Aggiornamenti Sicurezza PayPal - chiarimenti

[immagine123]

Spero di essere utile indicando i chiarimenti che a seguito di richiesta specifica il PayPal Merchant Technical Support,  a differenza del contatto mediante numero verde i cui operatori offrono solo risposte standardizzate e contrastanti tra di loro, finalmente chiariscono alcuni dubbi.

 

In merito agli aggiornamenti di sicurezza:

 

1 - Aggiornamento Certificato SSL a SHA-256

 

domanda: è richiesto che sia provider dell'host del ns sito ad offrire il supporto? quindi è quest'ultimo che deve aggiornare i sistemi? Noi non usiamo SSL ne abbiamo un certificato, nulla cambia in questo?

 

risposta: "Questo é un protocollo di cifratura delle informazioni inviate. Questo protocollo non é relativo al sito ma al server che lo ospita.
In questo caso, é l'azienda che vi fornisce l'hosting che deve far si che i loro server siano aggiornarti con questo protocollo. Per rispondere alla tua domanda, il supporto in tal senso é di pertinenza, al 100%, dell'azienda che vi offre i servizi di hosting."

 

2 - Aggiornamento TLS 1.2 e HTTP/1.1

 

domanda: è richiesto che sia provider dell'host del ns sito ad offrire il supporto? quindi è quest'ultimo che deve aggiornare i sistemi?

 

risposta: "Questo é un metodo sicuro di trasmissione delle informazioni. Anche in questo caso, non é relativo al sito ma al server che lo ospita.
In questo caso, é l'azienda che vi fornisce l'hosting che deve far si che i loro server siano aggiornarti con questo protocollo. Per rispondere alla tua domanda, il supporto in tal senso é di pertinenza, al 100%, dell'azienda che vi offre i servizi di hosting. In merito a questo punto peró, devo fare una necessaria precisazione: il protocollo in questione potrebbe essere definito in maniera manuale all'interno del codice sorgente del vostro sito. Quindi, per fare un esempio, il server che vi ospita potrebbe essere conforme con gli standard in questione ma la chiamata (che in gergo si chiama cURL) potrebbe manualmente essere definita in maniera non conforme con questo protocollo all'interno delle pagine del vostro sito, potrebbe magari utilizzare un protocollo non piú supportato. A questo questito puó rispondere solo ed unicamente la persona che vi ha realizzato il sito web. Quello che vi posso consigliare in questo senso é di contattare in prima istanza l'azienda che vi offre l'hosting, cosí da essere certi che questo supporti i requisiti indicati. Basta successivamente fare un test sul nostro ambiente di prova Sandbox al fine di essere certi che il meccanismo di pagamento funzioni. In ogni caso, deve essere il vostro web developer ad appurare quanto descritto ed il corretto funzionamento dei sistemi (una volta certo che il server sia conforme)"

 

Nota personale: ritengo che se si utilizza il modulo ufficiale la precisazione relativa alla gestione manuale del protocollo non sia rilevante.

 

3 - Procedura di verifica IPN

 

domanda: telefonicamente ci è stato detto che il ns account non usa IPN. è cosi? Il modulo PayPal consentirà il regolare colloquio come prima tra PayPal ed il ns prestashop?

 

Risposta: "Vi confermo quanto discusso precedentemente, la vostra integrazione non usa IPN quindi non c'é nulla che voi dobbiate fare in questo senso. Se un giorno, e sottolineo se, desidererete utilizzare tale funzione, sará necessario l'acquisto di un certificato SSL. Ma, ripeto, attualmente non é il vostro caso."

 

 

Io prima di queste risposte non ne venivo a capo dato che il numero verde PAYPAL mi diceva di contattare lo sviluppatore del sito!, il mio service provider affermava che avrei dovuto "comprare" un certificato.

 

Ovviamente nel caso in cui la configurazione prestashop abbia caratteristiche diverse converrebbe formulare domande altrettanto specifiche.

Edited June 2, 2016 by immagine123 (see edit history)

[Guest locen]

Perfetto grazie mille!! Unico dubbio che ho..il modulo paypal usa un ipn o sbaglio? Il certificato quindi non serve lo stesso?

[immagine123]

Perfetto grazie mille!! Unico dubbio che ho..il modulo paypal usa un ipn o sbaglio? Il certificato quindi non serve lo stesso?

 

Ho verificato sull'account e fatto verificare da PayPal, l'uso dell'IPN è nel mio caso disabilitato a livello di account, inoltre nelle domande affettuate al PayPal Merchant Technical Support ho evidenziato di usare Prestashop ed il modulo ufficiale, quindi credo che il modulo funzioni anche senza.

"Vi confermo quanto discusso precedentemente, la vostra integrazione non usa IPN..."

Edited June 2, 2016 by immagine123 (see edit history)

[Guest locen]

Confermo anche io che nell'account Paypal è disabilitato ipn. La mia paura/dubbio è che non sappiano come funzioni il modulo ufficiale sviluppato ecommerce.

Comunque grazie mille per aver condiviso quì le tue informazioni!

Inoltre ho letto che hanno rimandato l'aggiornamento di tls 1.2 e http 1.1 al 30/06/2017

[Guest locen]

Inoltre ti chiedo una cosa, hai per caso fatto dei test con la modalità sandbox di paypal? 

[immagine123]

No mi avevano suggerito per mia tranquillità di testare l'integrazione con la modalità sandbox, ma dopo ulteriori rassicurazioni che pur non essendo loro gli sviluppatori il modulo dovrà funzionare correttamente, non ho effettuato test in tal senso.

[Guest locen]

Grazie per le tue risposte. 

Penso che riuscirò ad essere tranquilla solo dopo il 17/06..che ansia!