Versões comparadas

Versão antiga 3

changes.mady.by.user José Daniel Valor

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Sabrina Zimmermann

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Comentário: Migration of unmigrated content due to installation of a new plugin


Image Removed 
Image Added




VTOL CD AR - Guía de

...

implementación 3.8.0.12

...

- Multiempresa

 


Painel
borderColor#E4E3E3
bgColor#ffffff
titleColor#ffffff
borderWidth1px
titleBGColor#704581
titleREVISIONES


Expandir
titleExpandir revisiones


Fecha

Revisión

Cambios – Motivo

19/04/2010

1.0

Creación del documento

08/06/2010

1.1

Agregado de servicio Linux

05/08/2010

1.2

Correcciones generales

18/08/2010

1.3

Revisión de puntos conforme la norma PCI DSS 1.2 y PA DSS 1.2

06/10/2010

1.4

Correcciones generales

10/11/2010

1.5

Correcciones finales en base a informe elaborado por QA de seguridad.

17/11/2011

1.6

Cambio del procedimiento del apartado 13.1, activación modo DEBUG

18/09/2013

1.7

Cambio en manera de instalar la aplicación. Apartado 7.2 indica la pre – instalación mediante el uso del instalador, y apartado 7.3 indica la instalación de los componentes en el servidor de aplicaciones.

13/06/2014

1.8

Revisión de documentación anual

14/07/2014

1.9

Corrección del borrado seguro de logs, para la versión 3.6 a 3.7 y para la versión actual.
Corrección de procesos de claves encriptadas y utilización de la herramienta Cryptool.

13/08/2014

2.0

Centralización de logs, auditoría tabla RS_AUDIT

09/09/2014

2.1

Revisión de puntos conforme la norma PCI DSS 2.0 y PA DSS 2.0

28/08/2015

2.2

Agregado de manera de instalar la aplicación de forma completa mediante el asistente de configuración y cambio en manera de instalar la aplicación de forma avanzada. Apartado 7.1 Escenarios de instalación

05/11/2015

2.3

Revisión de documentación anual

20/10/2016

2.4

Ajustes en el manual conforme a la norma PCI DSS 3.2 y PA DSS 3.2

17/03/2017

2.5

Actualización instalación y propiedades de configuración de sistema con detalle de multiconexión por canal

07/06/2017

2.6

Ajustes y revisión en el manual conforme a la norma PCI PA DSS 3.2
Agregado de anexos "Configuraciones del sistema operativo y base de datos", "Formulario de Clave Custodio de VTOL" y "Flujograma del Proceso de Autorización con E-commerce"

28/08/20182.7Agregado de apartado "Flujo de implementación"
03/04/20192.8Agregado de la manera de instalar VTOL para multiempresa. Explicación para instalar VTOL Engine y VTOL Admin
24/07/20192.9Se agrega explicación para instalar VTOL en Linux
04/12/20193.0

Se agrega el apartado "Iniciar/Detener VTOL Engine como servicio"
Se actualiza el apartado "Flujo de implementación"
Se actualizan imágenes de la instalación
Se actualizan imágenes de la consola
Se agrega el apartado "Iniciar/Detener VTOL Admin como servicio"
Se agrega el apartado "Configuración de protocolos para iniciar VTOL en cluster"
Se agrega el apartado "Pruebas de la funcionalidad en cluster"
Se agrega el apartado "Desactivar funcionalidad de cluster"

10/03/20203.1Se agrega la versión Wildfly 18. Dicha versión debe utilizarse para instalar VTOL Server.
04/01/20213.2Agregado de funcionalidad para instalar VTOL Server con Licencias.
01/04/20213.3Agregado de configuración para cambio de carpeta de log de la aplicación.
07/04/20213.4Agregado de configuración de log para activarlo en modo debug.
12/04/20213.5Se actualiza la forma de iniciar VTOL Admin como servicio.
30/09/20213.6Se actualiza los permisos que se deben asignar en Base de Datos para auditoría.

...





Painel
borderColor#E4E3E3
titleColor#ffffff
borderWidth1
titleBGColor#704581
titleCONTENIDO


Expandir
titleExpandir contenido

Índice





Âncora
_Ref402522277
_Ref402522277
Âncora
_Ref402522280
_Ref402522280
Âncora
_Ref402522282
_Ref402522282
Âncora
_Ref402522285
_Ref402522285
Âncora
_Ref402522287
_Ref402522287
Âncora
_Ref402522290
_Ref402522290
Âncora
_Ref402522296
_Ref402522296
Âncora
_Ref402522302
_Ref402522302
Âncora
_Toc492667791
_Toc492667791
1. Objetivo

El objetivo de este documento es ofrecer una guía completa del proceso de implementación del producto VTOL 3.8.
Asimismo, esta guía cuenta con un detalle de información y recomendaciones para el cumplimiento de los estándares PCI DSS (Payment Card Industry Data Security Standard) y PA DSS (Payment Application Data Security Standard).

...

Caso de Uso: Autorización de una transacción

 

 

 




Orden

Componente

Acción

Comunicación

1

C1

El POS (ubicado en la tienda dentro de la WAN de la empresa) inicia una transacción de venta, anulación o devolución contra EMV KIT especificando el monto y las cuotas.
La Aplicación de Punto de Venta abre el puerto TCPIP por defecto (3500) contra EMV KIT. Este inicia una comunicación contra el pinpad conectado por puerto USB para capturar información de la tarjeta (PAN, Track I, Track II, CVC, fecha de vencimiento, etc).
Finalizada la captura, EMV KIT se comunica con VTOL Server (ubicado en la DMZ del DataCenter de la empresa) a través de TCPIP, basado en el protocolo denominado "Protocolo VTOL", a la IP donde reside y al puerto 3000 y le envía el requerimiento para su validación y autorización., esperando la respuesta por un máximo de 20 segundos.

TCPIP

2

C2

Los datos de la autorización pasan por el Firewall principal (ubicado entre la WAN y la LAN de la empresa). Este los deja pasar ya que el puerto 3000 de VTOL Server está habilitado.

TCPIP

3

C3

VTOL Server recibe la petición de autorización originada por EMV KIT, por medio de un socket server junto con los datos sensibles de la tarjeta.
Una vez recibido el mensaje, el mismo proceso valida el formato de la transacción, graba la transacción en la base de datos y envía la petición al centro autorizador correspondiente.

TCPIP

4

C4

VTOL Server graba la transacción de autorización en la base de datos ubicada en la LAN de la empresa. Los datos sensibles son almacenados encriptados con 3DES utilizando un mecanismo de administración dinámica y aleatoria de llaves.
El acceso a la base de datos se hace por medio del estándar JDBC utilizando el driver requerido por el motor de base de datos.

TCPIP

5

C3

Una vez grabada la transacción en la base de datos, VTOL envía la petición al centro autorizador (VISA, POSNET, AMEX, cual corresponda) por el protocolo de comunicación TCPIP utilizando el formato definido por la norma ISO8583 para las autorizaciones financieras.
La comunicación entre VTOL Server y los centros autorizadores son constantes en el tiempo, es decir, se abre un socket de Java al puerto definido por la entidad autorizadora y nunca se lo cierra.

TCPIP

6

C5

La trama enviada por VTOL Server al centro autorizador pasa a través del firewall anterior a la red MPLS que se utiliza normalmente para enlazar a los centros autorizadores.

TCPIP

7

C6

El centro autorizador (VISA, POSNET, AMEX, cual corresponda) recibe la petición de autorización desde la red MPLS y aprueba la transacción emitiendo la respuesta por el mismo medio (la red MPLS). Entonces la respuesta, en formato ISO8583, es enviada por el mismo enlace hacia VTOL Server.

TCPIP

8

C3

El proceso VTOL (ubicado en la DMZ) recibe la respuesta de la autorización por medio del enlace TCPIP establecido al iniciar la comunicación y procede a validarla y procesarla.

TCPIP

9

C4

El proceso VTOL (ubicado en la DMZ) graba la transacción de respuesta en la base de datos por medio del driver correspondiente usando el estándar JDBC y el protocolo de comunicación TCPIP.

TCPIP

10

C3

El proceso VTOL envía la respuesta a EMV KIT, ubicado en el POS, por medio del mismo socket que el POS creó en su momento usando TCPIP al puerto 3000.

TCPIP

11

C2

El firewall (ubicado entre la red DMZ y la red WAN de la empresa) recibe la respuesta y la rutea al POS originador.

TCPIP

12

C1

El POS (ubicado en una tienda de la empresa) recibe la respuesta a la petición de autorización y emite el voucher correspondiente.
La respuesta es recibida con el mismo formato utilizado en el requerimiento (formato establecido por VTOL), por medio del mismo enlace físico (mismo socket) y por el mismo protocolo de comunicación (TCPIP).

TCPIP


Caso de Uso: Acceso WEB

 

 



Orden

Componente

Acción

 


1

C9

El usuario desde una PC accede a la consola WEB de VTOL (utilizando HTTPS) para realizar diferentes tareas: monitoreo, configuración, etc.
El acceso se hace mediante la URL: http://IPHOST:8080/rs-console
Donde IPHOST corresponde a la dirección IP del servidor donde está instalado VTOL Server. El puerto por defecto es el 8080.
Al conectarse, la aplicación redirige la conexión al protocolo HTTPS. La URL es la siguiente: https://IPHOST:8443/rs-console 


2

C3

VTOL recibe la petición HTTPS y muestra la pantalla de LOGIN para que el usuario se identifique con usuario y contraseña. 


3

C9

Opera normalmente hasta finalizar sesión o se haya superado el tiempo máximo de inactividad de sesión. 




Nota
Nota: Para conocer el diagrama de flujo de datos que muestra todo el proceso de autorización visite el anexo 17.9 Flujograma del Proceso de Autorización.

...

<socket-binding-group name="standard-sockets" 


Editar los puertos http:

<socket-binding name="http" port="${jboss.http.port:8080}"/>

<socket-binding name="https" port="${jboss.https.port:8443}"/>

 


Por ejemplo para que tome los puertos 8282 y 8445 respectivamente:

...

<socket-binding name="https" port="${jboss.https.port:8445}"/>

 


Además se debe cambiar la propiedad de conexión remota en base de datos en la tabla rs_system_property. Siguiendo el ejemplo debería quedar de la siguiente manera:

...

Los archivos de log tienen el siguiente formato:

Wiki Markup
yyyyMMdd HH:mm:ss,SSS LLLLL \[component\] \[Thread_name\] description

Donde:

  • "yyyy" corresponde al año
  • "MM" corresponde al mes
  • "dd" corresponde al día
  • "HH" corresponde a la hora formato 24hs
  • "ss" corresponde a los segundos
  • "SSS" corresponde a los milisegundos
  • "LLLL" a la prioridad de logeo. Valores posibles
    • DEBUG: Muestra información más detallada de los procesos, sin contener datos sensibles
    • INFO: Muestra información general del funcionamiento de los procesos
    • ERROR: Informa un error manejado dentro de la aplicación
    • FATAL: Advierte de estados o errores que no tienen incidencia al funcionamiento de la aplicación
    • WARN: Advierte sobre estados indebidos dentro de la aplicación
  • "component" corresponde al componente interno de la aplicación que efectúa el logueo
  • "thread_name" corresponde al nombre y/o número de hilo que se está ejecutando
  • "description" corresponde la descripción del evento que está ocurriendo.

...

Tabla

Campos

Temporal

CreditDebitOperationRequest

 

 

 

 

 






cardNumber

NO

expirationDate

NO

cvc

SI

track1

SI

track2

SI

chipTockens

SI

FinancialTransaction 


expirationDate

NO

cardNumber

NO

ClosedFinancialTransaction 


expirationDate

NO

cardNumber

NO

EMVAdviceEntry

chipTockens

SI

...

La configuración de JGroup se encuentra en el archivo /dist/config/udp.xml. Además es necesario tener configuradas las siguientes propiedades de sistema:

PropiedadDescripción
jgroups.udp.mcast_addrIP del tipo D utilizada para multicast UDP. Por defecto la IP configurada en el archivo de inicio de la aplicación es: 228.1.2.3
jgroups.udp.mcast_portPuerto de multicast. Por defecto el puerto configurado en el archivo de inicio de la aplicación es: 45500


Ejemplo de configuración extraído del archivod de inicio de VTOL start.bat:

...

Si el Cluster tuviera 2 nodos con los siguientes datos:

NodoDirección IPPuerto JGroup
Node0110.14.4.17800
Node0210.14.4.27800


La configuración en el archivo tcp.xml quedaría de la siguiente manera:

...

  • Al igual que el protocolo UDP, TCP también requiere que en cada nodo se configuren dos propiedades de sistema. Estas propiedades van a indicar justamente cual es la IP y puerto sobre la que se habilita la conexión de Cluster
PropiedadDescripción
jgroups.bind_addrIP sobre la cual se habilita la conexión de Cluster en el nodo.
jgroups.bind_portPuerto sobre la cual se habilita la conexión de Cluster en el nodo.


  • En el archivo de inicio de VTOL start.bat eliminar las propiedades:
    • -Djgroups.udp.mcast_port
    • -Djgroups.udp.mcast_addr

...

<appender name="FILE" class="com.synthesis.fwk.logging.log4j.RollingFileAppender">
<errorHandler class="org.jboss.logging.util.OnlyOnceErrorHandler"/>
<param name="File" value="${jboss.server.log.dir}/server.log"/>
<param name="Append" value="false"/>
<param name="MaxFileSize" value="20MB"/>
<param name="MaxBackupIndex" value="10"/>
<param name="datasourceJndiName" value="java:/RS-VTOL" />
<param name="insertAuditQuery" value="insert into rs_audit (type, date_time, source, logon_name, description) values ('Info', ?, 'Logging Rotation Process', 'SYSTEM', 'RollingFileAppender executed. A new log file was created. Oldest log file was deleted.')" />

<layout class="org.apache.log4j.PatternLayout">







Wiki Markup
<param name="ConversionPattern" value="%d %-5p \[%-20.20c\{1\}\] \[%t\] %m%n"/>







</layout>
</appender>



Por otro lado, se debe modificar el Root, comentando la referencia al appender CONSOLE y agregando la priority INFO, como se puede ver en la siguiente figura

...

Âncora
_Toc492667902
_Toc492667902
17.9.1 Punto de venta

Image Removed
Diagrama de Flujo de Datos de Autorización

...


Image AddedDiagrama del proceso de Autorización de Datos (Punto de Venta) de alto nivel

Image Added

 Diagrama del proceso de Autorización de Datos (Punto de Venta) de bajo nivel


A continuación, se detalla el flujo con cada una de las actividades que realizan los diferentes actores en el proceso de Autorización de datos: 

  1. El flujo inicia desde el punto de venta o POS cuando

...

  1. se selecciona el tipo de transacción (venta, anulación

...

  1. o devolución) y el medio de pago ya sea tarjeta de crédito o débito. Para este caso del medio de pago tarjeta, la aplicación del punto de venta avanza con la solicitud de transacción en EMV KIT.
  2. EMV KIT, a través del terminal de captura o Pinpad, captura los datos de la tarjeta de crédito/débito. El ingreso de los datos se podrá hacer por chip, banda magnética o manual.

...

  1. Dependiendo el modo de ingreso de la tarjeta, se

...

  1. solicita ingresar uno u otros datos propios de la tarjeta, como

...

  1. es el código de seguridad, la fecha de vencimiento,

...

  1. entre otro.
  2. Una vez que EMV KIT haya capturado todos los datos del tarjetahabiente

...

  1. procesa los datos de la tarjeta, y luego procede a enviar

...

  1. a VTOL Server

...

  1. la transacción para autorizar, la cual tendrá asociado un tipo de transacción (venta, devolución, anulación) el cual dependerá del tipo de acción que se

...

  1. realiza en el punto de venta.
  2. VTOL Server, al recibir los datos, valida que los mismos sean correctos para el tipo de transacción seleccionada por el POS

...

  1. , en donde se puede presentar lo siguiente:
    1. Si algún dato es inválido, VTOL Server finaliza la transaccióny devuelve el control al POS indicando el error.
    2. Si los datos son correctos, se procede a la ejecución de las reglas de negocio asociadas al tipo de transacción y posterior autorización de la transacción con el centro autorizador correspondiente (Visa, Amex, etc.).

...

    1. Entre las reglas de negocio que se ejecutan se encuentran las siguientes:
      • Se reconoce el tipo de tarjeta (VISA, MasterCard, Amex, etc.)
      • Se valida que esté permitida la opción de pago (combinación cuotas, plan, moneda, tarjeta)
      • Se obtiene qué centro autorizador será el encargado de autorizar la transacción (Visa, Posnet, etc.)
      • Se valida que el estado del canal esté correcto

...

      • .

...

  1. Luego de validar que la información de las reglas de negocio

...

  1. en la base de datos sea correcta, entonces se envía

...

  1. el mensaje de requerimiento al Centro Autorizados correspondiente.

...

  1. El Centro Autorizador recibe el requerimiento y le envía la respuesta de la autorización a VTOL Server.
  2. Vtol Server guarda en la base de datos

...

  1. la respuesta del Centro autorizador y le comunica a EMVKIT el mensaje de respuesta con los datos. Es importante mencionar que el único dato que se conserva es el PAN del tarjetahabiente y que este es almacenado de manera cifrada, utilizando algoritmos de encriptación sólidos.

...

  1. El POS recibe los datos de la transacción, en donde se pueden presentar los siguientes casos:
    1. Si la transacción está aprobada, entonces se continua con la impresión de Voucher y se confirma la transacción. VTOL Server recibe esta información del tercer mensaje del POS en donde deberá borrar los datos encriptados y se finaliza el proceso en el POS.
    2. Si la transacción no está aprobada, entonces el POS valida el error y cancela la transacción. VTOL Server recibe en el tercer mensaje del POS la cancelación de la transacción, se borran los datos encriptados que fueron anteriormente guardados, le solicita el reverso al Centro Autorizador y se finaliza el proceso en el POS.

En ambos casos del punto 8. se finaliza el proceso en el POS.



Âncora
_Toc492667903
_Toc492667903
17.9.2 E-commerce



Diagrama de eE-commerce de Alto Nivel


Image Added

Image RemovedDiagrama de Flujo de Datos de Autorización

...

de proceso Autorización de datos (E-commerce) de Bajo Nivel


A continuación, se detalla el flujo con cada una de las actividades que realizan los diferentes actores en el proceso de Autorización de datos: 

  1. El proceso inicia cuando el usuario realiza la compra de los productos seleccionados en el comercio electrónico e ingresa los datos de su tarjeta en la plataforma web.
  2. El e-commerce procede a enviar la transacción de autorización con un importe específico a VTOL Server (tipo de transacción: venta).
  3. VTOL Server, al recibir los datos, valida que sean correctos para el tipo de transacción seleccionada por el comercio electrónico

...

  1. , en donde se puede presentar lo siguiente: AQUI
    1. Si cualquier dato no es válido, VTOL Server finaliza la transacción y devuelve el control al comercio electrónico indicando el error.
    2. Si los datos son correctos, se procede a la ejecución de las reglas de negocio asociadas al tipo de transacción que se ejecutan y se envía la autorización al centro autorizador correspondiente (Visa, Amex, etc.), entre las

...

    1. reglas de negocio se encuentran las siguientes:

      • Se reconoce el tipo de tarjeta (VISA, MasterCard, Amex, etc.)

      • Valida si se permite la opción de pago (combinación de pago, plan, moneda, tarjeta)

      • Se obtiene el centro de autorización que se encargará de autorizar la transacción (Visa, Posnet, etc.)

      • Valida si el estado del canal es correcto

...

      • .

...

  2. Una vez que se recibe la autorización, la misma junto con los datos originales se registra en la base de datos de VTOL Server. Es importante mencionar que el único dato que se conserva es el PAN del titular de la tarjeta y se almacena de forma encriptada, utilizando algoritmos de

...

  1. cifrados sólidos.

...

  1. Una vez completado el mismo, los datos de autorización se responden al comercio electrónico.
  2. El comercio electrónico procede a finalizar la transacción, lo que implica enviar un mensaje adicional a VTOL Server indicando que la transacción ha finalizado (tercer mensaje: commit).
  3. Si la transacción falla debido a un problema en particular, el comercio electrónico envía un mensaje adicional a VTOL Server indicando que la transacción ha fallado y que debe deshacerse (tercer mensaje: rollback). En este caso, VTOL Server inicia un proceso donde deshace la transacción anterior.

18. Cambio de carpeta de log para la aplicación

...

set JAVA_OPTS= %JAVA_OPTS% -Djboss.server.log.dir=[new_log_path] 


  • log4j.logPath: representa la ruta donde se registrarán los logs de VTOL Engine: server.log, conciliation.log y sysout.log. Configurando esta variable, automáticamente funcionará la descarga de log de la aplicación, ya que se utiliza en dicha funcionalidad.

...


Configuración: En el archivo de inicio VTOLEngine-Start.cmd se debe agregar la configuración de la variable de la siguiente manera:

...