PCI-Secure Standaard sagteware
Produkinligting: PCI-Secure Software Standard Vendor
Implementeringsgids vir Viking Terminal 2.00
Spesifikasies
Weergawe: 2.0
1. Inleiding en Omvang
1.1 Inleiding
Die PCI-Secure Software Standard Vendor Implementation Guide
verskaf riglyne vir die implementering van die sagteware op die Viking
Terminale 2.00.
1.2 Sagtewaresekuriteitsraamwerk (SSF)
Die sagteware-sekuriteitsraamwerk (SSF) verseker die veilige betaling
toepassing op die Viking Terminal 2.00.
1.3 Sagtewareverkoper Implementeringsgids – Verspreiding en
Opdaterings
Hierdie gids bevat inligting oor die verspreiding en opdaterings
van die sagtewareverkoper-implementeringsgids vir die Viking-terminale
2.00.
2. Veilige betaling aansoek
2.1 Toepassing S/W
Die veilige betaling toepassing sagteware verseker veilig
kommunikasie met die betaling gasheer en ECR.
2.1.1 Betaling Gasheer kommunikasie TCP/IP parameter opstelling
Hierdie afdeling verskaf instruksies vir die opstel van die TCP/IP
parameters vir kommunikasie met die betalingsgasheer.
2.1.2 EKR kommunikasie
Hierdie afdeling verskaf instruksies vir kommunikasie met die
ECR (Elektroniese Kasregister).
2.1.3 Kommunikasie aan gasheer via ECR
Hierdie afdeling verduidelik hoe om kommunikasie met die
betaling gasheer met behulp van die ECR.
2.2 Ondersteunde terminale hardeware(s)
Die veilige betaaltoepassing ondersteun die Viking Terminal 2.00
hardeware.
2.3 Sekuriteitsbeleide
Hierdie afdeling gee 'n uiteensetting van die sekuriteitsbeleide wat moet wees
gevolg wanneer die veilige betaaltoepassing gebruik word.
3. Veilige Remote Software Update
3.1 Handelaar Toepaslikheid
Hierdie afdeling verskaf inligting oor die toepaslikheid van veilige
afgeleë sagteware-opdaterings vir handelaars.
3.2 Aanvaarbare gebruiksbeleid
Hierdie afdeling gee 'n uiteensetting van die aanvaarbare gebruiksbeleid vir veilige
afgeleë sagteware-opdaterings.
3.3 Persoonlike Firewall
Instruksies vir die opstel van die persoonlike firewall om toe te laat
veilige afstandsagteware-opdaterings word in hierdie afdeling verskaf.
3.4 Afgeleë opdateringsprosedures
Hierdie afdeling verduidelik die prosedures vir die uitvoer van veilige
afgeleë sagteware-opdaterings.
4. Veilige uitvee van sensitiewe data en beskerming van gestoor
Kaarthouer Data
4.1 Handelaar Toepaslikheid
Hierdie afdeling verskaf inligting oor die toepaslikheid van veilige
verwydering van sensitiewe data en beskerming van gestoorde kaarthouerdata
vir handelaars.
4.2 Veilige uitvee-instruksies
Instruksies vir die veilige uitvee van sensitiewe data word verskaf
in hierdie afdeling.
4.3 Liggings van gestoorde kaarthouerdata
Hierdie afdeling lys die liggings waar kaarthouerdata gestoor word
en verskaf leiding oor die beskerming daarvan.
Hierdie afdeling verduidelik die prosedures vir die hantering van uitgestelde
magtigingstransaksies veilig.
4.5 Prosedures vir probleemoplossing
Instruksies vir die oplos van probleme met betrekking tot veilige
verwydering en beskerming van gestoorde kaarthouerdata word verskaf in
hierdie afdeling.
4.6 PAN-liggings – Getoon of Gedruk
Hierdie afdeling identifiseer die liggings waar PAN (Primêre Rekening
Nommer) word vertoon of gedruk en verskaf leiding oor beveiliging
dit.
4.7 Vrae files
Instruksies vir die bestuur van prompt files veilig is voorsien in
hierdie afdeling.
4.8 Sleutelbestuur
Hierdie afdeling verduidelik die sleutelbestuursprosedures om te verseker
die sekuriteit van gestoorde kaarthouerdata.
4.9 '24 HR' Herlaai
Instruksies vir die uitvoer van 'n '24 HR' herlaai om stelsel te verseker
sekuriteit word in hierdie afdeling verskaf.
4.10 Witlys
Hierdie afdeling verskaf inligting oor witlys en sy
belangrikheid in die handhawing van stelselsekuriteit.
5. Verifikasie en toegangskontroles
Hierdie afdeling dek verifikasie- en toegangsbeheermaatreëls
om die sekuriteit van die stelsel te verseker.
Gereelde Vrae (Gereelde Vrae)
V: Wat is die doel van die PCI-Secure Software Standard
Verkoper implementeringsgids?
A: Die gids verskaf riglyne vir die implementering van veilige betaling
toepassingsagteware op die Viking Terminal 2.00.
V: Watter terminale hardeware word deur die veilige betaling ondersteun
aansoek?
A: Die veilige betaaltoepassing ondersteun die Viking-terminale
2.00 hardeware.
V: Hoe kan ek sensitiewe data veilig uitvee?
A: Instruksies vir die veilige uitvee van sensitiewe data is
verskaf in afdeling 4.2 van die gids.
V: Wat is die belangrikheid van witlys?
A: Witlys speel 'n deurslaggewende rol in die instandhouding van die stelsel
sekuriteit deur slegs goedgekeurde toepassings toe te laat om te loop.
Hierdie inhoud word as Intern geklassifiseer
Nets Denmark A/S:
PCI-Secure Software Standard Software Vendor Implementation Guide for Viking terminal 2.00
Weergawe 2.0
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00 1 1
Inhoud
1. Inleiding en omvang …………………………………………………………………………………. 3
1.1
Inleiding …………………………………………………………………………………………………. 3
1.2
Sagtewaresekuriteitsraamwerk (SSF) …………………………………………………………. 3
1.3
Sagtewareverkoper-implementeringsgids – Verspreiding en opdaterings …… 3
2. Veilige betaling aansoek……………………………………………………………………… 4
2.1
Aansoek S/W …………………………………………………………………………………………. 4
2.1.1 Betaling Gasheer kommunikasie TCP/IP parameter opstelling ………………………….. 4
2.1.2 EKR-kommunikasie………………………………………………………………………………. 5
2.1.3 Kommunikasie aan gasheer via ECR………………………………………………………………. 5
2.2
Ondersteunde terminale hardeware(s) ………………………………………………………………….. 6
2.3
Sekuriteitsbeleide …………………………………………………………………………………………. 7
3. Veilige sagteware-opdatering op afstand ………………………………………………………………. 8
3.1
Handelaar toepaslikheid……………………………………………………………………………… 8
3.2
Aanvaarbare gebruikbeleid …………………………………………………………………………. 8
3.3
Persoonlike brandmuur………………………………………………………………………………………… 8
3.4
Afstandopdateringsprosedures ………………………………………………………………… 8
4. Veilige uitvee van sensitiewe data en beskerming van gestoorde kaarthouerdata9
4.1
Handelaar toepaslikheid……………………………………………………………………………… 9
4.2
Veilige uitvee-instruksies……………………………………………………………………… 9
4.3
Liggings van gestoorde kaarthouerdata……………………………………………….. 9
4.4
Uitgestelde magtigingstransaksie …………………………………………………. 10
4.5
Foutoplossingsprosedures ………………………………………………………………… 10
4.6
PAN-liggings – vertoon of gedruk ………………………………………………… 10
4.7
Prompt files ………………………………………………………………………………………….. 11
4.8
Sleutelbestuur ………………………………………………………………………………… 11
4.9
`24 HR' Herlaai …………………………………………………………………………………. 12
4.10 Witlys ………………………………………………………………………………… 12
5. Stawing en toegangskontroles …………………………………………………………. 13
5.1
Toegangsbeheer …………………………………………………………………………………………. 13
5.2
Wagwoordkontroles ………………………………………………………………………………. 15
6. Tekening ………………………………………………………………………………………….. 15
6.1
Handelaar Toepaslikheid………………………………………………………………………………. 15
6.2
Stel loginstellings op …………………………………………………………………………. 15
6.3
Sentrale Logging ………………………………………………………………………………… 15
6.3.1 Aktiveer spoor Aanmelding op terminaal ………………………………………………………………… 15
6.3.2 Stuur spoorlogs na gasheer ………………………………………………………………………… 15
6.3.3 Afgeleë spoorregistrasie…………………………………………………………………………………. 16
6.3.4 Afgeleë foutregistrasie………………………………………………………………………………………. 16
7. Draadlose netwerke ………………………………………………………………………………… 16
7.1
Handelaar Toepaslikheid………………………………………………………………………………. 16
7.2
Aanbevole draadlose konfigurasies ………………………………………………… 16
8. Netwerksegmentering ………………………………………………………………………….. 17
8.1
Handelaar Toepaslikheid………………………………………………………………………………. 17
9. Afstandtoegang ………………………………………………………………………………… 17
9.1
Handelaar Toepaslikheid………………………………………………………………………………. 17
10.
Oordrag van sensitiewe data ………………………………………………………….. 17
10.1 Oordrag van sensitiewe data ………………………………………………………… 17
10.2 Deel sensitiewe data met ander sagteware ………………………………………….. 17
10.3 E-pos en sensitiewe data ………………………………………………………………………. 17
10.4 Nie-konsole Administratiewe toegang …………………………………………………. 17
11.
Viking-weergawe-metodologie…………………………………………………………. 18
12.
Instruksies oor veilige installering van pleisters en opdaterings. …………. 18
13.
Viking-vrystelling-opdaterings ………………………………………………………………………. 19
14.
Nie-toepaslike vereistes ………………………………………………………………. 19
15.
PCI Secure Sagteware Standaard Vereistes Verwysing ………………… 23
16.
Woordelys van terme ………………………………………………………………………………. 24
17.
Dokumentbeheer ………………………………………………………………………… 25
2
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
1. Inleiding en Omvang
1.1 Inleiding
Die doel van hierdie PCI-Secure Software Standard Software Vendor Implementation Guide is om belanghebbendes te voorsien van duidelike en deeglike leiding oor die veilige implementering, konfigurasie en werking van die Viking-sagteware. Die gids gee handelaars opdrag oor hoe om Nets se Viking-toepassing in hul omgewing te implementeer op 'n wyse wat aan PCI Secure Software Standard voldoen. Alhoewel dit nie bedoel is om 'n volledige installasiegids te wees nie. Viking-toepassing, indien geïnstalleer volgens die riglyne wat hier gedokumenteer word, behoort 'n handelaar se PCI-voldoening te vergemaklik en te ondersteun.
1.2 Sagtewaresekuriteitsraamwerk (SSF)
Die PCI Software Security Framework (SSF) is 'n versameling standaarde en programme vir die veilige ontwerp en ontwikkeling van betaaltoepassingsagteware. Die SSF vervang die Payment Application Data Security Standard (PA-DSS) met moderne vereistes wat 'n breër verskeidenheid betalingssagtewaretipes, -tegnologieë en -ontwikkelingsmetodologieë ondersteun. Dit bied aan verkopers sekuriteitstandaarde soos PCI Secure Software Standard vir die ontwikkeling en instandhouding van betaalsagteware sodat dit betalingstransaksies en data beskerm, kwesbaarhede tot die minimum beperk en teen aanvalle verdedig.
1.3 Sagtewareverkoper-implementeringsgids – Verspreiding en opdaterings
Hierdie PCI Secure Software Standard Software Vendor Implementation Guide moet aan alle relevante toepassinggebruikers, insluitend handelaars, versprei word. Dit moet ten minste jaarliks en na veranderinge in die sagteware opgedateer word. Die jaarlikse t.o.vview en opdatering moet nuwe sagtewareveranderings sowel as veranderinge in die Veilige Sagtewarestandaard insluit.
Nets publiseer inligting oor die genoteerde webwebwerf as daar enige opdaterings in die implementeringsgids is.
Webwebwerf: https://support.nets.eu/
Vir bvample: Nets PCI-Secure Sagteware Standaard Sagtewareverkoper Implementeringsgids sal aan alle kliënte, herverkopers en integreerders versprei word. Kliënte, herverkopers en integreerders sal in kennis gestel word van reviews en opdaterings.
Opdaterings aan die PCI-Secure Software Standard Software Vendor Implementation Guide kan verkry word deur Nets ook direk te kontak.
Hierdie PCI-Secure Sagteware Standaard Sagtewareverkoper Implementeringsgids verwys na beide die PCI-Secure Sagteware Standaard en PCI vereistes. Die volgende weergawes is in hierdie gids verwys.
· PCI-Secure-Software-Standard-v1_2_1
3
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
2. Veilige betaling aansoek
2.1 Toepassing S/W
Die Viking-betalingstoepassings gebruik geen eksterne sagteware of hardeware wat nie aan die Viking-ingebedde toepassing behoort nie. Alle S/W-uitvoerbare items wat aan die Viking-betalingstoepassing behoort, word digitaal onderteken met Tetra-tekenpakket wat deur Ingenico verskaf word.
· Die terminaal kommunikeer met die Nets Host met behulp van TCP/IP, hetsy via Ethernet, GPRS, Wi-Fi, of via die PC-LAN wat die POS-toepassing gebruik. Die terminaal kan ook met die gasheer kommunikeer via selfoon met Wi-Fi of GPRS-konneksie.
Viking-terminale bestuur al die kommunikasie met Ingenico-skakellaagkomponent. Hierdie komponent is 'n toepassing wat in die terminale gelaai is. Die skakellaag kan verskeie kommunikasie op dieselfde tyd bestuur deur verskillende randapparatuur (modem en seriële poort bv.ample).
Dit ondersteun tans die volgende protokolle:
· Fisies: RS232, interne modem, eksterne modem (via RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G en 4G.
· Dataskakel: SDLC, PPP. · Netwerk: IP. · Vervoer: TCP.
Die terminaal neem altyd die inisiatief om die kommunikasie na die Nets Host te vestig. Daar is geen TCP/IP-bediener S/W in die terminale nie, en die terminale S/W reageer nooit op inkomende oproepe nie.
Wanneer geïntegreer met 'n POS-toepassing op 'n rekenaar, kan die terminaal opgestel word om te kommunikeer via die PC-LAN wat die POS-toepassing gebruik deur RS232, USB of Bluetooth te gebruik. Steeds loop alle funksionaliteit van die betaaltoepassing in die terminale S/W.
Die toepassingsprotokol (en toegepaste enkripsie) is deursigtig en onafhanklik van die tipe kommunikasie.
2.2 Betaling Gasheer kommunikasie TCP/IP parameter opstelling
4
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
2.3 EKR kommunikasie
· RS232-reeks · USB-verbinding · TCP/IP-parameteropstelling, ook bekend as ECR over IP
· Gasheer/ECR-kommunikasie-opsies in Viking-betalingstoepassing
· Nets Cloud ECR (Connect@Cloud) parameterkonfigurasie
2.4 Kommunikasie aan gasheer via ECR
Let wel: Verwys “2.1.1- Betaling Gasheer kommunikasie TCP/IP parameter opstelling” vir land spesifieke TCP/IP poorte.
5
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
2.5 Ondersteunde terminale hardeware(s)
Viking-betalingstoepassing word ondersteun op 'n verskeidenheid van PTS (PIN-transaksiesekuriteit) gevalideerde Ingenico-toestelle. Die lys van terminale hardeware saam met hul PTS-goedkeuringsnommer word hieronder gegee.
Tetra-terminale tipes
Terminale hardeware
Laan 3000
PTS
PTS goedkeuring
weergawe nommer
5.x
4-30310
PTS Hardeware weergawe
LAN30EA LAN30AA
lessenaar 3500
5.x
4-20321
DES35BB
Skuif 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Skakel 2500
Skakel2500 Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
PTS-firmware-weergawe
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
2.6 Sekuriteitsbeleide
Viking-betalingsaansoek voldoen aan al die toepaslike sekuriteitsbeleide wat deur Ingenico gespesifiseer word. Vir algemene inligting, hierdie is die skakels na die sekuriteitsbeleide vir verskillende Tetra-terminale:
Terminal tipe
Link2500 (v4)
Sekuriteitsbeleiddokument Skakel/2500 PCI PTS Sekuriteitsbeleid (pcisecuritystandards.org)
Link2500 (v5)
PCI PTS Sekuriteitsbeleid (pcisecuritystandards.org)
Lessenaar 3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Skuif3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Laan 3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self4000
Self/4000 PCI PTS Sekuriteitsbeleid (pcisecuritystandards.org)
7
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
3. Veilige Remote Software Update
3.1 Handelaar Toepaslikheid
Nets lewer Viking-betalingsprogramopdaterings veilig op afstand. Hierdie opdaterings vind plaas op dieselfde kommunikasiekanaal as die veilige betalingstransaksies, en die handelaar hoef nie enige veranderinge aan hierdie kommunikasiepad aan te bring vir voldoening nie.
Vir algemene inligting moet handelaars 'n aanvaarbare gebruiksbeleid ontwikkel vir kritiese tegnologieë wat aan die werknemers gerig is, volgens die riglyne hieronder vir VPN, of ander hoëspoedverbindings, word opdaterings deur 'n firewall of persoonlike firewall ontvang.
3.2 Aanvaarbare gebruiksbeleid
Die handelaar moet gebruiksbeleide ontwikkel vir kritieke tegnologieë wat aan die werknemers gerig is, soos modems en draadlose toestelle. Hierdie gebruiksbeleide moet die volgende insluit:
· Eksplisiete bestuursgoedkeuring vir gebruik. · Verifikasie vir gebruik. · 'n Lys van alle toestelle en personeel met toegang. · Etikettering van die toestelle met eienaar. · Kontakinligting en doel. · Aanvaarbare gebruike van die tegnologie. · Aanvaarbare netwerkliggings vir die tegnologieë. · 'n Lys van produkte wat deur die maatskappy goedgekeur is. · Laat die gebruik van modems slegs vir verkopers toe wanneer dit nodig is en deaktivering na gebruik. · Verbod op berging van kaarthouerdata op plaaslike media wanneer dit op afstand gekoppel is.
3.3 Persoonlike Firewall
Enige "altyd-aan"-verbindings van 'n rekenaar na 'n VPN of ander hoëspoedverbinding moet beveilig word deur 'n persoonlike firewall-produk te gebruik. Die firewall word deur die organisasie gekonfigureer om aan spesifieke standaarde te voldoen en kan nie deur die werknemer verander word nie.
3.4 Afgeleë opdateringsprosedures
Daar is twee maniere om die terminaal te aktiveer om die Nets-sagtewaresentrum vir opdaterings te kontak:
1. Óf handmatig via 'n kieslys-opsie in die terminaal (vee handelaarskaart, kies spyskaart 8 “Sagteware”, 1 “Haal sagteware”), of Gasheer geïnisieer.
2. Die gebruik van die Host geïnisieerde metode; die terminale ontvang outomaties 'n opdrag van die Gasheer nadat dit 'n finansiële transaksie uitgevoer het. Die opdrag sê vir die terminaal om die Nets-sagtewaresentrum te kontak om na opdaterings te kyk.
Na 'n suksesvolle sagteware-opdatering sal 'n terminaal met 'n ingeboude drukker 'n kwitansie met inligting oor die nuwe weergawe druk.
Terminal-integreerders, vennote en/of Nets tegniese ondersteuningspan sal die verantwoordelikheid hê om handelaars in te lig oor die opdatering, insluitend die skakel na die opgedateerde implementeringsgids en die vrystellingsnotas.
Benewens die kwitansie na sagteware-opdatering, kan Viking-betalingstoepassing ook bekragtig word via Terminal Info as u `F3′-sleutel op die terminale druk.
8
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
4. Veilige uitvee van sensitiewe data en beskerming van gestoorde kaarthouerdata
4.1 Handelaar Toepaslikheid
Viking-betalingstoepassing stoor geen magnetiese streepdata, kaartvalideringswaardes of -kodes, PIN's of PIN-blokdata, kriptografiese sleutelmateriaal of kriptogramme van sy vorige weergawes nie.
Om aan PCI te voldoen, moet 'n handelaar 'n databehoudbeleid hê wat bepaal hoe lank kaarthouerdata gehou sal word. Viking-betalingstoepassing behou wel kaarthouerdata en/of sensitiewe stawingsdata van die heel laaste transaksie en indien daar vanlyn of uitgestelde magtigingstransaksies is terwyl daar terselfdertyd aan die PCI-Secure Software Standard voldoening voldoen word, kan dit dus vrygestel word van die handelaar se kaarthouer-databehoudbeleid.
4.2 Veilige uitvee-instruksies
Die terminaal stoor nie sensitiewe verifikasiedata nie; volledige snit2, CVC, CVV of PIN, nie voor of na magtiging nie; behalwe vir uitgestelde magtiging transaksies in welke geval geënkripteerde sensitiewe verifikasie data (volle track2 data) gestoor word totdat magtiging gedoen word. Na magtiging word die data veilig uitgevee.
Enige geval van verbode historiese data wat in 'n terminale bestaan, sal outomaties veilig uitgevee word wanneer die terminale Viking-betalingstoepassing opgegradeer word. Die uitvee van verbode historiese data en data wat verlede bewaringsbeleid is, sal outomaties plaasvind.
4.3 Liggings van gestoorde kaarthouerdata
Kaarthouerdata word in die Flash DFS (Data File Stelsel) van die terminale. Die data is nie direk toeganklik vir die handelaar nie.
Datawinkel (file, tafel, ens.)
Kaarthouer-data-elemente gestoor (PAN, vervaldatum, enige elemente van SAD)
Hoe datastoor beveilig word (bvample, enkripsie, toegangskontroles, afkapping, ens.)
File: trans.rsd
PAN, vervaldatum, dienskode
PAN: Geënkripteerde 3DES-DUKPT (112 bisse)
File: storefwd.rsd PAN, vervaldatum, dienskode
PAN: Geënkripteerde 3DES-DUKPT (112 bisse)
File: transoff.rsd PAN, vervaldatum, dienskode
PAN: Geënkripteerde 3DES-DUKPT (112 bisse)
File: transorr.rsd Afgekapte PAN
Afgekap (Eerste 6, Laaste 4)
File: offlrep.dat
Afgekapte PAN
Afgekap (Eerste 6, Laaste 4)
File: defauth.rsd PAN, vervaldatum, dienskode
PAN: Geënkripteerde 3DES-DUKPT (112 bisse)
File: defauth.rsd Volledige snit2-data
Volledige Track2-data: vooraf geënkripteerde 3DES-DUKPT (112 bisse)
9
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
4.4 Uitgestelde magtigingstransaksie
Uitgestelde magtiging vind plaas wanneer 'n handelaar nie 'n magtiging ten tyde van die transaksie met die kaarthouer kan voltooi nie as gevolg van konnektiwiteit, stelselkwessies of ander beperkings, en dan later die magtiging voltooi wanneer dit in staat is om dit te doen.
Dit beteken dat 'n uitgestelde magtiging plaasvind wanneer 'n aanlyn magtiging uitgevoer word nadat die kaart nie meer beskikbaar is nie. Aangesien die aanlyn magtiging van uitgestelde magtigingstransaksies vertraag word, sal die transaksies op terminaal gestoor word totdat die transaksies later suksesvol gemagtig is wanneer netwerk beskikbaar is.
Die transaksies word gestoor en later na die gasheer gestuur, soos hoe die vanlyn transaksies vanaf vandag in die Viking-betalingstoepassing gestoor word.
Handelaar kan die transaksie inisieer as `Uitgestelde magtiging' vanaf die Elektroniese Kasregister (EKR) of via terminale kieslys.
Uitgestelde magtigingtransaksies kan deur handelaar na die Nets-gasheer opgelaai word deur die onderstaande opsies te gebruik: 1. ECR – Admin-opdrag – Stuur vanlyn (0x3138) 2. Terminal – Handelaar ->2 EOT -> 2 gestuur na gasheer
4.5 Prosedures vir probleemoplossing
Nets-ondersteuning sal nie sensitiewe stawing of kaarthouerdata versoek vir probleemoplossingsdoeleindes nie. Viking-betalingstoepassing is in elk geval nie in staat om die sensitiewe data in te samel of op te los nie.
4.6 PAN-liggings – Getoon of Gedruk
Gemaskerde PAN:
· Finansiële transaksiekwitansies: Gemaskerde PAN word altyd op die transaksiekwitansie gedruk vir beide kaarthouer en handelaar. Die gemaskerde PAN is in die meeste gevalle met * waar eerste 6 syfers en laaste 4 syfers in duidelike teks is.
· Transaksielysverslag: Transaksielysverslag toon die transaksies wat in 'n sessie uitgevoer is. Transaksiebesonderhede sluit in Masked PAN, Kaartuitreikernaam en die transaksiebedrag.
· Laaste kliënt kwitansie: Die kopie van laaste kliënt kwitansie kan gegenereer word vanaf terminale kopie kieslys. Die kliëntkwitansie bevat die gemaskerde PAN as die oorspronklike kliëntkwitansie. Die gegewe funksie word gebruik in geval indien terminale nie 'n kliëntkwitansie tydens die transaksie genereer om enige rede nie.
Geënkripteerde PAN:
· Vanlyn transaksiekwitansie: Kleinhandelaarkwitansieweergawe van aflyntransaksie sluit Triple DES 112-bis DUKPT-geënkripteerde kaarthouerdata (PAN, vervaldatum en dienskode) in.
BAX: 71448400-714484 12/08/2022 10:39
Visa Kontakloos *************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 HULP: A0000000031010 TVR: 0000000000 Re 123461 Re 000004 KC000000
10
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
Resp.: Y1 Sessie: 782
KOOP
NOK
12,00
GOEDGEKEUR
HANDELAAR KOPIE
Bevestiging:
Viking-betalingstoepassing enkripteer altyd die kaarthouerdata by verstek vir vanlyn transaksieberging, oordrag na NETS-gasheer en om geënkripteerde kaartdata op die handelaarkwitansie vir 'n vanlyn transaksie te druk.
Ook, om die kaart PAN te vertoon of te druk, masker Viking-betalingstoepassing altyd die PAN-syfers met asterisk `*' met Eerste 6 + Laaste 4 syfers in duidelik as verstek. Die kaartnommer-drukformaat word beheer deur terminaalbestuurstelsel waar drukformaat verander kan word deur aan te vra deur die regte kanaal en deur 'n besigheids wettige behoefte aan te bied, maar vir Viking-betalingstoepassing is daar nie so 'n geval nie.
Example vir gemaskerde PAN: PAN: 957852181428133823-2
Minimum inligting: **************3823-2
Maksimum inligting: 957852********3823-2
4.7 Vrae files
Viking-betalingsaansoek verskaf geen aparte versoek nie files.
Viking-betalingsprogramversoeke vir kaarthouer-insette deur middel van vertoonaanwysings wat deel is van die boodskapstelsel binne die getekende Viking-betalingstoepassing.
Vertoonopdragte vir PIN, bedrag, ens. word op die terminaal gewys, en kaarthouerinsette word ingewag. Die insette wat vanaf kaarthouer ontvang word, word nie gestoor nie.
4.8 Sleutelbestuur
Vir die Tetra-reeks terminale modelle word alle sekuriteitsfunksies uitgevoer in 'n veilige area van 'n PTS-toestel wat beskerm word teen die betaaltoepassing.
Enkripsie word binne die veilige area uitgevoer, terwyl dekripsie van die geënkripteerde data slegs deur die Nets Host-stelsels uitgevoer kan word. Alle sleuteluitruiling tussen Nets-gasheer, Sleutel/Inspuit-instrument (vir Tetra-terminale) en die PED word in geënkripteerde vorm gedoen.
Prosedures vir sleutelbestuur word deur Nets geïmplementeer volgens 'n DUKPT-skema wat 3DES-enkripsie gebruik.
Alle sleutels en sleutelkomponente wat deur Nets-terminale gebruik word, word gegenereer deur gebruik te maak van goedgekeurde ewekansige of pseudorandom prosesse. Sleutels en sleutelkomponente wat deur Nets-terminale gebruik word, word gegenereer deur Nets-sleutelbestuurstelsel, wat goedgekeurde Thales Payshield HSM-eenhede gebruik om kriptografiese sleutels te genereer.
11
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
Die sleutelbestuur is onafhanklik van die betalingsfunksie. Om 'n nuwe toepassing te laai, vereis dus nie 'n verandering aan die sleutelfunksies nie. Die terminale sleutelruimte sal ongeveer 2,097,152 XNUMX XNUMX transaksies ondersteun. Wanneer die sleutelspasie uitgeput is, hou Viking-terminale op werk en wys 'n foutboodskap, en dan moet die terminale vervang word.
4.9 `24 HR' Herlaai
Alle Viking-terminale is PCI-PTS 4.x en hoër en volg dus die voldoeningsvereiste dat PCI-PTS 4.x-terminale minimum een keer elke 24 uur moet herlaai om die RAM uit te vee en terminale HW verder te beveilig om gebruik te word om betaling in die hande te kry kaart data.
Nog 'n voordeel van die `24 uur'-herlaaisiklus is dat geheuelekkasies versag sal word en minder impak vir die handelaar sal hê (nie dat ons geheuelekkasies moet aanvaar nie.
Handelaar kan die herlaaityd vanaf die terminaalkieslys-opsie na `Herlaaityd' stel. Die herlaai tyd is ingestel op grond van `24hr' klok en sal die formaat HH:MM neem.
Die Herstelmeganisme is ontwerp om 'n terminaalterugstelling ten minste een keer per 24 uur hardloop te verseker. Om aan hierdie vereiste te voldoen, is 'n tydgleuf, genaamd die "terugstelinterval" wat deur Tmin en Tmax verteenwoordig word, gedefinieer. Hierdie tydperk verteenwoordig die tydsinterval waar die terugstelling toegelaat word. Afhangende van die besigheidsgeval, word die "terugstelinterval" aangepas tydens die terminale installasiefase. Volgens ontwerp kan hierdie tydperk nie korter as 30 minute wees nie. Gedurende hierdie tydperk vind die herstel elke dag 5 minute vroeër plaas (op T3) soos verduidelik deur die diagram hieronder:
4.10 Witlys
Witlys is 'n prosedure om te bepaal dat die PAN's wat as 'n witlys gelys is, toegelaat word om in duidelike teks gewys te word. Viking gebruik 3 velde om die witlys PAN's te bepaal wat gelees word vanaf die konfigurasies wat van die terminale bestuurstelsel afgelaai is.
Wanneer 'n `Voldoeningsvlag' in Nets-gasheer op Y gestel is, word die inligting vanaf die Nets-gasheer- of terminaalbestuurstelsel na die terminaal afgelaai wanneer die terminaal begin. Hierdie Voldoeningsvlag word gebruik vir die bepaling van die witlys-PAN's wat uit die datastel gelees word.
`Track2ECR'-vlag bepaal of die Track2-data toegelaat word om deur die ECR vir 'n gespesifiseerde uitreiker hanteer (gestuur/ontvang) te word. Afhangende van die waarde van hierdie vlag, word bepaal of die track2-data in plaaslike modus op ECR gewys moet word.
`Drukformaatveld' bepaal hoe die PAN vertoon sal word. Die kaarte in PCI-omvang sal almal die drukformaat hê wat gestel is om die PAN in afgekapte/gemaskerde vorm te vertoon.
12
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
5. Verifikasie en toegangskontroles
5.1 Toegangsbeheer
Die Viking-betalingstoepassing het nie gebruikersrekeninge of ooreenstemmende wagwoorde nie, daarom is die Viking-betalingstoepassing vrygestel van hierdie vereiste.
· ECR-geïntegreerde opstelling: Dit is nie moontlik om toegang tot transaksietipes soos Terugbetaling, Deposito en Terugskrywing vanaf terminaalkieslys te verkry om hierdie funksies te verseker teen misbruik nie. Dit is die transaksietipes waar geldvloei vanaf handelaar se rekening na kaarthouer se rekening plaasvind. Dit is die handelaar se verantwoordelikheid om te verseker dat ECR slegs deur gemagtigde gebruikers gebruik word.
· Selfstandige opstelling: Handelaarkaarttoegangsbeheer is verstek geaktiveer om toegang te verkry tot transaksietipes soos Terugbetaling, Deposito en Terugskrywing vanaf terminaalkieslys om hierdie funksies te verseker teen misbruik. Die Viking-terminale is by verstek gekonfigureer om die spyskaartopsies te beveilig, om ongemagtigde toegang te voorkom. Die parameters om die spyskaartsekuriteit op te stel val onder Handelaarkieslys (toeganklik met 'n Handelaarkaart) -> Parameters -> Sekuriteit
Beskerm spyskaart Stel by verstek op 'Ja'. Kieslysknoppie op die terminale word beskerm deur die Beskerm-kieslyskonfigurasie te gebruik. Spyskaart kan slegs deur die Handelaar verkry word deur 'n handelaarskaart te gebruik.
13
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
Beskerm omkering Stel by verstek op 'Ja'. Terugskrywing van 'n transaksie kan slegs gedoen word deur die handelaar wat die handelaarskaart gebruik om toegang tot die omkeerkieslys te verkry.
Beskerm rekonsiliasie Stel by verstek op `Ja' Opsie vir rekonsiliasie kan slegs deur die handelaar met die handelaarskaart verkry word wanneer hierdie beskerming op waar gestel is.
Beskerm kortpad Stel as 'Ja' by verstek Kortpad kieslys met die opsies vir viewing Terminal Info en opsie vir die opdatering van Bluetooth-parameters sal slegs vir die handelaar beskikbaar wees wanneer die handelaarskaart gevee word.
14
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
5.2 Wagwoordkontroles
Die Viking-betalingstoepassing het nie gebruikersrekeninge of ooreenstemmende wagwoorde nie; daarom is die Viking-aansoek vrygestel van hierdie vereiste.
6. Tekening
6.1 Handelaar Toepaslikheid
Tans, vir Nets Viking-betalingstoepassing, is daar geen eindgebruiker, konfigureerbare PCI-loginstellings nie.
6.2 Stel loginstellings op
Die Viking-betalingstoepassing het nie gebruikersrekeninge nie, so PCI-aanmelding is nie van toepassing nie. Selfs in die mees omvattende transaksie-aantekening teken die Viking-betalingstoepassing geen sensitiewe verifikasiedata of kaarthouerdata aan nie.
6.3 Sentrale Aantekening
Die terminaal het 'n generiese logmeganisme. Die meganisme sluit ook aanteken van die skepping en verwydering van S/W-uitvoerbare in.
S/W-aflaaiaktiwiteite word aangeteken en kan met die hand na Host oorgedra word via 'n spyskaartkeuse in die terminaal of op versoek van gasheer wat in gewone transaksieverkeer gemerk is. As S/W aflaai aktivering misluk as gevolg van ongeldige digitale handtekeninge op die ontvang files, die voorval word aangeteken en outomaties en onmiddellik na Host oorgedra.
6.4 6.3.1 Aktiveer spoor Aanmelding op terminaal
Om spoorregistrasie te aktiveer:
1 Vee handelaarskaart. 2 Kies dan “9 Stelselkieslys” in die kieslys. 3 Gaan dan na kieslys “2 System Log”. 4 Tik die tegnikuskode in wat jy kan kry deur Nets Merchant Service-ondersteuning te skakel. 5 Kies “8 Parameters”. 6 Aktiveer dan “Logging” na “Ja”.
6.5 6.3.2 Stuur spoorlogs na gasheer
Om spoorlogs te stuur:
1 Druk Menu-sleutel op die terminaal en vee dan Handelaarkaart. 2 Kies dan “7 Operator-kieslys” in die hoofkieslys. 3 Kies dan “5 Send Trace Logs” om spoorlogs na gasheer te stuur.
15
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
6.6 6.3.3 Afgeleë spoorregistrasie
'n Parameter word in die Nets Host (PSP) gestel wat Terminal se spoorregistrasie-funksie op afstand sal aktiveer/deaktiveer. Nets Host sal Trace aktiveer/deaktiveer logparameter na Terminal in Datastel stuur saam met die geskeduleerde tyd wanneer Terminal Trace logs sal oplaai. Wanneer terminaal Trace-parameter as geaktiveer ontvang, sal dit begin om Trace-logs vas te lê en op die geskeduleerde tyd sal dit alle trace-logs oplaai en die log-funksionaliteit daarna deaktiveer.
6.7 6.3.4 Afgeleë foutmelding
Foutlogboeke is altyd op die terminale geaktiveer. Soos spoorregistrasie, word 'n parameter in die Nets Host gestel wat Terminal se foutregistrasie-funksie op afstand sal aktiveer/deaktiveer. Nets Host sal Trace aktiveer/deaktiveer logparameter na Terminal in Datastel stuur saam met die geskeduleerde tyd wanneer Terminal Foutlogs sal oplaai. Wanneer terminaal Foutregistrasie-parameter as geaktiveer ontvang, sal dit begin om foutlogboeke vas te lê en op die geskeduleerde tyd sal dit alle foutlogboeke oplaai en die aantekenfunksionaliteit daarna deaktiveer.
7. Draadlose netwerke
7.1 Handelaar Toepaslikheid
Viking-betaalterminal – MOVE 3500 en Link2500 het die vermoë om met Wi-Fi-netwerk te koppel. Daarom, vir draadloos om veilig geïmplementeer te word, moet oorweging geneem word wanneer die draadlose netwerk geïnstalleer en gekonfigureer word soos hieronder uiteengesit.
7.2 Aanbevole draadlose konfigurasies
Daar is baie oorwegings en stappe om te neem wanneer u draadlose netwerke opstel wat aan die interne netwerk gekoppel is.
Die volgende instellings en konfigurasies moet ten minste in plek wees:
· Alle draadlose netwerke moet gesegmenteer word deur 'n brandmuur te gebruik; indien verbindings tussen die draadlose netwerk en die kaarthouer-data-omgewing vereis word, moet die toegang deur die brandmuur beheer en beveilig word.
· Verander die verstek-SSID en deaktiveer SSID-uitsending · Verander verstekwagwoorde vir beide draadlose verbindings en draadlose toegangspunte, dit sluit in
enigste toegang sowel as SNMP-gemeenskapstringe · Verander enige ander sekuriteitstandaarde wat deur die verkoper verskaf of gestel is · Maak seker dat draadlose toegangspunte opgedateer is na die nuutste firmware · Gebruik slegs WPA of WPA2 met sterk sleutels, WEP is verbode en moet nooit gebruik word nie · Verander WPA/WPA2 sleutels by installasie sowel as op 'n gereelde basis en wanneer 'n persoon met
kennis van die sleutels verlaat die maatskappy
16
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
8. Netwerksegmentering
8.1 Handelaar Toepaslikheid
Die Viking-betalingstoepassing is nie 'n bedienergebaseerde betaaltoepassing nie en is op 'n terminaal geleë. Om hierdie rede vereis die betalingsaansoek geen aanpassing om aan hierdie vereiste te voldoen nie. Vir die handelaar se algemene kennis kan kredietkaartdata nie gestoor word op stelsels wat direk aan die internet gekoppel is nie. Byvoorbeeldample, web bedieners en databasisbedieners moet nie op dieselfde bediener geïnstalleer word nie. 'n Gedemilitariseerde sone (DMZ) moet opgestel word om die netwerk te segmenteer sodat slegs masjiene op die DMZ internettoeganklik is.
9. Afstandtoegang
9.1 Handelaar Toepaslikheid
Viking-betalingstoepassing kan nie op afstand verkry word nie. Afstandsondersteuning vind slegs plaas tussen 'n Nets-ondersteuningspersoneellid en die handelaar oor die telefoon of deur Nets direk op die perseel met die handelaar.
10. Oordrag van Sensitiewe data
10.1 Oordrag van Sensitiewe data
Viking-betalingstoepassing beveilig sensitiewe data en/of kaarthouerdata tydens vervoer deur boodskapvlak-enkripsie te gebruik met 3DES-DUKPT (112 bisse) vir alle oordrag (insluitend publieke netwerke). Sekuriteitsprotokolle vir IP-kommunikasie vanaf die Viking-toepassing na die gasheer word nie vereis nie, aangesien boodskapvlak-enkripsie geïmplementeer word met 3DES-DUKPT (112-bis) soos hierbo beskryf. Hierdie enkripsieskema verseker dat selfs al word transaksies onderskep, dit nie op enige manier gewysig of gekompromitteer kan word as 3DES-DUKPT (112-bis) as sterk enkripsie beskou word nie. Volgens die DUKPT-sleutelbestuurskema is die 3DES-sleutel wat gebruik word uniek aan elke transaksie.
10.2 Deel sensitiewe data met ander sagteware
Die Viking-betalingstoepassing bied geen logiese koppelvlak(s)/API's om die deel van duidelike teksrekeningdata direk met ander sagteware moontlik te maak nie. Geen sensitiewe data of duidelike teksrekeningdata word met ander sagteware gedeel deur blootgestelde API's nie.
10.3 E-pos en Sensitiewe data
Viking-betalingstoepassing ondersteun nie die stuur van e-pos nie.
10.4 Nie-konsole Administratiewe toegang
Viking ondersteun nie nie-konsole administratiewe toegang nie. Vir die handelaar se algemene kennis moet nie-konsole administratiewe toegang egter SSH, VPN of TLS gebruik vir enkripsie van alle nie-konsole administratiewe toegang tot bedieners in kaarthouer data omgewing. Telnet of ander nie-geënkripteerde toegangsmetodes moet nie gebruik word nie.
17
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
11. Viking-weergawe-metodologie
Die Nets-weergawe-metodologie bestaan uit 'n tweedelige S/W-weergawenommer: a.bb
waar `a' verhoog sal word wanneer hoë impak veranderinge volgens PCI-Secure Sagteware Standaard gedoen word. a – hoof weergawe (1 syfer)
`bb' sal verhoog word wanneer 'n lae impak beplande veranderinge volgens PCI-Secure Sagteware Standaard gedoen word. bb – minderjarige weergawe (2 syfers)
Die S/W-weergawenommer van die Viking-betalingstoepassing word so op die terminaalskerm gewys wanneer die terminaal aangeskakel word: `abb'
· 'n Opdatering van bv. 1.00 tot 2.00 is 'n beduidende funksionele opdatering. Dit kan veranderinge insluit met impak op sekuriteit of PCI Secure Software Standard vereistes.
· 'n Opdatering van bv. 1.00 tot 1.01 is 'n nie-beduidende funksionele opdatering. Dit mag dalk nie veranderinge insluit met impak op sekuriteit of PCI Secure Software Standard vereistes nie.
Alle veranderinge word in opeenvolgende numeriese volgorde voorgestel.
12. Instruksies oor Veilige Installasie van Patches en Updates.
Nets lewer opdaterings vir afstandbetalingstoepassings veilig. Hierdie opdaterings vind plaas op dieselfde kommunikasiekanaal as die veilige betalingstransaksies, en die handelaar hoef nie enige veranderinge aan hierdie kommunikasiepad aan te bring vir voldoening nie.
Wanneer daar 'n pleister is, sal Nets die pleisterweergawe op Nets Host opdateer. Handelaar sal die pleisters kry deur outomatiese S/W-aflaaiversoek, of die handelaar kan ook 'n sagteware-aflaai vanaf die terminale spyskaart begin.
Vir algemene inligting, moet handelaars 'n aanvaarbare gebruiksbeleid ontwikkel vir kritiese tegnologieë wat aan werknemers gerig is, volgens die riglyne hieronder vir VPN of ander hoëspoedverbindings, word opdaterings deur 'n firewall of personeel-firewall ontvang.
Die Nets-gasheer is óf via die internet beskikbaar met veilige toegang óf via 'n geslote netwerk. Met geslote netwerk het die netwerkverskaffer 'n direkte verbinding met ons gasheeromgewing wat van hul netwerkverskaffer aangebied word. Die terminale word deur Nets-terminaalbestuursdienste bestuur. Die terminale bestuursdiens definieer vir bvample die streek waaraan die terminale behoort en die verkryger wat in gebruik is. Terminalbestuur is ook verantwoordelik vir die opgradering van terminale sagteware op afstand oor die netwerk. Nets verseker dat die sagteware wat na die terminaal opgelaai word, die vereiste sertifisering voltooi het.
Nets beveel kontrolepunte aan by al sy kliënte om veilige en veilige betalings te verseker soos hieronder gelys: 1. Hou 'n lys van alle operasionele betaalterminale en neem foto's van alle dimensies sodat jy weet hoe hulle veronderstel is om te lyk. 2. Soek duidelike tekens van tampering soos gebreekte seëls oor toegangsdekplate of -skroewe, vreemde of ander bekabeling of 'n nuwe hardeware toestel wat jy nie kan herken nie. 3. Beskerm jou terminale van die kliënt se bereik wanneer dit nie gebruik word nie. Inspekteer jou betaalterminale daagliks en ander toestelle wat betaalkaarte kan lees. 4. Jy moet die identiteit van herstelpersoneel nagaan as jy enige herstel van die betaalterminale verwag. 5. Skakel Nets of jou bank dadelik as jy enige onooglike aktiwiteit vermoed. 6. As jy glo dat jou POS-toestel kwesbaar is vir diefstal, dan is daar dienswiegies en veilige harnasse en kettings beskikbaar om kommersieel te koop. Dit kan die moeite werd wees om hul gebruik te oorweeg.
18
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
13.Viking Release Updates
Die Viking-sagteware word in die volgende vrystellingsiklusse vrygestel (onderhewig aan veranderinge):
· 2 groot vrystellings jaarliks · 2 klein vrystellings jaarliks · Sagteware-patches, soos en wanneer nodig, (bv. weens enige kritieke fout/kwesbaarheidskwessie). As a
vrystelling is operasioneel in die veld en 'n paar kritieke kwessie(s) word aangemeld, dan word 'n sagteware-pleister met die regstelling verwag om binne 'n maand vrygestel te word.
Handelaars sal in kennis gestel word oor die vrystellings (groot/klein/patch) deur e-posse wat direk na hul onderskeie e-posadresse gestuur sal word. Die e-pos sal ook die belangrikste hoogtepunte van die vrystelling en vrystellingnotas bevat.
Die handelaars kan ook toegang kry tot die vrystellingsnotas wat opgelaai sal word by:
Sagteware vrystelling notas (nets.eu)
Viking-sagtewarevrystellings word onderteken met Ingenico se sanginstrument vir Tetra-terminale. Slegs ondertekende sagteware kan op die terminaal gelaai word.
14. Nie-toepaslike vereistes
Hierdie afdeling bevat 'n lys van vereistes in die PCI-Secure Sagteware Standaard wat as 'Nie van toepassing' op die Viking-betalingstoepassing beoordeel is en die regverdiging daarvoor.
PCI Secure Sagteware Standaard
CO
Aktiwiteit
Regverdiging vir 'Nie-toepasbaar'
5.3
Stawing metodes (insluitend sessie cre- Viking betaling aansoek loop op PCI goedgekeurde PTS PVB
tande) is voldoende sterk en robuust vir toestel.
verifikasie geloofsbriewe te beskerm teen bestaan
vervals, bedrieglik, uitgelek, geraai of omseil- Viking-betalingstoepassing bied nie plaaslike, nie-konsole nie
geventileer.
of afstandtoegang, of vlak van voorregte, dus is daar geen au-
dantikasiebewyse in die PTS PVB-toestel.
Viking-betalingstoepassing verskaf nie instellings om gebruiker-ID's te bestuur of te genereer nie en bied geen plaaslike, nie-konsole- of afstandtoegang tot kritieke bates nie (selfs vir ontfoutingsdoeleindes).
5.4
By verstek word alle toegang tot kritieke bates her-
Viking-betalingstoepassing loop op PCI-goedgekeurde PTS-PVB
beperk tot slegs daardie rekeninge en dienste toestel.
wat sodanige toegang vereis.
Viking-betalingstoepassing bied nie instellings aan nie
bestuur of genereer rekeninge of dienste.
7.3
Alle ewekansige nommers wat deur die sagteware gebruik word, is Viking-betalingstoepassing gebruik geen RNG (willekeurig
gegenereer met slegs goedgekeurde ewekansige getalgenerator) vir sy enkripsiefunksies.
ber generasie (RNG) algoritmes of biblioteke.
19
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
Goedgekeurde RNG-algoritmes of biblioteke is dié wat voldoen aan industriestandaarde vir voldoende onvoorspelbaarheid (bv. NIST Spesiale Publikasie 800-22).
Viking-betalingstoepassing genereer of gebruik geen ewekansige nommers vir kriptografiese funksies nie.
7.4
Ewekansige waardes het entropie wat voldoen aan die Viking-betalingstoepassing gebruik geen RNG nie (willekeurig
minimum effektiewe sterktevereistes van getalgenerator) vir sy enkripsiefunksies.
die kriptografiese primitiewe en sleutels wat staatmaak
op hulle.
Viking-betalingstoepassing genereer of gebruik geen
ewekansige getalle vir kriptografiese funksies.
8.1
Alle toegangspogings en gebruik van kritieke bates Viking-betalingstoepassing loop op PCI-goedgekeurde PTS-PVB
is opgespoor en naspeurbaar na 'n unieke individu. toestelle, waar alle kritieke batehantering plaasvind, en die
PTS PVB-firmware verseker vertroulikheid en integriteit van sen-
sitiewe data terwyl dit in die PTS PVB-toestel gestoor word.
Viking-betalingstoepassing se sensitiewe funksie se vertroulikheid, integriteit en veerkragtigheid word beskerm en verskaf deur die PTS PVB-firmware. Die PTS PVB-firmware verhoed enige toegang tot kritieke bates uit die terminale en maak staat op anti-tampering kenmerke.
Viking-betalingstoepassing bied nie plaaslike, nie-konsole- of afgeleë toegang nie, ook nie vlak van voorregte nie, dus is daar geen persoon of ander stelsels met toegang tot kritieke bates nie, slegs Viking-betalingstoepassing is in staat om kritieke bates te hanteer
8.2
Alle aktiwiteit word vasgelê in voldoende en noodsaaklike- Viking-betalingstoepassing loop op PCI-goedgekeurde PTS PVB
sary detail om presies te beskryf watter spesifieke toestelle.
aktiwiteite uitgevoer is, wie uitgevoer het
hulle, die tyd wat hulle uitgevoer is, en
Viking-betalingstoepassing bied nie plaaslike, nie-konsole aan nie
watter kritieke bates geraak is.
of afstandtoegang, ook nie vlak van voorregte nie, dus is daar geen
slegs persoon of ander stelsels met toegang tot kritieke bates
Viking-betalingstoepassing is in staat om kritieke bates te hanteer.
· Viking-betalingstoepassing bied nie bevoorregte operasiemetodes nie.
· Daar is geen funksies om enkripsie van sensitiewe data uit te skakel nie
· Daar is geen funksies vir die dekripsie van sensitiewe data nie
· Daar is geen funksies vir die uitvoer van sensitiewe data na ander stelsels of prosesse nie
· Daar word geen verifikasiekenmerke ondersteun nie
Sekuriteitkontroles en sekuriteitsfunksies kan nie gedeaktiveer of uitgevee word nie.
8.3
Die sagteware ondersteun veilige behoud van de- Viking-betalingstoepassings wat op PCI-goedgekeurde PTS PVB loop
tailed aktiwiteit rekords.
toestelle.
20
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
8.4 B.1.3
Viking-betalingstoepassing bied nie plaaslike, nie-konsole- of afstandtoegang nie, ook nie vlak van voorregte nie, dus is daar geen persoon of ander stelsels met toegang tot kritieke bates nie, slegs Viking-betalingstoepassing is in staat om kritieke bates te hanteer.
· Viking-betalingstoepassing bied nie bevoorregte operasiemetodes nie.
· Daar is geen funksies om enkripsie van sensitiewe data uit te skakel nie
· Daar is geen funksies vir die dekripsie van sensitiewe data nie
· Daar is geen funksies vir die uitvoer van sensitiewe data na ander stelsels of prosesse nie
· Daar word geen verifikasiekenmerke ondersteun nie
Sekuriteitkontroles en sekuriteitsfunksies kan nie gedeaktiveer of uitgevee word nie.
Die sagteware hanteer mislukkings in aktiwiteitsopsporingsmeganismes sodat die integriteit van bestaande aktiwiteitrekords behoue bly.
Viking-betalingstoepassing loop op PCI-goedgekeurde PTS POI-toestelle.
Viking-betalingstoepassing bied nie plaaslike, nie-konsole- of afstandtoegang nie, ook nie vlak van voorregte nie, dus is daar geen persoon of ander stelsels met toegang tot kritieke bates nie, slegs Viking-toepassing is in staat om kritieke bates te hanteer.
· Viking-betalingstoepassing bied nie bevoorregte operasiemetodes nie.
· Daar is geen funksies om enkripsie van sensitiewe data uit te skakel nie
· Daar is geen funksies vir die dekripsie van sensitiewe data nie
· Daar is geen funksies vir die uitvoer van sensitiewe data na ander stelsels of prosesse nie
· Daar word geen verifikasiekenmerke ondersteun nie
· Sekuriteitkontroles en sekuriteitsfunksies kan nie gedeaktiveer of uitgevee word nie.
Die sagtewareverskaffer hou dokumentasie by wat alle konfigureerbare opsies beskryf wat die sekuriteit van sensitiewe data kan beïnvloed.
Viking-betalingstoepassing loop op PCI-goedgekeurde PTS POI-toestelle.
Viking-betalingstoepassing verskaf nie enige van die volgende aan die eindgebruikers nie:
· konfigureerbare opsie om toegang tot sensitiewe data te verkry
21
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· konfigureerbare opsie om meganismes te verander om sensitiewe data te beskerm
· afstandtoegang tot die toepassing
· afstandopdaterings van die toepassing
· konfigureerbare opsie om standaardinstellings van die toepassing te verander
Die sagteware gebruik slegs die ewekansige getalgenereringsfunksie(s) wat ingesluit is in die betaalterminaal se PTS-toestelevaluering vir alle kriptografiese bewerkings wat sensitiewe data of sensitiewe funksies behels waar ewekansige waardes vereis word en implementeer nie sy eie nie.
Viking gebruik geen RNG (ewekansige getalgenerator) vir sy enkripsiefunksies nie.
Viking-toepassing genereer of gebruik geen ewekansige getalle vir kriptografiese funksies nie.
ewekansige getalgenereringfunksie(s).
Die integriteit van sagteware prompt files word beskerm in ooreenstemming met Beheerdoelwit B.2.8.
Alle vinnige vertonings op die Viking-terminaal word in die toepassing geënkodeer en geen opdrag nie files is buite die aansoek teenwoordig.
Geen opdrag nie fileAs daar buite die Viking-betalingstoepassing bestaan, word alle nodige inligting deur die toepassing gegenereer.
Implementeringsriglyne sluit instruksies vir belanghebbendes in om alle prompt kriptografies te onderteken files.
Alle opdragte wat op die Viking-terminale vertoon word, word in die toepassing geënkodeer en geen opdrag nie files is buite die aansoek teenwoordig.
Geen opdrag nie fileAs daar buite die Viking-betalingstoepassing bestaan, word alle nodige inligting deur die toepassing gegenereer
22
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
15. PCI Secure Software Standard Requirements Reference
Hoofstukke in hierdie dokument 2. Veilige betaling Aansoek
PCI Secure Sagteware Standaardvereistes
B.2.1 6.1 12.1 12.1.b
PCI DSS vereistes
2.2.3
3. Veilige afstandsagteware
11.1
Opdaterings
11.2
12.1
1&12.3.9 2, 8 en 10
4. Veilige uitvee van sensitiewe data en beskerming van gestoorde kaarthouerdata
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Stawing en toegangskontroles 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 en 8.2 8.1 en 8.2
Tekening
3.6
10.1
8.1
10.5.3
8.3
Draadlose netwerk
4.1
1.2.3 & 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1, XNUMX
Netwerksegmentering Afstandtoegang-oordrag van kaarthouerdata
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Viking-weergawe-metodologie
11.2 12.1.b
Instruksies vir kliënte oor 11.1
veilige installering van pleisters en 11.2
opdaterings.
12.1
23
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
16. Woordelys van terme
KWARTAAL Kaarthouerdata
DUKPT
3DES Handelaar SSF
PA-QSA
DEFINISIE
Volle magnetiese streep of die PAN plus enige van die volgende: · Kaarthouer naam · Vervaldatum · Dienskode
Afgeleide Unieke Sleutel Per Transaksie (DUKPT) is 'n sleutelbestuurskema waarin vir elke transaksie 'n unieke sleutel gebruik word wat van 'n vaste sleutel afgelei is. As 'n afgeleide sleutel dus gekompromitteer word, word toekomstige en vorige transaksiedata steeds beskerm aangesien die volgende of vorige sleutels nie maklik bepaal kan word nie.
In kriptografie is Triple DES (3DES of TDES), amptelik die Triple Data Encryption Algorithm (TDEA of Triple DEA), 'n simmetriese-sleutel blokkode, wat die DES-kodeeralgoritme drie keer op elke datablok toepas.
Die eindgebruiker en koper van die Viking-produk.
Die PCI Software Security Framework (SSF) is 'n versameling standaarde en programme vir die veilige ontwerp en ontwikkeling van betaalsagteware. Sekuriteit van betalingsagteware is 'n deurslaggewende deel van die betalingstransaksievloei en is noodsaaklik om betroubare en akkurate betalingstransaksies te fasiliteer.
Betalingsaansoek Gekwalifiseerde Sekuriteitsbeoordelaars. QSA-maatskappy wat dienste aan betalingsaansoekverkopers verskaf om verkopers se betalingsaansoeke te valideer.
SAD (sensitiewe verifikasiedata)
Sekuriteitverwante inligting (Kaartvalidasiekodes/-waardes, volledige spoordata, PIN's en PIN-blokke) wat gebruik word om kaarthouers te staaf, wat in gewone teks of andersins onbeskermde vorm verskyn. Openbaarmaking, wysiging of vernietiging van hierdie inligting kan die sekuriteit van 'n kriptografiese toestel, inligtingstelsel of kaarthouerinligting in gevaar stel of kan in 'n bedrieglike transaksie gebruik word. Sensitiewe stawingdata moet nooit gestoor word wanneer 'n transaksie voltooi is nie.
Viking HSM
Die sagtewareplatform wat deur Nets gebruik word vir toepassingsontwikkeling vir die Europese mark.
Hardeware sekuriteit module
24
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
17. Dokumentbeheer
Dokumentskrywer, Reviewers en Goedkeurders
Beskrywing SSA Ontwikkelingsnakomingsbestuurder Stelselargitek QA Produk Eienaar Produkbestuurder Ingenieursdirekteur
Funksie Reviewer Skrywer Reviewer & Goedkeurder Reviewer & Goedkeurder Reviewer & Goedkeurder Reviewer & Goedkeurder Bestuurder Bestuurder
Naam Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Opsomming van veranderinge
Weergawenommer 1.0
1.0
1.1
Weergawe Datum 03-08-2022
15-09-2022
20-12-2022
Aard van verandering
Eerste weergawe vir PCI-Secure Software Standard
Afdeling 14 is opgedateer met die nie-toepaslike beheerdoelwitte met hul motivering
Opgedateerde afdelings 2.1.2 en 2.2
met Self4000.
Verwyder
Link2500 (PTS weergawe 4.x) van die
ondersteunde terminale lys
Verander skrywer Aruna Panicker Aruna Panicker
Aruna Panieker
Reviewer
Datum Goedgekeur
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Opgedateer afdeling 2.2 met Link2500 Aruna Panicker Shamsher Singh 05-01-23
(punte v4) om die ondersteuning voort te sit
vir hierdie terminale tipe.
1.2
20-03-2023 Bygewerkte afdeling 2.1.1 met die Letse Aruna Panicker Shamsher Singh 21-04-23
en Litaus terminale profiles.
En 2.1.2 met BT-iOS-kommunikasie-
tipe ondersteuning
2.0
03-08-2023 Weergawevrystelling weergawe opgedateer na Aruna Panicker Shamsher Singh 13-09-23
2.00 in kop-/voettekste.
Opgedateer afdeling 2.2 met nuwe
Move3500 hardeware en firmware
weergawes. Opgedateer afdeling 11 vir
`Viking-weergawe-metodologie'.
Opgedateer afdeling 1.3 met die nuutste
weergawe van PCI SSS vereiste
gids. Opgedateer afdeling 2.2 vir by-
geporteerde terminale verwyder sonder ondersteuning
oorgedra hardeware weergawes van die
lys.
2.0
16-11-2023 Visuele (CVI)-opdatering
Leyla Avsar
Arno Ekström 16-11-23
25
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
Verspreidingslys
Noem Terminale Departement Produkbestuur
Funksie-ontwikkeling, Toets, Projekbestuur, Voldoening Terminale Produkbestuurspan, Voldoeningsbestuurder Produk
Dokumentgoedkeurings
Noem Arto Kangas
Funksie Produk Eienaar
Dokument Review Planne
Hierdie dokument sal herviewed en opgedateer, indien nodig, soos hieronder gedefinieer:
· Soos vereis om inligtinginhoud reg te stel of te verbeter · Na aanleiding van enige organisatoriese veranderinge of herstrukturering · Na aanleiding van 'n jaarlikse herview · Na uitbuiting van 'n kwesbaarheid · Volg nuwe inligting / vereistes rakende relevante kwesbaarhede
26
PCI-Secure Software Standard Vendor Implementation Guide v2.0 vir Viking Terminal 2.00
Dokumente / Hulpbronne
 |
nets PCI-Secure Standaard sagteware [pdf] Gebruikersgids PCI-Secure Standaard Sagteware, PCI-Secure, Standaard Sagteware, Sagteware |
