las facturas que esten pendientes (de nuevo tendrías un prompt para abrir Autofirma y seleccionar el certificado)

- Si en tu web tienes muchos pedidos y tener que estar seleccionando el certificado para cada pedido cuando lo pones en Pedido Enviado, tal vez podrías utilizar solo la opción separada de hacer el envío de varias facturas de golpe...

¿Comentarios de algunos de los desarrolladores de módulos que tenemos por aquí?

Para mi sería la solución ideal: módulo de pago único, y sin el riesgo de instalar tu certificado + clave privada en el servidor Prestashop.

El resto de riesgos que se han expuesto aquí, no me parecen un riesgo adicional al que ya tiene cualquier sociedad funcionando. Por supuesto hay que tener backups de la BBDD de Prestashop en algún otro servidor con redundancia geográfica. Si eres una sociedad funcionando no te puedes exponer a perder tus datos porque si tienes una inspección vas a tener un problema ya sea con Verifactu o sin Verifactu.

 

ps_developer

ps_developer

Hola, estoy siguiendo este hilo por encima.

Entiendo que las soluciones de instalar un módulo Prestashop que no requiere suscripción, requieren instalar el certificado + clave privada de la FNMT con el riesgo que conlleva en caso de intrusión en el servidor. He visto alguno de los Prestashops que gestiono instalado en un servidor compartido no protegido correctamente (no teniendo los vhosts aislados unos de otros) y un hacker consiguiendo acceso completo a todos los vhosts en el servidor incluyendo los Prestashops a través de plugins antiguos inseguros de algún Wordpress.... es un riesgo real por lo que yo intentaré evitar cualquier solución que requiere instalar certificado+ clave privada en el servidor en directorios accesibles por Prestashop/php.

Hace tiempo propuse una solución de firma en la nube pero también requiere un servicio de suscripción y además no resuelve el tema de la "autenticación en el API" que también requiere el certificado creo.

Se me ocurre otra idea a nivel técnico que:

- creo que debería ser factible técnicamente

- no requiere instalar el certificado en el servidor

- tampoco requiere un servicio de firma en la nube o similar y resuelve el tema de la autenticación del API

Por si algún otro desarrollador quiere comentar.

En Prestashop, al menos en mi propia web y en otras webs que gestiono la factura se genera en el momento de cambio de estado del pedido a "Pedido Enviado", es decir requiere una acción manual en el backoffice de Prestashop.

En este caso, la opción mejor que se me ocurre es:

- Tener Autofirma instalado en el mismo ordenador que uses para gestionar el backoffice con el certificado + clave privada de la empresa instalados. Normalmente ya lo tendreis instalados si utilizais el mismo ordenador para hacer gestiones con la administración

- Cada vez que hagas el cambio de estado de un pedido a "Pedido Enviado" desde el Backoffice de prestashop:

- el módulo utiliza Autofirma instalado en tu navegador local para realizar la firma de las facturas

- el módulo utiliza Autofirma instalado en tu navegador local para autenticarse con Verifactu

- La conexión M-TLS hacia Verifactu se haría directamente desde tu navegador (Javascript) hacia el webservice de Verifactu (no sería M2M a través del servidor donde corre Prestashop porque no podría ser así con M-TLS).

- La clave privada del certificado nunca sale de Autofirma, nunca sale de tu ordenador local

- Al poner un pedido en "Pedido Enviado", el navegador te haría un prompt para abrir Autofirma y seleccionar el certificado para hacer la firma y autenticación de la conexión

- Por si hubiese fallos con el envío (porque el webservice de Verifactu no esté funcionando en un momento dado) tendrías otra opción en el menú del backoffice para hacer el envío de todas las facturas que esten pendientes (de nuevo tendrías un prompt para abrir Autofirma y seleccionar el certificado)

- Si en tu web tienes muchos pedidos y tener que estar seleccionando el certificado para cada pedido cuando lo pones en Pedido Enviado, tal vez podrías utilizar solo la opción separada de hacer el envío de varias facturas de golpe...

¿Comentarios de algunos de los desarrolladores de módulos que tenemos por aquí?

Para mi sería la solución ideal: módulo de pago único, y sin el riesgo de instalar tu certificado + clave privada en el servidor Prestashop.

El resto de riesgos que se han expuesto aquí, no me parecen un riesgo adicional al que ya tiene cualquier sociedad funcionando. Por supuesto hay que tener backups de la BBDD de Prestashop en algún otro servidor con redundancia geográfica. Si eres una sociedad funcionando no te puedes exponer a perder tus datos porque si tienes una inspección vas a tener un problema ya sea con Verifactu o sin Verifactu.

 

×
×
  • Create New...