PCI Secure Software Standard
Uputstvo za upotrebu
Nets Denmark A/S:
PCI-Secure Software Standard
Vodič za implementaciju dobavljača softvera
za Viking terminal 1.02.0
Verzija 1.2
Uvod i obim
1.1 Uvod
Svrha ovog Vodiča za implementaciju dobavljača standardnog softvera PCI-Secure je da zainteresovanim stranama pruži jasne i detaljne smernice o bezbednoj implementaciji, konfiguraciji i radu Viking softvera. Vodič upućuje trgovce kako da implementiraju Nets-ovu Viking aplikaciju u svoje okruženje na način koji je usklađen sa PCI Secure Software Standardom. Iako nije namijenjeno da bude potpuni vodič za instalaciju. Viking aplikacija, ako je instalirana prema ovdje dokumentiranim smjernicama, trebala bi olakšati i podržati PCI usklađenost trgovca.
1.2 Softverski sigurnosni okvir (SSF)
PCI Software Security Framework (SSF) je zbirka standarda i programa za siguran dizajn i razvoj softvera za aplikacije za plaćanje. SSF zamjenjuje Standard sigurnosti podataka aplikacije za plaćanje (PA-DSS) modernim zahtjevima koji podržavaju širi niz tipova softvera za plaćanje, tehnologija i razvojnih metodologija. Pruža dobavljačima sigurnosne standarde kao što je PCI Secure Software Standard za razvoj i održavanje softvera za plaćanje tako da štiti platne transakcije i podatke, minimizira ranjivosti i brani od napada.
1.3 Vodič za implementaciju dobavljača softvera – Distribucija i ažuriranja
Ovaj Vodič za implementaciju dobavljača standardnog softvera PCI sigurnog softvera treba distribuirati svim relevantnim korisnicima aplikacija, uključujući trgovce. Treba ga ažurirati najmanje jednom godišnje i nakon promjena u softveru. Godišnji review a ažuriranje treba da uključuje nove promjene softvera kao i promjene u Standardu sigurnog softvera.
Nets objavljuje informacije o navedenim webstranice ako postoje ažuriranja u vodiču za implementaciju.
Webstranica: https://support.nets.eu/
Za prample: Vodič za implementaciju standardnog softvera za Nets PCI-Secure softver dobavljača će biti distribuiran svim kupcima, preprodavcima i integratorima. Kupci, prodavci i integratori će biti obaviješteni od reviews i ažuriranja. Ažuriranja PCI-Secure Software Standardnog Vodiča za implementaciju softvera za dobavljače mogu se dobiti i direktnim kontaktiranjem Netsa.
Ovaj vodič za implementaciju dobavljača softvera PCI-Secure Standard Softvera upućuje na PCI-Secure Software Standard i PCI zahtjeve. Sljedeće verzije su navedene u ovom vodiču.
- PCI-Secure-Software-Standard-v1_1
Aplikacija za sigurno plaćanje
2.1 Aplikacija S/W
Viking aplikacije za plaćanje ne koriste nikakav vanjski softver ili hardver koji ne pripada Viking ugrađenoj aplikaciji. Svi S/W izvršni fajlovi koji pripadaju Viking aplikaciji za plaćanje su digitalno potpisani Tetra kompletom za potpisivanje koji je obezbedio Ingenico.
- Terminal komunicira sa Nets Host-om koristeći TCP/IP, bilo preko Etherneta, GPRS-a, Wi-Fi-ja ili preko PC-LAN-a koji pokreće POS aplikaciju. Također, terminal može komunicirati sa domaćinom putem mobilnog telefona uz Wi-Fi ili GPRS vezu.
Viking terminali upravljaju svom komunikacijom koristeći Ingenico komponentu sloja veze. Ova komponenta je aplikacija učitana u terminal. Sloj veze može upravljati s nekoliko komunikacija istovremeno koristeći različite periferne uređaje (modem i serijski port, nprample).
Trenutno podržava sljedeće protokole:
- Fizički: RS232, interni modem, eksterni modem (preko RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G i 4G.
- Data Link: SDLC, PPP.
- Mreža: IP.
- Transport: TCP.
Terminal uvijek preuzima inicijativu za uspostavljanje komunikacije prema Nets Host-u. Ne postoji TCP/IP server S/W u terminalu, a terminal S/W nikada ne odgovara na dolazne pozive.
Kada je integrisan sa POS aplikacijom na računaru, terminal se može podesiti da komunicira preko PC-LAN-a koji pokreće POS aplikaciju koristeći RS232, USB ili Bluetooth. I dalje sve funkcionalnosti aplikacije za plaćanje rade u terminalu S/W.
Protokol aplikacije (i primijenjena enkripcija) je transparentan i neovisan o vrsti komunikacije.
2.1.1 Plaćanje Podešavanje TCP/IP parametara komunikacije hosta 
2.1.2 ECR komunikacija
- RS232 Serijski
- USB veza
- Podešavanje TCP/IP parametara, poznato i kao ECR preko IP-a
- Host/ECR komunikacijske opcije u Viking Payment aplikaciji
Host COMM tip Terminal Type Ethernet SeIf4000, Move3500, Desk3500, La n e3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i preko ECR SeIf4000, Move3500, Link2500, Link2500i, Desk3500,
Lane3000GPRS Premjesti3500 'Poravnajte Move3500, Link2500 ECR COMM tip Terminal Type IP Ethernet SeIf4000, Move3500, Desk3500, Lane3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i USB SeIf4000, Move3500, Link2500, Link2500i, Desk3500, Lane3000 RS232 SeIf4000, Desk3500, Lane3000 GPRS Premjesti3500 IP Will Move3500, Link2500 - Konfiguracija parametara Nets Cloud ECR (Connect Cloud).
ECR IP adresa 212.226.157.243 Komunikacijski TCP-IP PORT 6001
2.1.3 Komunikacija s hostom putem ECR-a
| IP adresa domaćina | 91.102.24142 |
| Komunikacija TCP-IP PORT (NORVEŠKA) | 9670 |
Napomena: Pogledajte “2.1.1- Podešavanje TCP/IP parametara komunikacije hosta plaćanja” za TCP/IP portove specifične za zemlju.
2.2 Podržani hardver(i) terminala
Aplikacija za plaćanje Viking je podržana na raznim PTS (PIN transakcijska sigurnost) validiranim Ingenico uređajima.
Spisak terminalnog hardvera zajedno sa njihovim PTS brojem odobrenja je dat u nastavku.
Tipovi Tetra terminala
| Terminal hardver | PTS verzija | Broj PTS odobrenja | PTS hardverska verzija | Verzija PTS firmvera |
| Lane 3000 | 5.x | 4-30310 | LAN30AN LAN30BA LAN30BN LAN30CA LAN30DA LAN30EA LAN30EN LAN30FA LAN30FN LAN30GA LAN30HA LAN30AA | 820547v01.xx
820561v01.xx |
| Radni sto 3500 | 5.x | 4-20321 | DES32BB DES32BC DES32CB DES32DB DES32DC DES35AB DES35BB DES35BC DES35CB DES35DB DES35DC DES32AB | 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx |
| Pokret 3500 | 5.x | 4-20320 | MOV35AC MOV35AQ MOV35BB MOV35BC MOV35BQ MOV35CB MOV35CC MOV35CQ MOV35DB MOV35DC MOV35DQ MOV35EB MOV35FB MOV35JB MOV35AB |
820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx |
| Link2500 | 4.x | 4-30230 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA | 820555v01.xx 820556v01.xx 820547v01.xx |
| LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA | ||||
| Link2500 | 5.x | 4-30326 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25 | 820547v01.xx |
| Self4000 | 5.x | 4-30393 | SEL40BA | 820547v01.xx |
2.3 Sigurnosne politike
Aplikacija za plaćanje Viking pridržava se svih primjenjivih sigurnosnih politika koje je odredio Ingenico. Za opšte informacije, ovo su veze do sigurnosnih politika za različite Tetra terminale:
| Terminal Type | Dokument sigurnosne politike |
| Link2500 (v4) | Link/2500 PCI PTS sigurnosna politika (pcisecuritystandards.org) |
| Link2500 (v5) | PCI PTS sigurnosna politika (pcisecuritystandards.org) |
| Desk3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-EN- V12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf |
| Premjesti3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-EN- V11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf |
| Lane3000 | https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-EN- V16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf |
| Self4000 | Self/4000 PCI PTS sigurnosna politika (pcisecuritystandards.org) |
Sigurno udaljeno ažuriranje softvera
3.1 Primjenjivost kod trgovaca
Nets bezbedno isporučuje ažuriranja Viking aplikacija za plaćanje na daljinu. Ova ažuriranja se dešavaju na istom komunikacijskom kanalu kao i sigurne platne transakcije, a trgovac nije dužan da vrši bilo kakve promjene na ovoj komunikacijskoj putanji radi usklađenosti.
Za opšte informacije, trgovci bi trebalo da razviju politiku prihvatljivog korišćenja za kritične tehnologije okrenute zaposlenima, prema dole navedenim smernicama za VPN ili druge veze velike brzine, ažuriranja se primaju preko zaštitnog zida ili ličnog zaštitnog zida.
3.2 Politika prihvatljivog korišćenja
Trgovac bi trebao razviti politike korištenja za kritične tehnologije usmjerene na zaposlenike, kao što su modemi i bežični uređaji. Ova pravila korištenja trebaju uključivati:
- Eksplicitno odobrenje uprave za korištenje.
- Autentifikacija za upotrebu.
- Spisak svih uređaja i osoblja sa pristupom.
- Označavanje uređaja kod vlasnika.
- Kontakt podaci i svrha.
- Prihvatljiva upotreba tehnologije.
- Prihvatljive mrežne lokacije za tehnologije.
- Lista proizvoda odobrenih od strane kompanije.
- Dopuštanje korištenja modema za dobavljače samo kada je to potrebno i deaktivacija nakon upotrebe.
- Zabrana pohranjivanja podataka o korisniku kartice na lokalnim medijima kada su povezani na daljinu.
3.3 Personal Firewall
Sve "uvijek uključene" veze između računala i VPN-a ili druge veze velike brzine trebale bi biti osigurane korištenjem ličnog firewall proizvoda. Zaštitni zid je konfigurisan od strane organizacije tako da zadovolji specifične standarde i da ga zaposlenici ne mogu menjati.
3.4 Procedure udaljenog ažuriranja
Postoje dva načina da aktivirate terminal da kontaktira Nets softverski centar radi ažuriranja:
- Ili ručno preko opcije menija na terminalu (prevucite karticu trgovca, izaberite meni 8 “Softver”, 1 “Dohvati softver”) ili pokrenut host.
- Korištenje metode iniciranog hostom; terminal automatski prima naredbu od Host-a nakon što izvrši finansijsku transakciju. Komanda govori terminalu da kontaktira Nets softverski centar kako bi provjerio ima li ažuriranja.
Nakon uspješnog ažuriranja softvera, terminal s ugrađenim pisačem će ispisati račun s informacijama o novoj verziji.
Integratori terminala, partneri i/ili Nets tim za tehničku podršku će imati odgovornost da informišu trgovce o ažuriranju, uključujući vezu do ažuriranog vodiča za implementaciju i napomene o izdanju.
Osim računa nakon ažuriranja softvera, Viking aplikacija za plaćanje može se potvrditi i putem Terminal Info pritiskom na tipku 'F3' na terminalu.
Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o korisniku kartice
4.1 Primjenjivost kod trgovaca
Viking aplikacija za plaćanje ne pohranjuje nikakve podatke o magnetnoj traci, vrijednosti ili kodove za validaciju kartice, PIN-ove ili podatke o blokovima PIN-a, materijal kriptografskih ključeva ili kriptograme iz svojih prethodnih verzija.
Da bi bio usklađen sa PCI-jem, trgovac mora imati politiku zadržavanja podataka koja definira koliko dugo će se čuvati podaci o korisniku kartice. Viking aplikacija za plaćanje zadržava podatke o korisniku kartice i/ili osjetljive podatke o autentifikaciji posljednje transakcije iu slučaju da postoje vanmrežne ili odgođene autorizacijske transakcije dok se istovremeno pridržava usklađenosti sa PCI-Secure Software Standardom, stoga može biti izuzeta od politika zadržavanja podataka vlasnika kartice trgovca.
4.2 Upute za sigurno brisanje
Terminal ne pohranjuje osjetljive podatke o autentifikaciji; puna staza 2, CVC, CVV ili PIN, ni prije ni nakon autorizacije; osim transakcija odgođene autorizacije u kojem slučaju se pohranjuju šifrirani osjetljivi podaci za autentifikaciju (puni podaci track2) dok se autorizacija ne izvrši. Nakon autorizacije podaci se sigurno brišu.
Svaki slučaj zabranjenih historijskih podataka koji postoji u terminalu automatski će se sigurno izbrisati kada se aplikacija za plaćanje terminala Viking nadogradi. Brisanje zabranjenih historijskih podataka i podataka koji su ranije važili za politiku zadržavanja dogodit će se automatski.
4.3 Lokacije pohranjenih podataka o vlasnicima kartica
Podaci o korisniku kartice pohranjeni su u Flash DFS (Data File sistem) terminala. Trgovac nije direktno dostupan podacima.
| Skladište podataka (file, stol, itd.) | Pohranjeni elementi podataka o korisniku kartice (PAN, rok trajanja, bilo koji elementi JCI) |
Kako je pohrana podataka osigurana (nprampdatoteke, šifriranje, kontrole pristupa, skraćivanje, itd.) |
| File: transgress | PAN, datum isteka, servisni kod | PAN: šifrirani 3DES-DUKPT (112 bita) |
| File: storefwd.rsd | PAN, datum isteka, servisni kod | PAN: šifrirani 3DES-DUKPT (112 bita) |
| File: transoff.rsd | PAN, datum isteka, servisni kod | PAN: šifrirani 3DES-DUKPT (112 bita) |
| File: transorr.rsd | Skraćeni PAN | Skraćeno (prvih 6, zadnjih 4) |
| File: offlrep.dat | Skraćeni PAN | Skraćeno (prvih 6, zadnjih 4) |
| File: defauth.rsd | PAN, datum isteka, servisni kod | PAN: šifrirani 3DES-DUKPT (112 bita) |
| File: defauth.rsd | Puni podaci track2 | Puni podaci Track2: unaprijed šifrirani 3DES-DUKPT (112 bita) |
4.4 Odgođena transakcija autorizacije
Odgođena autorizacija nastaje kada trgovac ne može izvršiti autorizaciju u vrijeme transakcije s vlasnikom kartice zbog povezivanja, problema sa sistemom ili drugih ograničenja, a zatim kasnije dovršava autorizaciju kada je u mogućnosti to učiniti.
To znači da se odgođena autorizacija javlja kada se izvrši online autorizacija nakon što kartica više nije dostupna. Kako online autorizacija odgođenih autorizacijskih transakcija kasni, transakcije će biti pohranjene na terminalu dok se transakcije uspješno ne autoriziraju kasnije kada mreža bude dostupna. Transakcije se pohranjuju i šalju kasnije domaćinu, kao što su vanmrežne transakcije pohranjene od danas u Viking aplikaciji za plaćanje.
Trgovac može pokrenuti transakciju kao 'Odložena autorizacija' iz elektronske blagajne (ECR) ili preko menija terminala.
Odgođene transakcije autorizacije trgovac može učitati na Nets host koristeći sljedeće opcije:
- ECR – Administratorska komanda – Pošalji van mreže (0x3138)
- Terminal – Trgovac ->2 EOT -> 2 poslano hostu
4.5 Procedure za rješavanje problema
Nets podrška neće zahtijevati osjetljivu autentifikaciju ili podatke o korisniku kartice u svrhu rješavanja problema. Viking aplikacija za plaćanje ni u kom slučaju ne može prikupljati ili rješavati osjetljive podatke.
4.6 PAN lokacije – prikazane ili odštampane
Maskirani PAN:
- Potvrde o finansijskim transakcijama:
Maskirani PAN se uvijek ispisuje na računu o transakciji i za vlasnika kartice i za trgovca. Maskirani PAN u većini slučajeva je sa * gdje su prvih 6 cifara i posljednje 4 cifre u čistom tekstu. - Izvještaj o listi transakcija:
Izvještaj o listi transakcija prikazuje transakcije izvršene u sesiji. Detalji transakcije uključuju maskirani PAN, ime izdavaoca kartice i iznos transakcije. - Zadnji račun kupca:
Kopija posljednjeg računa kupca može se generirati iz izbornika za kopiranje terminala. Račun kupca sadrži maskirani PAN kao originalni račun kupca. Zadata funkcija se koristi u slučaju da terminal ne uspije generirati korisnika
račun tokom transakcije iz bilo kojeg razloga.
Šifrirani PAN:
• Potvrda o vanmrežnoj transakciji:
Verzija računa za maloprodaju vanmrežne transakcije uključuje Triple DES 112-bitne DUKPT šifrirane podatke vlasnika kartice (PAN, datum isteka i servisni kod).
BAX: 71448400-714484
12/08/2022 10:39
Visa
Beskontaktno
************3439-0
107A47458AE773F3A84DF977
553E3D93FFFF9876543210E0
15F3
AID: A0000000031010
TVR: 0000000000
ID prodavnice: 123461
Ref.: 000004 000000 KC3
Odg.: Y1
Sjednica: 782
KUPOVINA
12,00 NOK
ODOBRENO
RETAILER COPY
Potvrda:
Viking aplikacija za plaćanje uvijek standardno šifrira podatke vlasnika kartice za skladištenje vanmrežnih transakcija, prijenos prema NETS hostu i za ispis šifriranih podataka o kartici na računu trgovca za vanmrežnu transakciju.
Takođe, da bi prikazala ili odštampala PAN kartice, Viking aplikacija za plaćanje uvek maskira PAN cifre zvjezdicom '*' sa prvim 6 + poslednje 4 cifre čiste kao podrazumevano. Format štampanja broja kartice kontroliše sistem upravljanja terminalom gde se format štampanja može promeniti zahtevom putem odgovarajućeg kanala i predstavljanjem poslovne legitimne potrebe, međutim za Viking aplikaciju za plaćanje takvog slučaja nema.
Example za maskirani PAN:
PAN: 957852181428133823-2
Minimalni podaci: ***************3823-2
Maksimalni info: 957852********3823-2
4.7 Prompt files
Viking aplikacija za plaćanje ne pruža nikakav poseban upit files.
Viking aplikacija za plaćanje zahtijeva unose od vlasnika kartice putem displeja koji su dio sistema za razmjenu poruka unutar potpisane Viking aplikacije za plaćanje.
Na terminalu se prikazuju upiti za PIN, iznos itd., a čekaju se upisi korisnika kartice. Unosi primljeni od vlasnika kartice se ne pohranjuju.
4.8 Upravljanje ključem
Za Tetra liniju modela terminala, sve sigurnosne funkcije se izvode u sigurnom području PTS uređaja zaštićenog od aplikacije za plaćanje.
Šifriranje se izvodi unutar sigurnog područja, dok dešifriranje šifriranih podataka može izvršiti samo Nets Host sistemi. Sva razmjena ključeva između Nets hosta, Key/Inject alata (za Tetra terminale) i PED-a se vrši u šifriranom obliku.
Procedure za upravljanje ključevima implementiraju Nets prema DUKPT šemi koristeći 3DES enkripciju.
Svi ključevi i ključne komponente koje koriste Nets terminali se generiraju korištenjem odobrenih slučajnih ili pseudoslučajnih procesa. Ključeve i komponente ključeva koje koriste Nets terminali generira Nets sistem za upravljanje ključevima, koji koristi odobrene Thales Pay shield HSM jedinice za generiranje kriptografskih ključeva.
Upravljanje ključem je nezavisno od funkcionalnosti plaćanja. Učitavanje nove aplikacije stoga ne zahtijeva promjenu ključne funkcionalnosti. Prostor za ključeve terminala podržavat će oko 2,097,152 transakcije.
Kada se prostor za ključeve potroši, Viking terminal prestaje da radi i prikazuje poruku o grešci, a zatim se terminal mora zamijeniti.
4.9 '24 HR' Ponovno pokretanje
Svi Viking terminali su PCI-PTS 4.x i noviji i stoga slijedi zahtjev usklađenosti da se PCI-PTS 4.x terminal mora ponovo pokrenuti najmanje jednom svaka 24 sata kako bi se obrisala RAM memorija i dodatno osigurao HW terminala od korištenja za preuzimanje plaćanja podaci o kartici.
Još jedna prednost '24h' ciklusa ponovnog pokretanja je da će curenje memorije biti ublaženo i da će imati manji utjecaj na trgovca (ne da bismo trebali prihvatiti probleme s curenjem memorije.
Trgovac može podesiti vrijeme ponovnog pokretanja iz opcije menija terminala na 'Vrijeme ponovnog pokretanja'. Vrijeme ponovnog pokretanja je postavljeno na osnovu '24h' sata i imaće format HH:MM.
Reset mehanizam je dizajniran da osigura resetovanje terminala najmanje jednom u 24 sata rada. Da bi se ispunio ovaj zahtjev, definiran je vremenski slot, nazvan “interval resetovanja” koji predstavljaju Temin i Tmax. Ovaj period predstavlja vremenski interval u kojem je resetovanje dozvoljeno. U zavisnosti od poslovnog slučaja, „interval resetovanja“ se prilagođava tokom faze instalacije terminala. Planirano, ovaj period ne može biti kraći od 30 minuta. Tokom ovog perioda, resetovanje se dešava svaki dan 5 minuta ranije (na T3) kao što je objašnjeno dijagramom ispod:
4.10 Bele liste
Stavljanje na belu listu je procedura kojom se utvrđuje da li je dozvoljeno prikazivanje PAN-ova navedenih kao bele liste u čistom tekstu. Viking koristi 3 polja za određivanje PAN-ova na bijeloj listi koji se čitaju iz konfiguracija preuzetih sa sistema upravljanja terminalom.
Kada je 'Compliance flag' u Nets hostu postavljena na Y, informacije sa Nets Host-a ili sistema upravljanja terminalom se preuzimaju na terminal, kada se terminal pokrene. Ova oznaka usklađenosti se koristi za određivanje PAN-ova na bijeloj listi koji se čitaju iz skupa podataka.
Oznaka 'Track2ECR' određuje da li je Track2 podacima dozvoljeno rukovanje (slanje/primanje) od strane ECR-a za određenog izdavaoca. Ovisno o vrijednosti ove zastavice, određuje se hoće li podaci track2 biti prikazani u lokalnom načinu na ECR-u.
'Polje formata za štampanje' određuje kako će se PAN prikazati. Sve kartice u PCI opsegu će imati format štampanja podešen da prikazuje PAN u skraćenom/maskiranom obliku.
Autentifikacija i kontrole pristupa
5.1 Kontrola pristupa
Aplikacija za plaćanje Viking nema korisničke naloge niti odgovarajuće lozinke, stoga je aplikacija za plaćanje Viking izuzeta od ovog zahtjeva.
- ECR integrisano podešavanje:
Nije moguće pristupiti vrstama transakcija kao što su povrat novca, depozit i poništenje iz menija terminala kako bi se ove funkcije zaštitile od zloupotrebe. Ovo su vrste transakcija u kojima se odvija protok novca sa računa trgovca na račun vlasnika kartice. Odgovornost trgovca je da osigura da ECR koriste samo ovlašteni korisnici. - Samostalna postavka:
Kontrola pristupa trgovačkim karticama je podrazumevano omogućena za pristup vrstama transakcija kao što su povrat novca, depozit i poništenje iz menija terminala kako bi ove funkcije bile sigurne od zloupotrebe.
Viking terminal je po defaultu konfiguriran da osigura opcije menija, kako bi se spriječio neovlašteni pristup. Parametri za konfiguraciju sigurnosti menija spadaju u Merchant Menu (dostupan sa Merchant karticom) -> Parameters -> Security
Zaštiti meni – Podesite na 'Da' prema zadanim postavkama.
Dugme izbornika na terminalu zaštićeno je konfiguracijom izbornika Protect. Meni može pristupiti samo trgovac koristeći trgovačku karticu. 
Zaštititi preokret – Podesite na 'Da' prema zadanim postavkama.
Poništavanje transakcije može izvršiti samo trgovac koji koristi karticu trgovca za pristup meniju storniranja. 
Zaštiti pomirenje – Podesite na 'Da' prema zadanim postavkama
Opciji za pomirenje može pristupiti samo trgovac sa trgovačkom karticom kada je ova zaštita postavljena na true. 
Zaštitite prečicu – Podesite na 'Da' prema zadanim postavkama
Priručni meni sa opcijama za viewInformacije o terminalu i opcija za ažuriranje Bluetooth parametara biće dostupne trgovcu samo kada se kartica trgovca prevuče.
5.2 Kontrole lozinki
Aplikacija za plaćanje Viking nema korisničke naloge niti odgovarajuće lozinke; stoga je aplikacija Viking izuzeta od ovog zahtjeva.
Logging
6.1 Primjenjivost kod trgovaca
Trenutno, za aplikaciju za plaćanje Nets Viking ne postoje postavke PCI dnevnika koje se mogu konfigurirati za krajnjeg korisnika.
6.2 Konfigurišite postavke dnevnika
Aplikacija za plaćanje Viking nema korisničke naloge, tako da PCI usaglašeno evidentiranje nije primjenjivo. Čak i kod najopširnijeg evidentiranja transakcija, Viking aplikacija za plaćanje ne bilježi nikakve osjetljive podatke o autentifikaciji ili podatke o korisniku kartice.
6.3 Centralna sječa
Terminal ima generički mehanizam dnevnika. Mehanizam također uključuje evidentiranje kreiranja i brisanja S/W izvršne datoteke.
S/W aktivnosti preuzimanja se evidentiraju i mogu se ručno prenijeti na Host putem izbornika na terminalu ili na zahtjev od hosta označenog u uobičajenom prometu transakcija. Ako aktivacija S/W preuzimanja ne uspije zbog nevažećih digitalnih potpisa na primljenom files, incident se evidentira i automatski i odmah prenosi na Host.
6.3.1 Omogućite evidentiranje tragova na terminalu
Da biste omogućili evidentiranje tragova:
- Prevucite karticu trgovca.
- Zatim u meniju izaberite „9 Sistemski meni“.
- Zatim idite na meni “2 Sistemski dnevnik”.
- Unesite šifru tehničara, koju možete dobiti pozivom podrške Nets Merchant Service-a.
- Odaberite “8 parametara”.
- Zatim omogućite “Logging” na “Yes”.
6.3.2 Slanje evidencije praćenja hostu
Za slanje evidencije praćenja:
- Pritisnite tipku Meni na terminalu, a zatim Prevucite karticu trgovca.
- Zatim u glavnom meniju izaberite “7 Operator menu”.
- Zatim odaberite “5 Send Trace Logs” da pošaljete evidenciju praćenja hostu.
6.3.3 Daljinsko evidentiranje tragova
Parametar je postavljen u Nets Host (PSP) koji će daljinski omogućiti/onemogućiti funkciju evidentiranja tragova terminala. Nets Host će poslati parametar za omogućavanje/onemogućavanje praćenja na terminal u skupu podataka zajedno sa zakazanim vremenom kada će terminal učitati evidencije praćenja. Kada terminal primi parametar praćenja kao omogućen, on će početi hvatati evidencije praćenja i u zakazano vrijeme će učitati sve evidencije praćenja i nakon toga onemogućiti funkcionalnost evidentiranja.
6.3.4 Daljinsko evidentiranje grešaka
Dnevnici grešaka su uvijek omogućeni na terminalu. Poput evidentiranja tragova, u Nets Host-u je postavljen parametar koji će daljinski omogućiti/onemogućiti funkciju evidentiranja grešaka terminala. Nets Host će poslati parametar za omogućavanje/onemogućavanje praćenja na terminal u skupu podataka zajedno sa zakazanim vremenom kada će terminal učitati evidencije grešaka. Kada terminal primi parametar za evidentiranje grešaka kao omogućen, on će početi sa snimanjem evidencije grešaka i u zakazano vrijeme će učitati sve evidencije grešaka i nakon toga onemogućiti funkcionalnost evidentiranja.
Bežične mreže
7.1 Primjenjivost kod trgovaca
Viking terminal za plaćanje – MOVE 3500 i Link2500 imaju mogućnost povezivanja na Wi-Fi mrežu. Stoga, da bi se bežična mreža bezbedno implementirala, treba uzeti u obzir prilikom instaliranja i konfigurisanja bežične mreže kao što je detaljno opisano u nastavku.
7.2 Preporučene bežične konfiguracije
Mnogo je razmatranja i koraka koje treba poduzeti prilikom konfiguriranja bežičnih mreža koje su povezane na internu mrežu.
U najmanju ruku, sljedeće postavke i konfiguracije moraju biti postavljene:
- Sve bežične mreže moraju biti segmentirane pomoću firewall-a; ako su potrebne veze između bežične mreže i okruženja podataka vlasnika kartice, pristup mora biti kontroliran i osiguran zaštitnim zidom.
- Promenite podrazumevani SSID i onemogućite SSID emitovanje
- Promijenite zadane lozinke i za bežične veze i bežične pristupne točke, ovo uključuje pristup konzoli kao i SNMP nizove zajednice
- Promijenite sve druge sigurnosne postavke koje je dao ili postavio dobavljač
- Uverite se da su bežične pristupne tačke ažurirane na najnoviji firmver
- Koristite samo WPA ili WPA2 sa jakim ključevima, WEP je zabranjen i nikada se ne smije koristiti
- Promijenite WPA/WPA2 ključeve prilikom instalacije kao i redovno i kad god osoba koja poznaje ključeve napusti kompaniju
Segmentacija mreže
8.1 Primjenjivost kod trgovaca
Aplikacija za plaćanje Viking nije aplikacija za plaćanje zasnovana na serveru i nalazi se na terminalu. Iz tog razloga, aplikacija za plaćanje ne zahtijeva nikakvo prilagođavanje da bi se ispunio ovaj zahtjev.
Za opšte znanje trgovca, podaci o kreditnim karticama ne mogu biti pohranjeni na sistemima direktno povezanim na Internet. Za nprample, web serveri i serveri baze podataka ne bi trebali biti instalirani na istom serveru. Demilitarizovana zona (DMZ) mora biti postavljena da segmentira mrežu tako da samo mašine na DMZ-u budu dostupne Internetu.
Remote Access
9.1 Primjenjivost kod trgovaca
Viking aplikaciji za plaćanje nije moguće pristupiti daljinski. Daljinska podrška se javlja samo između Nets osoblja za podršku i trgovca preko telefona ili preko Netsa direktno na licu mjesta kod trgovca.
Prijenos osjetljivih podataka
10.1 Prijenos osjetljivih podataka
Viking aplikacija za plaćanje osigurava osjetljive podatke i/ili podatke o vlasnicima kartice u tranzitu korištenjem enkripcije na nivou poruke koristeći 3DES-DUKPT (112 bita) za sav prijenos (uključujući javne mreže). Sigurnosni protokoli za IP komunikaciju od Viking aplikacije do Host-a nisu potrebni jer se enkripcija na razini poruke implementira korištenjem 3DES-DUKPT (112-bita) kako je gore opisano. Ova šema šifriranja osigurava da čak i ako se transakcije presretnu, ne mogu biti modificirane ili kompromitirane na bilo koji način ako se 3DES-DUKPT (112-bitna) i dalje smatra jakom enkripcijom. Prema DUKPT šemi upravljanja ključevima, 3DES ključ koji se koristi je jedinstven za svaku transakciju.
10.2 Dijeljenje osjetljivih podataka s drugim softverom
Aplikacija za plaćanje Viking ne pruža nikakav logički interfejs/API koji bi omogućio deljenje podataka otvorenog teksta naloga direktno sa drugim softverom. Nikakvi osjetljivi podaci ili podaci o računu sa čistim tekstom se ne dijele s drugim softverom putem izloženih API-ja.
10.3 E-pošta i osjetljivi podaci
Aplikacija za plaćanje Viking izvorno ne podržava slanje e-pošte.
10.4 Administrativni pristup bez konzole
Viking ne podržava administrativni pristup bez konzole.
Međutim, zbog općeg znanja trgovca, administrativni pristup bez konzole mora koristiti ili SSH, VPN ili TLS za enkripciju svih nekonzolnih administrativnih pristupa serverima u okruženju podataka vlasnika kartice. Telnet ili druge nešifrirane metode pristupa se ne smiju koristiti.
Metodologija Viking Versioning
Metodologija Nets verzija se sastoji od trodijelnog broja S/W verzije: a.bb.c
gdje će 'a' biti povećano kada se izvrše velike promjene prema PCI-Secure softverskom standardu.
a – glavna verzija (1 cifra)
'bb' će se povećati kada se izvrše planirane promjene s malim utjecajem prema PCI-Secure softverskom standardu.
bb – manja verzija (2 cifre)
'c' će se povećati kada se izmjene zakrpe s malim utjecajem izvrše prema standardu PCI-Secure softvera.
c – manja verzija (1 cifra)
Broj verzije S/W aplikacije za plaćanje Viking je prikazan ovako na ekranu terminala kada se terminal uključi: 'abbc'
- Ažuriranje sa npr. 1.00.0 na 2.00.0 je značajno funkcionalno ažuriranje. Može uključivati promjene koje utiču na sigurnost ili zahtjeve PCI Secure Software Standarda.
- Ažuriranje sa npr. 1.00.0 na 1.01.0 je nevažno funkcionalno ažuriranje. Možda ne uključuje promjene koje utiču na sigurnost ili zahtjeve PCI Secure Software Standarda.
- Ažuriranje sa npr. 1.00.0 na 1.00.1 je nevažno funkcionalno ažuriranje. Možda ne uključuje promjene koje utiču na sigurnost ili zahtjeve PCI Secure Software Standarda.
Sve promjene su predstavljene uzastopnim numeričkim redoslijedom.
Uputstva o sigurnoj instalaciji zakrpa i ažuriranja.
Nets bezbedno isporučuju ažuriranja aplikacija za daljinsko plaćanje. Ova ažuriranja se dešavaju na istom komunikacijskom kanalu kao i sigurne platne transakcije, a trgovac nije dužan da vrši bilo kakve promjene na ovoj komunikacijskoj putanji radi usklađenosti.
Kada postoji zakrpa, Nets će ažurirati verziju zakrpe na Nets Host-u. Trgovac bi dobio zakrpe putem automatskog zahtjeva za preuzimanje S/W, ili trgovac također može pokrenuti preuzimanje softvera iz menija terminala.
Za opšte informacije, trgovci bi trebalo da razviju politiku prihvatljivog korišćenja za kritične tehnologije okrenute zaposlenima, prema dole navedenim smernicama za VPN ili druge veze velike brzine, ažuriranja se primaju preko zaštitnog zida ili zaštitnog zida za osoblje.
Nets host je dostupan ili putem interneta koristeći siguran pristup ili putem zatvorene mreže. Sa zatvorenom mrežom, mrežni provajder ima direktnu vezu sa našim host okruženjem koje nudi njihov mrežni provajder. Terminalima se upravlja putem Nets usluga upravljanja terminalima. Usluga upravljanja terminalom definira nprample regija kojoj terminal pripada i akviziter u upotrebi. Upravljanje terminalima je također odgovorno za daljinsko nadogradnju softvera terminala preko mreže. Mreže osiguravaju da je softver učitan na terminal završio potrebne certifikate.
Nets preporučuje kontrolne punktove svim svojim klijentima kako bi osigurali sigurno i sigurno plaćanje kao što je navedeno u nastavku:
- Vodite listu svih operativnih terminala za plaćanje i slikajte iz svih dimenzija kako biste znali kako bi trebali izgledati.
- Potražite očigledne znakove tampkao što su slomljene zaptivke preko pristupnih poklopaca ili vijaka, čudni ili različiti kablovi ili novi hardverski uređaj koji ne možete prepoznati.
- Zaštitite svoje terminale od dohvata korisnika kada nisu u upotrebi. Svakodnevno pregledajte svoje platne terminale i druge uređaje koji čitaju platne kartice.
- Morate provjeriti identitet osoblja za popravku ako očekujete popravke terminala za plaćanje.
- Odmah pozovite Nets ili svoju banku ako sumnjate na bilo kakvu neočiglednu aktivnost.
- Ako smatrate da je vaš POS uređaj podložan krađi, tada postoje servisne postolje i sigurni pojasevi i privezi koji su dostupni za komercijalnu kupovinu. Možda bi bilo vredno razmisliti o njihovoj upotrebi.
Ažuriranja izdanja Vikinga
Softver Viking se izdaje u sljedećim ciklusima izdanja (podložno promjenama):
- 2 velika izdanja godišnje
- 2 manja izdanja godišnje
- Softverske zakrpe, prema potrebi i kada su potrebne (npr. zbog bilo kakvog kritičnog problema sa greškom/ranjivosti). Ako je izdanje operativno na terenu i neki kritični problemi su prijavljeni, tada se očekuje da će softverska zakrpa s ispravkom biti objavljena u roku od mjesec dana.
Trgovci bi bili obaviješteni o izdanjima (većim/manjim/zakrpama) putem e-pošte koja bi bila direktno poslana na njihove adrese e-pošte. E-mail će također sadržavati glavne napomene o izdanju i napomenama o izdanju.
Trgovci također mogu pristupiti bilješkama o izdanju koje će biti učitane na: Napomene o izdanju softvera (nets.eu)
Izdanja Viking Software-a su potpisana pomoću Ingenico-ovog alata za pjevanje za Tetra terminale. Na terminal se može učitati samo potpisani softver.
Neprimjenjivi zahtjevi
Ovaj odjeljak sadrži listu zahtjeva u PCI-Secure softverskom standardu koji je ocijenjen kao 'Neprimjenjiv' na Viking aplikaciju za plaćanje i opravdanje za to.
| PCI Secure Software Standard CO | Aktivnost | Opravdanje za "neprimjenjivo" |
| 5.3 | Metode provjere autentičnosti (uključujući vjerodajnice sesije) su dovoljno jake i robusne da zaštite vjerodajnice za provjeru autentičnosti od krivotvorenja, lažiranja, curenja, pogađanja ili zaobilaženja. | Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI uređaju. Aplikacija za plaćanje Viking ne nudi lokalni, nekonzolni ili udaljeni pristup, kao ni nivo privilegija, tako da u PTS POI uređaju nema akreditiva za autentifikaciju. Viking aplikacija za plaćanje ne pruža postavke za upravljanje ili generiranje korisničkih ID-ova i ne pruža nikakav lokalni, nekonzolni ili udaljeni pristup kritičnim sredstvima (čak ni u svrhu otklanjanja grešaka). |
| 5.4 | Prema zadanim postavkama, sav pristup kritičnim sredstvima je ograničen samo na one račune i usluge kojima je takav pristup potreban. | Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI uređaju. Viking aplikacija za plaćanje ne pruža postavke za upravljanje ili generiranje naloga ili usluga. |
| 7.3 | Svi slučajni brojevi koje koristi softver generišu se pomoću samo odobrenih algoritama ili biblioteka za generisanje slučajnih brojeva (RNG). Odobreni RNG algoritmi ili biblioteke su oni koji zadovoljavaju industrijske standarde za dovoljnu nepredvidljivost (npr. NIST Special Publication 800-22). |
Viking aplikacija za plaćanje ne koristi nikakav RNG (generator slučajnih brojeva) za svoje funkcije šifriranja. Viking aplikacija za plaćanje ne generira niti koristi slučajne brojeve za kriptografske funkcije. |
| 7.4 | Slučajne vrijednosti imaju entropiju koja zadovoljava minimalne zahtjeve efektivne snage kriptografskih primitiva i ključeva koji se na njih oslanjaju. | Viking aplikacija za plaćanje ne koristi nikakav RNG (generator slučajnih brojeva) za svoje funkcije šifriranja. Viking aplikacija za plaćanje ne generira niti koristi slučajne brojeve za kriptografske funkcije. |
| 8.1 | Svi pokušaji pristupa i upotreba kritične imovine se prate i mogu pratiti do jedinstvene osobe. | Viking aplikacija za plaćanje radi na PTS POI uređajima odobrenim od strane PCI, gdje se odvija sva kritična rukovanja imovinom, a PTS POI firmver osigurava povjerljivost i integritet osjetljivih podataka dok su pohranjeni unutar PTS POI uređaja. Povjerljivost, integritet i otpornost osjetljive funkcije Viking aplikacije za plaćanje zaštićeni su i osigurani PTS POI firmverom. PTS POI firmver sprečava svaki pristup kritičnim sredstvima izvan terminala i oslanja se na anti-tampering karakteristike. Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi s pristupom kritičnim sredstvima, samo Viking aplikacija za plaćanje može upravljati kritičnom imovinom |
| 8.2 | Sve aktivnosti su obuhvaćene dovoljno i neophodnim detaljima kako bi se tačno opisali koje su konkretne aktivnosti izvršene, ko ih je izvodio, vrijeme kada su obavljene i na koja kritična sredstva su pogođena. | Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima. Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi koji imaju pristup kritičnoj imovini, samo Viking platna aplikacija može upravljati kritičnom imovinom. • Viking aplikacija za plaćanje ne pruža privilegirane načine rada. • Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka • Ne postoje funkcije za dešifrovanje osetljivih podataka • Ne postoje funkcije za izvoz osjetljivih podataka u druge sisteme ili procese • Nema podržanih funkcija provjere autentičnosti Sigurnosne kontrole i sigurnosna funkcionalnost se ne može onemogućiti niti izbrisati. |
| 8.3 | Softver podržava sigurno zadržavanje detalja aktivnost evidencije. |
Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima. Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi koji imaju pristup kritičnoj imovini, samo Viking platna aplikacija može upravljati kritičnom imovinom. • Viking aplikacija za plaćanje ne pruža privilegirane načine rada. • Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka • Ne postoje funkcije za dešifrovanje osetljivih podataka • Ne postoje funkcije za izvoz osjetljivih podataka u druge sisteme ili procese • Nema podržanih funkcija provjere autentičnosti Sigurnosne kontrole i sigurnosna funkcionalnost se ne može onemogućiti niti izbrisati. |
| 8.4 | Softver rješava kvarove u mehanizmima praćenja aktivnosti tako da je očuvan integritet postojećih zapisa aktivnosti. | Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima. Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi koji imaju pristup kritičnim sredstvima, samo Viking aplikacija može upravljati kritičnom imovinom. • Viking aplikacija za plaćanje ne pruža privilegirane načine rada. • Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka • Ne postoje funkcije za dešifriranje osjetljivih podataka | • Ne postoje funkcije za izvoz osjetljivih podataka u druge sisteme ili procese • Nema podržanih funkcija provjere autentičnosti • Sigurnosne kontrole i sigurnosna funkcionalnost se ne mogu onemogućiti niti izbrisati. |
| B.1.3 | Dobavljač softvera održava dokumentaciju koji opisuje sve konfigurabilne opcije koje mogu utiču na bezbednost osetljivih podataka. |
Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima. Viking aplikacija za plaćanje ne pruža ništa od sljedećeg krajnjim korisnicima: • konfigurabilna opcija za pristup osjetljivim podacima • konfigurabilna opcija za modifikovanje mehanizama za zaštitu osetljivih podataka • daljinski pristup aplikaciji • udaljeno ažuriranje aplikacije • konfigurabilna opcija za izmenu podrazumevanih postavki aplikacije |
| B.2.4 | Softver koristi samo nasumični broj funkcija(e) generiranja uključene u plaćanje evaluacija PTS uređaja terminala za sve kriptografske operacije koje uključuju osjetljive podatke ili osjetljive funkcije gdje su potrebne nasumične vrijednosti i ne implementiraju vlastite funkcija(e) generiranja slučajnih brojeva. |
Viking ne koristi nikakav RNG (generator slučajnih brojeva) za svoje funkcije šifriranja. Viking aplikacija ne generiše niti koristi slučajne brojeve za kriptografske funkcije. |
| B.2.9 | Integritet softverskog prompta files je zaštićen u skladu sa Kontrolnim ciljem B.2.8. | Svi prikazi upita na Viking terminalu su kodirani u aplikaciji i bez prompta filesu prisutni izvan aplikacije. Bez prompta fileI izvan Viking aplikacije za plaćanje postoje, sve potrebne informacije generira aplikacija. |
| B.5.1.5 | Smjernice za implementaciju uključuju upute za zainteresirane strane da kriptografski potpišu sve upite files. | Svi upiti koji se prikazuju na Viking terminalu su kodirani u aplikaciji i bez prompta filesu prisutni izvan aplikacije. Bez prompta fileI izvan Viking aplikacije za plaćanje postoje, sve potrebne informacije generira aplikacija |
Referenca standardnih zahtjeva PCI Secure softvera
| Poglavlja u ovom dokumentu | Standardni zahtjevi za PCI siguran softver | PCI DSS zahtjevi |
| 2. Aplikacija za sigurno plaćanje | B.2.1 6.1 12.1 12.1.b |
2.2.3 |
| 3. Osigurajte udaljena ažuriranja softvera | 11.1 11.2 12.1 |
1&12.3.9 2, 8 i 10 |
| 4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o korisniku kartice | 3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a |
3.2 3.2 3.1 3.3 3.4 3.5 3.6 |
| Autentifikacija i kontrole pristupa | 5.1 5.2 5.3 5.4 |
8.1 & 8.2 8.1 & 8.2 |
| Logging | 3.6 8.1 8.3 |
10.1 10.5.3 |
| Bežična mreža | 4.1 | 1.2.3 & 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1 |
| Segmentacija mreže | 4.1c | 1.3.7 |
| Remote Access | B.1.3 | 8.3 |
| Prijenos podataka o korisniku kartice | A.2.1 A.2.3 |
4.1 4.2 2.3 8.3 |
| Metodologija Viking Versioning | 11.2 12.1.b |
|
| Upute za kupce o sigurnoj instalaciji zakrpa i ažuriranja. | 11.1 11.2 12.1 |
Rječnik pojmova
| TERM | DEFINICIJA |
| Podaci o korisniku kartice | Puna magnetna traka ili PAN plus nešto od sljedećeg: · Ime vlasnika kartice · Datum isteka · Servisni kod |
| DUKPT | Izvedeni jedinstveni ključ po transakciji (DUKPT) je šema upravljanja ključevima u kojoj se za svaku transakciju koristi jedinstveni ključ koji je izveden iz fiksnog ključa. Stoga, ako je izvedeni ključ kompromitovan, podaci o budućim i prošlim transakcijama su i dalje zaštićeni jer se sljedeći ili prethodni ključevi ne mogu lako odrediti. |
| 3DES | U kriptografiji, Triple DES (3DES ili TDES), zvanično trostruki algoritam za šifrovanje podataka (TDEA ili Triple DEA), je blok šifra sa simetričnim ključem, koja primenjuje algoritam DES šifre tri puta na svaki blok podataka. |
| Trgovac | Krajnji korisnik i kupac proizvoda Viking. |
| SSF | PCI Software Security Framework (SSF) je zbirka standarda i programa za siguran dizajn i razvoj softvera za plaćanje. Sigurnost softvera za plaćanje je ključni dio toka platnih transakcija i od suštinskog je značaja za omogućavanje pouzdanih i tačnih platnih transakcija. |
| PA-QSA | Aplikacija za plaćanje Kvalificirani procjenitelji sigurnosti. QSA kompanija koja pruža usluge dobavljačima aplikacija za plaćanje za validaciju aplikacija za plaćanje dobavljača. |
| SAD
(Osetljivi podaci za autentifikaciju) |
Sigurnosne informacije (kodovi/vrijednosti za validaciju kartice, kompletni podaci o stazi, PIN-ovi i PIN blokovi) koji se koriste za autentifikaciju vlasnika kartica, pojavljuju se u otvorenom tekstu ili na drugi način nezaštićenom obliku. Otkrivanje, modifikacija ili uništavanje ovih informacija može ugroziti sigurnost kriptografskog uređaja, informacionog sistema ili informacija o korisniku kartice ili se može koristiti u lažnoj transakciji. Osjetljivi podaci za autentifikaciju nikada ne smiju biti pohranjeni kada se transakcija završi. |
| Viking | Softverska platforma koju Nets koristi za razvoj aplikacija za evropsko tržište. |
| HSM | Hardverski sigurnosni modul |
Kontrola dokumenata
Autor dokumenta, Reviewers and Approvers
| Opis | Funkcija | Ime |
| PA-QSA | Reviewer | Claudio Adamic / Flavio Bonfiglio Shorans |
| Razvoj | Autor | Aruna Panicked |
| Menadžer usklađenosti | Reviewer & Approver | Arno Edstrom |
| Arhitekta sistema | Reviewer & Approver | Shamsher Singh |
| QA | Reviewer & Approver | Varun Shukla |
| Vlasnik proizvoda | Reviewer & Approver | Cecilia Jensen Tyldum / Arti Kangas |
| Menadžer proizvoda | Reviewer & Approver | May-Britt Dens i Sandersonova |
| Inženjerski menadžer | Menadžer | Tamely Vallone |
Sažetak promjena
| Verzija Broj | Verzija Datum | Priroda promjene | Promijeni autora | Reviewer | Revizija Tag | Datum odobrenja |
| 1.0 | 03-08-2022 | Prva verzija za PCI-Secure Standard softvera |
Aruna Panicked | Shamsher Singh | 18-08-22 | |
| 1.0 | 15-09-2022 | Ažuriran odjeljak 14 s neprimjenjivim ciljevima kontrole s njihovim opravdanje |
Aruna Panicked | Shamsher Singh | 29-09-22 | |
| 1.1 | 20-12-2022 | Ažurirani odjeljci 2.1.2 i 2.2 sa Self4000. Uklonjen Link2500 (PTS verzija 4.x) sa liste podržanih terminala |
Aruna Panicked | Shamsher Singh |
23-12-22 |
|
| 1.1 | 05-01-2023 | Ažuriran odeljak 2.2 sa Link2500 (pts v4) za nastavak podrške za ovo
tip terminala. |
Aruna Panicked | Shamsher Singh | 05-01-23 | |
| 1.2 | 20-03-2023 | Ažuriran odeljak 2.1.1 sa letonskim i litvanskim terminal profiles. I 2.1.2 sa podrškom za BT-iOS tip komunikacije |
Aruna Panicked | Shamsher Singh |
Distribution List
| Ime | Funkcija |
| Terminal Department | Razvoj, testiranje, upravljanje projektima, usklađenost |
| Upravljanje proizvodima | Tim za upravljanje terminalnim proizvodima, menadžer za usklađenost – proizvod |
Odobrenja dokumenata
| Ime | Funkcija |
| Cecilia Jensen Tyldum | Vlasnik proizvoda |
| Arti Kangas | Vlasnik proizvoda |
Dokument Review Planovi
Ovaj dokument će biti reviewuređivati i ažurirati, ako je potrebno, kako je definirano u nastavku:
- Prema potrebi za ispravljanje ili poboljšanje sadržaja informacija
- Nakon bilo kakvih organizacijskih promjena ili restrukturiranja
- Nakon godišnjeg review
- Nakon iskorištavanja ranjivosti
- Praćenje novih informacija/zahtjeva u vezi sa relevantnim ranjivostima
Dokumenti / Resursi
 |
Nets PCI Secure Software Standard [pdf] Korisnički priručnik PCI Secure Software Standard, Secure Software Standard, Software Standard, Standard |
 |
Nets PCI Secure Software Standard [pdf] Korisnički priručnik PCI Secure Software Standard, Secure Software Standard, Software Standard, Standard |