Gua de Comercios

5.17 01/06/2008

Gua de comercios.

NDICE DE CONTENIDO
1. Introduccin ....................................................................................... 1 2. Funcionamiento del Cyberpac y garantas de seguridad .............................. 1 3. Tipos de peticiones de autorizacin......................................................... 4 4. Perfiles de funcionamiento del comercio .................................................. 9 5. Instrucciones de conexin al Cyberpac .................................................. 12 6. Plan de pruebas................................................................................. 13 7. Operacin de compra: punto de vista del titular ....................................... 14 8. Identificacin de anomalas durante el proceso de compra ........................ 15 9. Mdulo de administracin del Cyberpac SIS............................................ 16 9.1 9.2 9.3 Confirmacin de una venta..................................................................18 Consulta de totales............................................................................21 Cambio de contrasea .......................................................................22 Consultas y administracin de operaciones ....................................................18

10.Consultas operativas y de funcionamiento .............................................. 23 11.Envo de transacciones al Cyberpac mediante XML .................................. 24 12.Anexos tcnicos ................................................................................ 25 1. Especificacin del documento DATOSENTRADA...................................... 39 2. Especificacin del documento RETORNOXML.......................................... 42

ii

Gua de comercios.

1.

Introduccin
La gua de comercios SIS recoge los aspectos a tener en cuenta por los comercios que deseen utilizar el Cyberpac SIS en la instrumentacin de sus compras por Internet. Este paquete resume el conjunto de funcionalidades que el SIS ofrece a los comercios: perfiles operativos de funcionamiento, tipos de peticiones de autorizacin, nivel de seguridad de los pagos,... Asimismo, expone las indicaciones tcnicas necesarias para realizar la conexin del servidor del comercio con el Cyberpac, junto con otros servicios aadidos de consulta y envo de transacciones va XML. Por ltimo, se detallan las opciones disponibles en la aplicacin de administracin del SIS, de gran utilidad cara a la gestin de los pedidos del comercio.

2.

Funcionamiento del Cyberpac y garantas de seguridad

El Cyberpac es un dispositivo preparado para trabajar en modo totalmente seguro dentro de la operativa de ventas a travs de Internet, es decir: A.- Intentar contactar con el banco emisor de la tarjeta para solicitar la autenticacin del titular (verificacin de su identidad) antes de solicitar la correspondiente peticin de autorizacin. De esta forma se garantiza que solo el titular genuino, dueo de la tarjeta, podr operar con ella. B.- Implementa SSL en todas las comunicaciones que impiden la interceptacin de la informacin por terceros. Por tanto, la confidencialidad est asegurada en todas las comunicaciones que se establezcan durante la transaccin. C.- Tambin habilita mecanismos para probar la autenticidad del origen de las transacciones y que impiden, asimismo, la manipulacin de datos por terceros. De esta forma se asegura la integridad de los datos de la transaccin. D.- Los datos de las tarjetas no son normalmente conocidos por el comercio, con lo que se evita que esta informacin pueda ser utilizada posteriormente por terceros de forma fraudulenta. (La mejor manera de salvaguardar en el comercio una informacin sensible de clientes es NO tenerla). Esta informacin es almacenada convenientemente por el Cyberpac que a su vez la proporcionar al sistema de pagos cuando sea necesario (por ejemplo en una devolucin).

Gua de comercios. Por tanto, todas las transacciones que se realicen a travs del Cyberpac contarn con todas las garantas de seguridad, confidencialidad e integridad para los agentes participantes: titulares de tarjetas y sus entidades emisoras, y comercios y sus entidades adquirentes. El Cyberpac se ir actualizando con las ltimas versiones de pago seguro que vayan dictando los organismos internacionales, si bien se asegura que el comercio NO tendr que realizar adaptaciones, ya que stas se realizarn siempre de forma centralizada. En todo momento, el comercio recibe puntual informacin del estado de cada transaccin, permaneciendo a su disposicin un histrico de 360 das para las consultas de detalle, totales, gestin de devoluciones, etc. que el comercio pudiera necesitar. De modo grfico, los pasos tpicos que sigue una transaccin segura son los siguientes:

Gua de comercios. 1. El comercio contacta con el Cyberpac y le facilita los datos de la transaccin: el importe, la moneda, el identificativo y nombre del comercio. 2. El Cyberpac solicita la tarjeta y fecha de caducidad al cliente. 3. El Cyberpac contacta con la entidad financiera que ha emitido dicha tarjeta. 4. La entidad emisora solicita autenticacin al cliente. El cliente puede probar su identidad mediante una password, una llamada telefnica, etc. segn haya acordado con su entidad emisora. 5. El Cyberpac solicita autorizacin a la entidad emisora por los circuitos tradicionales de medios de pago. Puede ocurrir en algn caso que la entidad emisora y el titular de la tarjeta todava no hayan pactado ningn mtodo de autenticacin, por lo que el paso 4 no siempre se realiza, si bien desde el punto de vista del comercio (al estar este conectado al Cyberpac - SIS) la transaccin sigue efectundose bajo la tecnologa de compra segura, aunque el cliente no se haya autenticado.

Gua de comercios.

3.

Tipos de peticiones de autorizacin

En funcin de las necesidades de cada comercio el Cyberpac SIS ofrece una elevada variedad de peticiones de autorizacin, que el comercio puede combinar segn sus necesidades. Autorizacin: Es el caso ms general donde la transaccin es iniciada por el titular que est presente durante el proceso de la misma. Una vez se ha recibido la peticin de compra por parte del comercio, el Cyberpac solicita al cliente los datos para realizar la transaccin de autorizacin. Si la transaccin es segura, se solicitar al titular por parte de su entidad emisora la correspondiente prueba de autenticacin. La solicitud de Autorizacin se lleva a cabo en tiempo real, produciendo un cargo inmediato en la cuenta del titular asociada a la tarjeta (crdito o dbito). La transaccin es capturada automticamente por el Cyberpac y enviada diariamente en lotes a la Caixapara que proceda a su abono al comercio. El titular de la tarjeta recibe un justificante del pago realizado. Autorizacin en diferido Permiten a los comercios virtuales realizar una gestin del riesgo (en funcin de los parmetros definidos por el comercio virtual y/o su entidad) de sus operaciones antes de servir el pedido. El comercio tiene 72 horas, una vez realizada la autorizacin en diferido, para confirmarla (siempre por el mismo importe), o anularla en funcin del anlisis de riesgo efectuado. La transaccin es transparente para el titular que en todo momento acta exactamente igual que en el caso anterior, es decir, facilita sus datos y se autentica cuando corresponda, recibiendo por parte del Cyberpac el correspondiente justificante. La transaccin no produce efectos contables en la cuenta del titular ni por tanto abono al comercio (algunas entidades emisoras si efectan apuntes contables al titular sin esperar a la confirmacin). Toda autorizacin en diferido debe tener una confirmacin o anulacin en un perodo mximo de 72 horas. En caso contrario perder su validez y el sistema generar una anulacin automtica de la transaccin. Confirmacin de autorizacin en diferido Complementa de forma inseparable la operacin anterior. El titular no est presente y por tanto es siempre iniciada por el comercio. Debe realizarse en las 72 horas siguientes a la autorizacin en diferido original y su importe debe ser IGUAL que la de la original. Esta transaccin se trata contablemente, regularizando automticamente el apunte en la cuenta del titular y envindose a la Caixapara su abono al comercio. El Cyberpac validar la existencia de la operacin original y el importe que se desea confirmar, rechazando la operacin en caso de existir algn error.

Gua de comercios. Anulacin de autorizacin en diferido: El titular no est presente y por tanto es siempre iniciada por el comercio. Debe realizarse en las 72 horas siguientes a la autorizacin en diferido original. El Cyberpac validar la existencia de la operacin original, rechazando la operacin en caso de existir algn error. Preautorizacin:
NOTA: esta operativa est restringida a determinados supuestos. Por favor, consulte con la Caixapara saber si su comercio la tiene permitida antes de realizar ninguna operacin de este tipo.

Puede utilizarse cuando en el momento de la compra no se puede determinar el importe exacto de la misma o por alguna razn el comercio no desea que el importe sea cargado en la cuenta del cliente de forma inmediata. La transaccin es transparente para el titular que en todo momento acta exactamente igual que en el caso anterior, es decir, facilita sus datos y se autentica cuando corresponda, recibiendo por parte del Cyberpac el correspondiente justificante. La solicitud de preautorizacin se lleva a cabo en tiempo real, produciendo una retencin por el importe de la venta en la cuenta del titular. La transaccin no se captura y por tanto no produce efectos contables en la cuenta del titular ni por tanto abono al comercio (algunas entidades emisoras SI efectan apuntes contables al titular que anulan automticamente pasados unos das). Toda preautorizacin debe tener una Confirmacin de Preautorizacin en un perodo mximo de 7 das. En caso contrario perder su validez. Confirmacin de Preautorizacin: Complementa de forma inseparable la operacin anterior. El titular no est presente y por tanto es siempre iniciada por el comercio. Debe realizarse en los 7 das siguientes a la preautorizacin original y su importe debe ser MENOR o IGUAL que la de la original. Esta transaccin se trata contablemente, regularizando automticamente el apunte en la cuenta del titular y envindose a la Caixapara su abono al comercio. El Cyberpac validar la existencia de la operacin original y el importe que se desea confirmar, rechazando la operacin en caso de existir algn error. Anulacin de Preautorizacin: El titular no est presente y por tanto es siempre iniciada por el comercio. Debe realizarse en los 7 das siguientes a la preautorizacin original. El Cyberpac validar la existencia de la operacin original, rechazando la operacin en caso de existir algn error.

Gua de comercios. Devolucin Automtica: Son transacciones contables iniciadas por el comercio, que tambin podr utilizar el mdulo de administracin del Cyberpac para realizarlas manualmente. El Cyberpac comprueba la existencia de la autorizacin original que se desea devolver, as como que la suma de los importes devueltos no supere en ningn caso el importe autorizado original. Producen efecto contable en la cuenta del titular (algunas entidades emisoras pueden demorar unos das el abono al titular) y, por tanto, son capturadas automticamente y enviadas a la Caixaque proceder a realizar el cargo correspondiente en la cuenta del comercio. Transaccin recurrente: Permite la suscripcin del titular a un servicio ofrecido por el comercio. El importe total de este servicio ser abonado por medio del pago de un determinado nmero de cuotas. Mediante esta operacin, el comercio informar la cantidad total a pagar, el nmero mnimo de das a partir del cual se puede hacer el pago de la siguiente cuota y la fecha lmite del pago de la ltima cuota. El flujo de la operacin es similar a la peticin de autorizacin normal, si bien se informa al cliente que est presente, del importe total a pagar y cuotas que lo componen, realizndose la autenticacin con estos datos. Por el contrario, la solicitud de autorizacin, que tendr carcter contable, se realizar nicamente por el importe de la primera cuota como una solicitud de autorizacin normal. Posteriormente, el comercio enviar transacciones sucesivas de autorizacin al vencimiento de cada cuota. Transaccin Sucesiva: Complementa de forma inseparable la operacin anterior. El titular no est presente y por tanto es siempre iniciada por el comercio. Debe realizarse segn las condiciones de la transaccin recurrente original en cuanto a importe, cuotas y fecha lmite. Estos extremos sern validados por el Cyberpac, que rechazar la transaccin en caso de encontrar algn error. Esta transaccin se trata contablemente, produciendo un apunte en la cuenta del titular para cada cuota y envindose a la Caixapara su abono al comercio. Las transacciones sucesivas conservan las mismas condiciones de seguridad respecto a la transaccin recurrente original. Para su realizacin es necesario solicitar una nueva peticin de autorizacin para cada cuota. Autorizaciones en diferido recurrentes tiles en aquellos casos en los que el comercio desea ofrecer la suscripcin del titular a un servicio y, adicionalmente, realizar una gestin del riesgo (en funcin de los parmetros definidos por el comercio virtual y/o su entidad) de sus operaciones antes de servir la mercanca o prestar el servicio. El funcionamiento de la autorizacin en diferido recurrente es igual a la transaccin recurrente. La nica diferencia est en que se genera una autorizacin en diferido por el importe de la primera cuota.

Gua de comercios. El comercio tiene 72 horas, una vez realizada la autorizacin recurrente en diferido, para confirmarla por el importe de la primera cuota, o anularla en funcin del anlisis de riesgo efectuado. Si expirado este plazo no se ha confirmado o anulado la transaccin, el sistema la anula de forma automtica. Al vencimiento de cada cuota, el comercio enviar autorizaciones en diferido sucesivas. Autorizaciones en diferido sucesivas Complementa de forma inseparable la operacin anterior. El titular no est presente y por tanto es siempre iniciada por el comercio. Debe realizarse segn las condiciones de la autorizacin en diferido recurrente original en cuanto a importe, cuotas y fecha lmite. Estos extremos sern validados por el Cyberpac, que rechazar la transaccin en caso de encontrar algn error. Esta transaccin se trata contablemente, produciendo un apunte en la cuenta del titular para cada cuota y envindose a la Caixapara su abono al comercio. Autenticacin: Este tipo de operacin puede ser utilizado por el comercio cuando el importe de la venta no puede ser determinado con exactitud en el momento de producirse la misma. La operativa es similar a la de preautorizaciones, si bien aunque en este caso solo se lleva a cabo la primera parte de la operacin, es decir la autenticacin del titular. Por lo tanto no se produce solicitud de autorizacin, por lo que la transaccin no es contable y no produce retenciones en cuenta al titular. Posteriormente y dentro de los siguientes 45 das el comercio enviar una confirmacin de autenticacin que completar la operacin original. Confirmacin de autenticacin: Complementa de forma inseparable la operacin anterior. El titular no est presente y por tanto es siempre iniciada por el comercio. Su importe puede ser diferente al de la operacin original (incluso MAYOR), y debe realizarse en los 45 das siguientes a la autenticacin original. Esta transaccin se trata contablemente produciendo un apunte en la cuenta del titular y envindose a la Caixapara su abono al comercio. Las confirmaciones de autenticacin conservan las mismas condiciones de seguridad respecto a la autenticacin original. El Cyberpac validar la existencia de la operacin rechazando la operacin en caso de existir algn error. A continuacin se inserta una tabla donde se resumen las principales caractersticas de cada operacin:

Gua de comercios.

Tipo de Operacin

Iniciada por

Contable?

Operacin Original Validaciones

Operacin Segura Cuando se renan condiciones Cuando se renan condiciones

Autorizacin

Titular

Preautorizacin

Titular

NO Preautorizacin 7 das Importe < o = Preautorizacin 7 das Importe = Autorizacin Suma de devueltos < o = 360 das. importes

Confirmacin de Preautorizacin

Comercio

Mismas que la original

Anulacin de Preautorizacin

Comercio

NO

Devolucin Automtica

Comercio

Pago por Referencia Recurrente

Titular Titular

S S Recurrente Importe, cuotas y fecha lmite Cuando se renen condiciones Mismas que la original Cuando se renan condiciones Autenticacin 45 das Mismas que la original

Sucesiva

Comercio

Autenticacin

Titular

NO

Confirmacin de Autenticacin

Comercio

Gua de comercios.

4.

Perfiles de funcionamiento del comercio

El comercio puede personalizar el comportamiento del Cyberpac en funcin de sus propios criterios. Para ello se han definido una serie de parmetros que pueden ser variados a peticin. nicamente la moneda seleccionada no puede ser modificada una vez que el terminal ha sido dado de alta. Moneda: las opciones disponibles son:

Euros. Dlares Libras: Yenes

E-Mail del comercio, al que se enviar la informacin pertinente. Notificacin ON-LINE: si el comercio desea recibir en tiempo real una comunicacin con los datos de la transaccin, por cada una de las peticiones que se gestionan en su TPV, deber tener en cuenta esta opcin. En el ANEXO III se recoge una descripcin ms amplia de su significado y las posibles opciones. Sincronizacin: este parmetro permite cuatro valores: Sncrona/Asncrona/SncronaSOAP/SncronaSOAPconWSDL. Su utilidad est relacionada con la notificacin on-line descrita en el apartado anterior. El valor Sncrona implica que el resultado de la autorizacin primero se enva al comercio y a continuacin al cliente y con el valor Asncrona el resultado de la autorizacin se comunica a la vez al comercio y al cliente. Con el valor SncronaSOAP la notificacin que se enva al comercio es una peticin SOAP a un servicio que deber tener publicado el comercio. Con este tipo de notificacin el SIS no da respuesta al titular hasta que recibe la respuesta del comercio. En el caso en el que la respuesta SOAP tenga un valor KO o se produzca un error en el proceso de notificacin se dar una respuesta negativa al titular y, en el caso en el que sea necesario, se enviar una anulacin de la operacin. Este tipo de notificacin solo se aplicar a los siguientes tipos de operaciones: Autorizacin, Preautorizacin, Transaccin Recurrente y Autenticacin. Para las dems operaciones la notificacin se enviar de forma sncrona. En el ANEXO IX se explica detalladamente este tipo de sincronizacin. El ltimo tipo de notificacin es igual a la SncronaSOAP, pero en este caso el servidor SOAP que desarrolla el cliente se ajusta a las especificaciones de una WSDL que se adjunta en el ANEXO IX de este documento. Dentro del tipo de sincronizaciones SOAP, se recomienda esta ltima, que garantiza un entendimiento perfecto entre servidor y cliente. Personalizacin del Terminal: las pantallas que se muestran al cliente durante el proceso de pago, pueden ser personalizadas con el logotipo del comercio. Para ello, el comercio deber acceder al apartado "comercios", opcin "consultas" de la aplicacin Canales, y dar de alta el logotipo que desee incorporar. URL_OK/URL_CANCEL: durante el proceso del pago, y una vez que se muestra al cliente la pantalla con el resultado del mismo, es posible redirigir su navegador a una URL para las transacciones autorizadas y a otra si la transaccin ha sido denegada. A estas se las denomina URL_OK y URL_CANCEL, respectivamente. Se trata de dos URL que deben ser proporcionadas por el comercio, son opcionales y se ejecutan cundo el titular pulsa sobre el botn continuar o cierra la ventana del recibo de compra.

Gua de comercios.

Parmetros en las URL: si el comercio desea recibir va GET en las URL_OK y URL_CANCEL, los mismos datos que se envan en la notificacin on-line, deber seleccionar esta opcin. Por defecto la opcin es NO. Idioma: los idiomas de las pginas HTML que se muestran en el Cyberpac forman parte de la personalizacin de las mismas. Por ello, el nico lmite a los idiomas en el Cyberpac lo determinan las pginas HTML que la Caixao el propio comercio habilitan. Actualmente los idiomas disponibles son los siguientes: o Castellano-001 o Ingls-002 o Cataln-003 o Francs-004 o Alemn-005 o Italiano-007 o Portugus-009 Mtodos de pago: esta configuracin nicamente puede definirla la caixa, que seleccionar aquel o aquellos mtodos ms adecuados para garantizar una correcta operativa de cada comercio: Pago seguro: la Caixa le habilitar las diferentes opciones que ofrecen los organismos internacionales, VISA y MasterCard principalmente, para garantizar la seguridad de las transacciones, autenticando las operaciones realizadas con tarjeta segura. la Caixa solicita a la entidad emisora de la tarjeta la identificacin de su titular por los mtodos establecidos entre ellos (pin, usuario/password, llamada,). La entidad emisora identifica a su cliente. Puede ocurrir en algn caso que la entidad emisora y el titular de la tarjeta todava no hayan pactado ningn mtodo de autenticacin, por lo que la identificacin del cliente no siempre se realiza, si bien desde el punto de vista del comercio (al estar este conectado al Cyberpac - SIS) la transaccin sigue efectundose bajo la tecnologa de compra segura, aunque el cliente no se haya autenticado (es decir, el titular nunca podr retroceder la operacin por yo no he sido). Al no ser identificado el titular por su entidad financiera, el titular podra solicitar la retrocesin de la operacin, que no tendra efectos econmicos para el comercio ni la Caixa, pero s como contador de fraude. Cabra la posibilidad que un comercio tuviera un nmero muy elevado de peticiones de retrocesiones por parte de los emisores (por ejemplo, por un ataque fraudulento), superando un determinado % sobre la facturacin del comercio. En este caso, las marcas (Visa/Master) penalizan al comercio con elevadas multas, adems de estar sujeto a las retrocesiones de todas las operaciones de un determinado perodo Operativa con titular Seguro: La diferencia con la operativa anterior, es que si la entidad emisora de la tarjeta no identifica a su cliente y deja progresar la transaccin, ser la Caixa quien deniegue la operacin. Con esta opcin, el cliente siempre debera identificarse ante su entidad financiera, con lo que se evitara cualquier peticin de retrocesin por parte de los emisores, y por lo tanto, no cabra el peligro de la imposicin de multas ni retrocesiones.

10

Gua de comercios. Esta opcin est especialmente indicada para comercios que tengan mucha operativa con tarjetas extranjeras, y que pertenezcan a determinados sectores como joyera, electrodomsticos, informtica, equipos telefnicos, lotera. Para estos casos existe la posibilidad de la activacin de titular seguro nicamente para las tarjetas extranjeras. Puede solicitar esta modalidad va correo electrnico a comercios@lacaixa.es indicando nmero de comercio. Pago segundo intento: Se intenta el pago como seguro y si la entidad emisora de la tarjeta no lo puede identificar y deniega la autenticacin, el pago se realiza como no seguro sin autenticacin (el comercio es responsable del posible fraude), de forma automtica y transparente tanto para el comercio como para el cliente. Esta operativa debe solicitarse a travs de su oficina habitual. Pago no seguro: Nunca se intenta la autenticacin del titular de la tarjeta. En este caso el comercio asume el riego de todas las operaciones realizada. Esta operativa debe solicitarse a travs de su oficina habitual.

Operativa pago fraccionado: Esta modalidad nicamente est operativo con tarjetas de la Caixa 1) El comercio no enva ningn cdigo de fraccionamiento. Si la tarjeta del titular es una tarjeta de crdito de la Caixa y el comercio no tiene cdigos de fraccionamiento, se presenta una pantalla para que el titular decida si quiere fraccionar el pago con cargo a la tarjeta, SOLO si el importe de la operacin es superior a 40 euros. 2) El comercio enva el cdigo de fraccionamiento en los datos de conexin al SIS. Se ha creado un campo para este fin: Ds_Merchant_PartialPayment para que el comercio enve el cdigo de fraccionamiento. Si el comercio enva este cdigo, y tiene este cdigo de fraccionamiento asociado, se permitir slo en el pago con tarjetas de crdito de la Caixa. Para disponer de esta capacidad el comercio debe solicitarlo en su oficina habitual. 3) El comercio no enva ningn cdigo de fraccionamiento. Si la tarjeta del titular es una tarjeta de crdito de la Caixa y el comercio tiene cdigos de fraccionamiento asociados con cargo al comercio, se presenta una pantalla para que el titular seleccione una de las opciones de fraccionamiento con cargo al comercio. Para disponer de esta capacidad el comercio debe solicitarlo en su oficina habitual. Multidivisa: 1) El servicio Multidivisa, permite al titular de la tarjeta, saber en el mismo momento de la compra el importe que finalmente le cargar su entidad por la misma, no dependiendo por tanto de ningn proceso posterior de conversin de divisas. 2) Los comercios no disponen de esta opcin por defecto, por lo que deber solicitar la activacin de esta funcionalidad a travs de su oficina gestora.

11

Gua de comercios.

5.

Instrucciones de conexin al Cyberpac

Para poder ofrecer el pago con tarjeta a travs del Cyberpac deber realizar unas pequeas modificaciones en el servidor de su comercio en Internet. 1.-Adems de los mtodos de pago distintos de tarjeta con los que ya puede estar trabajando, deber incluir un botn de pago a travs del Cyberpac junto al resto de opciones. 2.-En el momento que el cliente pulse el botn de pago, el comercio rellenar un formulario web con los datos de la transaccin, cuya descripcin tcnica detallada figura en el ANEXO I, y lo enviar a la siguiente direccin:
https://sis-t.sermepa.es:25443/sis/realizarPago (entorno de pruebas). https://sis.sermepa.es/sis/realizarPago (entorno de real).

La ventana o frame donde se abra el Cyberpac ha de tener barras de desplazamiento para poder adaptarse a las diferentes pginas de autenticacin que pudieran mostrarse al titular en los procesos posteriores. La identificacin del comercio y terminal se realizar mediante alta por parte de la Caixaen el mdulo de administracin del Cyberpac y las transacciones sern securizadas de forma individual mediante una firma digital que realizar el comercio, cuyo funcionamiento tcnico se explica en el ANEXO II. 3.-A partir de este punto, el Cyberpac gestionar completamente la autorizacin sin que sea necesaria la intervencin del comercio. En todo momento la operativa se ajustar a la personalizada para cada comercio.

12

Gua de comercios.

6.

Plan de pruebas
Una vez el comercio ha realizado la conexin al Cyberpac y visualiza la pantalla de peticin de tarjeta, se recomienda la realizacin de las siguientes pruebas operativas con el fin de poder conocer el funcionamiento del Cyberpac. Estas pruebas debern efectuarse en el entorno de pruebas, para lo cual es preciso tener habilitado el acceso a los puertos 25443 y 26443, con el nmero de tarjeta siguiente:
Tarjeta: 4548812049400004 Fecha de caducidad: 12/08 CIP: 123456

1.- Pruebas de compra: conectndose al Cyberpac, realice una operacin de compra con los datos proporcionados. Al final de la operacin el Cyberpac le mostrar una pantalla con los datos de la operacin y el resultado de la misma. 2.- Prueba de devoluciones: los comercios conectados al SIS podrn realizar devoluciones a travs del mdulo de administracin del SIS tal y como se detalla en el apartado 10.2 de la presente gua. Otra alternativa consiste en enviar el formulario de pago con el tipo de operacin Ds_Merchant_TransactionType=3. En ambos casos recibir una confirmacin de la devolucin efectuada. 3.- Comprobacin de las operaciones en el mdulo de administracin del SIS: accediendo al mdulo de administracin del SIS en entorno de pruebas, podr comprobar el detalle de las operaciones efectuadas a travs del Cyberpac, tal y como se indica en el apartado 10.2 y 10.3 de la gua. Accediendo al apartado de Consultas podr visualizar el detalle de las operaciones y accediendo al apartado de Totales podr consultar el acumulado de las operaciones. La descripcin de los cdigos de respuesta al efectuar una consulta de detalle de las operaciones, figura en la pgina 19 de la presente gua.

13

Gua de comercios.

7.

Operacin de compra: punto de vista del titular

Una vez que el titular tiene los productos en su cesta de la compra, se conecta al Cyberpac para realizar el pago pulsando sobre el botn de pago. La conexin al Cyberpac requiere el acceso desde navegadores con una intensidad de cifrado igual o superior a 128 bits. Las versiones 6.0 y superiores de Iexplorer y, 4.7.x. y superiores de Netscape soportan, por defecto, ese nivel de cifrado.

En funcin de la configuracin de su comercio y segn los mtodos de pago que la Caixale haya ofrecido, el propio Cyberpac se encargar de solicitar al titular los datos del pago para poder tramitar el mismo con la Entidad Emisora de ste. Una vez realizado el pago, el titular ver la siguiente pantalla con el resultado de la operacin y la ltima lnea indicar el estado de la operacin. De la misma manera, dispondr del nmero de pedido para cualquier duda o aclaracin que se requiera en el futuro. Ejemplo de operacin autorizada:

14

Gua de comercios.

8.

Identificacin de anomalas durante el proceso de compra

l SIS incluye fuertes validaciones y controles para detectar posibles errores en la entrada de datos o situaciones anmalas del sistema. Ante cualquier entrada al Cyberpac SIS, se realizan las validaciones pertinentes de los datos de entrada. Si los datos de entrada no son correctos, se genera un cdigo de error y no se permite continuar con la operacin. Normalmente estas situaciones se producen durante el tiempo que duran las pruebas de integracin de un nuevo comercio. Aunque la integracin del comercio sea correcta, siempre se pueden producir situaciones inesperadas como por ejemplo la deteccin de pedidos repetidos o incluso alguna posible anomala en el sistema. Dependiendo del error producido, el mensaje mostrado al titular ser diferente. Los posibles cdigos de error que pueden darse se muestran en el ANEXO V. Para localizar el valor se deben seguir los siguientes pasos: 1. Abrir con el bloc de notas (por ejemplo) el cdigo fuente de la pgina donde se ha producido el error. En la barra de tareas de la pgina del navegador: Ver Cdigo fuente. 2. Una vez que tenemos el cdigo fuente abierto buscar el error que se ha producido. En la barra de tareas del bloc de notas: Edicin Buscar. 3. 4. 5. Introducir en la caja de texto buscar el siguiente literal: SIS0. Aparecer un literal del tipo: <!--SIS0051:-->. De este modo tendremos identificado el error que se ha producido.

15

Gua de comercios.

9.

Mdulo de administracin del Cyberpac SIS

Accediendo a la direccin de Internet:
https://sis-t.sermepa.es:25443/canales (entorno de pruebas)

o
https://sis.sermepa.es/canales (entorno real)

podr realizar las operaciones administrativas y de gestin de las operaciones de su comercio en Internet. Le aparecer una pgina donde tendr que introducir el usuario y contrasea que previamente le habr facilitado su entidad adquirente, as como el idioma en que desea realizar la consulta (castellano, cataln o francs).

16

Gua de comercios. Una vez confirmado que el usuario y la contrasea introducidos son correctos, tendr acceso a la aplicacin administrativa de los TPVs virtuales y de gestin de usuarios.

Si accede a la administracin del Cyberpac, se presentar la pgina siguiente:

17

Gua de comercios.

9.1

Confirmacin de una venta

A travs del mdulo de administracin del Cyberpac, podr confirmar las operaciones de compra autorizadas independientemente del mtodo de pago con tarjeta utilizado. Este servidor web le permite: Consultar el detalle de las operaciones (360 ltimas sesiones). Devolucin de ventas parcial o total (operaciones de los 360 ltimos das). Consultar los totales de sesin. Adems, de forma opcional, el comercio podr solicitar la respuesta on-line de las operaciones realizadas. Para ello tendr que facilitar una URL donde recibir estas respuestas en el formulario web que enva al realizar la solicitud de autorizacin (ver el campo Ds_Merchant_MerchantURL en el ANEXO I). Esta URL ser un CGI, Servlet, etc. desarrollado en el lenguaje que el comercio considere adecuado para integrar en su Servidor (C, Java, Perl, PHP, ASP, etc.), capaz de interpretar la respuesta que le enve el Cyberpac. En el ANEXO III se describe tcnicamente este proceso en detalle.

Consultas y administracin de operaciones

En el apartado de Consultas del mdulo de administracin, deber introducir una fecha de inicio y fin del perodo que desea consultar para localizar una operacin. Si conoce el nmero de pedido de la operacin puede introducirlo y la bsqueda ser ms rpida. Una vez haya rellenado los datos anteriores, presione el botn "Aceptar". Le aparecer la siguiente pantalla donde se muestran las operaciones encontradas con los datos de bsqueda seleccionados. Pueden realizar consultas en las operaciones realizadas en los ltimos 365 das. Estos datos pueden ser exportados en un formato MS. Excel. (XLS).

Los cdigos de respuesta que se muestran en campo Resultado N Autorizacin o cdigo de respuesta en el mdulo de administracin del SIS y para operaciones denegadas son los siguientes:

18

Gua de comercios.

CDIGO 101 102 106 125 129 180 184 190 191 202 904 9912/912 9064 9078 9093 9218 9253 9256 9257 9261 9913 9914 9928 9929 Tarjeta caducada

SIGNIFICADO Tarjeta en excepcin transitoria o bajo sospecha de fraude Intentos de PIN excedidos Tarjeta no efectiva Cdigo de seguridad (CVV2/CVC2) incorrecto Tarjeta ajena al servicio Error en la autenticacin del titular Denegacin sin especificar Motivo Fecha de caducidad errnea Tarjeta en excepcin transitoria o bajo sospecha de fraude con retirada de tarjeta Comercio no registrado en FUC Emisor no disponible Nmero de posiciones de la tarjeta incorrecto No existe mtodo de pago vlido para esa tarjeta Tarjeta no existente El comercio no permite op. seguras por entrada /operaciones Tarjeta no cumple el check-digit El comercio no puede realizar preautorizaciones Esta tarjeta no permite operativa de preautorizaciones Operacin detenida por superar el control de restricciones en la entrada al SIS Error en la confirmacin que el comercio enva al Cyberpac (solo aplicable en la opcin de sincronizacin SOAP) Confirmacin KO del comercio (solo aplicable en la opcin de sincronizacin SOAP) Anulacin de autorizacin en diferido realizada por el SIS (proceso batch) Anulacin de autorizacin en diferido realizada por el comercio

Las dos ltimas columnas de la pantalla anterior, Consultar Devoluciones, y Generar Devoluciones permiten, respectivamente, consultar las devoluciones realizadas o generar devoluciones de la operacin que se muestra. Para poder consultar o realizar una devolucin se pulsar el botn rojo correspondiente. ste solo estar disponible en operaciones autorizadas y solo se podrn generar devoluciones si la operacin original no tiene una devolucin por el importe total de la misma. No a todos los usuarios con acceso a la administracin de las operaciones de su comercio en Internet les est permitido el poder realizar devoluciones. Los usuarios y el nivel de acceso a las funciones administrativas sern proporcionadas por la Caixa de acuerdo con sus necesidades. Pueden solicitar esta funcionalidad a travs de comercios@lacaixa.es. Si su usuario est autorizado y desea realizar una devolucin parcial o total de una de las operaciones seleccionadas, pulse el botn rojo de la columna generar devolucin que corresponda a la operacin deseada y le aparecer la pgina siguiente.

19

Gua de comercios.

Deber introducir el importe a devolver (el importe devuelto nunca deber sobrepasar el de la operacin original) y pulsar el botn aceptar. A continuacin le mostrar una pgina ticket de devolucin como la siguiente, pudindola imprimir o archivar si lo desea.

Aquellos comercios con operativa de preautorizaciones o autorizaciones en diferido, podrn generar confirmaciones y anulaciones de las mismas a partir del mdulo de administracin del Cyberpac. Asimismo, si el comercio trabaja con la operativa de autenticaciones, podr emplear el mdulo de administracin para generar las confirmaciones de autenticacin.

20

Gua de comercios.

9.2

Consulta de totales
Pulsando el botn de Totales, que aparece en la parte izquierda de la pgina, el sistema solicitar la sesin cuyos totales desea consultar. La consulta de totales est disponible: Sin desglose (360 ltimas sesiones). Con desglose marca tarjeta.

Introduciendo el rango de fechas deseado, aparecer a continuacin una nueva pantalla conteniendo informacin de los importes agregados de las operaciones realizadas en ese perodo, as como del nmero de dichas operaciones. Vendrn diferenciadas por cada tipo de operacin. Se indica el nmero de cada una de ellas, separando las autorizadas y denegadas.

21

Gua de comercios.

9.3

Cambio de contrasea
Con el fin de poder utilizar una contrasea que le sea ms fcil de recordar o por motivos de seguridad, podr cambiar su contrasea peridicamente. Para poder hacer este cambio deber acudir al apartado usuarios y rellenar la nueva Contrasea que haya seleccionado.

Una vez rellenado el formulario, pulse aceptar. El mdulo de administracin confirmar el cambio realizado.

22

Gua de comercios.

10.

Consultas operativas y de funcionamiento

Si usted tiene alguna consulta referente al Cyberpac, deber contactar con su oficina. Las consultas relativas a peticin de documentacin del Cyberpac, solicitud de datos de alta, definicin de los mtodos de pago, consulta de datos de configuracin del comercio, consultas de usuarios de comercio... debern ser siempre tramitadas a travs de su oficina habitual. Centro de atencin para la conexin de Cyberpac: En el entorno de pruebas: E-mail: soportevirtual@sermepa.es Telfono: 902 106 223 En el entorno de Produccin: E-mail: virtualcom@sermepa.es Telfono: 902 198 747 Con el fin de atenderles de la forma ms gil al trasladar cualquier problema o incidencia con operaciones al centro de atencin al cliente les recomendamos que indiquen en el momento de trasladar la consulta: Fecha operacin. Hora. Cdigo de comercio. Nmero de pedido. URL a la que enva la peticin el comercio. Descripcin incidencia.

De cualquier forma, el centro de atencin al cliente no engloba la prestacin de servicios de consultora (consultas acerca del cdigo a desarrollar para conectarse al Cyberpac).

23

Gua de comercios.

11.

Envo de transacciones al Cyberpac mediante XML

Existe la posibilidad de enviar la transaccin mediante XML permitiendo automatizar el envo de transacciones por ejemplo un grupo de devoluciones. Es muy importante tener en cuenta que este recurso es vlido solo para cierto tipo de transacciones definidas en el ANEXO VII ya que al no estar presente el titular no podr autenticarse. La comunicacin se realizar mediante un envo del documento XML a la direccin indicada del SIS. El sistema de SERMEPA interpretar el documento XML y realizar las validaciones pertinentes, para a continuacin procesar la operacin. Dependiendo del resultado de la operacin, se monta un documento XML de respuesta con el resultado de la misma. El documento XML se transmitir mediante un envo con POST a las direcciones: Integracin: Real: https://sis-t.sermepa.es:25443/sis/operaciones https://sis.sermepa.es/sis/operaciones

El envo se realizar simulando la peticin realizada por un formulario con un nico input llamado entrada. El valor de entrada ser el documento XML, el cual debe estar en formato x-www-form-urlencoded. Se definen dos tipos de mensaje en el ANEXO VII: 1. DATOSENTRADA: Mensaje de solicitud enviado. 2. RETORNOXML: Respuesta del SIS a la peticin.

24

Gua de comercios.

12.

Anexos tcnicos
ANEXO I: Datos del formulario de pago a travs del Cyberpac El formulario de compra a travs de Cyberpac deber contener los datos que se muestran en la tabla, dicho formulario se enviar mediante un POST. El comercio facilitar la informacin de la compra a la siguiente direccin del servidor web:
https://sis-t.sermepa.es:25443/sis/realizarPago (entorno de pruebas). https://sis.sermepa.es/sis/realizarPago (entorno de real).

El cual gestionar la autorizacin de las operaciones. Los datos imprescindibles para la gestin de la autorizacin estn marcados como obligatorios en la tabla siguiente. (En los campos Ds_Merchant_Currency; Ds_Merchant_Terminal; Ds_Merchant_ConsumerLanguage la longitud se considera mxima por lo que no es imprescindible el relleno con ceros a la izquierda; la firma ha de ser generada con los campos exactamente como se enven).
DATO Importe Moneda NOMBRE DEL DATO Long. / Tipo COMENTARIOS Obligatorio. Para Euros las dos ltimas posiciones se consideran decimales. Obligatorio. Valor 978 para Euros, 840 para Dlares y 826 para libras esterlinas. 4 se considera su longitud mxima Obligatorio. Los 4 primeros dgitos deben ser numricos, para los dgitos restantes solo utilizar los siguientes caracteres ASCII Del 30 = 0 al 39 = 9 Del 65 = A al 90 = Z Del 97 = a al 122 = z Obligatorio. 125 se considera su longitud mxima. Este campo se mostrar al titular en la pantalla de confirmacin de la compra. Obligatorio. Su longitud mxima es de 60 caracteres. Este campo se mostrar al titular en la pantalla de confirmacin de la compra. Obligatorio. Cdigo FUC asignado al comercio. Obligatorio si el comercio tiene notificacin on-line. URL del comercio que recibir un post con los datos de la transaccin. Opcional: si se enva ser utilizado como URLOK ignorando el configurado en el mdulo de administracin en caso de tenerlo. Opcional: si se enva ser utilizado como URLKO ignorando el configurado en el mdulo de administracin en caso de tenerlo Ser el nombre del comercio que aparecer en el ticket del cliente (opcional). El Valor 0, indicar que no se ha determinado el idioma del cliente (opcional). Otros valores posibles son:

Ds_Merchant_Amount Ds_Merchant_Currenc y

12 / Nm. 4 / Nm.

Nmero de Pedido

Ds_Merchant_Order

12 / A-N.

Descripcin del producto

Ds_Merchant_Product Description

125 / A-N

Nombre titular

apellidos

del

Ds_Merchant_Titular

60 / A-N

Identificacin de comercio: cdigo FUC URL del comercio para la notificacin on-line

Ds_Merchant_Merchan tCode Ds_Merchant_Merchan tURL

9 / N. 250 / A-N.

URLOK

Ds_Merchant_UrlOK

250 / A-N.

URL KO

Ds_Merchant_UrlKO

250 / A-N.

Identificacin de comercio: denominacin comercial Idioma del titular

Ds_Merchant_MerchantName

25 / A-N.

Ds_Merchant_ConsumerLanguag e

3 / Nm.

25

Gua de comercios.

Castellano-001, Ingls-002, Cataln-003, Francs-004, Alemn-005, Portugus009. 3 se considera su longitud mxima Firma del comercio Nmero de terminal

Ds_Merchant_MerchantSignature Ds_Merchant_Terminal

4N 3 / Nm.

Obligatorio. Ver operativa en ANEXO II. Obligatorio. Nmero de terminal que le asignar su banco. Por defecto valor 001. 3 se considera su longitud mxima Opcional. Representa la suma total de los importes de las cuotas. Las dos ltimas posiciones se consideran decimales. Campo opcional para el comercio para indicar qu tipo de transaccin es. Los posibles valores son: 0 Autorizacin 1 Preautorizacin 2 Confirmacin 3 Devolucin Automtica 4 Pago Referencia 5Transaccin Recurrente 6 Transaccin Sucesiva 7 Autenticacin 8 Conf. de Autenticacin 9 Anulacin de Preautorizacin O Autorizacin en diferido P - Confirmacin de autorizacin en diferido Q - Anulacin de autorizacin en diferido R Autorizacin recurrente inicial diferido S Autorizacin recurrente sucesiva diferido Campo opcional para el comercio para ser incluidos en los datos enviados por la respuesta on-line al comercio si se ha elegido esta opcin. Frecuencia en das para las transacciones recurrentes y recurrentes diferidas (obligatorio para recurrentes) Formato yyyy-MM-dd fecha lmite para las transacciones Recurrentes (Obligatorio para recurrentes y recurrentes diferidas ) Opcional. Representa el cdigo de autorizacin necesario para identificar una transaccin recurrente sucesiva en las devoluciones de operaciones recurrentes sucesivas. Obligatorio en devoluciones de operaciones recurrentes. Opcional. Formato yyyy-MM-dd. Representa la fecha de la operacin recurrente sucesiva, necesaria para identificar la transaccin en las devoluciones de operaciones recurrentes sucesivas. Obligatorio para las devoluciones de operaciones recurrentes y de operaciones recurrentes diferidas.

Importe total

Ds_Merchant_SumTotal

12 / Nm.

Tipo de transaccin

Ds_Merchant_TransactionType

1 / Num

Datos del comercio

Ds_Merchant_MerchantData

1024 /A-N

Frecuencia

Ds_Merchant_DateFrecuency

5/ N

Fecha lmite

Ds_Merchant_ChargeExpiryDate

10/ A-N

Cdigo de Autorizacin

Ds_Merchant_AuthorisationCode

6 / Num

Fecha de la operacin recurrente sucesiva

Ds_Merchant_TransactionDate

10 / A-N

26

Gua de comercios. ANEXO II: Firma del comercio Se dotar al comercio de una clave, que se utilizar para firmar los datos aportados por el mismo, pudiendo verificarse no solo la identificacin del comercio, sino que los datos no han sido alterados en ningn momento. Se utilizar como algoritmo de securizacin el Hash SHA-1, que garantiza los requisitos mnimos de seguridad en cuanto a la autenticacin del origen. La clave se proporcionar para ser incluida en la web del comercio. Este mismo algoritmo se utilizar para asegurar al comercio la autenticidad de los datos de la respuesta, en caso de que se proporcione URL de notificacin por parte del comercio. La firma electrnica del comercio se deber calcular de la forma siguiente si est configurado con el tipo de clave SHA1 completo en el Cyberpac SIS (a travs de su entidad financiera podr confirmar el tipo de clave definido en su comercio):
Digest=SHA-1(Ds_Merchant_Amount + DS_Merchant_Currency + CLAVE SECRETA) Ds_Merchant_Order +Ds_Merchant_MerchantCode +

En el caso de que la transaccin se trate de un PAGO RECURRENTE INICIAL la firma se calcular:

Digest=SHA-1(Ds_Merchant_Amount + Ds_Merchant_Order DS_Merchant_Currency + Ds_Merchant_SumTotal + CLAVE SECRETA) +Ds_Merchant_MerchantCode +

Para aquellos comercios con tipo de clave SHA1 completo ampliado, (necesario para poder realizar devoluciones o anulaciones de preautorizaciones), o que deseen incrementar el nivel de seguridad, se deben aadir los campos tipo de operacin (Ds_Merchant_TransactionType) y URL de notificacin on-line (Ds_Merchant_MerchantURL). Si el comercio no tiene URL de notificacin on-line, se deja este campo en blanco. El tipo de clave SHA1 completo ampliado no est disponible en versiones de php inferiores a la versin 4.3.0. Hay dos posibles casos: Transaccin normal:
+

La firma electrnica del comercio se deber calcular de la forma siguiente:

Digest=SHA-1(Ds_Merchant_Amount + Ds_Merchant_Order +Ds_Merchant_MerchantCode DS_Merchant_Currency +Ds_Merchant_TransactionType + Ds_Merchant_MerchantURL + CLAVE SECRETA)

Transaccin PAGO RECURRENTE INICIAL:

+Ds_Merchant_MerchantCode Ds_Merchant_TransactionType + +

La firma electrnica del comercio se deber calcular de la forma siguiente:

Digest=SHA-1(Ds_Merchant_Amount + Ds_Merchant_Order DS_Merchant_Currency + Ds_Merchant_SumTotal + Ds_Merchant_MerchantURL + CLAVE SECRETA)

NOTA: los campos que entran a formar parte de la firma descrita anteriormente solamente son vlidos si la operacin se enva por la entrada realizarPago, no por la entrada XML. Para consultar los datos a aadir para dicha entrada, consulte el Anexo VII.

27

Gua de comercios. Ejemplo (de firma convencional):

IMPORTE=1235 (va multiplicado por 100 para ser igual que el Ds_Merchant_Amount). NMERO DE PEDIDO=29292929 CDIGO COMERCIO=201920191 MONEDA=978 CLAVE SECRETA=h2u282kMks01923kmqpo Cadena resultado: 123529292929201920191978h2u282kMks01923kmqpo Resultado SHA-1: c8392b7874e2994c74fa8bea3e2dff38f3913c46

Existen ejemplos de conexin con el TPV en distintos lenguajes de programacin. Donde, importe corresponde a Ds_Merchant_Amount del formulario web, pedido a Ds_Merchant_Order, comercio a Ds_Merchant_MerchantCode, moneda a Ds_Merchant_Currency, Bdclave a la clave secreta del comercio, que NUNCA DEBE SER TRANSMITIDA. Las variables en C (importe, moneda,) son las cadenas mientras que en el formulario web figuran como campos ocultos. En caso de problemas al acceder al TPV (datos errneos): Una vez que se ha generado la firma no se deben modificar los datos de ningn modo ya que el TPV los utiliza para validar la firma y si lo que recibimos no es exactamente lo que se utiliz para generar la firma no pasa la validacin. izquierda. El Importe vendr multiplicado por 100, sin decimales y sin ceros a la

El nmero de pedido ser diferente cada transaccin y las 4 primeras posiciones han de ser numricas. Si aparece en pantalla un mensaje de Datos Errneos: Comprobar que el comercio (FUC/TERMINAL) est dado de alta en el mdulo de administracin del entorno al que se est enviando la transaccin. Verificar que la clave que est utilizando para hacer la firma es la que est asignada al comercio en el mdulo de administracin del Cyberpac. la Caixapodr suministrarle la informacin de configuracin del comercio (cdigo de comercio, terminal, clave, tipo de clave etc.) Referencias SHA-1: Estndar de Hash Seguro, FIPS PUB 180-1.
http://www.itl.nist.gov/fipspubs/fip180-1.htm http://csrc.nist.gov/publications/fips/fips180-1/fips180-1.pdf

Lista de Implementaciones Validadas del SHA-1 Las especificaciones del Estndar del Hash Seguro (Algoritmo SHA-1): Qu es SHA y SHA-1?

http://csrc.nist.gov/cryptval/dss/dsaval.htm

http://csrc.nist.gov/cryptval/shs.html

http://www.rsasecurity.com/rsalabs/faq/3-6-5.html

28

Gua de comercios. ANEXO III: Contestacin on-line del Cyberpac al comercio Esta opcin esta disponible para aquellos comercios que necesitan una verificacin inmediata de la transaccin para su gestin. Solo se podr realizar cuando la sincronizacin tome valor: Sncrona o Asncrona. Actualmente, existen 8 formas de realizar la contestacin on-line al comercio configurables desde el mdulo de administracin por su entidad financiera: 1. Email comercio. 2. Formulario http. Si falla email comercio: el comercio recibe un POST mediante http al Ds_Merchant_MerchantURL. Si no llega el POST se enva un email al comercio. 3. Formulario http+email comercio: el comercio recibe un POST mediante http al Ds_Merchant_MerchantURL y un email al correo indicado en el mdulo de administracin. 4. Formulario http: el Ds_Merchant_MerchantURL. comercio recibe un POST mediante http al

5. Email comercio. Si falla email entidad: se enva un email al comercio; si ste no llega se enva un email a la entidad adquirente. 6. Formulario http. Si falla email comercio. Si falla email entidad: el comercio recibe un POST mediante http al Ds_Merchant_MerchantURL. Si no llega el POST se enva un email al comercio; y si ste no llega se enva un email a la entidad adquirente. 7. Formulario http+email comercio. Si falla email entidad: el comercio recibe un POST mediante http al Ds_Merchant_MerchantURL y un email al correo indicado en el mdulo de administracin; si el email o el HTTP no llega al comercio se enva un email a la entidad adquirente. 8. Sin notificacin on-line: el comercio no recibe ningn tipo de respuesta on-line. 9. Formulario http+ email comercio operaciones autorizadas. Si falla email entidad: el comercio recibe un POST mediante http al Ds_Merchant_MerchantURL, y un email al correo indicado en el mdulo de administracin en el caso de operaciones autorizadas. Si el email o el http no llegan al comercio se enva un email a la entidad adquirente. 1.- Respuesta http: Recomendamos el uso de este mtodo, ya que garantiza la respuesta de forma inmediata. La respuesta http es un proceso independiente de la conexin con el navegador del cliente y no tiene ningn reflejo en pantalla del mismo. Evidentemente, en el lado del comercio, deber haber un proceso que recoja esta respuesta http. El protocolo utilizado en las respuestas puede ser http o https, el formato de este mensaje es un formulario HTML, enviado con el mtodo POST, y cuyos campos son los siguientes (en los campos Ds_Currency; Ds_Terminal; Ds_ConsumerLanguage la longitud se considera mxima por lo que no es imprescindible el relleno con ceros a la izquierda; la firma ser generada con los campos exactamente como se enven):

29

Gua de comercios.

DATO Fecha Hora Importe

NOMBRE DEL DATO

LONG/TIPO

COMENTARIOS Fecha de la transaccin Hora de la transaccin Mismo valor peticin. que en la

Ds_Date Ds_Hour Ds_Amount Ds_Currency Ds_Order Ds_MerchantCode

dd/mm/yyyy HH:mm 12 / Nm. 4 / Nm. 12 / A-N. 9 / N.

Moneda

Mismo valor que en la peticin. 4 se considera su longitud mxima. Mismo valor peticin. Mismo valor peticin. que que en en la la

Nmero de pedido Identificacin de comercio: cdigo FUC

Terminal

Ds_Terminal

3 / Nm.

Nmero de terminal que le asignar su banco. 3 se considera su longitud mxima. Ver a pie de pgina las instrucciones para su clculo. Ver tabla siguiente Informacin opcional enviada por el comercio en el formulario de pago. 0 Si el pago NO es seguro 1 Si el pago es seguro Tipo de operacin que se envi en el formulario de pago Pas de emisin de la tarjeta con la que se ha intentado realizar el pago. En el siguiente enlace es posible consultar los cdigos de pas y su correspondencia: http://unstats.un.org/unsd/m ethods/m49/m49alpha.htm Cdigo alfanumrico autorizacin asignado a aprobacin de transaccin por institucin autorizadora. de la la la

Firma para el comercio Cdigo de respuesta Datos del comercio

Ds_Signature Ds_Response Ds_MerchantData

40 / A-N 4 / Nm. 1024 / A-N

Pago Seguro

Ds_SecurePayment

1 / Nm.

Tipo de operacin

Ds_TransactionType

1 / A-N

Pas del titular

Ds_Card_Country

3/Nm

Cdigo de autorizacin

Ds_AuthorisationCode

6/ A-N

Idioma del titular

Ds_ConsumerLanguage

3 / Nm

El valor 0, indicar que no se ha determinado el idioma del cliente. (opcional). 3 se considera su longitud mxima. Valores posibles:

Tipo de Tarjeta

Ds_Card_Type

1 / A-N

C Crdito D - Dbito

Al igual que el ANEXO II se explica el procedimiento de clculo de la firma que protege los datos de la transaccin que el comercio ha generado, en caso de que ste desee recibir una respuesta on-line a las peticiones, el sistema le proporcionar una firma que garantiza a su vez la integridad de las respuestas. El algoritmo ser el mismo y la frmula a tener en cuenta para el clculo ser:

30

Gua de comercios.
Digest=SHA-1(Ds_ Amount + Ds_ Order + Ds_MerchantCode + Ds_ Currency + Ds _Response + CLAVE SECRETA)

La conexin utilizada para comunicar la confirmacin on-line entre el Cyberpac y el comercio puede ser SSL. Opcionalmente el comercio puede activar un filtro para limitar la recepcin de la confirmacin on-line solo desde el Cyberpac para evitar comunicaciones fraudulentas. El Cyberpac por defecto puede comunicar a los puertos 80, 443, 8080 y 8081 del comercio. Otros puertos debern ser consultados. Una vez que el comercio recibe el formulario, el cdigo de respuesta (ds_response) tendr los siguientes valores posibles:
CDIGO 0000 a 0099 0900 101 102 104 116 118 129 180 184 190 191 202 912/9912 Cualquier otro valor SIGNIFICADO Transaccin autorizada para pagos y preautorizaciones Transaccin autorizada para devoluciones y confirmaciones Tarjeta caducada Tarjeta en excepcin transitoria o bajo sospecha de fraude Operacin no permitida para esa tarjeta o terminal Disponible insuficiente Tarjeta no registrada Cdigo de seguridad (CVV2/CVC2) incorrecto Tarjeta ajena al servicio Error en la autenticacin del titular Denegacin sin especificar Motivo Fecha de caducidad errnea Tarjeta en excepcin transitoria o bajo sospecha de fraude con retirada de tarjeta Emisor no disponible Transaccin denegada

31

Gua de comercios. Nota: solo en el caso de las preautenticaciones (preautorizaciones separadas), se devuelve un 0 si est autorizada y el titular se autentica y, un 1 si est autorizada y el titular no se autentica. El Cyberpac efecta el envo de las notificaciones on-line para las operaciones de compra autorizadas y denegadas por la entidad emisora de la tarjeta, as como en aquellas situaciones en las que el proceso de compra ha sido interrumpido al haberse producido uno de los siguientes errores: SIS0051 -> Pedido repetido. Se enva notificacin con cdigo 913. SIS0078 -> Mtodo de pago no disponible para su tarjeta. Se enva notificacin con cdigo 118 SIS0093 -> Tarjeta no vlida. Se enva notificacin con cdigo 180. SIS0094 -> Error en la llamada al MPI sin controlar. Se enva notificacin con cdigo 184 SIS0218 -> El comercio no permite preatorizacion por la entrada XML. SIS0256 -> El comercio no puede realizar preautorizaciones. SIS0257 -> Esta tarjeta no permite operativa de preautorizaciones. SIS0261 -> Operacin detenida por superar el control de restricciones en la entrada al SIS. SIS0270 -> El comercio no puede realizar autorizaciones en diferido. SIS0274 -> Tipo de operacin desconocida o no permitida por esta entrada al SIS. El resto de errores del Cyberpac SIS mencionados en el ANEXO V de la presente gua, no se notifican. Asimismo, tampoco se enva notificacin en aquellos casos en los que la operacin no termine, por ejemplo por que el usuario no indica la tarjeta o cierra el navegador antes de que finalice la autenticacin.

32

Gua de comercios. 2.- Mtodo e-mail: El formato de contestacin es exactamente igual que en el mtodo anterior.
Cyberpac <TPVVirtual@sermepa.es> 20/08/2007 12:247 Para: cc: Asunto: Confirmacin On Line del Cyberpac

Fecha: 20/08/2007 Hora: 12:47; Ds_SecurePayment: 1; Ds_Card_Type: C; Ds_Card_Country: 724; Ds_Amount: 45; Ds_Currency: 978; Ds_Order: 070820124150; Ds_MerchantCode: 999008881; Ds_Terminal: 001; Ds_Signature: E2E5A14D690B869183CF3BA36E2B6005BB21F9C5; Ds_Response: 0000; Ds_MerchantData: Alfombrilla para raton; Server URL: sis-i.sermepa.es:25443; Ds_TransactionType: 0; Ds_ConsumerLanguage=1; Ds_AuthorisationCode: 004022 Tambin se podr solicitar que el TPV al finalizar la transaccin y pulsar el titular en el botn cerrar del recibo de compra, vaya a una ruta especificada por el comercio. Ofrecemos la posibilidad de ir a 2 rutas distintas en funcin de s la transaccin es autorizada o no. Estas son las rutas UrlOK y UrlCancel. Las rutas UrlOK y UrlCancel pueden recibir por GET los mismos datos que se envan mediante la respuesta http. Si tienen inters en utilizar esta posibilidad debern comunicar las URL de la opcin UrlOK y UrlCancel que se desean dar de alta a travs de su entidad financiera o enviarlas en el formulario de pago tal y como indica el ANEXO I.

33

Gua de comercios. ANEXO IV: Formato del archivo de transacciones El mdulo de Administracin del Cyberpac permite exportar un archivo con la informacin de las operaciones para que el comercio pueda tratarlo con su aplicacin preferida y procesar la informacin. Al exportar el archivo desde la aplicacin, esta permite cambiarle el nombre en el momento que el cliente selecciona la ruta donde desea guardarlo.El archivo contiene la informacin mostrada en la tabla de consultas. Los datos van separados por un; La separacin entre filas se marca con un salto de carro. La primera fila contiene nombres de campos y las restantes los datos correspondientes a cada fila mostrada en la tabla de consultas. Por ejemplo: Tras una consulta que diera como resultado tres operaciones, 2 el da 19 y una el da 20 el archivo descargado sera: Fecha;Hora;Tipo Operacin;Autorizacin;Pedido;Importe (Ptas);Importe (Euros);Importe Devolucin (Euros);
03/09/2002;00:00:31;Autorizacin;Denegada ;235838;75;0;0,45;0;

(Ptas);Importe

Devolucin

A continuacin se describe como se podra importar el archivo descargado en Microsoft Excel 00: Se debe abrir el archivo desde MS-Excel 00. Al asistente de Excel le tendr que especificar que el archivo es de tipo Delimitado y que comience a importar desde la fila 2 mientras que el formato sea Windows(ANSI). A continuacin tendr que especificar como el carcter separador al punto y coma en lugar del tabulador que esta seleccionado por defecto. A continuacin puede pulsar el botn Terminar para concluir el proceso o puede seguir para especificar el formato de cada columna. En MS-Access 00 el mismo proceso consiste en: Crear o Abrir una Base de Datos. Obtener Datos Externos en el men de Archivo y especifica el archivo que haya descargado y eligiendo como tipo de archivo TXT. Especifique el tipo como Delimitado. Especifique como separador al punto y coma y elija tambin Primera fila contiene nombre de campos. A continuacin especifique el nombre de la tabla o cree una tabla nueva para almacenar los datos. Texto. Compruebe el tipo de columna Pedido este especificado como tipo de dato A continuacin puede permitir a Access que agregue la clave principal.

34

Gua de comercios. Al menos que quiera personalizar algn otro detalle, los datos quedarn importados en la tabla. ANEXO V Tabla de cdigos de error del Cyberpac

ERROR SIS0007 SIS0008 SIS0009 SIS0010 SIS0011 SIS0014 SIS0015 SIS0016 SIS0017 SIS0018 SIS0019 SIS0020 SIS0021 SIS0022 SIS0023 SIS0024 SIS0025 SIS0026 SIS0027 SIS0028 SIS0030 SIS0031 SIS0033 SIS0034 SIS0037 SIS0038 SIS0040 SIS0041 SIS0042 SIS0043 SIS0046 SIS0051 SIS0054 SIS0055 SIS0056 SIS0057 SIS0058 SIS0059 SIS0060 SIS0061 SIS0062 SIS0063 SIS0064 SIS0065 SIS0066 SIS0067

DESCRIPCIN Error al desmontar el XML de entrada Error falta Ds_Merchant_MerchantCode Error de formato en Ds_Merchant_MerchantCode Error falta Ds_Merchant_Terminal Error de formato en Ds_Merchant_Terminal Error de formato en Ds_Merchant_Order Error falta Ds_Merchant_Currency Error de formato en Ds_Merchant_Currency Error no se admiten operaciones en pesetas Error falta Ds_Merchant_Amount Error de formato en Ds_Merchant_Amount Error falta Ds_Merchant_MerchantSignature Error la Ds_Merchant_MerchantSignature viene vaca Error de formato en Ds_Merchant_TransactionType Error Ds_Merchant_TransactionType desconocido Error Ds_Merchant_ConsumerLanguage tiene mas de 3 posiciones Error de formato en Ds_Merchant_ConsumerLanguage Error No existe el comercio / terminal enviado Error Moneda enviada por el comercio es diferente a la que tiene asignada para ese terminal Error Comercio / terminal est dado de baja Error en un pago con tarjeta ha llegado un tipo de operacin que no es ni pago ni preautorizacin Mtodo de pago no definido Error en un pago con mvil ha llegado un tipo de operacin que no es ni pago ni preautorizacin Error de acceso a la Base de Datos El nmero de telfono no es vlido Error en java Error el comercio / terminal no tiene ningn mtodo de pago asignado Error en el clculo de la HASH de datos del comercio. La firma enviada no es correcta Error al realizar la notificacin on-line El bin de la tarjeta no est dado de alta Error nmero de pedido repetido Error no existe operacin sobre la que realizar la devolucin Error existe ms de un pago con el mismo nmero de pedido La operacin sobre la que se desea devolver no est autorizada El importe a devolver supera el permitido Inconsistencia de datos, en la validacin de una confirmacin Error no existe operacin sobre la que realizar la confirmacin Ya existe una confirmacin asociada a la preautorizacin La preautorizacin sobre la que se desea confirmar no est autorizada El importe a confirmar supera el permitido Error. Nmero de tarjeta no disponible Error. El nmero de tarjeta no puede tener ms de 19 posiciones Error. El nmero de tarjeta no es numrico Error. Mes de caducidad no disponible Error. El mes de la caducidad no es numrico

MENSAJE (ANEXO VI) MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0000 MSG0000 MSG0000 MSG0000 MSG0000 MSG0000 MSG0008 MSG0008 MSG0008 MSG0008 MSG0002 MSG0001 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008

35

Gua de comercios.

ERROR SIS0068 SIS0069 SIS0070 SIS0071 SIS0072 SIS0074 SIS0075 SIS0076 SIS0077 SIS0078 SIS0079 SIS0081 SIS0084 SIS0085 SIS0086 SIS0089 SIS0092 SIS0093 SIS0094 SIS0097 SIS0098 SIS0112 SIS0113 SIS0114 SIS0115 SIS0116 SIS0117 SIS0118 SIS0119 SIS0120 SIS0121 SIS0122 SIS0123 SIS0124 SIS0132 SIS0133 SIS0139 SIS0142 SIS0197 SIS0198 SIS0199 SIS0200 SIS0214 SIS0216 SIS0217 SIS0218 SIS0219

DESCRIPCIN Error. El mes de la caducidad no es vlido Error. Ao de caducidad no disponible Error. El Ao de la caducidad no es numrico Tarjeta caducada Operacin no anulable Error falta Ds_Merchant_Order Error el Ds_Merchant_Order tiene menos de 4 posiciones o ms de 12 Error el Ds_Merchant_Order no tiene las cuatro primeras posiciones numricas Error el Ds_Merchant_Order no tiene las cuatro primeras posiciones numricas. No se utiliza Mtodo de pago no disponible Error al realizar el pago con tarjeta La sesin es nueva, se han perdido los datos almacenados El valor de Ds_Merchant_Conciliation es nulo El valor de Ds_Merchant_Conciliation no es numrico El valor de Ds_Merchant_Conciliation no ocupa 6 posiciones El valor de Ds_Merchant_ExpiryDate no ocupa 4 posiciones El valor de Ds_Merchant_ExpiryDate es nulo Tarjeta no encontrada en la tabla de rangos La tarjeta no fue autenticada como 3D Secure Valor del campo Ds_Merchant_CComercio no vlido Valor del campo Ds_Merchant_CVentana no vlido Error El tipo de transaccin especificado en Ds_Merchant_Transaction_Type no esta permitido Excepcin producida en el servlet de operaciones Error, se ha llamado con un GET en lugar de un POST Error no existe operacin sobre la que realizar el pago de la cuota La operacin sobre la que se desea pagar una cuota no es una operacin vlida La operacin sobre la que se desea pagar una cuota no est autorizada Se ha excedido el importe total de las cuotas Valor del campo Ds_Merchant_DateFrecuency no vlido Valor del campo Ds_Merchant_ChargeExpiryDate no vlido Valor del campo Ds_Merchant_SumTotal no vlido Valor del campo Ds_Merchant_DateFrecuency Ds_Merchant_SumTotal tiene formato incorrecto Se ha excedido la fecha tope para realizar transacciones No ha transcurrido la frecuencia mnima en un pago recurrente sucesivo La fecha de Confirmacin de Autorizacin no puede superar en mas de 7 das a la de Preautorizacin. La fecha de Confirmacin de Autenticacin no puede superar en mas de 45 das a la de Autenticacin Previa. Error el pago recurrente inicial est duplicado Tiempo excedido para el pago Error al obtener los datos de cesta de la compra en operacin tipo pasarela Error el importe supera el lmite permitido para el comercio Error el nmero de operaciones supera el lmite permitido para el comercio Error el importe acumulado supera el lmite permitido para el comercio El comercio no admite devoluciones Error Ds_Merchant_CVV2 tiene mas de 3 posiciones Error de formato en Ds_Merchant_CVV2 El comercio no permite operaciones seguras por la entrada /operaciones Error el nmero de operaciones de la tarjeta supera el lmite o no

MENSAJE (ANEXO VI) MSG0008 MSG0008 MSG0008 MSG0000 MSG0000 MSG0008 MSG0008 MSG0008 MSG0000 MSG0005 MSG0000 MSG0007 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0006 MSG0004 MSG0008 MSG0008 MSG0008 MSG0008 MSG0000 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0000 MSG0000 MSG0000 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008

36

Gua de comercios.

ERROR

DESCRIPCIN permitido para el comercio

MENSAJE (ANEXO VI) MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0006 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008 MSG0008

SIS0220 SIS0221 SIS0222 SIS0223 SIS0224 SIS0225 SIS0226 SIS0227 SIS0229 SIS0252 SIS0253 SIS0254 SIS0255 SIS0256 SIS0257 SIS0258 SIS0261 SIS0270 SIS0274

Error el importe acumulado de la tarjeta supera el lmite permitido para el comercio Error el CVV2 es obligatorio Ya existe una anulacin asociada a la preautorizacin La preautorizacin que se desea anular no est autorizada El comercio no permite anulaciones por no tener firma ampliada Error no existe operacin sobre la que realizar la anulacin Inconsistencia de datos, en la validacin de una anulacin Valor del campo Ds_Merchant_TransactionDate no vlido No existe el cdigo de pago aplazado solicitado El comercio no permite el envo de tarjeta La tarjeta no cumple el check-digit El nmero de operaciones de la IP supera el lmite permitido por el comercio El importe acumulado por la IP supera el lmite permitido por el comercio El comercio no puede realizar preautorizaciones Esta tarjeta no permite operativa de preautorizaciones Inconsistencia de datos, en la validacin de una confirmacin Operacin detenida por superar el control de restricciones en la entrada al SIS El comercio no puede realizar autorizaciones en diferido Tipo de operacin desconocida o no permitida por esta entrada al SIS

37

Gua de comercios. ANEXO VI Tabla de mensajes de error del Cyberpac En la siguiente tabla se muestran los mensajes que se muestran al titular ante los diferentes errores. Solo se incluyen los textos en castellano, se debe tener en cuenta que estarn traducidos al idioma utilizado por el titular.

CDIGO MSG0000 MSG0001 MSG0002 MSG0003 MSG0004 MSG0005 MSG0006 MSG0007 MSG0008

MENSAJE El sistema est ocupado, intntelo ms tarde Nmero de pedido repetido El BIN de la tarjeta no est dado de alta en FINANET El sistema est arrancando, intntelo en unos momentos Error de Autenticacin. No existe mtodo de pago vlido para su tarjeta. Tarjeta ajena al servicio. Faltan datos. Por favor, compruebe que su "navegador" acepta cookies. Error en datos enviados. Contacte con su comercio.

38

Gua de comercios. ANEXO VII Mensajes XML 1. Especificacin del documento DATOSENTRADA. Este mensaje se enva para solicitar una operacin al SIS: Versin 1.0 :
<!ELEMENT DATOSENTRADA (DS_Version, DS_MERCHANT_AMOUNT, DS_MERCHANT_CURRENCY, DS_MERCHANT_ORDER, DS_MERCHANT_MERCHANTCODE, DS_MERCHANT_MERCHANTURL, DS_MERCHANT_MERCHANTNAME ?, DS_MERCHANT_CONSUMERLANGUAGE ?, DS_MERCHANT_MERCHANTSIGNATURE, DS_MERCHANT_TERMINAL, DS_MERCHANT_TRANSACTIONTYPE, DS_MERCHANT_MERCHANTDATA ?, DS_MERCHANT_PAN?, DS_MERCHANT_EXPIRYDATE ?, DS_MERCHANT_CVV2 ?)> <!ELEMENT DS_Version (#PCDATA)> <!ELEMENT DS_MERCHANT_AMOUNT (#PCDATA)> <!ELEMENT DS_MERCHANT_CURRENCY (#PCDATA)> <!ELEMENT DS_MERCHANT_ORDER (#PCDATA)> <!ELEMENT DS_MERCHANT_MERCHANTCODE (#PCDATA)> <!ELEMENT DS_MERCHANT_MERCHANTURL (#PCDATA)> <!ELEMENT DS_MERCHANT_MERCHANTNAME (#PCDATA)> <!ELEMENT DS_MERCHANT_CONSUMERLANGUAGE (#PCDATA)> <!ELEMENT DS_MERCHANT_MERCHANTSIGNATURE (#PCDATA)> <!ELEMENT DS_MERCHANT_TERMINAL (#PCDATA)> <!ELEMENT DS_MERCHANT_TRANSACTIONTYPE (#PCDATA)> <!ELEMENT DS_MERCHANT_MERCHANTDATA (#PCDATA)> <!ELEMENT DS_MERCHANT_PAN (#PCDATA)> <!ELEMENT DS_MERCHANT_EXPIRYDATE (#PCDATA)> <!ELEMENT DS_MERCHANT_CVV2 (#PCDATA)>

Donde:
DS_Version: Versin de la DTD utilizada para validar el mensaje XML DS_MERCHANT_AMOUNT: ver ANEXO I. DS_MERCHANT_CURRENCY: ver ANEXO I. DS_MERCHANT_ORDER: ver ANEXO I. DS_MERCHANT_MERCHANTCODE: ver ANEXO I. DS_MERCHANT_MERCHANTURL: ver ANEXO I. DS_MERCHANT_MERCHANTNAME: ver ANEXO I. DS_MERCHANT_CONSUMERLANGUAGE : ver ANEXO I. DS_MERCHANT_MERCHANTSIGNATURE: SHA1 de los campos Ds_Merchant_Amount + Ds_Merchant_Order +Ds_Merchant_MerchantCode DS_Merchant_Currency + DS_MERCHANT_PAN + DS_MERCHANT_CVV2 + DS_MERCHANT_TRANSACTIONTYPE + CLAVE SECRETA. DS_MERCHANT_PAN solo se incluir si se enva en el mensaje. DS_MERCHANT_CVV2 solo se incluir si se enva en el mensaje.

39

Gua de comercios.
DS_MERCHANT_TERMINAL: ver ANEXO I. DS_MERCHANT_TRANSACTIONTYPE: solo se permiten los tipos: 2- Confirmacin 3- Devolucin Automtica 6- Transaccin Sucesiva 8- Confirmacin de Autenticacin 9- Anulaciones de preautorizaciones 1-Preautorizacin (vlido solo si el comercio trabaja nicamente en modo no seguro) O Autorizacin en diferido P - Confirmacin de autorizacin en diferido Q - Anulacin de autorizacin en diferido R Autorizacin recurrente inicial diferido S Autorizacin recurrente sucesiva diferido DS_MERCHANT_MERCHANTDATA: ver ANEXO I. DS_MERCHANT_PAN: nmero de tarjeta. DS_MERCHANT_EXPIRYDATE: fecha caducidad (AAMM). DS_MERCHANT_AUTHORISATIONCODE: solo vlido para devoluciones de transacciones recurrentes sucesivas. Ver ANEXO I. DS_MERCHANT_TRANSACTIONDATE: solo vlido para devoluciones de transacciones recurrentes sucesivas. Ver ANEXO I. DS_MERCHANT_CVV2: Cdigo CVV2/CVC2 de la tarjeta (Dato opcional). En caso de que se incluya, se debe aadir a la firma, de la siguiente manera: firma = SHA1(datos + clave_entidad) Donde datos es una cadena formada por:

datos=importe + pedido + comercio + moneda - Si es una autorizacin o preautorizacin: datos = datos + tarjeta - Si adems de ser pago tradicional, se enva CVV2: datos = datos + CVV2 Por ltimo, siempre se le aade el tipo de operacin: datos = datos + tipo_operacin

A continuacin se muestra un ejemplo del mensaje:

<DATOSENTRADA> <DS_Version> 0.1 </DS_Version> <DS_MERCHANT_CURRENCY> 978 </DS_MERCHANT_CURRENCY> <DS_MERCHANT_MERCHANTURL> https://pruebaCom.jsp </DS_MERCHANT_MERCHANTURL> <DS_MERCHANT_TRANSACTIONTYPE> 2 </DS_MERCHANT_TRANSACTIONTYPE> <DS_MERCHANT_MERCHANTDATA> Alfombrilla+para+raton </DS_MERCHANT_MERCHANTDATA>

40

Gua de comercios.
<DS_MERCHANT_AMOUNT> 45 </DS_MERCHANT_AMOUNT> <DS_MERCHANT_MERCHANTNAME> Comercio de Pruebas </DS_MERCHANT_MERCHANTNAME> <DS_MERCHANT_MERCHANTSIGNATURE> a63dfa507e549936f41f4961ccdace126b8ecdea </DS_MERCHANT_MERCHANTSIGNATURE> <DS_MERCHANT_TERMINAL> 1 </DS_MERCHANT_TERMINAL> <DS_MERCHANT_MERCHANTCODE> 999008881 </DS_MERCHANT_MERCHANTCODE> <DS_MERCHANT_ORDER> 114532 </DS_MERCHANT_ORDER> </DATOSENTRADA>

41

Gua de comercios.

2.

Especificacin del documento RETORNOXML. Este mensaje es el que SERMEPA enviar como resultado de la operacin en el SIS: Versin 0.0
<!ELEMENT RETORNOXML (DS_Version ?,CODIGO,(OPERACION|RECIBIDO ))> <!ELEMENT DS_Version (#PCDATA)> <!ELEMENT CODIGO (#PCDATA)>

<!ELEMENT OPERACION (Ds_Amount, Ds_Currency, Ds_Order, Ds_Signature, Ds_MerchantCode, Ds_Terminal, Ds_Response, Ds_AuthorisationCode,Ds_TransactionType, Ds_SecurePayment, Ds_Reference ?, Ds_Language ?, Ds_CardNumber ?, Ds_ExpiryDate ?, Ds_MerchantData ?, Ds_MerchantDTD)>
<!ELEMENT Ds_Amount (#PCDATA)> <!ELEMENT Ds_Currency (#PCDATA)> <!ELEMENT Ds_Order (#PCDATA)> <!ELEMENT Ds_Signature (#PCDATA)> <!ELEMENT Ds_MerchantCode (#PCDATA)> <!ELEMENT Ds_Terminal (#PCDATA)> <!ELEMENT Ds_Response (#PCDATA)> <!ELEMENT Ds_AuthorisationCode (#PCDATA)> <!ELEMENT Ds_TransactionType (#PCDATA)> <!ELEMENT Ds_SecurePayment (#PCDATA)> <!ELEMENT Ds_Reference (#PCDATA)> <!ELEMENT Ds_Language (#PCDATA)> <!ELEMENT Ds_CardNumber (#PCDATA)> <!ELEMENT Ds_ExpiryDate (#PCDATA)> <!ELEMENT Ds_MerchantData (#PCDATA)> <!ELEMENT RECIBIDO (#PCDATA)>

Donde:
DS_Version: versin de la DTD utilizada para validar el XML. CDIGO: indica si la operacin ha sido correcta o no (no indica si ha sido autorizada, solo si se ha procesado). Un 0 indica que la operacin ha sido correcta. En el caso de que sea distinto de 0, tendr el cdigo del error y no aparecer la informacin de la operacin. CDIGO no es Ds_Response una operacin puede tener un CDIGO = 0 y ser Denegada (Ds_Response distinto de 0). Ds_Amount: importe de la operacin. Ds_Currency: moneda de la operacin. Ds_Order: pedido de la operacin. Ds_Signature: firma de la operacin, se calcula con los campos. Ds_Amount + Ds_Order + Ds_MerchantCode + Ds_Currency + Ds_Response + Ds_CardNumber + Ds_TransactionType + Ds_SecurePayment + Clave. El campo Ds_CardNumber solo formar parte de la firma en caso de que se enve la tarjeta. Si la tarjeta se enva asteriscada, el campo Ds_CardNumber tambin formar parte de la firma con el valor asteriscado. Ds_MerchantCode: cdigo de comercio de la operacin. Ds_Terminal: nmero de terminal de la operacin. Ds_Response: valor que indica el resultado de la operacin. Indicar si ha sido autorizada o no. Sus valores posibles son los de PRICE. Ds_AuthorisationCode: cdigo de autorizacin en caso de existir. Ds_TransactionType: tipo de operacin realizada. Ds_MerchantData: ver ANEXO I. Ds_SecurePayment: ver ANEXO III. Ds_Reference: campo opcional para pago por referencia. Ds_Language: indica idioma enviado por el comercio. Ds_CardNumber: nmero de tarjeta de crdito (solo se enva si la entidad as lo ha definido). Ds_ExpiryDate: ao y mes de caducidad de la tarjeta AAMM (solo se enva si la entidad as lo ha definido). Ds_CardType: indica si la tarjeta con la que se ha efectuado la operacin es de crdito o dbito. RECIBIDO: es una cadena de texto que contiene el XML que el comercio nos envi mediante POST en el campo entrada.

42

Gua de comercios.

El campo DS_Version solo aparecer en caso de que la operacin haya sido correcta ya que es un valor que nos enva el comercio en caso de no ser correcta el dato ir en el campo RECIBIDO. El hecho de que enviemos el dato OPERACION o RECIBIDO depende tambin de que la operacin sea correcta o no. A continuacin se muestran 3 ejemplos del mensaje: 1- Operacin correcta y Autorizada:
<RETORNOXML> <DS_Version>1.0</DS_Version> <CODIGO>0</CODIGO> <OPERACION> <Ds_Amount>100</DS_Amount> <Ds_Currency>978</DS_Currency> <Ds_Order>0001</DS_Order> <Ds_Signature>EEFF45687hgth</DS_Signature> <Ds_MerchantCode>999008881</DS_MerchantCode> <Ds_Terminal>1</DS_Terminal> <Ds_Response>0</DS_Response> <Ds_AuthorisationCode>222FFF</ Ds_AuthorisationCode> <Ds_TransactionType>2</ Ds_TransactionType > <Ds_SecurePayment>1</Ds_SecurePayment> <Ds_MerchantData>Mis Datos</ Ds_MerchantData> </OPERACION> </RETORNOXML>

2 - Operacin correcta y denegada (190 Denegada por la entidad):

<RETORNOXML> <DS_Version>1.0</ DS_Version > <CODIGO>0</CODIGO> <OPERACION> <Ds_Amount>100</DS_Amount> <Ds_Currency>978</DS_Currency> <Ds_Order>0001</DS_Order> <Ds_Signature>EEFF45687hgth</DS_Signature> <Ds_MerchantCode>999008881</DS_MerchantCode> <Ds_Terminal>1</DS_Terminal> <Ds_Response>190</DS_Response> <Ds_AuthorisationCode>222FFF</ Ds_AuthorisationCode> <Ds_TransactionType>2 Ds_TransactionType > <Ds_SecurePayment>1</Ds_SecurePayment> <Ds_MerchantData>Mis Datos</ Ds_MerchantData> </OPERACION> </RETORNOXML>

43

Gua de comercios.

3 - Operacin incorrecta ( 051 N de Pedido Repetido). Nunca ser autorizada:

<RETORNOXML> <CODIGO>SIS0051</CODIGO> <RECIBIDO> <DATOSENTRADA> <DS_MERCHANT_CURRENCY> 978 </DS_MERCHANT_CURRENCY> <DS_MERCHANT_MERCHANTURL> https://pruebaCom.jsp </DS_MERCHANT_MERCHANTURL> <DS_MERCHANT_TRANSACTIONTYPE> 2 </DS_MERCHANT_TRANSACTIONTYPE> <DS_MERCHANT_MERCHANTDATA> Alfombrilla+para+raton </DS_MERCHANT_MERCHANTDATA> <DS_MERCHANT_AMOUNT> 45 </DS_MERCHANT_AMOUNT> <DS_MERCHANT_MERCHANTNAME> Comercio de Pruebas </DS_MERCHANT_MERCHANTNAME> <DS_MERCHANT_MERCHANTSIGNATURE> a63dfa507e549936f41f4961ccdace126b8ecdea </DS_MERCHANT_MERCHANTSIGNATURE> <DS_MERCHANT_TERMINAL> 1 </DS_MERCHANT_TERMINAL> <DS_MERCHANT_MERCHANTCODE> 999008881 </DS_MERCHANT_MERCHANTCODE> <DS_MERCHANT_ORDER> 114532 </DS_MERCHANT_ORDER> <DS_Version> 1.0 </ DS_Version > </DATOSENTRADA> </RECIBIDO> </RETORNOXML>

44

Gua de comercios. ANEXO VIII Sincronizacin SOAP Este nuevo mtodo de sincronizacin permite al comercio recibir una notificacin de la transaccin en un servicio SOAP. Si el comercio no tiene privilegios para activar este permiso con su usuario, deber solicitar la activacin a travs de su entidad. Esta sincronizacin es una notificacin en si, por lo que no tiene sentido rellenar el campo de notificacin online, ya que no se tomar en cuenta. Si la opcin SincronizacinSOAP est habilitada para un comercio significar que el SIS enviar las notificaciones para operaciones de Autorizacin, Preautorizacin, Autorizacin en diferido, Transaccin Recurrente y Autenticacin como peticiones SOAP a un servicio que tendr publicado el comercio. Para el resto de operaciones las notificaciones se realizarn de forma sncrona y segn la opcin elegida en la configuracin del comercio para las notificaciones on-line. La principal particularidad de esta notificacin es que el SIS espera una respuesta a la notificacin antes de presentar el resultado de la operacin al titular que est realizando la compra. En el caso en el que el comercio devuelva una respuesta con valor KO o se produzca un error durante el proceso de notificacin, el SIS anular la operacin y presentar al titular un recibo con el resultado KO, es decir, el SIS supedita el resultado de la operacin a la respuesta que obtenga del comercio en la notificacin. La URL del rpcrouter al que se conectar el SIS y donde estar publicado el servicio SOAP, deber enviarla el comercio en el parmetro 'Ds_Merchant_MerchantURL' del formulario de entrada al SIS. Este campo es el que actualmente se est utilizando para la notificacin http. El servicio SOAP que deben publicar los comercios debe tener las siguientes caractersticas: El servicio deber llamarse InotificacionSIS y ofrecer un mtodo llamado procesaNotificacionSIS. Este mtodo estar definido con un parmetro de entrada tipo cadena XML y otro parmetro de salida del mismo tipo. Para ms informacin, se adjunta un fichero WSDL a partir del cual se puede construir el esqueleto del servidor y que servir para definir los tipos de datos que se intercambiarn entre cliente y servidor, de cara a facilitar la comunicacin. El formato de los mensajes que se intercambiarn en este servicio debern ajustarse a la siguiente dtd: Mensaje de notificacin enviado desde el SIS con los datos de la operacin correspondiente:

45

Gua de comercios.
<!ELEMENT Message (Request, Signature)> <!ELEMENT Request (Fecha, Hora, Ds_SecurePayment, Ds_Amount, Ds_Currency, Ds_Order, Ds_MerchantCode, Ds_Terminal, Ds_Response, Ds_MerchantData?, Ds_Card_Type?, Ds_TransactionType, Ds_ConsumerLanguage, Ds_ErrorCode?, Ds_CardCountry?, Ds_AuthorisationCode?)> <!ATTLIST Request Ds_Version CDATA #REQUIRED> <!ELEMENT Fecha (#PCDATA)> <!ELEMENT Hora (#PCDATA)> <!ELEMENT Ds_SecurePayment (#PCDATA)> <!ELEMENT Ds_Amount (#PCDATA)> <!ELEMENT Ds_Currency (#PCDATA)> <!ELEMENT Ds_Order (#PCDATA)> <!ELEMENT Ds_MerchantCode (#PCDATA)> <!ELEMENT Ds_Terminal (#PCDATA)> <!ELEMENT Ds_Response (#PCDATA)> <!ELEMENT Ds_MerchantData (#PCDATA)> <!ELEMENT Ds_Card_Type (#PCDATA)> <!ELEMENT Ds_TransactionType (#PCDATA)> <!ELEMENT Ds_ConsumerLanguage (#PCDATA)> <!ELEMENT Ds_ErrorCode (#PCDATA)> <!ELEMENT Ds_CardCountry (#PCDATA)> <!ELEMENT Ds_AuthorisationCode (#PCDATA)> <!ELEMENT Signature (#PCDATA)>

Para generar el valor del campo Signature en el mensaje de notificacin del comercio aplicaremos un SHA-1 a la cadena resultante de concatenar el mensaje <Request ...></Request> con la clave del comercio. Ejemplo: Sea el siguiente mensaje:
<Message> <Request Ds_Version="0.0"> <Fecha>01/04/2003</Fecha> <Hora>16:57</Hora> <Ds_SecurePayment>1</Ds_SecurePayment> <Ds_Amount>345</Ds_Amount> <Ds_Currency>978</Ds_Currency> <Ds_Order>165446</Ds_Order> <Ds_MerchantCode>999008881</Ds_MerchantCode> <Ds_Terminal>001</Ds_Terminal> <Ds_Card_Country>724</Ds_Card_Country> <Ds_Response>0000</Ds_Response> <Ds_MerchantData>Alfombrilla para raton</Ds_MerchantData> <Ds_Card_Type>C</Ds_Card_Type> <Ds_TransactionType>1</Ds_TransactionType> <Ds_ConsumerLanguage>1</Ds_ConsumerLanguage> </Request> </Message>

46

Gua de comercios.

La firma se calcular as (siendo la clave secreta qwertyasdf0123456789): firma = SHA-1 (

<Request Ds_Version="0.0"><Fecha>01/04/2003</Fecha><Hora>16:57</Hora><Ds_SecurePayment>1</Ds_SecurePayment ><Ds_Amount>345</Ds_Amount><Ds_Currency>978</Ds_Currency><Ds_Order>165446</Ds_Order><Ds_Mercha ntCode>999008881</Ds_MerchantCode><Ds_Terminal>001</Ds_Terminal><Ds_Card_Country>724</Ds_Card_Co untry><Ds_Response>0000</Ds_Response><Ds_MerchantData>Alfombrilla para raton</Ds_MerchantData><Ds_Card_Type>C</Ds_CardType><Ds_TransactionType>1</Ds_TransactionType><Ds _ConsumerLanguage>1</Ds_ConsumerLanguage></Request>qwertyasdf0123456789

) resultado = c0026a953d4b4d52c360751bdad8476de311d36e

Mensaje de respuesta del comercio a la notificacin:

<!ELEMENT Message (Response, Signature)> <!ELEMENT Response (Ds_Response_Merchant)> <!ATTLIST Response Ds_Version CDATA #REQUIRED> <!ELEMENT Ds_Response_Merchant (#PCDATA)> <!ELEMENT Signature (#PCDATA)>

Los posibles valores que podr tomar la etiqueta Ds_Response_Merchant sern: 'OK' cuando la notificacin se ha recibido correctamente. 'KO' cuando se ha producido algn error. Para generar el valor del campo Signature en el mensaje de respuesta del comercio aplicaremos un SHA-1 a la cadena resultante de concatenar el mensaje <Response></Response> con la clave del comercio. Ejemplos de mensajes intercambiados en una notificacin con Sincronizacin SOAP: Mensaje de notificacin enviado desde el SIS:
<Message> <Request Ds_Version="0.0"> <Fecha>01/04/2003</Fecha> <Hora>16:57</Hora> <Ds_SecurePayment>1</Ds_SecurePayment> <Ds_Amount>345</Ds_Amount> <Ds_Currency>978</Ds_Currency> <Ds_Order>165446</Ds_Order> <Ds_Card_Type>C</Ds_ Card_Type > <Ds_MerchantCode>999008881</Ds_MerchantCode> <Ds_Terminal>001</Ds_Terminal> <Ds_Card_Country>724</Ds_Card_Country> <Ds_Response>0000</Ds_Response> <Ds_MerchantData>Alfombrilla para raton</Ds_MerchantData> <Ds_TransactionType>1</Ds_TransactionType> <Ds_ConsumerLanguage>1</Ds_ConsumerLanguage> </Request> <Signature>efc52623500b6174af3216190373ba35360e99d5</Signature> </Message>

47

Gua de comercios. Mensaje de respuesta desde el comercio al SIS:

<Message> <Response Ds_Version="0.0"> <Ds_Response_Merchant>OK</Ds_Response_Merchant> </Response> <Signature>adb300af20b477f6438a3f9fb671b3d9afccb444</Signature> </Message>

WSDL para el servicio InotificacionSIS Los comercios que deseen desarrollar un servicio SOAP deben ajustarse a esta WSDL. A partir de ella y, mediante herramientas de generacin automtica de cdigo, se puede desarrollar el esqueleto del servidor SOAP de forma cmoda y rpida. La WSDL que debe cumplir el servicio SOAP desarrollado por el cliente es la siguiente:
<?xml version="1.0" encoding="UTF-8"?> <definitions name="InotificacionSIS" targetNamespace=https://sis.sermepa.es/sis/InotificacionSIS.wsdl xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:tns="https://sis.sermepa.es/sis/InotificacionSIS.wsdl" xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns="http://schemas.xmlsoap.org/wsdl/"> <message name="procesaNotificacionSISRequest"> <part name="XML" type="xs:string"/> </message> <message name="procesaNotificacionSISResponse"> <part name="return" type="xs:string"/> </message> <portType name="InotificacionSISPortType"> <operation name="procesaNotificacionSIS"> <input message="tns:procesaNotificacionSISRequest"/> <output message="tns:procesaNotificacionSISResponse"/> </operation> </portType> <binding name="InotificacionSISBinding" type="tns:InotificacionSISPortType"> <soap:binding style="rpc" transport="http://schemas.xmlsoap.org/soap/http"/> <operation name="procesaNotificacionSIS"> <soap:operation soapAction="urn:InotificacionSIS#procesaNotificacionSIS" style="rpc"/> <input> <soap:body use="encoded" encodingStyle=http://schemas.xmlsoap.org/soap/encoding/ namespace="InotificacionSIS"/> </input> <output> <soap:body use="encoded" encodingStyle=http://schemas.xmlsoap.org/soap/encoding/ namespace="InotificacionSIS"/> </output> </operation> </binding> <service name="InotificacionSISService"> <port name="InotificacionSIS" binding="tns:InotificacionSISBinding"> <soap:address location="http://localhost/WebServiceSIS/InotificacionSIS.asmx"/> </port> </service> </definitions>

48