ALIGNET MERCHANT SOLUTION Virtual POS (V-POS)

Transcripción

1 ALIGNET MERCHANT SOLUTION Guía de integración de comercios Documento técnico funcional que describe el procedimiento para la integración de un nuevo comercio a la plataforma AMS a través del Virtual Point Of Sale (V-POS) ALIGNET. Todos los Derechos reservados. Este documento es de carácter confidencial. Los contenidos y conceptos que se desarrollan en el presente documento no pueden ser utilizados por personas naturales o jurídicas a las que no se encuentre dirigida de manera explícita dicha información.

2 Historia de Revisiones Fecha Versión Descripción Autor Elaboración inicial del documento R. Barturen Definición de objetivos del documento H. Alosilla Diagrama secuencia, mejoras varias R. Barturén Especificaciones Técnicas J. Botta y D. Cruz Revisión final D. Cruz Generación de llaves para esquema de D. Cruz seguridad Actualización de puntos 7, 8, 9 R. Barturén Revisión final D. Cruz Actualizaciones puntos 7, 8 y Anexos R. Barturén Actualizaciones puntos 7, 8 y Anexos R. Barturén Revisión y control T. J. Carrasco Modificación de plantilla T. J. Carrasco Revisión general M. Alcalá Revisión general: actualización de J. Bautista dominios para ambiente de pruebas y campos adicionales para el envío de datos Inclusión de campos adicionales de respuesta J. Bautista Guía de integración de comercios Pág. 1

3 Índice 1. INTRODUCCIÓN...3 OBJETIVOS...3 GLOSARIO...3 FLUJO DE COMPRA...3 EXPERIENCIA DE COMPRA QUÉ ES EL V-POS?...8 DESCRIPCIÓN...8 ARQUITECTURA...8 SOLICITUD Y RESPUESTA DEL FLUJO DE PAGO INTEGRACIÓN AL V-POS...10 PROCEDIMIENTO DE INTEGRACIÓN AL V-POS...10 ADMINISTRACIÓN DE LLAVES CRIPTOGRÁFICAS...11 SOLICITUD DE PAGO...13 RESPUESTA DE PAGO INTEGRACIÓN CON EL PLUG-IN PREGUNTAS Y RESPUESTAS FRECUENTES DATOS ADICIONALES ANEXO 1: INTEGRACIÓN CON EL PLUG-IN PARA.NET C#...5 INSTALACIÓN DEL PLUG-IN C#...5 USO DEL PLUG-IN C# PARA ENVIAR INFORMACIÓN AL V-POS...6 USO DEL PLUG-IN C# PARA RECIBIR INFORMACIÓN DEL V-POS...7 GENERACIÓN DE LLAVES EN C# ANEXO 2: INTEGRACIÓN CON EL PLUG-IN Y GENERADOR DE LLAVES EN JAVA...10 INSTALACIÓN DEL PLUG-IN JAVA...10 COMPONENTES DEL PLUGIN DE JAVA USO DEL PLUG-IN JAVA PARA ENVIAR INFORMACIÓN AL V-POS...10 USO DEL PLUG-IN JAVA PARA RECIBIR INFORMACIÓN DEL V-POS...12 GENERACIÓN DE LLAVES EN JAVA ANEXO 3: INTEGRACIÓN CON EL PLUG-IN PARA PHP 5 EN LINUX 15 REQUISITOS NECESARIOS...15 COMPROBACIÓN DEL PHP PARA VER SI TIENE LAS LIBRERÍAS INSTALADAS Y FUNCIONANDO CORRECTAMENTE...15 INSTALACIÓN DEL PLUG-IN EN PHP USO DEL PLUG-IN EN PHP PARA ENVIAR INFORMACIÓN AL V-POS...22 USO DEL PLUG-IN EN PHP PARA RECIBIR INFORMACIÓN DEL V-POS...26 GENERACIÓN DE LLAVES...27 Guía de integración de comercios Pág. 2

4 1. Introducción Para realizar transacciones electrónicas los comercios requieren de una plataforma que les permita conectarse con el mundo transaccional de pagos virtuales. Para ello el flujo de pago, actualmente, está compuesto por dos procesos principales. El primero es el de autenticación que permite al tarjeta habiente tener mayor seguridad cuando esté realizando una compra por Internet. El proceso de Autenticación está compuesto de tres dominios principales: Adquirente con el servicio Merchant Plug-in (MPI), Emisor con el servicio Access Control Server (ACS) e Interoperabilidad con el servio del Directory Server. El segundo proceso es el de autorización, que permite realizar la solicitud de pago de una compra electrónica. Estos procesos serán atendidos por el V-POS, un servicio centralizado que permitirá al comercio integrarse fácilmente con el proceso de pago. Objetivos Este documento tiene como objetivos lo siguiente: Describir las funcionalidades que brinda el V-POS. Describir los pasos necesarios para la integración con el V- POS. Glosario A lo largo del presente documento se utilizan los siguientes términos bajo la conceptualización que se señala a continuación: Proceso de Autenticación: Servicio de verificación del tarjeta habiente Proceso de Autorización: Servicio de autorización del pago MPI: Merchant Plug-In. Servicio de Autenticación para el Adquirente y Comercios ACS: Access Control Server. Servicio de Autenticación para el Emisor V-POS: Virtual Point Of Sale. Interfaz del mundo transaccional de pagos virtuales Tarjeta habiente: Titular de la tarjeta Flujo de Compra El flujo de compra se inicia cuando el tarjeta habiente desea realizar una compra en un comercio electrónico. Guía de integración de comercios Pág. 3

5 El tarjeta habiente escoge los productos que desea comprar agregándolos al carrito de compras del comercio. A continuación se listan los pasos del flujo de compra (Ver Figura 1. Flujo de Compra): 1. El Comercio desde un formulario envía al V-POS los datos de compras haciendo uso del plug-in proporcionado por ALIGNET, exceptuando el número de Tarjeta de Crédito, la fecha de Vencimiento y el CVV2. 2. El V-POS muestra en el navegador del tarjeta habiente una página donde se ingresa el número de tarjeta de crédito, la fecha de vencimiento, y el valor CVV2. 3. El usuario ingresa en la pantalla anterior, los valores solicitados. 4. El V-POS envía al MPI los valores correspondientes para iniciar el proceso de autenticación. 5. Si la tarjeta está enrolada a Verified by Visa/MasterCard SecureCode, se le presentará una página solicitándole su contraseña que autenticará su compra. 6. Al finalizar el proceso de autenticación, el MPI devuelve al V- POS los valores de respuesta de la autenticación. 7. El V-POS después de analizar los valores devueltos por el MPI, y envía al sistema V-Payment una solicitud de pago que inicia el proceso de autorización. 8. El V-Payment luego de realizar el proceso de autorización devuelve los valores al V-POS para su posterior análisis del proceso de compra. 9. El V-POS devuelve el resultado de la compra al comercio. El comercio haciendo uso del plug-in (ver Anexos) obtiene los valores de respuesta; quien finalmente le mostrará al tarjeta habiente el resultado de su compra. Guía de integración de comercios Pág. 4

6 Experiencia de Compra Figura 1: Flujo de Compra A continuación se mostrará la experiencia de compra electrónica del tarjeta habiente aprovechando la plataforma: 1. El tarjeta habiente ingresa al sitio Web del Comercio electrónico. Figura 2: Página de Inicio del Comercio 2. El tarjeta habiente llena el carrito de compras, luego ingresa sus datos de compra, dando inicio al flujo de compra. Guía de integración de comercios Pág. 5

7 Figura 3: Página de Carrito de compras del Comercio 3. Luego al tarjeta habiente se le mostrará la página centralizada del V-POS y le solicitará el ingreso de los datos de su tarjeta. Figura 4: Página centralizada V-POS para el ingreso de datos de la tarjeta 4. Si el tarjeta habiente se encuentra enrolado o afiliado a Verified by Visa (proceso solicitado al Emisor de la tarjeta por el tarjetahabiente) aparecerá la página de autenticación. Figura 5: Página de autenticación del tarjeta habiente Guía de integración de comercios Pág. 6

8 5. Finalmente al tarjeta habiente le aparecerá la página resultado del Comercio. Figura 6: Página de resultado del comercio Guía de integración de comercios Pág. 7

9 2. Qué es el V-POS? El V-POS es el sistema que atiende la solicitud de pago enviado desde los comercios virtuales, cuya funciones principales son concentrar y preprocesar las solicitudes de Pago. Concentrar, porque centraliza los dos procesos principales de un flujo de compra (autenticación y autorización); Preprocesar, porque procesa la validación de los datos de la tarjeta antes de iniciar el proceso de autenticación y autorización. Descripción Su función principal es concentrar las transacciones de compra por comercio electrónico para validar datos generales de la compra, así como centralizar la obtención y seguridad de los datos sensibles del tarjeta habiente (número de tarjeta, fecha de expiración y CVV2), iniciar el proceso de pago Proceso de Autenticación y Proceso de Autorización - para que finalmente se le entregue la respuesta de la transacción al comercio que lo solicitó. Arquitectura El comercio se comunicará vía Internet, a través de un canal seguro (HTTPS) con el V-POS para enviarle los datos de la compra desde un formulario a través del navegador del tarjeta habiente; luego el V-POS le presentará al tarjeta habiente una página de ingreso de datos sensibles para luego iniciar los procesos de pago: Autenticación y Autorización. Finalmente el V-POS le enviará desde un formulario, el resultado de la transacción al comercio vía Internet, a través de un canal seguro (HTTPS). En el siguiente gráfico se muestra la arquitectura general del V-POS: Figura 7: Arquitectura con el V-POS Guía de integración de comercios Pág. 8

10 Solicitud y Respuesta del Flujo de Pago El comercio enviará una solicitud o petición de pago al V-POS quien se encargará de realizar tanto el proceso de autenticación como de autorización y recibirá una respuesta a los dos proceso como se muestra en la figura anterior. Tarjeta Habiente Sitio Web Comercio V-POS Autenticación V-Payment Autorización 1: Completa Datos de Compra 2: Envía datos de Compra 3: muestra página centralizada 4: Ingresa datos de tarjeta 5: Solicita Autenticación 6: Solicita clave VbV 7: Ingresa su clave VbV 8: envía resultado de Autenticación 9: Solicita Autorización 10: envía resultado de Autorización 11: resultado a la página de respuesta 12: Muestra resultado Fig. 8: Diagrama de secuencia de la solicitud y respuesta del flujo de pago Guía de integración de comercios Pág. 9

11 3. Integración al V-POS Procedimiento de Integración al V-POS La integración se hace inicialmente en un ambiente de Pruebas y luego se traslada a un ambiente de Producción. Para el Ambiente de Pruebas: Los principales pasos para la integración del comercio al V-POS en el ambiente de Pruebas son: 1. Se le hace entrega al comercio del documento de plataforma de sitio Web, el cual debe ser devuelto con todos los datos llenos 2. Se aprobará el documento y se entregará el KIT de seguridad compuesto por un Componente de seguridad (plug-in) y el Generador de llaves de criptografía y de firma de digital, el cual será utilizado durante el proceso de compra 3. El comercio revisará y evaluará para los desarrollos necesarios la Guía de integración de comercios, el Componente de seguridad (plug-in), así como el Generador de llaves de criptografía y de firma digital 4. El comercio confirmará la fecha de término de su desarrollo y solicitará la habilitación del ambiente de prueba 5. El comercio deberá ser registrado en los sistemas de autenticación y autorización antes de iniciar un proceso de compra de prueba. En esta fase de registro del comercio, se le solicitarán los datos necesarios para su integración en los diferentes sistemas involucrados (Directory Server, MPI, V- Payment). 6. Se enviarán las referencias o personas de contacto del comercio, que serán responsables de las pruebas, de iniciar el intercambio de llaves de criptografía y de firma digital entre ALIGNET y el comercio. Se hará entrega al comercio de los valores de configuración (IDACQUIRER, IDECOMMERCE) requeridos por el Componente de seguridad (plug-in). 7. El comercio hace uso de la aplicación Generador de llaves de criptografía y de firma digital que se le proporcionó (ver Administración de llaves criptográficas). Las llaves públicas de pruebas generadas por el comercio serán enviadas a ALIGNET por un canal seguro (Vg.: correo seguro). Se enviarán las llaves públicas del V-POS que son requeridas por el componente de seguridad (plug-in). El comercio definirá un valor para el vector de inicialización que informará por el mismo medio. 8. El comercio y ALIGNET confirman por correo al Adquirente que sus llaves se encuentra configurado en el ambiente de pruebas 9. Se envía al comercio los datos de prueba y la ruta de acceso al V-POS en el ambiente de prueba 10. El comercio acuerda una fecha y hora para realizar las pruebas. Se definen los responsables de las pruebas tanto por el lado de ALIGNET como del comercio 11. Se realizan las pruebas 12. ALIGNET informa al Adquirente el término y el resultado de las pruebas en el Ambiente de Pruebas. Guía de integración de comercios Pág. 10

12 13. Es posible que el Adquirente realice pruebas adicionales de validación Nota: Según el procedimiento del Adquirente, puede inscribir al comercio en Verified by Visa/MasterCard SecureCode cuando lo estime conveniente. Para el Ambiente de Producción: Los principales pasos para la integración del comercio al V-POS en el ambiente de Producción son: 1. Se solicita al Comercio los datos de producción requeridos para la integración al V-POS. El formato será proporcionado por ALIGNET. Se registrará al Comercio en los sistemas de Autenticación y Autorización de Producción 2. Se enviarán las referencias o personas de contacto del comercio para iniciar el intercambio de llaves de criptografía y de firma digital entre ALIGNET y el Comercio así como la entrega de los valores de configuración (IDACQUIRER, IDECOMMERCE) al comercio 3. El comercio utiliza una vez más de la aplicación Generador de llaves de criptografía y de firma digital que se le proporcionó (ver Administración de llaves criptográficas). Las nuevas llaves públicas generadas por el comercio serán enviadas a ALIGNET por un canal seguro (Vg.: correo seguro). Se enviarán las llaves públicas del V-POS que son requeridas por el Componente de seguridad (plug-in). El comercio definirá un valor para el vector de inicialización que será enviado a ALIGNET 4. El comercio y ALIGNET confirman por correo al Adquirente que sus llaves se encuentran configuradas en el Ambiente de Producción 5. Se envía al comercio la ruta de acceso al V-POS Producción y los datos necesarios para realizar las pruebas en producción 6. El comercio acuerda una fecha y hora para realizar las pruebas. Se definen los responsables de las pruebas tanto por parte de ALIGNET como por el lado del comercio 7. Se realizan las pruebas 8. ALIGNET informa al Adquirente el término de las pruebas en el ambiente de producción 9. Es posible que el Adquirente desee realizar pruebas adicionales de validación Nota: Según el procedimiento del Adquirente, puede inscribir al comercio en Verified by Visa cuando lo estime conveniente. Administración de llaves criptográficas Con la finalidad de que la transmisión de información entre el comercio y el V-POS se realice de manera segura, guardando los tres principios de seguridad: Protección, Integridad y Autenticidad de datos, el comercio generará un par de llaves (pública y privada) para cifrar la información y un par de llaves (pública y privada) Guía de integración de comercios Pág. 11

13 para la generación de la firma digital de la solicitud de pago. Las llaves públicas serán enviadas por el comercio al V-POS durante la etapa de integración del comercio (ver Integración al V-POS). De la misma manera, el V-POS generará un par de llaves para el cifrado y un par de llaves para la generación de la firma digital de la respuesta de pago. Las llaves públicas serán enviadas por el V-POS hacia el comercio durante la etapa de integración del comercio (ver Integración al V-POS). Una vez que se ha generado las llaves, tanto el comercio como el V-POS deberán intercambiar sus respectivas llaves públicas, enviando éstas a través de correo electrónico seguro. De forma adicional el comercio definirá un valor para el vector de inicialización que se utilizará para la criptografía y también será enviado. Este será un valor hexadecimal de 16 caracteres. Por ejemplo: d df36fa. Es responsabilidad del comercio el almacenamiento de las llaves en un entorno seguro. A continuación se muestra el gráfico resume el intercambio de llaves entre el comercio y el V-POS de ALIGNET: COMERCIO V-POS PAR DE LLAVES RSA 1024 BITS PARA FIRMA DIGITAL PAR DE LLAVES RSA 1024 BITS PARA CIFRADO RSA GENERACION DE LLAVES PAR DE LLAVES RSA 1024 BITS PARA FIRMA DIGITAL PAR DE LLAVES RSA 1024 BITS PARA CIFRADO RSA LLAVE PUBLICA 1024 BITS PARA FIRMA DIGITAL CORREO SEGURO INTERCAMBIO DE LLAVES LLAVE PUBLICA 1024 BITS PARA CIFRADO RSA SE ENVIAN AMBAS LLAVES PUBLICAS GENERADAS POR EL COMERCIO CORREO SEGURO Figura 9: Intercambio de llaves comercio y V-POS Guía de integración de comercios Pág. 12

14 Solicitud de pago La solicitud de pago se define como el conjunto de datos que necesita el V-POS para generar la solicitud de autenticación así como la solicitud de autorización. Para iniciar la solicitud de pago, el comercio deberá preparar una petición POST HTTPS, en la que utilizará el Componente de seguridad (plug-in) para enviar la petición de manera segura al V- POS. Parámetros de Envío Los parámetros que enviará el comercio al V-POS para iniciar la solicitud de pago son los siguientes: Campo Descripción IDACQUIRER Identificador fijo del Adquirente que permite al V- POS reconocer a la entidad adquirente del comercio. Este valor es generado por ALIGNET. IDCOMMERCE Identificador fijo del comercio o tienda virtual que permite al V-POS reconocer al comercio que está enviando la solicitud de pago. XMLREQ Mensaje de solicitud de pago que contiene los datos de la compra. Este mensaje es generado por el plug-in, quien se encarga de cifrarlo para su envío al V-POS. DIGITALSIGN Firma digital del mensaje XMLREQ que asegura tanto la autenticidad del emisor y receptor, como la integridad de la información. Esta firma digital es generada por el plug-in. SESSIONKEY Llave de sesión con la cual se cifrará el mensaje XMLREQ. Esta llave es generada por el plug-in. Para el envío de la solicitud de pago se deberá de generar una solicitud POST HTTPS, usando un formulario HTML, implementado en el lenguaje de programación del comercio o tienda virtual. A continuación un ejemplo del formulario el cual deberá tener la forma siguiente: <form name= frmsolicitudpago method= post action= > <input type= hidden name= IDACQUIRER value= 99 > <input type= hidden name= IDCOMMERCE value= 3529 > <input type= hidden name= XMLREQ value= D2ZQMEg4c9qlxJE3r2u3Y8PXT7vZ 5JNkrY84pEg4c94c9hS14k9OUWk4Y1 > <input type= hidden name= DIGITALSIGN value= hs14k9ouwk4c9qldin2vfbdjg4jb9 Wk4D2ZQMEg4c94c9qlOxVUg4yj2Q9atvfByY > <input type= hidden name= SESSIONKEY value= S14k9OUWk > </form> Nota: Los valores que se encuentran en IDACQUIRER e IDCOMMERCE deben modificarse de acuerdo a los datos del comercio respectivo. Así mismo los valores del XMLRES, Guía de integración de comercios Pág. 13

15 SESSIONKEY y DIGITALSIGN deben ser capturados desde la clase de envío. Parámetros necesarios para el Componente de seguridad Para que el Componente de seguridad (plug-in) pueda generar el mensaje del parámetro XMLREQ, el comercio deberá llenar los siguientes parámetros con sus respectivos valores: Guía de integración de comercios Pág. 14

16 Campo Plug-in Tipo Ancho Observaciones Máximo acquirerid NUMERICO 4 Código de adquirente asignado por Alignet. Valor fijo igual al parámetro IDACQUIRER (1) commerceid NUMERICO 12 Código único de Comercio asignado por Alignet. Valor fijo igual al parámetro IDCOMMERCE (1) purchaseoperationnumber ALFANUMERICO 12 Identificador único por cada transacción, dado por el comercio (1) purchaseamount NUMERICO 12 Valor total de la compra, dado por el Comercio. el monto debe ir sin separador decimal (Si el monto es dólares entonces la cantidad a enviar es 10030) (1) purchasecurrencycode NUMERICO 12 Moneda Según Estándar numérico ISO Tipo alfanumérico, longitud de 3 caracteres (Debe estar en las monedas permitidas para el comercio) (1) purchaseipaddress ALFANUMERICO 15 Dirección IP del comprador (1) commercemallid NUMERICO 12 Valor del ID del Mall al cual pertenece el comercio language ALFANUMERICO 2 Idioma usado, tiene dos posibles valores: Español (SP), Inglés (si no se envía valor alguno el idioma por defecto será el español) tipamount NUMERICO 12 Valor de propina. El formato será igual al del campo purchaseamount billingfirstname ALFANUMERICO 30 Nombre del tarjetahabiente. (como aparece en la tarjeta de crédito) (1) billinglastname ALFANUEMRICO 50 Apellido del tarjetahabiente (como aparece en la tarjeta de crédito) (1) billing ALFANUMERICO 50 Dirección electrónica del tarjetahabiente. (1) billingaddress ALFANUMERICO 50 Dirección del tarjetahabiente. (1) billingzip ALFANUMERICO 10 Código Postal del tarjetahabiente. (1) billingcity ALFANUMERICO 50 Nombre de la ciudad del tarjetahabiente. (1) billingstate ALFANUMERICO 15 Nombre del estado del tarjetahabiente. (1) billingcountry ALFANUMERICO 2 Código ISO del país del tarjetahabiente ALIGNET. Todos los Derechos reservados. Este documento es de carácter confidencial. Los contenidos y conceptos que se desarrollan en el presente documento no pueden ser utilizados por personas naturales o jurídicas a las que no se encuentre dirigida de manera explícita dicha información.

17 billingphone ALFANUMERICO 15 Teléfono del tarjetahabiente. (1) shippingfirstname ALFANUMERICO 30 Nombre de la persona que recibirá los bienes shippinglastname ALFANUMERICO 50 Apellido de la persona que recibirá los bienes shipping ALFANUMERICO 30 de la persona que recibirá los bienes shippingaddress ALFANUMERICO 50 Dirección de entrega del pedido del tarjetahabiente shippingzip ALFANUEMRICO 10 Código Postal de la entrega. shippingcity ALFANUMERICO 50 Nombre de la ciudad de entrega. shippingstate ALFANUMERICO 15 Nombre del estado/región o departamento de entrega. shippingcountry ALFANUMERICO 2 Código ISO del país de entrega. shippingphone ALFANUMERICO 15 Teléfono del lugar de entrega. HTTPSessionId ALFANUMERICO 30 Sesión HTTP solo en el caso que el comercio lo requiera additionalobservations ALFANUMERICO 50 Observaciones adicionales de la compra terminalcode ALFANUMERICO 12 Código de terminal de la compra reserved1... reserved40 ALFANUMERICO 30 Campos para datos adicionales no revisados por el VPOS (2) (1) Campos requeridos por el VPOS (2) Lo que se envíe en estos campos será devuelto en la respuesta Guía de integración de comercios Pág. 1

18 Parámetros de Seguridad necesarios para el Plug-in Además de los valores o campos mostrados, se deberá ingresar al plug-in los valores o campos necesarios para el cifrado del mensaje XMLREQ así como también para la generación de la firma digital del mismo. Estos valores se describen a continuación: Campo Campo Plug-in Observaciones Vector de Inicialización VectorInicializacion Valor necesario para el cifrado del mensaje XMLREQ. Este valor debe ser generado por el comercio. Llave privada de Firma Llave pública de cifrado LlavePrivadaFirmaRSA LlavePublicaCifradoRSA Llave privada del comercio con la que se generará la firma digital del mensaje XMLREQ. Esta llave privada es generada y almacenada por el comercio. Llave pública con la que se cifrará el mensaje XMLREQ. Esta llave pública es generada por ALIGNET y debe ser almacenada por el comercio ALIGNET. Todos los Derechos reservados. Este documento es de carácter confidencial. Los contenidos y conceptos que se desarrollan en el presente documento no pueden ser utilizados por personas naturales o jurídicas a las que no se encuentre dirigida de manera explícita dicha información.

19 Respuesta de pago Parámetros de Recibo La respuesta de pago que enviará el V-POS al comercio estará compuesta por los siguientes campos: Campo Descripción IDACQUIRER Es el identificador fijo del Adquirente que permite al V-POS reconocer a la entidad adquirente del comercio. Este valor es generado por ALIGNET durante la configuración del Adquirente. IDCOMMERCE Es el identificador del comercio o tienda virtual que permite al V-POS reconocer al comercio que esta enviando la solicitud de pago. Este valor es generado por ALIGNET durante la configuración del comercio. XMLRES Es el mensaje de respuesta de pago que contiene los datos del resultado de la autorización. DIGITALSIGN Es la firma digital del mensaje XMLRES, y asegura tanto la autenticidad del emisor y receptor como la integridad de la información. Esta firma digital es generada por el V-POS. SESSIONKEY Es la llave de sesión con la cual se descifrará el mensaje XMLRES. Para recibir la respuesta de pago del V-POS es necesario que el comercio implemente una página dinámica en donde se extraigan los valores de los parámetros mostrados en la tabla anterior. Guía de integración de comercios Pág. 1

20 Parámetros de respuesta obtenidos del Plug-in Así mismo el XMLRES devuelve los mismos campos enviados en el XMLREQ enviados al inicio de la compra con la adición de los siguientes campos: Campo Plug-in Tipo Ancho Observaciones Máximo authorizationresult NUMERICO 2 Este campo contiene el resultado de la autorización. Tiene tres posibles valores enviados por el V-POS: 00, indica que la transacción ha sido autorizada, 01, indica que la transacción ha sido denegada en e Banco Emisor, y 05, indica que la transacción ha sido rechazada por el VPOS. NOTA IMPORTANTE: El comercio mostrará los mensajes de resultado al tarjeta habiente según estos tres códigos. Por ejemplo: Operación Autorizada. Operación Denegada. Operación Rechazada (1) authorizationcode ALFANUMERICO 6 En caso que la transacción haya sido autorizada, este campo contendrá el código de autorización de la transacción. (1) errorcode ALFANUMERICO 4 En caso que la transacción haya sido denegada o rechazada este campo contendrá el código de error respectivo que indicará el motivo del rechazo. La lista de códigos puede aumentar o disminuir según las mejoras que se realicen al V-Payment y/o nuevas especificaciones de las marcas. NOTA IMPORTANTE: Este código de respuesta no debe ser mostrado al tarjeta habiente. errormessage ALFANUMERICO Este campo contendrá la descripción del código de error en caso de producirse un rechazo. NOTA IMPORTANTE: Este mensaje de error no debe ser mostrado al tarjeta habiente. El Adquirente puede acordar con el comercio para que se muestren grupos de mensajes ALIGNET. Todos los Derechos reservados. Este documento es de carácter confidencial. Los contenidos y conceptos que se desarrollan en el presente documento no pueden ser utilizados por personas naturales o jurídicas a las que no se encuentre dirigida de manera explícita dicha información.

21 Campo Plug-in Además de estos campos, la respuesta de pago o XMLRES, contendrá todos los campos enviados al V-POS que se ingresaron en el XMLREQ de la solicitud de pago y que podrán ser recuperados usando el componente de seguridad (plug-in). Asimismo se tiene los siguientes campos adicionales Tipo Ancho Máxim o Observaciones plancode NUMERICO 4 Código del plan seleccionado por el tarjetahabiente en caso haber financiado el pago planname ALFANUMERICO 30 Nombre del plan seleccionado por el tarjetahabiente en caso haber financiado el pago quotacode NUMERICO 4 Código de la cuota seleccionada por el tarjetahabiente en caso haber financiado el pago quotaname ALFANUMERICO 30 Nombre de la cuota seleccionada por el tarjetahabiente en caso haber financiado el pago cardtype ALFANUMERICO 4 Marca de la tarjeta seleccionada por el tarjetahabiente en caso de haber sido ingresada cardnumber NUMERICO 19 Número de tarjeta ingresada por el tarjetahabiente en caso de haber sido ingresada. La devolución de este dato deberá ser autorizada por el adquirente ECI NUMERICO 2 Indicador de comercio electrónico. Se devolverá en caso se haya realizado el proceso de autenticación VCI ALFANUMERICO 4 Indicador de escenario de autenticación. Se devolverá en caso se haya realizado el proceso de autenticación Parámetros necesarios para obtener los datos del XMLRES Para descifrar el mensaje XMLRES, se deberá configurar al plug-in los valores o campos criptográficos necesarios, así como también para la verificación de la firma digital del mismo. Estos valores se describen a continuación: Campo Campo Plug-in Observaciones Vector de Inicialización VectorInicializacion Valor necesario para el descifrado del mensaje XMLRES. Este valor debe ser generado por el comercio. Llave pública de Firma LlavePublicaVerificac ionfirma Es la llave pública del V-POS con la que se verificará la validez de la firma digital del mensaje XMLRES. Esta llave es generada por el V- POS y almacenada por el comercio. Llave privada de LlavePrivadaCifrado Es la llave privada con la que se ALIGNET. Todos los Derechos reservados. Este documento es de carácter confidencial. Los contenidos y conceptos que se desarrollan en el presente documento no pueden ser utilizados por personas naturales o jurídicas a las que no se encuentre dirigida de manera explícita dicha información.

22 cifrado descifrará el mensaje XMLRES. Esta llave es generada y almacenada por el comercio. Guía de integración de comercios Pág. 1

23 4. Integración con el Plug-in El comercio recibirá el Componente de seguridad (plug-in) que deberá ser acoplada a su solución Web, para ser activado en el momento de la solicitud final de compra (en general, al presionar el botón Comprar ). El Componente de seguridad (plug-in) está disponible para los siguientes lenguajes de programación: Plug-in.Net (C#) Plug-in.Java Plug-in.PHP Según la plataforma del comercio, se le proporcionará el plug-in respectivo. Para los detalles de integración ver Anexo correspondiente al lenguaje de programación requerido. Guía de integración de comercios Pág. 2

24 5. Preguntas y Respuestas Frecuentes Qué lenguajes soporta el Componente de seguridad (plug-in)? En la actualidad el plug-in tiene una versión para cada uno de los siguientes lenguajes: Microsoft.Net (C#), Java y PHP. De acuerdo a la plataforma del sitio Web del comercio, se le enviará la versión correspondiente. El documento describe que los comercios deben generar llaves de encriptación y de firma digital. Cómo será la generación? De forma adicional al Componente de seguridad (plug-in), se proporcionará una aplicación para la plataforma del comercio por medio de la que se generarán estas llaves. El documento describe que debemos intercambiar llaves de encriptación y de firma digital. Cómo será este intercambio? El intercambio de llaves será ejecutado por un canal seguro entre el comercio y ALIGNET. Para iniciar el intercambio de llaves una de las posibilidades es solicitar la dirección de correo electrónico seguro de su proveedor. Existe algún carrito de compras comercial que se integre al plug-in? No. En Internet existen varios sitios Web que ofrecen carritos de compras o sitios Web para comercios, pero para realizar la integración se necesita el soporte de un programador o desarrollador para que integre a la plataforma del comercio el código del plug-in. Si el comercio soporta el idioma inglés, por qué la página de ingreso de la clave Verified by Visa/MasterCard Secure Code se muestra en castellano? La página de ingreso de la clave Verified by Visa/MasterCard SecureCode es una página que pertenece al Emisor de la tarjeta y no al Adquirente o al Comercio. El idioma de la página será la que el Emisor de tarjeta haya decido configurar para sus tarjeta habientes. Guía de integración de comercios Pág. 3

25 6. Datos Adicionales Las llaves especificadas en cada formulario varían de acuerdo al ambiente en el que el comercio se encuentre, de la misma manera las urls del VPOS. Se indican las urls según el ambiente en el que el comercio se encuentre: -TESTING URL VPOS: -PRODUCCION URL VPOS: Guía de integración de comercios Pág. 4

26 7. Anexo 1: Integración con el Plug-in para.net C# Instalación del Plug-in C# Al comercio se le entregará una dll VPOS20_PLUGIN.dll que deberá ser acoplada a su solución web, a continuación se presenta los pasos para la integración del plug-in: 2.Examinar 1.Click derecho : Agregar referencia 3. Escoger VPOS20_PLUGIN. dll y Abrir o o Referenciar al plug-in en la carpeta Referencias de la aplicación Web En la ventana Agregar Referencia buscar el componente VPOS20_PLUGIN.dll Nota: Utilizar el archivo.dll que se encuentra dentro de la carpeta PLUGIN. Guía de integración de comercios Pág. 5

27 Uso del Plug-in C# para enviar información al V-POS Llaves necesarias para el envío de información: Testing: ALIGNET.TESTING.NOPHP.CRYPTO.PUBLIC.txt Llave de firma privada del comercio Producción: ALIGNET.PRODUCCION.NOPHP.CRYPTO.PUBLIC.txt Llave de firma privada del comercio A continuación se mostrará un ejemplo de uso del plug-in utilizando C#: //Asemblies adicionales a usar using System.IO; using VPOS20_PLUGIN; //Instanciando e inicializando VPOSBean ovposbean = new VPOSBean(); string R1 = "C:/LLAVE.VPOS.CRYPTO.1024.txt"; string R2 = "C:/LlaveFirmaComercioPrivada.txt"; srvposllavecifradopublica = new StreamReader(R1); srcomerciollavefirmaprivada = new StreamReader(R2); ovposbean.acquirerid = "2"; ovposbean.commerceid = "359"; ovposbean.purchasecurrencycode = "840"; ovposbean.purchaseamount = "100000"; ovposbean.purchaseoperationnumber = "40"; // Se invoca a la clase VPPOSend que tiene como parámetros las llaves y el vector de inicialización VPOSSend ovpossend = new VPOSSend(srVPOSLlaveCifradoPublica, srcomerciollavefirmaprivada, "D DF36FA"); ovpossend.execute(ref ovposbean); Guía de integración de comercios Pág. 6

28 //Recuperando datos cifrados, los cuales se asignan al formulario de envío al VPOS String scipheredsessionkey = ovposbean.cipheredsessionkey; String scipheredxml = ovposbean.cipheredxml; String scipheredsignature = ovposbean.cipheredsignature; Uso del Plug-in C# para recibir información del V-POS Llaves necesarias para recibir la información: Testing: ALIGNET.TESTING.NOPHP.SIGNATURE.PUBLIC.txt Llave de cifrado privada del comercio Producción: ALIGNET.PRODUCCION.NOPHP.SIGNATURE.PUBLIC.txt Llave de cifrado privada del comercio A continuación se muestra un ejemplo de código implementado en C# para el descifrado de los datos y la verificación de la firma digital: using System.IO; using System.Collections.Specialized; using VPOS20_PLUGIN; NameValueCollection coll = new NameValueCollection(); coll = Request.Params; String sidacquirer = coll.get("idacquirer"); String sidcommerce = coll.get("idcommerce"); String sxmlres = coll.get("xmlres"); String ssessionkey = coll.get("sessionkey"); String sdigitalsign = coll.get("digitalsign"); VPOSBean ovposbean = new VPOSBean(); ovposbean.cipheredxml = sxmlres; ovposbean.cipheredsessionkey = ssessionkey; ovposbean.cipheredsignature = sdigitalsign; Guía de integración de comercios Pág. 7

29 StreamReader srvposllavefirmapublica = new StreamReader("D:/LLAVE.VPOS.FIRMA.1024.txt"); StreamReader srcomerciollavecifradoprivada = new StreamReader("D:/LlaveCifradoComercioPrivada.txt"); // Se invoca a la clase VPOSReceive que tiene como parámetros las llaves y el vector de inicialización VPOSReceive ovposreceive = new VPOSReceive(srVPOSLlaveFirmaPublica, srcomerciollavecifradoprivada, "D DF36FA"); ovposreceive.execute(ref ovposbean); if ( ovposbean.validsign == true ) { //El descifrado fue correcto y la firma digital es correcta //Luego evaluar ovposbean.authorizationresult para saber si la //transacción fue aceptada o denegada String sauthresult =ovposbean.authorizationresult; String serrorcode =ovposbean.errorcode; } Generación de llaves en C# Para la generación de llaves se usa el aplicativo KeyGeneratorVerifika.exe, para ejecutarlo se requiere tener instalado el.net Framework en una PC con Windows 98, XP, 2000, etc. y colocar la librería VERIFIK_PROTOCOL.dll en la misma carpeta donde se ejecutará el archivo exe. 1. Ejecutar el archivo KeyGeneratorVerifika.exe y presionar el botón Generar Llaves Guía de integración de comercios Pág. 8

30 2. Una vez generado guardar las llaves privadas en un dispositivo seguro y las llaves públicas enviarlas mediante un medio seguro. Guía de integración de comercios Pág. 9

31 8. Anexo 2: Integración con el Plug-in y Generador de llaves en Java Instalación del Plug-in Java Al comercio le será entregado un archivo.jar que deberá ser acoplado a su solución Web. A continuación se presentan los pasos para la integración del plug-in en Java con el comercio: En caso de ser una aplicación stand-alone configurar en la variable classpath la librería plugin-vpos-1.2.jar En caso de una aplicación Web incluir en la carpeta de librerías WEB-INF\lib la librería plugin-vpos-1.2.jar Componentes del Plugin de Java Bean de datos del VPOS (com.alignet.bean.vpos20bean) El cual contendrá los datos enviados al VPOS y recibidos del VPOS Uso del Plug-in Java para enviar información al V-POS Llaves necesarias para el envío de información: Testing: ALIGNET.TESTING.NOPHP.CRYPTO.PUBLIC.txt Llave de firma privada del comercio Producción: ALIGNET.PRODUCCION.NOPHP.CRYPTO.PUBLIC.txt Llave de firma privada del comercio A continuación se muestra el código en Java para el envío de información al V-POS: // referenciar al componente import com.alignet.bean.*; import com.alignet.exception.*; import com.alignet.plugin.*; //Crear una instancia de la clase VPOSBean del paquete com.alignet.bean VPOS20Bean bean = new VPOS20Bean(); //Setear los parámetros dentro de las propiedades del objeto Plugin try { bean.setacquirerid ( 2 ); bean.setcommerceid ( 359 ); bean.setpurchaseamount ( ); Guía de integración de comercios Pág. 10

32 bean.setpurchasecurrencycode ( 840 ); bean.setpurchaseoperationnumber ( ); // Seguir seteando los demás datos. } catch(invalidvposparameterexception e) { //errores en el seteo de los datos obligatorios e.printstacktrace(); } // setear campos opcionales si es el caso // setear campos Reservados si es el caso bean.setreserved1( ); // setar plugin con lo valores para encriptar try { //instanciar una clase Send, pasar como parámetro la llave //publica para encriptar, la privada para firmar y //vector de inicialización Send20 send= new Send20( new FileReader("c:\\LLAVE.VPOS.CRYPTO.1024.txt"), new FileReader("c:\\LlavePruebaFirmaComercioPriv.txt"), " "); //encriptar send.execute(bean); } catch(pluginvposexception e) { //manejar errores en la encriptacion e.printstacktrace(); } catch(filenotfoundexception e) { //manejar errores en la lectura de llaves e.printstacktrace(); } //obtener valores encriptados para colocarlos en el //formulario de envio al VPOS bean.getcipheredsessionkey (); bean.getcipheredxml (); bean.getcipheredsignature (); Para obtener los campos SESSIONKEY, XMLREQ y DIGITALSIGN que se configurarán en el formulario de la solicitud de pago, primero se debe invocar al método ejecutar del objeto plug-in, de la siguiente manera: send.execute(bean); Para la generación del campo SESSIONKEY que deberá configurarse en el formulario de la solicitud de pago, se deberá usar el plug-in de la siguiente manera: String SESSIONKEY = bean.getcipheredsessionkey(); Para obtener el mensaje XMLREQ se deberá utilizar el plug-in de la siguiente manera: Guía de integración de comercios Pág. 11

33 String XMLREQ = bean.getcipheredxml(); Para obtener la firma digital se deberá utilizar el plug-in de la siguiente manera: String DIGITALSIGN = bean.getcipheredsignature(); El XMLREQ, SESSIONKEY y DIGITALSIGN, deben ser capturados en el formulario cada uno respectivamente (pag. 13). Uso del Plug-in Java para recibir información del V-POS Llaves necesarias para recibir la información: Testing: ALIGNET.TESTING.NOPHP.SIGNATURE.PUBLIC.txt Llave de cifrado privada del comercio Producción: ALIGNET.PRODUCCION.NOPHP.SIGNATURE.PUBLIC.txt Llave de cifrado privada del comercio A continuación se muestra un ejemplo de código implementado en Java para el descifrado de los datos y la verificación de la firma digital: //Referenciar al componente import com.alignet.bean.*; import com.alignet.exception.*; import com.alignet.plugin.*; //Crear una instancia de la clase VPOSBean del paquete com.alignet.bean VPOSBean bean = new VPOSBean(); //Colocar los parámetros dentro de las propiedades del objeto Plug ejm: try { bean.setcipheredsessionkey (llavesessioncifrada); bean.setcipheredxml(xmlreq); bean.setcipheredsignature(firma); } catch(invalidvposparameterexception e) { //manejar errores de seteo incorrecto de parametros e.printstacktrace(); } //Invocar al método ejecutar de la objeto execute, el cual desencripta el xml try { Receive receive= new Receive( new FileReader("c:\\LLAVE.VPOS.FIRMA.1024.txt"), new FileReader("c:\\LlavePruebaCifradoComercioPriv.txt"), " "); receive.execute(vposbean); } catch(pluginvposexception e) Guía de integración de comercios Pág. 12

34 { //manejar errores de la desencriptacion e.printstacktrace(); } catch(filenotfoundexception e) { //manejar errores de lectura de llaves //si la firma no es valida tambien se lanza la exepcion e.printstacktrace(); } //Verificando la firma digital, que permitirá verificar la integridad de los //datos bolean esfirmavalida = vposbean.isvalidsign(); A continuación se muestra un ejemplo de código implementado en Java para la recuperación de los datos usando el plug-in: //Asignar los valores desencriptados a variables //En caso la transacción fue aprobada: String codigoautorizacion = bean.getauthorizationcode (); //En caso la transacción fue denegada: String codigoerror = bean.geterrorcode(); String mensajeerror = bean.geterrormessage(); //Extrayendo otros datos de la respuesta String variable1 = bean.getacquirerid(); String variable2 = bean.getcommerceid();... String varible17 = bean.getreserved1(); Generación de llaves en Java Para ejecutar el generador de llaves en Java se requiere tener instalado el JDK y llamar al siguiente comando: java jar keygeneratorverifika.jar Guía de integración de comercios Pág. 13

35 Una vez generado, mediante las funciones copiar y pegar guardar las llaves privadas en un medio electrónico y asegurarlo físicamente o en un dispositivo seguro. Las llaves públicas enviarlas mediante un medio seguro para su integración con el V-POS. Cabe anotar que estas claves son críticas y en la medida que se mantengan en custodia se preservará la seguridad de todo el sistema para el procesamiento de las transacciones del comercio. Guía de integración de comercios Pág. 14

36 9. Anexo 3: Integración con el Plug-in para PHP 5 en Linux Requisitos necesarios Para poder utilizar el componente en PHP en Linux es necesario tener instaladas las siguientes librerías PHP5 instalado con las funcionalidades --with-openssl y -- with-expat-dir (a partir de la versión 4.0.5) OpenSSL en adelante Libreria libmcrypt instalada Comprobación del PHP para ver si tiene las librerías instaladas y funcionando correctamente Se debe generar una página que contenga la siguiente sentencia de PHP phpinfo(); Lo cual genera una página como esta: Véase lo resaltado para notar que el PHP actual posee las características pedidas Ahora se buscará si es que el PHP posee correctamente los módulos necesarios, para eso hay que buscar si es que en la misma página de información del PHP se encuentran los apartados siguientes Guía de integración de comercios Pág. 15

37 MCRYPT OPENSSL XML De esta forma se puede notar que el PHP ya esta habilitado para poder usar el script compilado de PHP Instalación del Plug-in en PHP5 Descargar el Zend Optimizer (revisar que este para la versión de su PHP) de acuerdo a la plataforma que posee (Windows, Linux, BSD, otros) URL de descarga del Zend Optimizer (Escoger version 3.0.2): Descomprimir el archivo descargado del Zend Optimizer, suponiendo que se instala en una maquina Linux con arquitectura i386 entonces hay que utilizar el siguiente comando tar zxvf ZendOptimizer linux-glibc21-xxx.tar.gz Donde xxx corresponde a la arquitectura (i386 o x86_64) Guía de integración de comercios Pág. 16

38 Este crea un directorio llamado ZendOptimizer linuxglibc21-i386 por lo tanto hay que entrar al directorio recien creado cd ZendOptimizer linux-glibc21-xxx Como usuario root se debe instalar el Zend Optmizer usando el siguiente comando:./install Se muestra una pantalla indicando que se instalará el Zend Optimizer (en el caso de ejemplo versión 2.6.2), seguir cada uno de los pasos como se muestran en las pantallas siguientes, los valores mostrados acá son propios de la instalación del PHP Guía de integración de comercios Pág. 17

39 Guía de integración de comercios Pág. 18

40 Guía de integración de comercios Pág. 19

41 Guía de integración de comercios Pág. 20

42 Al finalizar todo correctamente ya ha sido instalado el Zend Optimizer por lo tanto, ya puede ejecutar páginas ofuscadas. Guía de integración de comercios Pág. 21

43 Uso del Plug-in en PHP para enviar información al V-POS Para usar el Plug-In hay que tener en cuenta lo siguiente: 1. Se debe crear un Arreglo de entrada con todos los campos que serán enviados al Plug-In, de acuerdo a lo visto en la página. 2. El Plug-in devuelve un arreglo con los campos cifrados y codificados listos para ser enviados al VPOS a. XMLREQ b. SESSIONKEY c. DIGITALSIGN 3. La pagina a usar las funciones debe incluir el archivo vpos_plugin.php en su código usando la siguiente sentencia de PHP. 4. Llaves necesarias para el envío de información: Testing: ALIGNET.TESTING.PHP.CRYPTO.PUBLIC.txt Llave de firma privada del comercio Producción: ALIGNET.PRODUCCION.PHP.CRYPTO.PUBLIC.txt Llave de firma privada del comercio A continuación se mostrará un ejemplo de uso del plug-in utilizando PHP: Se referencia al plugin mediante un incluye: <?php include("vpos_plugin.php");?> array_send es el arreglo que contiene los parámetros para ser ingresados al Plug-In del VPOS array_get es el arreglo que contiene los parámetros devueltos por el Plug-In listos para ser enviados al VPOS Guía de integración de comercios Pág. 22

44 //Todos los parámetros del componente se colocan en un arreglo de //cadenas, cuyo campo llave es el nombre del parámetro $array_send['acquirerid']=$codigoadquirente; $array_send['commerceid']=$codigocomercio; $array_send['purchaseamount ']=$Monto; $array_send['purchasecurrencycode']=$codigomoneda; $array_send['purchaseoperationnumber']=$codigooperacion; $array_send['billingaddress']=$direccioncobranza; $array_send['billingcity']=$ciudadcobranza; $array_send['billingstate']=$estadocobranza; $array_send['billingcountry']=$paiscobranza; $array_send['billingzip']=$codigopostalcobranza; $array_send['billingphone']=$telefonocobranza; $array_send['billing ']=$correoelectronicocobranza; $array_send['billingfirstname']=$primernombretarjetah; $array_send['billinglastname']=$ segundonombretarjetah; $array_send['language']= SP ; //En español //Setear un arreglo de cadenas con los parámetros que serán devueltos //por el componente $array_get['xmlreq']=""; $array_get['digitalsign']=""; $array_get['sessionkey']=""; Guía de integración de comercios Pág. 23

45 Se define a su vez un variable con el vector de inicialización. Las llaves pueden ser ingresadas de forma escrita en el mismo código //Vector de inicialización $VI = " "; //Ejemplo de una llave harcodeada en el PHP //notese el \n son los agregados al final de cada linea, son saltos de linea necesarios para el formato PEM $llavepub = "-----BEGIN PUBLIC KEY-----\n". "MIGJAoGBAKkJKIAJgm8/zA10FIpGUMAF6WTuTTKd1nqFHUokyXCNYn1oZAz6 vvqy\n". "BfJjWxL0o8r8ooBKQ/jKIVm4mFtVgQ5EamzYQFxsmU1dFfuBZdm7o3eId7xh msnd\n". "ZNiwGv7xmTybY4QH7VMqPAgaeKN9cPAnN1+F2Jzw/WVWtD7E7xXhAgMBAAE= \n". "-----END RSA PUBLIC KEY-----"; O también de un archivo de texto plano existente en el sistema operativo //Vector de inicialización $VI = " "; //Ejemplo de una llave leida de un archivo de texto plano $llavepriv = "file://camino_archivo_completo"; Para poder ejecutar el componente hay que invocar a la función VPOSSend con todos los campos a enviar, los parámetros de salida de la función el SESSIONKEY, el DIGITALSIGN y el XMLREQ serán devueltos en el arreglo de salida, en este caso el array_get VPOSSend($array_send,$array_get,$llaveVPOSCryptoPub,$llaveComercioFirma Priv,$VI); Leer los valores dentro del arreglo $array_get y enviarlos mediante un formulario al VPOS Guía de integración de comercios Pág. 24

46 <INPUT TYPE="hidden" NAME="IDACQUIRER" value="<?php echo $CodigoAdquirente;?>"> <INPUT TYPE="hidden" NAME="IDCOMMERCE" value="<?php echo $CodigoComercio;?>"> <INPUT TYPE="hidden" NAME="XMLREQ" value="<?php echo $array_get['xmlreq'];?>"> <INPUT TYPE="hidden" NAME="DIGITALSIGN" value="<?php echo $array_get['digitalsign'];?>"> <INPUT TYPE="hidden" NAME="SESSIONKEY" value="<?php echo $array_get['sessionkey'];?>"> Se indican las urls a donde se deben enviar estos valores mediante post TESTING: PRODUCCION: Guía de integración de comercios Pág. 25

47 Uso del Plug-in en PHP para recibir información del V-POS Llaves necesarias para recibir la información: Testing: ALIGNET.TESTING.PHP.SIGNATURE.PUBLIC.txt Llave de cifrado privada del comercio Producción: ALIGNET.PRODUCCION.PHP.SIGNATURE.PUBLIC.txt Llave de cifrado privada del comercio A continuación se muestra un ejemplo de código implementado en PHP para el descifrado de los datos y la verificación de la firma digital: $VI = " "; $llavepriv = file:///var/llaves/llavepruebacifradocomerciopriv.txt ; $llavepriv = "file:///var/llaves/llave.vpos.firma.1024.txt"; Se preparan los datos para ser ingresados a la función VPOSResponse, la salida de la función es true o false lo cual indica si han podido descifrarse y validarse correctamente los valores enviados por el VPOS if(vposresponse($arrayin,$arrayout,$llavepublicafirma,$llavepriv adacifrado,$vi)){ //La salida esta en $arrayout con todos los parámetros decifrados devueltos por el VPOS $resultadoautorizacion = $arrayout['authorizationresult'] $codigoautorizacion = $arrayout['authorizationcode'] }else{ //Puede haber un problema de mala configuración de las llaves, vector de //inicializacion o el VPOS no ha enviado valores correctos } Guía de integración de comercios Pág. 26