PCI-Secure standardni softver
Informacije o proizvodu: Standardni dobavljač PCI-Secure softvera
Vodič za implementaciju Viking Terminala 2.00
Specifikacije
Verzija: 2.0
1. Uvod i djelokrug
1.1 Uvod
Vodič za implementaciju PCI-Secure softverskog standardnog proizvođača
pruža smjernice za implementaciju softvera na Viking
Terminal 2.00.
1.2 Softverski sigurnosni okvir (SSF)
Softverski sigurnosni okvir (SSF) osigurava sigurno plaćanje
aplikacija na Viking terminalu 2.00.
1.3 Vodič za implementaciju dobavljača softvera – distribucija i
Ažuriranja
Ovaj vodič uključuje informacije o distribuciji i ažuriranjima
Vodiča za implementaciju dobavljača softvera za Viking terminal
2.00.
2. Aplikacija za sigurno plaćanje
2.1 Aplikacija S/W
Softver za sigurno plaćanje osigurava sigurnost
komunikacija sa hostom plaćanja i ECR-om.
2.1.1 Plaćanje Podešavanje TCP/IP parametara komunikacije hosta
Ovaj odjeljak pruža upute za postavljanje TCP/IP-a
parametri za komunikaciju sa hostom plaćanja.
2.1.2 ECR komunikacija
Ovaj odjeljak pruža upute za komunikaciju sa
ECR (elektronska kasa).
2.1.3 Komunikacija s hostom putem ECR-a
Ovaj odjeljak objašnjava kako uspostaviti komunikaciju sa
host plaćanja koristeći ECR.
2.2 Podržani hardver(i) terminala
Aplikacija za sigurno plaćanje podržava Viking Terminal 2.00
hardver.
2.3 Sigurnosne politike
Ovaj odjeljak opisuje sigurnosne politike koje bi trebale biti
slijedite kada koristite aplikaciju za sigurno plaćanje.
3. Sigurno udaljeno ažuriranje softvera
3.1 Primjenjivost kod trgovaca
Ovaj odjeljak pruža informacije o primjenjivosti sigurnog
udaljena ažuriranja softvera za trgovce.
3.2 Politika prihvatljivog korišćenja
Ovaj odjeljak opisuje politiku prihvatljivog korištenja za sigurnost
udaljeno ažuriranje softvera.
3.3 Personal Firewall
Upute za konfiguriranje osobnog firewall-a da dozvoli
bezbedna udaljena ažuriranja softvera su data u ovom odeljku.
3.4 Procedure udaljenog ažuriranja
Ovaj odjeljak objašnjava postupke za provođenje sigurnog
udaljeno ažuriranje softvera.
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih
Podaci o korisniku kartice
4.1 Primjenjivost kod trgovaca
Ovaj odjeljak pruža informacije o primjenjivosti sigurnog
brisanje osjetljivih podataka i zaštita pohranjenih podataka o korisniku kartice
za trgovce.
4.2 Upute za sigurno brisanje
Date su upute za sigurno brisanje osjetljivih podataka
u ovoj sekciji.
4.3 Lokacije pohranjenih podataka o vlasnicima kartica
Ovaj odjeljak navodi lokacije na kojima se pohranjuju podaci o vlasnicima kartice
i daje smjernice za njegovu zaštitu.
Ovaj odjeljak objašnjava postupke za rukovanje odgođenim
bezbedne transakcije autorizacije.
4.5 Procedure za rješavanje problema
Upute za rješavanje problema u vezi sa sigurnošću
brisanje i zaštita pohranjenih podataka o korisniku kartice su predviđeni u
ovaj odeljak.
4.6 PAN lokacije – prikazane ili odštampane
Ovaj odjeljak identificira lokacije na kojima je PAN (primarni račun
Broj) se prikazuje ili ispisuje i pruža smjernice za osiguranje
to.
4.7 Prompt files
Upute za upravljanje promptom filebezbedno su obezbeđeni
ovaj odeljak.
4.8 Upravljanje ključem
Ovaj odjeljak objašnjava ključne procedure upravljanja za osiguranje
sigurnost pohranjenih podataka o korisniku kartice.
4.9 '24 HR' Ponovno pokretanje
Upute za izvođenje '24 HR' ponovnog pokretanja radi osiguranja sistema
sigurnost je obezbeđena u ovom odeljku.
4.10 Bele liste
Ovaj odjeljak pruža informacije o bijeloj listi i tome
važnost u održavanju sigurnosti sistema.
5. Autentifikacija i kontrole pristupa
Ovaj odjeljak pokriva mjere provjere autentičnosti i kontrole pristupa
kako bi se osigurala sigurnost sistema.
Često postavljana pitanja (FAQ)
P: Koja je svrha PCI-Secure softverskog standarda
Vodič za implementaciju dobavljača?
O: Vodič pruža smjernice za implementaciju sigurnog plaćanja
aplikativni softver na Viking Terminal 2.00.
P: Koji hardver terminala podržava sigurno plaćanje
aplikacija?
O: Aplikacija za sigurno plaćanje podržava Viking terminal
2.00 hardver.
P: Kako mogu bezbedno da izbrišem osetljive podatke?
O: Uputstva za sigurno brisanje osjetljivih podataka su
navedeno u odjeljku 4.2 vodiča.
P: Koja je važnost stavljanja na bijelu listu?
O: Bijela lista igra ključnu ulogu u održavanju sistema
sigurnost tako što dozvoljava pokretanje samo odobrenih aplikacija.
Ovaj sadržaj je klasifikovan kao interni
Nets Denmark A/S:
Vodič za implementaciju standardnog PCI-Secure softvera dobavljača softvera za Viking terminal 2.00
Verzija 2.0
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00 1 1
Sadržaj
1. Uvod i djelokrug …………………………………………………………………………………. 3
1.1
Uvod ………………………………………………………………………………………………. 3
1.2
Softverski sigurnosni okvir (SSF)……………………………………………………………. 3
1.3
Vodič za implementaciju dobavljača softvera – Distribucija i ažuriranja …… 3
2. Prijava za sigurno plaćanje………………………………………………………………………… 4
2.1
Aplikacija S/W …………………………………………………………………………………………. 4
2.1.1 Plaćanje Host komunikacija Podešavanje TCP/IP parametara …………………….. 4
2.1.2 ECR komunikacija…………………………………………………………………………. 5
2.1.3 Komunikacija s domaćinom putem ECR-a………………………………………………………. 5
2.2
Podržani hardver(i) terminala …………………………………………………….. 6
2.3
Sigurnosne politike …………………………………………………………………………………………. 7
3. Sigurno udaljeno ažuriranje softvera ………………………………………………………. 8
3.1
Primjenjivost kod trgovaca……………………………………………………………………………… 8
3.2
Politika prihvatljive upotrebe ……………………………………………………………………. 8
3.3
Lični zaštitni zid……………………………………………………………………………………… 8
3.4
Procedure daljinskog ažuriranja ……………………………………………………………………… 8
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o korisniku kartice9
4.1
Primjenjivost kod trgovaca……………………………………………………………………………… 9
4.2
Upute za sigurno brisanje………………………………………………………………………… 9
4.3
Lokacije pohranjenih podataka o korisniku kartice……………………………………………….. 9
4.4
Transakcija odgođene autorizacije ………………………………………………. 10
4.5
Procedure za rješavanje problema ……………………………………………………………………… 10
4.6
PAN lokacije – prikazane ili ispisane ………………………………………………………… 10
4.7
Prompt files …………………………………………………………………………………………….. 11
4.8
Upravljanje ključem …………………………………………………………………………………… 11
4.9
`24 HR' Reboot …………………………………………………………………………………………. 12
4.10 Stavljanje na bijelu listu ……………………………………………………………………………………………… 12
5. Autentifikacija i kontrole pristupa ……………………………………………………………. 13
5.1
Kontrole pristupa ……………………………………………………………………………. 13
5.2
Kontrole lozinke …………………………………………………………………………………. 15
6. Sječa …………………………………………………………………………………………………….. 15
6.1
Primjenjivost kod trgovaca………………………………………………………………………………. 15
6.2
Konfigurirajte postavke dnevnika …………………………………………………………………. 15
6.3
Centralna sječa ………………………………………………………………………………………………… 15
6.3.1 Omogućavanje evidentiranja traga na terminalu ………………………………………………………… 15
6.3.2 Slanje dnevnika praćenja hostu ………………………………………………………………………………… 15
6.3.3 Daljinsko evidentiranje tragova………………………………………………………………………………………. 16
6.3.4 Daljinsko evidentiranje grešaka………………………………………………………………………………………. 16
7. Bežične mreže ……………………………………………………………………………………… 16
7.1
Primjenjivost kod trgovaca………………………………………………………………………………. 16
7.2
Preporučene bežične konfiguracije ………………………………………… 16
8. Segmentacija mreže …………………………………………………………………….. 17
8.1
Primjenjivost kod trgovaca………………………………………………………………………………. 17
9. Daljinski pristup ………………………………………………………………………………… 17
9.1
Primjenjivost kod trgovaca………………………………………………………………………………. 17
10.
Prijenos osjetljivih podataka …………………………………………………….. 17
10.1 Prijenos osjetljivih podataka ……………………………………………………… 17
10.2 Dijeljenje osjetljivih podataka s drugim softverom ……………………………………….. 17
10.3 E-pošta i osjetljivi podaci …………………………………………………………………………. 17
10.4 Administrativni pristup bez konzole ………………………………………………………. 17
11.
Metodologija Viking Versioning ………………………………………………………. 18
12.
Uputstva o sigurnoj instalaciji zakrpa i ažuriranja. …………. 18
13.
Ažuriranja Viking izdanja …………………………………………………………………………. 19
14.
Neprimjenjivi zahtjevi ………………………………………………………. 19
15.
Referenca standardnih zahtjeva PCI sigurnog softvera …………………… 23
16.
Rječnik pojmova …………………………………………………………………………. 24
17.
Kontrola dokumenata …………………………………………………………………………………… 25
2
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
1. Uvod i djelokrug
1.1 Uvod
Svrha ovog Vodiča za implementaciju dobavljača standardnog softvera PCI-Secure je da zainteresovanim stranama pruži jasne i detaljne smernice o bezbednoj implementaciji, konfiguraciji i radu Viking softvera. Vodič upućuje trgovce kako da implementiraju Nets-ovu Viking aplikaciju u svoje okruženje na način koji je usklađen sa PCI Secure Software Standardom. Iako nije namijenjeno da bude potpuni vodič za instalaciju. Viking aplikacija, ako je instalirana prema ovdje dokumentiranim smjernicama, trebala bi olakšati i podržati PCI usklađenost trgovca.
1.2 Softverski sigurnosni okvir (SSF)
PCI Software Security Framework (SSF) je zbirka standarda i programa za siguran dizajn i razvoj softvera za aplikacije za plaćanje. SSF zamjenjuje Standard sigurnosti podataka aplikacije za plaćanje (PA-DSS) modernim zahtjevima koji podržavaju širi niz tipova softvera za plaćanje, tehnologija i razvojnih metodologija. Pruža dobavljačima sigurnosne standarde kao što je PCI Secure Software Standard za razvoj i održavanje softvera za plaćanje tako da štiti platne transakcije i podatke, minimizira ranjivosti i brani od napada.
1.3 Vodič za implementaciju dobavljača softvera – Distribucija i ažuriranja
Ovaj Vodič za implementaciju dobavljača standardnog softvera PCI sigurnog softvera treba distribuirati svim relevantnim korisnicima aplikacija, uključujući trgovce. Treba ga ažurirati najmanje jednom godišnje i nakon promjena u softveru. Godišnji review a ažuriranje treba da uključuje nove promjene softvera kao i promjene u Standardu sigurnog softvera.
Nets objavljuje informacije o navedenim webstranice ako postoje ažuriranja u vodiču za implementaciju.
Webstranica: https://support.nets.eu/
Za prample: Vodič za implementaciju standardnog softvera za Nets PCI-Secure softver dobavljača će biti distribuiran svim kupcima, preprodavcima i integratorima. Kupci, prodavci i integratori će biti obaviješteni od reviews i ažuriranja.
Ažuriranja PCI-Secure Software Standardnog Vodiča za implementaciju softvera za dobavljače mogu se dobiti i direktnim kontaktiranjem Netsa.
Ovaj vodič za implementaciju dobavljača softvera PCI-Secure Standard Softvera upućuje na PCI-Secure Software Standard i PCI zahtjeve. Sljedeće verzije su navedene u ovom vodiču.
· PCI-Secure-Software-Standard-v1_2_1
3
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
2. Aplikacija za sigurno plaćanje
2.1 Aplikacija S/W
Viking aplikacije za plaćanje ne koriste nikakav vanjski softver ili hardver koji ne pripada Viking ugrađenoj aplikaciji. Svi S/W izvršni fajlovi koji pripadaju Viking aplikaciji za plaćanje su digitalno potpisani Tetra kompletom za potpisivanje koji je obezbedio Ingenico.
· Terminal komunicira sa Nets Host-om koristeći TCP/IP, bilo preko Etherneta, GPRS-a, Wi-Fi-ja ili preko PC-LAN-a koji pokreće POS aplikaciju. Također, terminal može komunicirati sa domaćinom putem mobilnog uređaja uz Wi-Fi ili GPRS vezu.
Viking terminali upravljaju svom komunikacijom koristeći Ingenico komponentu sloja veze. Ova komponenta je aplikacija učitana u terminal. Sloj veze može upravljati s nekoliko komunikacija istovremeno koristeći različite periferne uređaje (modem i serijski port, nprample).
Trenutno podržava sljedeće protokole:
· Fizički: RS232, interni modem, eksterni modem (preko RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G i 4G.
· Data Link: SDLC, PPP. · Mreža: IP. · Transport: TCP.
Terminal uvijek preuzima inicijativu za uspostavljanje komunikacije prema Nets Host-u. Ne postoji TCP/IP server S/W u terminalu, a terminal S/W nikada ne odgovara na dolazne pozive.
Kada je integrisan sa POS aplikacijom na računaru, terminal se može podesiti da komunicira preko PC-LAN-a koji pokreće POS aplikaciju koristeći RS232, USB ili Bluetooth. I dalje sve funkcionalnosti aplikacije za plaćanje rade u S/W terminalu.
Protokol aplikacije (i primijenjena enkripcija) je transparentan i neovisan o vrsti komunikacije.
2.2 Plaćanje Podešavanje TCP/IP parametara komunikacije hosta
4
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
2.3 ECR komunikacija
· RS232 serijski · USB veza · Podešavanje TCP/IP parametara, poznato i kao ECR preko IP
· Host/ECR komunikacijske opcije u Viking Payment aplikaciji
· Konfiguracija parametara Nets Cloud ECR (Connect@Cloud).
2.4 Komunikacija s hostom putem ECR-a
Napomena: Pogledajte “2.1.1- Podešavanje TCP/IP parametara komunikacije hosta plaćanja” za TCP/IP portove specifične za zemlju.
5
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
2.5 Podržani hardver(i) terminala
Aplikacija za plaćanje Viking je podržana na raznim PTS (PIN transakcijska sigurnost) validiranim Ingenico uređajima. Spisak terminalnog hardvera zajedno sa njihovim PTS brojem odobrenja je dat u nastavku.
Tipovi Tetra terminala
Terminalni hardver
Lane 3000
PTS
PTS odobrenje
broj verzije
5.x
4-30310
PTS hardverska verzija
LAN30EA LAN30AA
Radni sto 3500
5.x
4-20321
DES35BB
Pokret 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Link2500
Link2500 Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
Verzija PTS firmvera
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
2.6 Sigurnosne politike
Aplikacija za plaćanje Viking pridržava se svih primjenjivih sigurnosnih politika koje je odredio Ingenico. Za opšte informacije, ovo su veze do sigurnosnih politika za različite Tetra terminale:
Terminal Type
Link2500 (v4)
Dokument bezbednosne politike Link/2500 PCI PTS bezbednosna politika (pcisecuritystandards.org)
Link2500 (v5)
PCI PTS sigurnosna politika (pcisecuritystandards.org)
Desk3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Premjesti3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Lane3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self4000
Self/4000 PCI PTS sigurnosna politika (pcisecuritystandards.org)
7
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
3. Sigurno udaljeno ažuriranje softvera
3.1 Primjenjivost kod trgovaca
Nets bezbedno isporučuje ažuriranja Viking aplikacija za plaćanje na daljinu. Ova ažuriranja se dešavaju na istom komunikacijskom kanalu kao i sigurne platne transakcije, a trgovac nije dužan da vrši bilo kakve promjene na ovoj komunikacijskoj putanji radi usklađenosti.
Za opšte informacije, trgovci bi trebalo da razviju politiku prihvatljivog korišćenja za kritične tehnologije okrenute zaposlenima, prema dole navedenim smernicama za VPN ili druge veze velike brzine, ažuriranja se primaju preko zaštitnog zida ili ličnog zaštitnog zida.
3.2 Politika prihvatljivog korišćenja
Trgovac bi trebao razviti politike korištenja za kritične tehnologije usmjerene na zaposlenike, kao što su modemi i bežični uređaji. Ova pravila korištenja trebaju uključivati:
· Eksplicitno odobrenje rukovodstva za upotrebu. · Autentifikacija za upotrebu. · Spisak svih uređaja i osoblja sa pristupom. · Označavanje uređaja kod vlasnika. · Kontakt informacije i svrha. · Prihvatljiva upotreba tehnologije. · Prihvatljive mrežne lokacije za tehnologije. · Lista proizvoda odobrenih od strane kompanije. · Omogućavanje upotrebe modema za dobavljače samo kada je to potrebno i deaktiviranje nakon upotrebe. · Zabrana pohranjivanja podataka o vlasnicima kartice na lokalnim medijima kada su povezani na daljinu.
3.3 Personal Firewall
Sve "uvijek uključene" veze između računala i VPN-a ili druge veze velike brzine trebale bi biti osigurane korištenjem ličnog firewall proizvoda. Zaštitni zid je konfigurisan od strane organizacije tako da zadovolji specifične standarde i da ga zaposlenici ne mogu menjati.
3.4 Procedure udaljenog ažuriranja
Postoje dva načina da aktivirate terminal da kontaktira Nets softverski centar radi ažuriranja:
1. Ili ručno preko opcije menija na terminalu (prevucite karticu trgovca, izaberite meni 8 “Softver”, 1 “Dohvati softver”), ili pokrenut host.
2. Korištenje metode iniciranog hostom; terminal automatski prima naredbu od Host-a nakon što izvrši finansijsku transakciju. Komanda govori terminalu da kontaktira Nets softverski centar kako bi provjerio ima li ažuriranja.
Nakon uspješnog ažuriranja softvera, terminal s ugrađenim pisačem će ispisati račun s informacijama o novoj verziji.
Integratori terminala, partneri i/ili Nets tim za tehničku podršku će imati odgovornost da informišu trgovce o ažuriranju, uključujući vezu do ažuriranog vodiča za implementaciju i napomene o izdanju.
Pored računa nakon ažuriranja softvera, Viking aplikacija za plaćanje može se potvrditi i putem informacija o terminalu pritiskom na tipku `F3' na terminalu.
8
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o korisniku kartice
4.1 Primjenjivost kod trgovaca
Viking aplikacija za plaćanje ne pohranjuje nikakve podatke o magnetnoj traci, vrijednosti ili kodove za validaciju kartice, PIN-ove ili podatke o blokovima PIN-a, materijal kriptografskih ključeva ili kriptograme iz svojih prethodnih verzija.
Da bi bio usklađen sa PCI-jem, trgovac mora imati politiku zadržavanja podataka koja definira koliko dugo će se čuvati podaci o korisniku kartice. Viking aplikacija za plaćanje zadržava podatke o korisniku kartice i/ili osjetljive podatke o autentifikaciji posljednje transakcije iu slučaju da postoje vanmrežne ili odgođene autorizacijske transakcije dok se istovremeno pridržava usklađenosti sa PCI-Secure Software Standardom, stoga može biti izuzeta od politika zadržavanja podataka vlasnika kartice trgovca.
4.2 Upute za sigurno brisanje
Terminal ne pohranjuje osjetljive podatke o autentifikaciji; puna staza 2, CVC, CVV ili PIN, ni prije ni nakon autorizacije; osim transakcija odgođene autorizacije u kojem slučaju se pohranjuju šifrirani osjetljivi podaci za autentifikaciju (puni podaci track2) dok se autorizacija ne izvrši. Nakon autorizacije podaci se sigurno brišu.
Svaki slučaj zabranjenih historijskih podataka koji postoji u terminalu automatski će se sigurno izbrisati kada se aplikacija za plaćanje terminala Viking nadogradi. Brisanje zabranjenih historijskih podataka i podataka koji su ranije važili za politiku zadržavanja dogodit će se automatski.
4.3 Lokacije pohranjenih podataka o vlasnicima kartica
Podaci o korisniku kartice pohranjeni su u Flash DFS (Data File sistem) terminala. Trgovac nije direktno dostupan podacima.
Skladište podataka (file, stol, itd.)
Pohranjeni elementi podataka o korisniku kartice (PAN, rok važenja, bilo koji elementi JCI)
Kako je pohrana podataka osigurana (nprampdatoteke, šifriranje, kontrole pristupa, skraćivanje, itd.)
File: trans.rsd
PAN, datum isteka, servisni kod
PAN: šifrirani 3DES-DUKPT (112 bita)
File: storefwd.rsd PAN, Datum isteka, Servisni kod
PAN: šifrirani 3DES-DUKPT (112 bita)
File: transoff.rsd PAN, Datum isteka, Servisni kod
PAN: šifrirani 3DES-DUKPT (112 bita)
File: transorr.rsd Skraćeni PAN
Skraćeno (prvih 6, zadnjih 4)
File: offlrep.dat
Skraćeni PAN
Skraćeno (prvih 6, zadnjih 4)
File: defauth.rsd PAN, Datum isteka, Servisni kod
PAN: šifrirani 3DES-DUKPT (112 bita)
File: defauth.rsd Puni podaci track2
Puni podaci Track2: unaprijed šifrirani 3DES-DUKPT (112 bita)
9
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
4.4 Odgođena transakcija autorizacije
Odgođena autorizacija nastaje kada trgovac ne može izvršiti autorizaciju u vrijeme transakcije s vlasnikom kartice zbog povezivanja, problema sa sistemom ili drugih ograničenja, a zatim kasnije dovršava autorizaciju kada je u mogućnosti to učiniti.
To znači da se odgođena autorizacija javlja kada se izvrši online autorizacija nakon što kartica više nije dostupna. Kako online autorizacija odgođenih autorizacijskih transakcija kasni, transakcije će biti pohranjene na terminalu dok se transakcije uspješno ne autoriziraju kasnije kada mreža bude dostupna.
Transakcije se pohranjuju i šalju kasnije domaćinu, kao što su vanmrežne transakcije pohranjene od danas u Viking aplikaciji za plaćanje.
Trgovac može pokrenuti transakciju kao `Odgođenu autorizaciju' iz elektronske kase (ECR) ili preko menija terminala.
Odložene transakcije autorizacije trgovac može učitati na Nets host koristeći sljedeće opcije: 1. ECR – Administratorska komanda – Pošalji van mreže (0x3138) 2. Terminal – Trgovac ->2 EOT -> 2 poslano na host
4.5 Procedure za rješavanje problema
Nets podrška neće zahtijevati osjetljivu autentifikaciju ili podatke o korisniku kartice u svrhu rješavanja problema. Viking aplikacija za plaćanje ni u kom slučaju ne može prikupljati ili rješavati osjetljive podatke.
4.6 PAN lokacije – prikazane ili odštampane
Maskirani PAN:
· Potvrde o finansijskim transakcijama: Maskirani PAN se uvijek štampa na priznanici o transakciji i za vlasnika kartice i za trgovca. Maskirani PAN u većini slučajeva je sa * gdje su prvih 6 cifara i posljednje 4 cifre u čistom tekstu.
· Izvještaj o listi transakcija: Izvještaj o listi transakcija prikazuje transakcije izvršene u sesiji. Detalji transakcije uključuju maskirani PAN, ime izdavaoca kartice i iznos transakcije.
· Posljednji račun kupca: Kopija posljednjeg prijema korisnika može se generirati iz izbornika za kopiranje terminala. Račun kupca sadrži maskirani PAN kao originalni račun kupca. Navedena funkcija se koristi u slučaju da terminal iz bilo kojeg razloga ne generira račun klijenta tokom transakcije.
Šifrirani PAN:
· Potvrda vanmrežne transakcije: Verzija računa sa maloprodajnim računom vanmrežne transakcije uključuje Triple DES 112-bitni DUKPT šifrovane podatke vlasnika kartice (PAN, datum isteka i servisni kod).
BAX: 71448400-714484 12/08/2022 10:39
Visa Contactless ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 AID: A0000000031010 TVR: 0000000000 TVR: 123461 Store000004 C000000
10
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
Odg.: Y1 sesija: 782
KUPOVINA
NOK
12,00
ODOBRENO
RETAILER COPY
Potvrda:
Viking aplikacija za plaćanje uvijek standardno šifrira podatke vlasnika kartice za skladištenje vanmrežnih transakcija, prijenos prema NETS hostu i za ispis šifriranih podataka o kartici na računu trgovca za vanmrežnu transakciju.
Takođe, da bi prikazala ili odštampala PAN kartice, Viking aplikacija za plaćanje uvek maskira PAN cifre zvjezdicom `*' sa čistim prvih 6 + poslednje 4 cifre kao podrazumevano. Format štampanja broja kartice kontroliše sistem upravljanja terminalom gde se format štampanja može promeniti zahtevom putem odgovarajućeg kanala i predstavljanjem poslovne legitimne potrebe, međutim za Viking aplikaciju za plaćanje takvog slučaja nema.
Example za maskirani PAN: PAN: 957852181428133823-2
Minimalni podaci: ***************3823-2
Maksimalni info: 957852********3823-2
4.7 Prompt files
Viking aplikacija za plaćanje ne pruža nikakav poseban upit files.
Viking aplikacija za plaćanje zahtijeva unose od vlasnika kartice putem displeja koji su dio sistema za razmjenu poruka unutar potpisane Viking aplikacije za plaćanje.
Na terminalu se prikazuju upiti za PIN, iznos itd., a čekaju se upisi korisnika kartice. Unosi primljeni od vlasnika kartice se ne pohranjuju.
4.8 Upravljanje ključem
Za Tetra liniju modela terminala, sve sigurnosne funkcije se izvode u sigurnom području PTS uređaja zaštićenog od aplikacije za plaćanje.
Šifriranje se izvodi unutar sigurnog područja, dok dešifriranje šifriranih podataka može izvršiti samo Nets Host sistemi. Sva razmjena ključeva između Nets hosta, Key/Inject alata (za Tetra terminale) i PED-a se vrši u šifriranom obliku.
Procedure za upravljanje ključevima implementiraju Nets prema DUKPT šemi koristeći 3DES enkripciju.
Svi ključevi i ključne komponente koje koriste Nets terminali se generiraju korištenjem odobrenih slučajnih ili pseudoslučajnih procesa. Ključeve i komponente ključeva koje koriste Nets terminali generira Nets sistem za upravljanje ključevima, koji koristi odobrene Thales Payshield HSM jedinice za generiranje kriptografskih ključeva.
11
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
Upravljanje ključem je nezavisno od funkcionalnosti plaćanja. Učitavanje nove aplikacije stoga ne zahtijeva promjenu ključne funkcionalnosti. Prostor za ključeve terminala podržavat će oko 2,097,152 transakcije. Kada se prostor za ključeve potroši, Viking terminal prestaje da radi i prikazuje poruku o grešci, a zatim se terminal mora zamijeniti.
4.9 `24 HR' Reboot
Svi Viking terminali su PCI-PTS 4.x i noviji i stoga slijedi zahtjev usklađenosti da se PCI-PTS 4.x terminal mora ponovo pokrenuti najmanje jednom svaka 24 sata kako bi se obrisala RAM memorija i dodatno osigurao HW terminala od korištenja za preuzimanje plaćanja podaci o kartici.
Još jedna prednost ciklusa ponovnog pokretanja od 24 sata je da će curenje memorije biti ublaženo i da će imati manji utjecaj na trgovca (nije da bismo trebali prihvatiti probleme s curenjem memorije.
Trgovac može podesiti vrijeme ponovnog pokretanja iz opcije menija terminala na `Vrijeme ponovnog pokretanja'. Vrijeme ponovnog pokretanja je postavljeno na osnovu `24h' sata i imat će format HH:MM.
Mehanizam resetovanja je dizajniran da osigura resetovanje terminala najmanje jednom u 24 sata rada. Da bi se ispunio ovaj zahtjev definiran je vremenski slot, nazvan “interval resetovanja” predstavljen sa Tmin i Tmax. Ovaj period predstavlja vremenski interval u kojem je resetovanje dozvoljeno. U zavisnosti od poslovnog slučaja, „interval resetovanja“ se prilagođava tokom faze instalacije terminala. Planirano, ovaj period ne može biti kraći od 30 minuta. Tokom ovog perioda, resetovanje se dešava svaki dan 5 minuta ranije (na T3) kao što je objašnjeno dijagramom ispod:
4.10 Bele liste
Stavljanje na belu listu je procedura kojom se utvrđuje da li je dozvoljeno prikazivanje PAN-ova navedenih kao bele liste u čistom tekstu. Viking koristi 3 polja za određivanje PAN-ova na bijeloj listi koji se čitaju iz konfiguracija preuzetih sa sistema upravljanja terminalom.
Kada je `Compliance flag' u Nets hostu postavljena na Y, informacije iz Nets Host-a ili sustava upravljanja terminalom se preuzimaju na terminal, kada se terminal pokrene. Ova oznaka usklađenosti se koristi za određivanje PAN-ova na bijeloj listi koji se čitaju iz skupa podataka.
Oznaka `Track2ECR' određuje da li je Track2 podacima dozvoljeno rukovanje (slanje/primanje) od strane ECR-a za određenog izdavaoca. Ovisno o vrijednosti ove zastavice, određuje se hoće li podaci track2 biti prikazani u lokalnom načinu na ECR-u.
`Polje formata za ispis' određuje kako će se PAN prikazati. Sve kartice u PCI opsegu će imati format za štampanje podešen da prikazuje PAN u skraćenom/maskiranom obliku.
12
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
5. Autentifikacija i kontrole pristupa
5.1 Kontrola pristupa
Aplikacija za plaćanje Viking nema korisničke naloge niti odgovarajuće lozinke, stoga je aplikacija za plaćanje Viking izuzeta od ovog zahtjeva.
· ECR Integrisano podešavanje: Nije moguće pristupiti vrstama transakcija kao što su Refund, Depozit i Storniranje iz menija terminala kako bi se ove funkcije zaštitile od zloupotrebe. Ovo su vrste transakcija u kojima se odvija protok novca sa računa trgovca na račun vlasnika kartice. Odgovornost trgovca je da osigura da ECR koriste samo ovlašteni korisnici.
· Samostalno podešavanje: Kontrola pristupa trgovačkim karticama je podrazumevano omogućena za pristup vrstama transakcija kao što su povrat novca, depozit i poništenje iz menija terminala kako bi ove funkcije bile sigurne od zloupotrebe. Viking terminal je po defaultu konfiguriran da osigura opcije menija, kako bi se spriječio neovlašteni pristup. Parametri za konfiguraciju sigurnosti menija spadaju u Merchant Menu (dostupan s karticom trgovca) -> Parameters -> Security
Zaštitni meni Podesite na `Da' po defaultu. Dugme izbornika na terminalu zaštićeno je konfiguracijom izbornika Protect. Meni može pristupiti samo trgovac koristeći trgovačku karticu.
13
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
Zaštita preokreta Podesite na `Da' po defaultu. Poništavanje transakcije može izvršiti samo trgovac koji koristi karticu trgovca za pristup meniju storniranja.
Zaštita usklađivanja Podesite na `Da' prema zadanim postavkama. Opciji za usaglašavanje može pristupiti samo trgovac sa trgovačkom karticom kada je ova zaštita postavljena na true.
Zaštitite prečicu Podesite na `Da' prema zadanim postavkama. Meni prečica sa opcijama za viewInformacije o terminalu i opcija za ažuriranje Bluetooth parametara biće dostupne trgovcu samo kada se kartica trgovca prevuče.
14
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
5.2 Kontrole lozinki
Aplikacija za plaćanje Viking nema korisničke naloge niti odgovarajuće lozinke; stoga je aplikacija Viking izuzeta od ovog zahtjeva.
6. Logging
6.1 Primjenjivost kod trgovaca
Trenutno, za aplikaciju za plaćanje Nets Viking ne postoje postavke PCI dnevnika koje se mogu konfigurirati za krajnjeg korisnika.
6.2 Konfigurišite postavke dnevnika
Aplikacija za plaćanje Viking nema korisničke naloge, tako da PCI usaglašeno evidentiranje nije primjenjivo. Čak i kod najopširnijeg evidentiranja transakcija, Viking aplikacija za plaćanje ne bilježi nikakve osjetljive podatke o autentifikaciji ili podatke o korisniku kartice.
6.3 Centralna sječa
Terminal ima generički mehanizam dnevnika. Mehanizam također uključuje evidentiranje kreiranja i brisanja S/W izvršne datoteke.
S/W aktivnosti preuzimanja se evidentiraju i mogu se ručno prenijeti na Host putem izbornika na terminalu ili na zahtjev od hosta označenog u uobičajenom prometu transakcija. Ako aktivacija S/W preuzimanja ne uspije zbog nevažećih digitalnih potpisa na primljenom files, incident se evidentira i automatski i odmah prenosi na Host.
6.4 6.3.1 Omogućite evidentiranje traga na terminalu
Da biste omogućili evidentiranje tragova:
1 Prevucite karticu trgovca. 2 Zatim u meniju izaberite „9 Sistemski meni“. 3 Zatim idite na meni “2 Sistemski dnevnik”. 4 Unesite šifru tehničara, koju možete dobiti pozivom podrške Nets Merchant Service-a. 5 Odaberite “8 parametara”. 6 Zatim omogućite “Logging” na “Yes”.
6.5 6.3.2 Slanje evidencije praćenja hostu
Za slanje evidencije praćenja:
1 Pritisnite tipku Meni na terminalu, a zatim Prevucite karticu trgovca. 2 Zatim u glavnom meniju izaberite “7 Operator menu”. 3 Zatim odaberite “5 Send Trace Logs” da pošaljete evidenciju praćenja hostu.
15
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
6.6 6.3.3 Daljinsko evidentiranje tragova
Parametar je postavljen u Nets Host (PSP) koji će daljinski omogućiti/onemogućiti funkciju evidentiranja tragova terminala. Nets Host će poslati parametar za omogućavanje/onemogućavanje praćenja na terminal u skupu podataka zajedno sa zakazanim vremenom kada će terminal učitati evidencije praćenja. Kada terminal primi parametar praćenja kao omogućen, on će početi hvatati evidencije praćenja i u zakazano vrijeme će učitati sve evidencije praćenja i nakon toga onemogućiti funkcionalnost evidentiranja.
6.7 6.3.4 Daljinsko evidentiranje grešaka
Dnevnici grešaka su uvijek omogućeni na terminalu. Poput evidentiranja tragova, u Nets Host-u je postavljen parametar koji će daljinski omogućiti/onemogućiti funkciju evidentiranja grešaka terminala. Nets Host će poslati parametar za omogućavanje/onemogućavanje praćenja na terminal u skupu podataka zajedno sa zakazanim vremenom kada će terminal učitati evidencije grešaka. Kada terminal primi parametar za evidentiranje grešaka kao omogućen, on će početi sa snimanjem evidencije grešaka i u zakazano vrijeme će učitati sve evidencije grešaka i nakon toga onemogućiti funkcionalnost evidentiranja.
7. Bežične mreže
7.1 Primjenjivost kod trgovaca
Viking terminal za plaćanje – MOVE 3500 i Link2500 imaju mogućnost povezivanja na Wi-Fi mrežu. Stoga, da bi se bežična mreža bezbedno implementirala, treba uzeti u obzir prilikom instaliranja i konfigurisanja bežične mreže kao što je detaljno opisano u nastavku.
7.2 Preporučene bežične konfiguracije
Mnogo je razmatranja i koraka koje treba poduzeti prilikom konfiguriranja bežičnih mreža koje su povezane na internu mrežu.
U najmanju ruku, sljedeće postavke i konfiguracije moraju biti postavljene:
· Sve bežične mreže moraju biti segmentirane pomoću firewall-a; ako su potrebne veze između bežične mreže i okruženja podataka vlasnika kartice, pristup mora biti kontroliran i osiguran zaštitnim zidom.
· Promenite podrazumevani SSID i onemogućite SSID emitovanje · Promenite podrazumevane lozinke i za bežične veze i bežične pristupne tačke, što uključuje kon-
jedini pristup kao i nizovi SNMP zajednice · Promenite bilo koje druge sigurnosne postavke koje je obezbedio ili postavio dobavljač · Osigurajte da su bežične pristupne tačke ažurirane na najnoviji firmver · Koristite samo WPA ili WPA2 sa jakim ključevima, WEP je zabranjen i nikada se ne sme koristiti · Promijenite WPA/WPA2 ključeve pri instalaciji, kao i redovno i kad god osoba s
poznavanje ključeva napušta kompaniju
16
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
8. Segmentacija mreže
8.1 Primjenjivost kod trgovaca
Aplikacija za plaćanje Viking nije aplikacija za plaćanje zasnovana na serveru i nalazi se na terminalu. Iz tog razloga, aplikacija za plaćanje ne zahtijeva nikakvo prilagođavanje da bi se ispunio ovaj zahtjev. Za opšte znanje trgovca, podaci o kreditnim karticama ne mogu biti pohranjeni na sistemima direktno povezanim na Internet. Za nprample, web serveri i serveri baze podataka ne bi trebali biti instalirani na istom serveru. Demilitarizovana zona (DMZ) mora biti postavljena da segmentira mrežu tako da samo mašine na DMZ-u budu dostupne Internetu.
9. Daljinski pristup
9.1 Primjenjivost kod trgovaca
Viking aplikaciji za plaćanje nije moguće pristupiti daljinski. Daljinska podrška se javlja samo između Nets osoblja za podršku i trgovca preko telefona ili preko Netsa direktno na licu mjesta kod trgovca.
10. Prijenos osjetljivih podataka
10.1 Prijenos osjetljivih podataka
Viking aplikacija za plaćanje osigurava osjetljive podatke i/ili podatke o vlasnicima kartice u tranzitu korištenjem enkripcije na nivou poruke koristeći 3DES-DUKPT (112 bita) za sav prijenos (uključujući javne mreže). Sigurnosni protokoli za IP komunikaciju od Viking aplikacije do Host-a nisu potrebni jer se enkripcija na razini poruke implementira korištenjem 3DES-DUKPT (112-bita) kako je gore opisano. Ova šema šifriranja osigurava da čak i ako se transakcije presretnu, ne mogu biti modificirane ili kompromitirane na bilo koji način ako se 3DES-DUKPT (112-bitna) i dalje smatra jakom enkripcijom. Prema DUKPT šemi upravljanja ključevima, 3DES ključ koji se koristi je jedinstven za svaku transakciju.
10.2 Dijeljenje osjetljivih podataka s drugim softverom
Aplikacija za plaćanje Viking ne pruža nikakav logički interfejs/API koji bi omogućio deljenje podataka otvorenog teksta naloga direktno sa drugim softverom. Nikakvi osjetljivi podaci ili podaci o računu sa čistim tekstom se ne dijele s drugim softverom putem izloženih API-ja.
10.3 E-pošta i osjetljivi podaci
Aplikacija za plaćanje Viking izvorno ne podržava slanje e-pošte.
10.4 Administrativni pristup bez konzole
Viking ne podržava administrativni pristup bez konzole. Međutim, zbog općeg znanja trgovca, administrativni pristup bez konzole mora koristiti ili SSH, VPN ili TLS za enkripciju svih nekonzolnih administrativnih pristupa serverima u okruženju podataka vlasnika kartice. Telnet ili druge nešifrirane metode pristupa se ne smiju koristiti.
17
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
11. Metodologija Viking Versioning
Metodologija Nets verzija se sastoji od dvodijelnog broja S/W verzije: a.bb
pri čemu će 'a' biti povećano kada se izvrše velike promjene prema PCI-Secure softverskom standardu. a – glavna verzija (1 cifra)
`bb' će se povećati kada se planske promjene s malim utjecajem izvrše prema PCI-Secure Software Standardu. bb – manja verzija (2 cifre)
Broj verzije S/W aplikacije za plaćanje Viking je prikazan ovako na ekranu terminala kada se terminal uključi: `abb'
· Ažuriranje sa npr. 1.00 na 2.00 je značajno funkcionalno ažuriranje. Može uključivati promjene koje utiču na sigurnost ili zahtjeve PCI Secure Software Standarda.
· Ažuriranje sa npr. 1.00 na 1.01 je nevažno funkcionalno ažuriranje. Možda ne uključuje promjene koje utiču na sigurnost ili zahtjeve PCI Secure Software Standarda.
Sve promjene su predstavljene uzastopnim numeričkim redoslijedom.
12. Uputstva o sigurnoj instalaciji zakrpa i ažuriranja.
Nets bezbedno isporučuju ažuriranja aplikacija za daljinsko plaćanje. Ova ažuriranja se dešavaju na istom komunikacijskom kanalu kao i sigurne platne transakcije, a trgovac nije dužan da vrši bilo kakve promjene na ovoj komunikacijskoj putanji radi usklađenosti.
Kada postoji zakrpa, Nets će ažurirati verziju zakrpe na Nets Host-u. Trgovac bi dobio zakrpe putem automatskog zahtjeva za preuzimanje S/W, ili trgovac također može pokrenuti preuzimanje softvera iz menija terminala.
Za opšte informacije, trgovci bi trebalo da razviju politiku prihvatljivog korišćenja za kritične tehnologije okrenute zaposlenima, prema dole navedenim smernicama za VPN ili druge veze velike brzine, ažuriranja se primaju preko zaštitnog zida ili zaštitnog zida za osoblje.
Nets host je dostupan ili putem interneta koristeći siguran pristup ili putem zatvorene mreže. Sa zatvorenom mrežom, mrežni provajder ima direktnu vezu sa našim host okruženjem koje nudi njihov mrežni provajder. Terminalima se upravlja putem Nets usluga upravljanja terminalima. Usluga upravljanja terminalom definira nprample regija kojoj terminal pripada i akviziter u upotrebi. Upravljanje terminalima je također odgovorno za daljinsko nadogradnju softvera terminala preko mreže. Mreže osiguravaju da je softver učitan na terminal završio potrebne certifikate.
Nets preporučuje kontrolne punktove svim svojim klijentima kako bi osigurali sigurna i sigurna plaćanja kao što je navedeno u nastavku: 1. Vodite listu svih operativnih terminala za plaćanje i slikajte iz svih dimenzija kako biste znali kako bi trebali izgledati. 2. Potražite očigledne znakove tampkao što su slomljene zaptivke preko pristupnih poklopaca ili vijaka, čudni ili različiti kablovi ili novi hardverski uređaj koji ne možete prepoznati. 3. Zaštitite svoje terminale od dohvata korisnika kada nisu u upotrebi. Svakodnevno pregledajte svoje platne terminale i druge uređaje koji čitaju platne kartice. 4. Morate provjeriti identitet osoblja za popravku ako očekujete popravke terminala za plaćanje. 5. Odmah pozovite Nets ili svoju banku ako sumnjate na bilo kakvu neočiglednu aktivnost. 6. Ako smatrate da je vaš POS uređaj podložan krađi, tada postoje servisne postolje i sigurnosni pojasevi i privezi koji su dostupni za komercijalnu kupovinu. Možda bi bilo vredno razmisliti o njihovoj upotrebi.
18
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
13. Viking izdanja ažuriranja
Softver Viking se izdaje u sljedećim ciklusima izdanja (podložno promjenama):
· 2 glavna izdanja godišnje · 2 manja izdanja godišnje · Softverske zakrpe, po potrebi, (npr. zbog bilo kakvog kritičnog problema sa greškom/ranjivosti). Ako a
izdanje je operativno na terenu i prijavljeni su neki kritični problemi, a zatim se očekuje da će softverska zakrpa sa ispravkom biti objavljena u roku od mjesec dana.
Trgovci bi bili obaviješteni o izdanjima (većim/manjim/zakrpama) putem e-pošte koja bi bila direktno poslana na njihove adrese e-pošte. E-mail će također sadržavati glavne napomene o izdanju i napomenama o izdanju.
Trgovci također mogu pristupiti napomenama o izdanju koje će biti postavljene na:
Napomene o izdanju softvera (nets.eu)
Izdanja Viking Software-a su potpisana pomoću Ingenico-ovog alata za pjevanje za Tetra terminale. Na terminal se može učitati samo potpisani softver.
14. Neprimjenjivi zahtjevi
Ovaj odjeljak sadrži listu zahtjeva u PCI-Secure softverskom standardu koji je ocijenjen kao 'Neprimjenjivo' na Viking aplikaciju za plaćanje i opravdanje za to.
PCI Secure Software Standard
CO
Aktivnost
Opravdanje za 'neprimjenjivo'
5.3
Metode provjere autentičnosti (uključujući kreiranje sesije - Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI
dentials) su dovoljno jaki i robusni za uređaj.
zaštititi vjerodajnice za autentifikaciju od postojanja
falsifikovana, lažirana, procurila, nagađana ili zaobiđena - Viking aplikacija za plaćanje ne nudi lokalnu, nekonzolnu
vented.
ili daljinski pristup, niti nivo privilegija, tako da nema au-
zatim vjerodajnice u PTS POI uređaju.
Viking aplikacija za plaćanje ne pruža postavke za upravljanje ili generiranje korisničkih ID-ova i ne pruža nikakav lokalni, nekonzolni ili udaljeni pristup kritičnim sredstvima (čak ni u svrhu otklanjanja grešaka).
5.4
Prema zadanim postavkama, sav pristup kritičnim sredstvima je ponovo
Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI
ograničeno samo na te račune i usluge uređaja.
koji zahtijevaju takav pristup.
Aplikacija za plaćanje Viking ne pruža postavke za
upravljati ili generirati račune ili usluge.
7.3
Svi nasumični brojevi koje koristi softver su Viking aplikacija za plaćanje ne koristi nikakav RNG (slučajni
generiran korištenjem samo odobrenog generatora slučajnih brojeva) za svoje funkcije šifriranja.
algoritmi ili biblioteke novih generacija (RNG).
19
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
Odobreni RNG algoritmi ili biblioteke su oni koji zadovoljavaju industrijske standarde za dovoljnu nepredvidljivost (npr. NIST Special Publication 800-22).
Viking aplikacija za plaćanje ne generira niti koristi slučajne brojeve za kriptografske funkcije.
7.4
Slučajne vrijednosti imaju entropiju koja zadovoljava Viking aplikaciju za plaćanje ne koristi nikakav RNG (slučajni
minimalni zahtjevi efektivne snage generatora brojeva) za njegove funkcije šifriranja.
kriptografske primitive i ključeve koji se oslanjaju
na njima.
Viking aplikacija za plaćanje ne generiše niti koristi
slučajni brojevi za kriptografske funkcije.
8.1
Svi pokušaji pristupa i korištenje kritičnih sredstava Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI
se prati i prati do jedinstvenog pojedinca. uređaja, gdje se odvija sva kritična rukovanja imovinom, i
PTS POI firmver osigurava povjerljivost i integritet prijema
pozitivni podaci dok su pohranjeni u PTS POI uređaju.
Povjerljivost, integritet i otpornost osjetljive funkcije Viking aplikacije za plaćanje zaštićeni su i osigurani PTS POI firmverom. PTS POI firmver sprečava svaki pristup kritičnim sredstvima izvan terminala i oslanja se na anti-tampering karakteristike.
Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi s pristupom kritičnim sredstvima, samo Viking aplikacija za plaćanje može upravljati kritičnom imovinom
8.2
Sve aktivnosti su evidentirane u dovoljnoj i neophodnoj- Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI
dovoljno detalja da precizno opišete koji su to specifični uređaji.
aktivnosti su obavljane, ko je vršio
njih, vrijeme kada su izvedene, i
Viking aplikacija za plaćanje ne nudi lokalnu, nekonzolu
koja su kritična sredstva pogođena.
ili daljinski pristup, niti nivo privilegija, dakle nema
samo osoba ili drugi sistemi sa pristupom kritičnim sredstvima
Viking aplikacija za plaćanje može upravljati kritičnom imovinom.
· Viking aplikacija za plaćanje ne pruža privilegirane načine rada.
· Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka
· Ne postoje funkcije za dešifriranje osjetljivih podataka
· Ne postoje funkcije za izvoz osjetljivih podataka u druge sisteme ili procese
· Nema podržanih funkcija provjere autentičnosti
Sigurnosne kontrole i sigurnosna funkcionalnost se ne mogu onemogućiti niti izbrisati.
8.3
Softver podržava sigurno zadržavanje de-Viking aplikacije za plaćanje koja radi na PCI odobrenom PTS POI
zapisi o aktivnostima.
uređaja.
20
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
8.4 B.1.3
Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi koji imaju pristup kritičnoj imovini, samo Viking platna aplikacija može upravljati kritičnom imovinom.
· Viking aplikacija za plaćanje ne pruža privilegirane načine rada.
· Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka
· Ne postoje funkcije za dešifriranje osjetljivih podataka
· Ne postoje funkcije za izvoz osjetljivih podataka u druge sisteme ili procese
· Nema podržanih funkcija provjere autentičnosti
Sigurnosne kontrole i sigurnosna funkcionalnost se ne mogu onemogućiti niti izbrisati.
Softver rješava kvarove u mehanizmima praćenja aktivnosti tako da je očuvan integritet postojećih zapisa aktivnosti.
Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima.
Viking aplikacija za plaćanje ne nudi lokalni, nekonzolni ili udaljeni pristup, niti nivo privilegija, tako da ne postoji osoba ili drugi sistemi koji imaju pristup kritičnim sredstvima, samo Viking aplikacija može upravljati kritičnom imovinom.
· Viking aplikacija za plaćanje ne pruža privilegirane načine rada.
· Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka
· Ne postoje funkcije za dešifriranje osjetljivih podataka
· Ne postoje funkcije za izvoz osjetljivih podataka u druge sisteme ili procese
· Nema podržanih funkcija provjere autentičnosti
· Sigurnosne kontrole i sigurnosna funkcionalnost se ne mogu onemogućiti niti izbrisati.
Prodavač softvera održava dokumentaciju koja opisuje sve konfigurabilne opcije koje mogu utjecati na sigurnost osjetljivih podataka.
Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima.
Viking aplikacija za plaćanje ne pruža ništa od sljedećeg krajnjim korisnicima:
· konfigurabilna opcija za pristup osjetljivim podacima
21
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· konfigurabilna opcija za modificiranje mehanizama za zaštitu osjetljivih podataka
· daljinski pristup aplikaciji
· daljinsko ažuriranje aplikacije
· konfigurabilna opcija za izmjenu zadanih postavki aplikacije
Softver koristi samo funkciju(e) generiranja slučajnih brojeva uključene u procjenu PTS uređaja terminala za plaćanje za sve kriptografske operacije koje uključuju osjetljive podatke ili osjetljive funkcije gdje su potrebne nasumične vrijednosti i ne implementira vlastite
Viking ne koristi nikakav RNG (generator slučajnih brojeva) za svoje funkcije šifriranja.
Viking aplikacija ne generiše niti koristi slučajne brojeve za kriptografske funkcije.
funkcija(e) generiranja slučajnih brojeva.
Integritet softverskog prompta files je zaštićen u skladu sa Kontrolnim ciljem B.2.8.
Svi prikazi upita na Viking terminalu su kodirani u aplikaciji i bez prompta filesu prisutni izvan aplikacije.
Bez prompta fileI izvan Viking aplikacije za plaćanje postoje, sve potrebne informacije generira aplikacija.
Smjernice za implementaciju uključuju upute za zainteresirane strane da kriptografski potpišu sve upite files.
Svi upiti koji se prikazuju na Viking terminalu su kodirani u aplikaciji i bez prompta filesu prisutni izvan aplikacije.
Bez prompta fileI izvan Viking aplikacije za plaćanje postoje, sve potrebne informacije generira aplikacija
22
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
15. Referenca standardnih zahtjeva PCI sigurnog softvera
Poglavlja u ovom dokumentu 2. Aplikacija za sigurno plaćanje
Standardni zahtjevi za PCI siguran softver
B.2.1 6.1 12.1 12.1.b
PCI DSS zahtjevi
2.2.3
3. Secure Remote Software
11.1
Ažuriranja
11.2
12.1
1&12.3.9 2, 8 i 10
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o korisniku kartice
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Autentifikacija i kontrole pristupa 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 & 8.2 8.1 & 8.2
Logging
3.6
10.1
8.1
10.5.3
8.3
Bežična mreža
4.1
1.2.3 & 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1
Segmentacija mreže Prenos podataka vlasnika kartice na daljinu
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Metodologija Viking Versioning
11.2 12.1.b
Upute za kupce o 11.1
sigurna instalacija zakrpa i 11.2
ažuriranja.
12.1
23
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
16. Rečnik pojmova
TERM Podaci o korisniku kartice
DUKPT
3DES Merchant SSF
PA-QSA
DEFINICIJA
Puna magnetna traka ili PAN plus bilo šta od sljedećeg: · Ime vlasnika kartice · Datum isteka · Servisni kod
Izvedeni jedinstveni ključ po transakciji (DUKPT) je šema upravljanja ključevima u kojoj se za svaku transakciju koristi jedinstveni ključ koji je izveden iz fiksnog ključa. Stoga, ako je izvedeni ključ kompromitovan, podaci o budućim i prošlim transakcijama su i dalje zaštićeni jer se sljedeći ili prethodni ključevi ne mogu lako odrediti.
U kriptografiji, Triple DES (3DES ili TDES), zvanično trostruki algoritam za šifrovanje podataka (TDEA ili Triple DEA), je blok šifra sa simetričnim ključem, koja primenjuje algoritam DES šifre tri puta na svaki blok podataka.
Krajnji korisnik i kupac proizvoda Viking.
PCI Software Security Framework (SSF) je zbirka standarda i programa za siguran dizajn i razvoj softvera za plaćanje. Sigurnost softvera za plaćanje je ključni dio toka platnih transakcija i od suštinskog je značaja za omogućavanje pouzdanih i tačnih platnih transakcija.
Aplikacija za plaćanje Kvalificirani procjenitelji sigurnosti. QSA kompanija koja pruža usluge dobavljačima aplikacija za plaćanje za validaciju aplikacija za plaćanje dobavljača.
SAD (osjetljivi podaci za autentifikaciju)
Sigurnosne informacije (kodovi/vrijednosti za provjeru valjanosti kartice, kompletni podaci o stazi, PIN-ovi i PIN blokovi) koji se koriste za autentifikaciju vlasnika kartica, pojavljuju se u otvorenom tekstu ili na drugi način nezaštićenom obliku. Otkrivanje, modifikacija ili uništavanje ovih informacija moglo bi ugroziti sigurnost kriptografskog uređaja, informacionog sistema ili informacija o korisniku kartice ili bi se moglo koristiti u lažnoj transakciji. Osjetljivi podaci za autentifikaciju nikada ne smiju biti pohranjeni kada se transakcija završi.
Viking HSM
Softverska platforma koju Nets koristi za razvoj aplikacija za evropsko tržište.
Hardverski sigurnosni modul
24
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
17. Kontrola dokumenata
Autor dokumenta, Reviewers and Approvers
Opis SSA Development Manager Compliance Manager System Architect QA Product Owner Menadžer proizvoda Direktor inženjeringa
Funkcija Reviewer Autor Reviewer & Approver Reviewer & Approver Reviewer & Approver Reviewer & Approver Manager Manager
Ime Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Sažetak promjena
Broj verzije 1.0
1.0
1.1
Datum verzije 03-08-2022
15-09-2022
20-12-2022
Priroda promjene
Prva verzija za PCI-Secure Software Standard
Ažuriran odeljak 14 sa primenjivim ciljevima kontrole sa njihovim obrazloženjem
Ažurirani odjeljci 2.1.2 i 2.2
sa Self4000.
Uklonjeno
Link2500 (PTS verzija 4.x) od
lista podržanih terminala
Promijeni autora Aruna Panicker Aruna Panicker
Aruna Panicker
Reviewer
Datum odobrenja
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Ažuriran odjeljak 2.2 sa Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) za nastavak podrške
za ovaj tip terminala.
1.2
20-03-2023 Ažuriran odjeljak 2.1.1 sa Latvijkom Aruna Panicker Shamsher Singh 21-04-23
i litvanski terminal profiles.
I 2.1.2 sa BT-iOS komunikacijom-
podrška tipa cije
2.0
03-08-2023 Verzija izdanja ažurirana na Aruna Panicker Shamsher Singh 13-09-23
2.00 u zaglavlju/podnožju.
Ažuriran odjeljak 2.2 novim
Hardver i firmver Move3500
verzije. Ažuriran odjeljak 11 za
`Viking metodologija verzioniranja'.
Ažuriran odjeljak 1.3 s najnovijim
verzija PCI SSS zahtjeva
vodič. Ažuriran odjeljak 2.2 za sup-
portirani terminali uklonjeni nepodržani
prenesene verzije hardvera iz
lista.
2.0
16-11-2023 Visual (CVI) ažuriranje
Leyla Avsar
Arno Ekström 16-11-23
25
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
Distribution List
Naziv Terminal Department Product Management
Razvoj funkcija, testiranje, upravljanje projektima, tim za upravljanje proizvodom terminala usklađenosti, proizvod menadžera usklađenosti
Odobrenja dokumenata
Ime Arto Kangas
Funkcija Vlasnik proizvoda
Dokument Review Planovi
Ovaj dokument će biti reviewuređivati i ažurirati, ako je potrebno, kako je definirano u nastavku:
· Po potrebi da se ispravi ili poboljša sadržaj informacija · Nakon bilo kakvih organizacijskih promjena ili restrukturiranja · Nakon godišnjeg review · Nakon iskorištavanja ranjivosti · Praćenje novih informacija / zahtjeva u vezi sa relevantnim ranjivostima
26
Vodič za implementaciju standardnog proizvođača PCI-Secure softvera v2.0 za Viking Terminal 2.00
Dokumenti / Resursi
 |
nets PCI-Secure standardni softver [pdf] Korisnički priručnik PCI-Secure Standardni softver, PCI-Secure, Standardni softver, softver |
