Estàndard de programari segur PCI
Guia d'usuari
Nets Denmark A/S:
Estàndard de programari PCI-Secure
Guia d'implementació del proveïdor de programari
per a la terminal Viking 1.02.0
Versió 1.2
Introducció i abast
1.1 Introducció
L'objectiu d'aquesta Guia d'implementació del proveïdor de programari estàndard de PCI-Secure és proporcionar a les parts interessades una guia clara i exhaustiva sobre la implementació, configuració i funcionament segurs del programari Viking. La guia indica als comerciants com implementar l'aplicació Viking de Nets al seu entorn d'una manera compatible amb l'estàndard de programari segur PCI. Tot i que, no pretén ser una guia d'instal·lació completa. L'aplicació Viking, si s'instal·la d'acord amb les directrius aquí documentades, hauria de facilitar i donar suport al compliment de la PCI d'un comerciant.
1.2 Marc de seguretat del programari (SSF)
El PCI Software Security Framework (SSF) és una col·lecció d'estàndards i programes per al disseny i desenvolupament segurs de programari d'aplicacions de pagament. El SSF substitueix l'estàndard de seguretat de dades de l'aplicació de pagament (PA-DSS) amb requisits moderns que admeten una gamma més àmplia de tipus de programari de pagament, tecnologies i metodologies de desenvolupament. Proporciona als venedors estàndards de seguretat com l'estàndard de programari segur PCI per desenvolupar i mantenir programari de pagament perquè protegeixi les transaccions i les dades de pagament, minimitzi les vulnerabilitats i es defensi dels atacs.
1.3 Guia d'implementació del proveïdor de programari: distribució i actualitzacions
Aquesta Guia d'implementació del proveïdor de programari estàndard de programari segur de PCI s'ha de difondre a tots els usuaris d'aplicacions rellevants, inclosos els comerciants. S'ha d'actualitzar almenys una vegada a l'any i després de canvis en el programari. La re anualview i l'actualització hauria d'incloure els nous canvis de programari, així com els canvis a l'estàndard de programari segur.
Nets publica informació sobre la llista weblloc si hi ha actualitzacions a la guia d'implementació.
Weblloc: https://support.nets.eu/
Per Example: La Guia d'implementació del proveïdor de programari estàndard de Nets PCI-Secure es distribuirà a tots els clients, distribuïdors i integradors. Els clients, distribuïdors i integradors rebran una notificació des de reviews i actualitzacions. Les actualitzacions de la Guia d'implementació del proveïdor de programari estàndard de PCI-Secure també es poden obtenir contactant directament amb Nets.
Aquesta Guia d'implementació del proveïdor de programari estàndard de programari PCI-Secure fa referència tant a l'estàndard de programari PCI-Secure com als requisits PCI. En aquesta guia es fa referència a les versions següents.
- PCI-Secure-Software-Standard-v1_1
Aplicació de pagament segur
2.1 Aplicació S/W
Les aplicacions de pagament Viking no utilitzen cap programari o maquinari extern que no pertanyi a l'aplicació integrada Viking. Tots els executables S/W que pertanyen a l'aplicació de pagament Viking estan signats digitalment amb el kit de signatura Tetra proporcionat per Ingenico.
- El terminal es comunica amb el Nets Host mitjançant TCP/IP, ja sigui mitjançant Ethernet, GPRS, Wi-Fi o mitjançant la PC-LAN que executa l'aplicació TPV. Així mateix, el terminal es pot comunicar amb l'amfitrió a través del mòbil amb connexió Wi-Fi o GPRS.
Els terminals Viking gestionen tota la comunicació mitjançant el component de capa d'enllaç Ingenico. Aquest component és una aplicació carregada al terminal. La capa d'enllaç pot gestionar diverses comunicacions al mateix temps utilitzant diferents perifèrics (mòdem i port sèrie, per exemple.ample).
Actualment admet els protocols següents:
- Físic: RS232, mòdem intern, mòdem extern (mitjançant RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G i 4G.
- Enllaç de dades: SDLC, PPP.
- Xarxa: IP.
- Transport: TCP.
El terminal sempre pren la iniciativa d'establir la comunicació amb el Nets Host. No hi ha S/W del servidor TCP/IP al terminal i el S/W del terminal mai no respon a les trucades entrants.
Quan s'integra amb una aplicació TPV en un ordinador, el terminal es pot configurar per comunicar-se mitjançant la PC-LAN que executa l'aplicació TPV mitjançant RS232, USB o Bluetooth. Tot i així, tota la funcionalitat de l'aplicació de pagament s'està executant al terminal S/W.
El protocol d'aplicació (i el xifratge aplicat) és transparent i independent del tipus de comunicació.
2.1.1 Configuració del paràmetre TCP/IP de comunicació de l'amfitrió de pagament 
2.1.2 Comunicació ECR
- Sèrie RS232
- Connexió USB
- Configuració de paràmetres TCP/IP, també conegut com a ECR sobre IP
- Opcions de comunicació d'amfitrió/ECR a l'aplicació de pagament Viking
Tipus COMM d'amfitrió Tipus de terminal Ethernet SeIf4000, Move3500, Desk3500, La n e3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i via ECR SeIf4000, Move3500, Link2500, Link2500i, Desk3500,
Carril 3000GPRS Mou3500 'Alinear Move3500, Link2500 Tipus ECR COMM Tipus de terminal Ethernet IP SeIf4000, Move3500, Desk3500, Lane3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i USB SeIf4000, Move3500, Link2500, Link2500i, Desk3500, Lane3000 RS232 SeIf4000, Desk3500, Lane3000 GPRS Mou3500 IP Will Move3500, Link2500 - Configuració dels paràmetres de Nets Cloud ECR (Connect Cloud).
Adreça IP ECR 212.226.157.243 PORT de comunicació TCP-IP 6001
2.1.3 Comunicació amb l'amfitrió mitjançant ECR
| Adreça IP de l'amfitrió | 91.102.24142 |
| PORT de comunicacions TCP-IP (NORUEGA) | 9670 |
Nota: Consulteu "2.1.1- Configuració dels paràmetres TCP/IP de comunicació de l'amfitrió de pagament" per obtenir els ports TCP/IP específics del país.
2.2 Maquinari de terminal compatible
L'aplicació de pagament Viking és compatible amb diversos dispositius Ingenico validats per PTS (seguretat de transaccions PIN).
A continuació es mostra la llista del maquinari del terminal juntament amb el seu número d'aprovació PTS.
Tipus de terminals Tetra
| Terminal maquinari | Versió PTS | Número d'aprovació PTS | Versió de maquinari PTS | Versió del firmware PTS |
| Carrer 3000 | 5.x | 4-30310 | LAN30AN LAN30BA LAN30BN LAN30CA LAN30DA LAN30EA LAN30EN LAN30FA LAN30FN LAN30GA LAN30HA LAN30AA | 820547v01.xx
820561v01.xx |
| Escriptori 3500 | 5.x | 4-20321 | DES32BB DES32BC DES32CB DES32DB DES32DC DES35AB DES35BB DES35BC DES35CB DES35DB DES35DC DES32AB | 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx |
| Mou 3500 | 5.x | 4-20320 | MOV35AC MOV35AQ MOV35BB MOV35BC MOV35BQ MOV35CB MOV35CC MOV35CQ MOV35DB MOV35DC MOV35DQ MOV35EB MOV35FB MOV35JB MOV35AB |
820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx |
| Enllaç 2500 | 4.x | 4-30230 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA | 820555v01.xx 820556v01.xx 820547v01.xx |
| LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA | ||||
| Enllaç 2500 | 5.x | 4-30326 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA LIN25NA LINXNUMXAA | 820547v01.xx |
| Self4000 | 5.x | 4-30393 | SEL40BA | 820547v01.xx |
2.3 Polítiques de seguretat
L'aplicació de pagament Viking s'adhereix a totes les polítiques de seguretat aplicables especificades per Ingenico. Per a informació general, aquests són els enllaços a les polítiques de seguretat dels diferents terminals Tetra:
| Tipus de terminal | Document de política de seguretat |
| Link2500 (v4) | Política de seguretat d'enllaç/2500 PCI PTS (pcisecuritystandards.org) |
| Link2500 (v5) | Política de seguretat PCI PTS (pcisecuritystandards.org) |
| Escriptori 3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-EN- V12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf |
| Mou3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-EN- V11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf |
| Carril 3000 | https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-EN- V16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf |
| Self4000 | Política de seguretat Self/4000 PCI PTS (pcisecuritystandards.org) |
Actualització de programari remota segura
3.1 Aplicabilitat del comerciant
Nets ofereix de forma segura actualitzacions de l'aplicació de pagament Viking de forma remota. Aquestes actualitzacions es produeixen al mateix canal de comunicació que les transaccions de pagament segures i el comerciant no està obligat a fer cap canvi a aquesta ruta de comunicació per complir-la.
Per obtenir informació general, els comerciants haurien de desenvolupar una política d'ús acceptable per a tecnologies crítiques orientades als empleats, segons les directrius següents per a VPN o altres connexions d'alta velocitat, les actualitzacions es reben mitjançant un tallafoc o un tallafoc personal.
3.2 Política d'ús acceptable
El comerciant hauria de desenvolupar polítiques d'ús per a tecnologies crítiques orientades als empleats, com ara mòdems i dispositius sense fil. Aquestes polítiques d'ús haurien d'incloure:
- Aprovació explícita de la gestió per al seu ús.
- Autenticació per al seu ús.
- Una llista de tots els dispositius i personal amb accés.
- Etiquetar els dispositius amb el propietari.
- Informació de contacte i finalitat.
- Usos acceptables de la tecnologia.
- Ubicacions de xarxa acceptables per a les tecnologies.
- Una llista de productes aprovats per l'empresa.
- Permet l'ús de mòdems per als venedors només quan sigui necessari i la desactivació després de l'ús.
- Prohibició d'emmagatzemar les dades del titular de la targeta en mitjans locals quan es connecta de forma remota.
3.3 Tallafoc personal
Qualsevol connexió "sempre activada" des d'un ordinador a una VPN o una altra connexió d'alta velocitat s'ha de protegir mitjançant un producte tallafoc personal. El tallafoc està configurat per l'organització per complir estàndards específics i no alterable per l'empleat.
3.4 Procediments d'actualització remota
Hi ha dues maneres d'activar el terminal per contactar amb el centre de programari de Nets per obtenir actualitzacions:
- Ja sigui manualment a través d'una opció de menú al terminal (feu lliscar la targeta del comerciant, seleccioneu el menú 8 "Programari", 1 "Obtén programari"), o s'ha iniciat l'amfitrió.
- Ús del mètode iniciat amb l'amfitrió; el terminal rep automàticament una ordre de l'amfitrió després d'haver realitzat una transacció financera. L'ordre diu al terminal que es posi en contacte amb el centre de programari de Nets per comprovar si hi ha actualitzacions.
Després d'una actualització correcta del programari, un terminal amb una impressora integrada imprimirà un rebut amb informació sobre la nova versió.
Els integradors de terminals, els socis i/o l'equip de suport tècnic de Nets tindran la responsabilitat d'informar els comerciants de l'actualització, inclòs l'enllaç a la guia d'implementació actualitzada i les notes de llançament.
A més del rebut després de l'actualització del programari, l'aplicació de pagament Viking també es pot validar mitjançant la informació del terminal en prémer la tecla "F3" del terminal.
Supressió segura de dades sensibles i protecció de les dades emmagatzemades del titular de la targeta
4.1 Aplicabilitat del comerciant
L'aplicació de pagament Viking no emmagatzema cap dada de banda magnètica, valors o codis de validació de targetes, PIN o dades de bloc de PIN, material de clau criptogràfica o criptogrames de les seves versions anteriors.
Per complir amb PCI, un comerciant ha de tenir una política de retenció de dades que defineixi quant de temps es conservaran les dades del titular de la targeta. L'aplicació de pagament Viking conserva les dades del titular de la targeta i/o les dades d'autenticació sensibles de l'última transacció i en cas que hi hagi transaccions d'autorització fora de línia o ajornades mentre compleixi amb l'estàndard de programari PCI-Secure al mateix temps, per tant, pot estar exempta de la política de retenció de dades del titular de la targeta del comerciant.
4.2 Instruccions d'eliminació segura
El terminal no emmagatzema dades d'autenticació sensibles; full track2, CVC, CVV o PIN, ni abans ni després de l'autorització; excepte per a les transaccions d'autorització diferida, en el qual cas les dades d'autenticació sensibles xifrades (dades completes de la pista2) s'emmagatzemen fins que es fa l'autorització. Després de l'autorització, les dades s'eliminen de manera segura.
Qualsevol cas de dades històriques prohibides que existeixi en un terminal s'eliminarà automàticament de manera segura quan s'actualitzi l'aplicació de pagament Viking del terminal. L'eliminació de les dades històriques prohibides i de les dades anteriors a la política de retenció es produirà automàticament.
4.3 Ubicacions de les dades emmagatzemades del titular de la targeta
Les dades del titular de la targeta s'emmagatzemen al Flash DFS (Data File sistema) del terminal. Les dades no són directament accessibles pel comerciant.
| Magatzem de dades (file, taula, etc.) | Elements de dades del titular de la targeta emmagatzemats (PAN, caducitat, qualsevol element del SAD) |
Com es protegeix el magatzem de dades (per exampli, xifratge, controls d'accés, truncament, etc.) |
| File: transgredir | PAN, data de caducitat, codi de servei | PAN: 3DES-DUKPT xifrat (112 bits) |
| File: storefwd.rsd | PAN, data de caducitat, codi de servei | PAN: 3DES-DUKPT xifrat (112 bits) |
| File: transoff.rsd | PAN, data de caducitat, codi de servei | PAN: 3DES-DUKPT xifrat (112 bits) |
| File: transorr.rsd | PAN truncat | Truncat (6 primers, 4 últims) |
| File: offlrep.dat | PAN truncat | Truncat (6 primers, 4 últims) |
| File: defauth.rsd | PAN, data de caducitat, codi de servei | PAN: 3DES-DUKPT xifrat (112 bits) |
| File: defauth.rsd | Dades completes de la pista 2 | Dades completes de Track2: 3DES-DUKPT preencriptat (112 bits) |
4.4 Operació d'autorització diferit
L'autorització diferida es produeix quan un comerciant no pot completar una autorització en el moment de la transacció amb el titular de la targeta a causa de problemes de connectivitat, sistemes o altres limitacions, i després completa l'autorització quan pot fer-ho.
Això vol dir que es produeix una autorització ajornada quan es realitza una autorització en línia després que la targeta ja no estigui disponible. Com que l'autorització en línia de les transaccions d'autorització ajornada es retarda, les transaccions s'emmagatzemaran al terminal fins que les transaccions s'autoritzin correctament més tard quan la xarxa estigui disponible. Les transaccions s'emmagatzemen i s'envien més tard a l'amfitrió, com ara com s'emmagatzemen les transaccions fora de línia a l'aplicació de pagament Viking.
El comerciant pot iniciar la transacció com a "Autorització Diferida" des de la Caixa Registradora Electrònica (ECR) o mitjançant el menú del terminal.
El comerciant es pot carregar les transaccions d'autorització diferida a l'amfitrió de Nets mitjançant les opcions següents:
- ECR - Ordre d'administració - Envia fora de línia (0x3138)
- Terminal – Comerciant ->2 EOT -> 2 enviats a l'amfitrió
4.5 Procediments de resolució de problemes
L'assistència de Nets no sol·licitarà dades confidencials d'autenticació ni de titular de targeta per resoldre problemes. L'aplicació de pagament Viking no és capaç de recollir o resoldre problemes de dades sensibles en cap cas.
4.6 Ubicacions PAN: es mostren o s'imprimeixen
PAN emmascarat:
- Rebuts de transaccions financeres:
El PAN emmascarat sempre s'imprimeix al rebut de la transacció tant per al titular de la targeta com per al comerciant. El PAN emmascarat en la majoria dels casos és amb * on els primers 6 dígits i els últims 4 dígits estan en text clar. - Informe de la llista de transaccions:
L'informe de llista de transaccions mostra les transaccions realitzades en una sessió. Els detalls de la transacció inclouen el PAN emmascarat, el nom de l'emissor de la targeta i l'import de la transacció. - Últim rebut del client:
La còpia de l'últim rebut del client es pot generar des del menú de còpia del terminal. El rebut del client conté el PAN emmascarat com a rebut del client original. La funció donada s'utilitza en cas que el terminal no pugui generar un client
rebut durant la transacció per qualsevol motiu.
PAN xifrat:
• Rebut de transacció fora de línia:
La versió del rebut del minorista de la transacció fora de línia inclou les dades del titular de la targeta encriptades DUKPT Triple DES de 112 bits (PAN, data de caducitat i codi de servei).
BAX: 71448400-714484
12/08/2022 10:39
Visa
Sense contacte
************3439-0
107A47458AE773F3A84DF977
553E3D93FFFF9876543210E0
15F3
AJUDA: A0000000031010
TVR: 0000000000
ID de la botiga: 123461
Ref.: 000004 000000 KC3
Resp.: Y1
Sessió: 782
COMPRA
12,00 NOK
APROVAT
CÒPIA DEL DISTRIBUIDOR
Confirmació:
L'aplicació de pagament Viking sempre xifra les dades del titular de la targeta per defecte per a l'emmagatzematge de transaccions fora de línia, la transmissió cap a l'amfitrió de NETS i per imprimir les dades de la targeta xifrades al rebut del minorista per a una transacció fora de línia.
A més, per mostrar o imprimir la targeta PAN, l'aplicació de pagament Viking sempre emmascara els dígits PAN amb un asterisc "*" amb els primers 6 + els últims 4 dígits clars per defecte. El format d'impressió del número de targeta està controlat pel sistema de gestió del terminal, on el format d'impressió es pot canviar sol·licitant a través del canal adequat i presentant una necessitat legítima de negoci, però per a l'aplicació de pagament Viking, no hi ha cap cas.
Example per a PAN emmascarat:
PAN: 957852181428133823-2
Informació mínima: **************3823-2
Informació màxima: 957852********3823-2
4.7 Avís files
L'aplicació de pagament Viking no ofereix cap indicació independent files.
Sol·licituds d'aplicacions de pagament Viking per a les entrades del titular de la targeta mitjançant indicacions de visualització que formen part del sistema de missatgeria dins de l'aplicació de pagament Viking signada.
Al terminal es mostren les sol·licituds de PIN, import, etc. i s'esperen les entrades del titular de la targeta. Les entrades rebudes del titular de la targeta no s'emmagatzemen.
4.8 Gestió de claus
Per a la gamma de models de terminals Tetra, tota la funcionalitat de seguretat es realitza en una àrea segura d'un dispositiu PTS protegit de l'aplicació de pagament.
El xifratge es realitza dins de l'àrea segura, mentre que el desxifrat de les dades xifrades només pot ser realitzat pels sistemes Nets Host. Tot l'intercanvi de claus entre l'amfitrió de Nets, l'eina Key/Inject (per a terminals Tetra) i el PED es fa de forma xifrada.
Nets implementa els procediments per a la gestió de claus d'acord amb un esquema DUKPT amb xifratge 3DES.
Totes les claus i components clau utilitzats pels terminals de Nets es generen mitjançant processos aleatoris o pseudoaleatoris aprovats. Les claus i els components clau que utilitzen els terminals de Nets els genera el sistema de gestió de claus de Nets, que utilitzen unitats HSM d'escut Thales Pay aprovades per generar claus criptogràfiques.
La gestió de claus és independent de la funcionalitat de pagament. Per tant, carregar una aplicació nova no requereix un canvi a la funcionalitat clau. L'espai de claus del terminal admetrà unes 2,097,152 transaccions.
Quan s'esgota l'espai clau, el terminal Viking deixa de funcionar i mostra un missatge d'error i, a continuació, cal substituir el terminal.
4.9 Reinici "24 HR".
Tots els terminals Viking són PCI-PTS 4.x i superiors i, per tant, compleixen el requisit de compliment que el terminal PCI-PTS 4.x es reiniciarà com a mínim una vegada cada 24 hores per esborrar la memòria RAM i protegir encara més l'HW del terminal per fer servir el pagament. dades de la targeta.
Un altre avantatge del cicle de reinici de 24 hores és que les fuites de memòria es reduiran i tindran menys impacte per al comerciant (no és que hauríem d'acceptar problemes de fuites de memòria.
El comerciant pot establir el temps de reinici des de l'opció del menú del terminal a "Hora de reinici". El temps de reinici s'estableix en funció del rellotge "24 hores" i tindrà el format HH:MM.
El mecanisme de restabliment està dissenyat per garantir un restabliment del terminal almenys una vegada cada 24 hores de funcionament. Per complir amb aquest requisit s'ha definit una franja horària, anomenada "interval de reinici" representat per Temin i Tmax. Aquest període representa l'interval de temps on es permet el reinici. Depenent del cas de negoci, l'"interval de restabliment" es personalitza durant la fase d'instal·lació del terminal. Per disseny, aquest període no pot ser inferior a 30 minuts. Durant aquest període, el restabliment es produeix cada dia 5 minuts abans (a T3), tal com s'explica al diagrama següent:
4.10 Llista blanca
La llista blanca és un procediment per determinar que els PAN enumerats com a llista blanca es poden mostrar en text clar. Viking utilitza 3 camps per determinar els PAN de la llista blanca que es llegeixen a partir de les configuracions baixades del sistema de gestió de terminals.
Quan una "marca de compliment" a l'amfitrió de Nets s'estableix en Y, la informació de l'amfitrió de Nets o del sistema de gestió del terminal es baixa al terminal, quan s'inicia el terminal. Aquest indicador de compliment s'utilitza per determinar els PAN de la llista blanca que es llegeixen del conjunt de dades.
El senyalador "Track2ECR" determina si l'ECR permet que les dades Track2 puguin ser gestionades (enviades/rebudes) per a un emissor específic. Depenent del valor d'aquesta bandera, es determina si les dades de track2 s'han de mostrar en mode local a l'ECR.
El "camp de format d'impressió" determina com es mostrarà el PAN. Totes les targetes de l'àmbit PCI tindran el format d'impressió configurat per mostrar el PAN en forma truncada/emmascarada.
Autenticació i controls d'accés
5.1 Control d'accés
L'aplicació de pagament Viking no té comptes d'usuari ni contrasenyes corresponents, per tant, l'aplicació de pagament Viking està exempta d'aquest requisit.
- Configuració integrada de l'ECR:
No és possible accedir a tipus de transaccions com ara reemborsament, dipòsit i revocació des del menú del terminal per garantir que aquestes funcions no es facin mal ús. Aquests són els tipus de transaccions on es produeix el flux de diners del compte del comerciant al compte del titular de la targeta. És responsabilitat del comerciant assegurar-se que l'ECR només l'utilitzin usuaris autoritzats. - Configuració autònoma:
El control d'accés de la targeta de comerciant està activat per defecte per accedir a tipus de transaccions com ara reemborsament, dipòsit i revocació des del menú del terminal per garantir que aquestes funcions no es facin un ús indegut.
El terminal Viking està configurat per defecte per protegir les opcions del menú, per evitar l'accés no autoritzat. Els paràmetres per configurar la seguretat del menú es troben a Menú de comerciant (accessible amb una targeta de comerciant) -> Paràmetres -> Seguretat
Protegir el menú - Establiu a "Sí" per defecte.
El botó de menú del terminal està protegit mitjançant la configuració del menú Protecció. Només el comerciant pot accedir al menú mitjançant una targeta de comerciant. 
Protegir la reversió - Establiu a "Sí" per defecte.
La reversió d'una transacció només la pot fer el comerciant mitjançant la targeta de comerciant per accedir al menú de reversió. 
Protegir la reconciliació - Establiu a "Sí" per defecte
Només el comerciant amb la targeta de comerciant pot accedir a l'opció de conciliació quan aquesta protecció s'estableix en vertadera. 
Protegeix la drecera – Establiu a "Sí" per defecte
Menú de drecera amb les opcions per viewLa informació del terminal i l'opció per actualitzar els paràmetres de Bluetooth estaran disponibles per al comerciant només quan es llisca la targeta del comerciant.
5.2 Controls de contrasenya
L'aplicació de pagament Viking no té comptes d'usuari ni contrasenyes corresponents; per tant, l'aplicació Viking està exempta d'aquest requisit.
Enregistrament
6.1 Aplicabilitat del comerciant
Actualment, per a l'aplicació de pagament Nets Viking, no hi ha cap configuració de registre PCI configurable per l'usuari final.
6.2 Configuració de la configuració del registre
L'aplicació de pagament Viking no té comptes d'usuari, per la qual cosa no s'aplica el registre conforme a PCI. Fins i tot en el registre de transaccions més detallat, l'aplicació de pagament Viking no registra cap dada d'autenticació sensible ni dades del titular de la targeta.
6.3 Registre centralitzat
El terminal té un mecanisme de registre genèric. El mecanisme també inclou el registre de creació i supressió de l'executable S/W.
Les activitats de descàrrega de S/W es registren i es poden transferir a l'amfitrió manualment mitjançant una elecció de menú al terminal o a petició de l'amfitrió marcat en el trànsit de transaccions normals. Si l'activació de la descàrrega de S/W falla a causa de signatures digitals no vàlides al rebut files, l'incident es registra i es transfereix a l'amfitrió automàticament i immediatament.
6.3.1 Habilita el registre de traça al terminal
Per habilitar el registre de traça:
- Llisca la targeta de comerciant.
- A continuació, al menú, seleccioneu "9 Menú del sistema".
- A continuació, aneu al menú "2 Registre del sistema".
- Escriviu el codi del tècnic, que podeu obtenir trucant al servei d'assistència de Nets Merchant Service.
- Seleccioneu "8 paràmetres".
- A continuació, activeu "Registre" a "Sí".
6.3.2 Envia registres de traça a l'amfitrió
Per enviar registres de traça:
- Premeu la tecla Menú al terminal i, a continuació, llisca la targeta del comerciant.
- A continuació, al menú principal, seleccioneu "7 Menú de l'operador".
- A continuació, seleccioneu "5 Envia registres de traça" per enviar registres de traça a l'amfitrió.
6.3.3 Registre de traça remot
S'estableix un paràmetre a Nets Host (PSP) que activarà/desactivarà la funcionalitat de registre de traça del terminal de forma remota. Nets Host enviarà el paràmetre de registre d'activació/desactivació de Trace al terminal al conjunt de dades juntament amb l'hora programada en què el terminal carregarà els registres de seguiment. Quan el terminal rep el paràmetre Trace com habilitat, començarà a capturar els registres de traça i, a l'hora programada, carregarà tots els registres de traça i desactivarà la funcionalitat de registre després.
6.3.4 Registre remot d'errors
Els registres d'errors estan sempre habilitats al terminal. Igual que el registre de traça, s'estableix un paràmetre a Nets Host que activarà/desactivarà la funcionalitat de registre d'errors del terminal de forma remota. Nets Host enviarà el paràmetre de registre d'activació/desactivació de Trace al terminal al conjunt de dades juntament amb l'hora programada en què el terminal carregarà els registres d'error. Quan el terminal rep el paràmetre de registre d'errors activat, començarà a capturar els registres d'errors i, a l'hora programada, carregarà tots els registres d'errors i desactivarà la funcionalitat de registre després.
Xarxes sense fil
7.1 Aplicabilitat del comerciant
Terminal de pagament Viking: MOVE 3500 i Link2500 tenen la capacitat de connectar-se amb la xarxa Wi-Fi. Per tant, perquè la xarxa sense fil s'implementa de manera segura, cal tenir en compte a l'hora d'instal·lar i configurar la xarxa sense fil, tal com es detalla a continuació.
7.2 Configuracions sense fil recomanades
Hi ha moltes consideracions i passos a seguir a l'hora de configurar xarxes sense fil connectades a la xarxa interna.
Com a mínim, s'han d'establir els paràmetres i configuracions següents:
- Totes les xarxes sense fil s'han de segmentar mitjançant un tallafoc; si es requereixen connexions entre la xarxa sense fil i l'entorn de dades del titular de la targeta, l'accés ha de ser controlat i assegurat pel tallafoc.
- Canvieu el SSID predeterminat i desactiveu la difusió del SSID
- Canvieu les contrasenyes predeterminades tant per a les connexions sense fil com per als punts d'accés sense fil, això inclou l'accés a la consola i les cadenes de la comunitat SNMP
- Canvieu qualsevol altre valor predeterminat de seguretat proporcionat o establert pel venedor
- Assegureu-vos que els punts d'accés sense fil s'actualitzen al firmware més recent
- Utilitzeu només WPA o WPA2 amb claus fortes, WEP està prohibit i no s'ha d'utilitzar mai
- Canvieu les claus WPA/WPA2 en el moment de la instal·lació, així com de manera regular i sempre que una persona amb coneixement de les claus abandoni l'empresa
Segmentació de la xarxa
8.1 Aplicabilitat del comerciant
L'aplicació de pagament Viking no és una aplicació de pagament basada en servidor i resideix en un terminal. Per aquest motiu, la sol·licitud de pagament no requereix cap ajust per complir aquest requisit.
Per al coneixement general del comerciant, les dades de la targeta de crèdit no es poden emmagatzemar en sistemes connectats directament a Internet. Per exampel, web els servidors i els servidors de bases de dades no s'han d'instal·lar al mateix servidor. S'ha de configurar una zona desmilitaritzada (DMZ) per segmentar la xarxa de manera que només les màquines de la DMZ siguin accessibles per Internet.
Accés remot
9.1 Aplicabilitat del comerciant
No es pot accedir a l'aplicació de pagament Viking de forma remota. El suport remot només es produeix entre un membre del personal d'assistència de Nets i el comerciant per telèfon o mitjançant Nets directament al lloc amb el comerciant.
Transmissió de dades sensibles
10.1 Transmissió de dades sensibles
L'aplicació de pagament Viking assegura les dades sensibles i/o les dades del titular de la targeta en trànsit mitjançant l'ús d'encriptació a nivell de missatge mitjançant 3DES-DUKPT (112 bits) per a tota la transmissió (incloses les xarxes públiques). Els protocols de seguretat per a comunicacions IP de l'aplicació Viking a l'amfitrió no són necessaris, ja que el xifratge a nivell de missatge s'implementa mitjançant 3DES-DUKPT (112 bits) tal com es descriu anteriorment. Aquest esquema de xifratge garanteix que, fins i tot si s'intercepten transaccions, no es poden modificar ni comprometre de cap manera si 3DES-DUKPT (112 bits) es considera un xifratge fort. Segons l'esquema de gestió de claus DUKPT, la clau 3DES utilitzada és única per a cada transacció.
10.2 Compartir dades sensibles amb un altre programari
L'aplicació de pagament Viking no proporciona cap interfície/API lògica per permetre compartir dades del compte de text en clar directament amb altres programaris. No es comparteixen dades sensibles ni dades del compte de text en clar amb altres programaris mitjançant les API exposades.
10.3 Correu electrònic i dades sensibles
L'aplicació de pagament Viking no admet de forma nativa l'enviament de correu electrònic.
10.4 Accés administratiu fora de la consola
Viking no admet l'accés administratiu que no sigui de la consola.
Tanmateix, per al coneixement general del comerciant, l'accés administratiu que no sigui de la consola ha d'utilitzar SSH, VPN o TLS per xifrar tots els accessos administratius que no siguin de la consola als servidors de l'entorn de dades del titular de la targeta. No s'han d'utilitzar Telnet ni altres mètodes d'accés no xifrats.
Metodologia de versions Viking
La metodologia de control de versions de Nets consta d'un número de versió S/W de tres parts: a.bb.c
on "a" s'incrementarà quan es facin canvis d'alt impacte segons l'estàndard de programari PCI-Secure.
a - versió principal (1 dígit)
"bb" s'incrementarà quan es facin canvis planificats de baix impacte segons l'estàndard de programari PCI-Secure.
bb - versió menor (2 dígits)
"c" s'incrementarà quan es facin canvis de pedaç de baix impacte segons l'estàndard de programari PCI-Secure.
c - versió menor (1 dígit)
El número de versió S/W de l'aplicació de pagament Viking es mostra així a la pantalla del terminal quan el terminal està encès: 'abbc'
- Una actualització de, per exemple, 1.00.0 a 2.00.0 és una actualització funcional important. Pot incloure canvis que afectin la seguretat o els requisits de l'estàndard de programari segur PCI.
- Una actualització de, per exemple, 1.00.0 a 1.01.0 és una actualització funcional no significativa. És possible que no inclogui canvis que afectin la seguretat o els requisits de l'estàndard de programari segur PCI.
- Una actualització de, per exemple, 1.00.0 a 1.00.1 és una actualització funcional no significativa. És possible que no inclogui canvis que afectin la seguretat o els requisits de l'estàndard de programari segur PCI.
Tots els canvis es representen en ordre numèric seqüencial.
Instruccions sobre la instal·lació segura de pedaços i actualitzacions.
Nets ofereix de forma segura actualitzacions d'aplicacions de pagament a distància. Aquestes actualitzacions es produeixen al mateix canal de comunicació que les transaccions de pagament segures i el comerciant no està obligat a fer cap canvi a aquesta ruta de comunicació per complir-la.
Quan hi hagi un pedaç, Nets actualitzarà la versió del pedaç a Nets Host. El comerciant obtindria els pegats mitjançant una sol·licitud de descàrrega de S/W automatitzada, o el comerciant també pot iniciar una descàrrega de programari des del menú del terminal.
Per obtenir informació general, els comerciants haurien de desenvolupar una política d'ús acceptable per a tecnologies crítiques orientades als empleats, d'acord amb les directrius següents per a VPN o altres connexions d'alta velocitat, les actualitzacions es reben a través d'un tallafoc o d'un tallafoc de personal.
L'amfitrió de Nets està disponible a través d'Internet mitjançant un accés segur o mitjançant una xarxa tancada. Amb la xarxa tancada, el proveïdor de xarxa té una connexió directa amb el nostre entorn amfitrió que ofereix el seu proveïdor de xarxa. Els terminals es gestionen a través dels serveis de gestió de terminals de Nets. El servei de gestió de terminals defineix per exampla regió a la qual pertany el terminal i l'adquirent en ús. La gestió del terminal també és responsable d'actualitzar el programari del terminal de forma remota a través de la xarxa. Nets assegura que el programari carregat al terminal ha completat les certificacions requerides.
Nets recomana punts de control a tots els seus clients per garantir pagaments segurs i segurs, tal com s'enumeren a continuació:
- Manteniu una llista de tots els terminals de pagament operatius i feu fotos de totes les dimensions perquè sàpigues com han de ser.
- Busqueu signes evidents de tampcom ara segells trencats sobre plaques o cargols de coberta d'accés, cablejat estrany o diferent o un dispositiu de maquinari nou que no podeu reconèixer.
- Protegiu els vostres terminals de l'abast del client quan no els feu servir. Inspeccioneu els vostres terminals de pagament diàriament i altres dispositius que puguin llegir targetes de pagament.
- Heu de comprovar la identitat del personal de reparació si espereu reparacions del terminal de pagament.
- Truqueu a Nets o al vostre banc immediatament si sospiteu alguna activitat poc òbvia.
- Si creieu que el vostre dispositiu TPV és vulnerable al robatori, hi ha bressols de servei i arnesos i lligams segurs disponibles per comprar comercialment. Potser val la pena considerar el seu ús.
Actualitzacions de llançament de Viking
El programari Viking es publica en els cicles de llançament següents (subjecte a canvis):
- 2 llançaments importants anuals
- 2 edicions menors anuals
- Pedaços de programari, segons sigui necessari, (per exemple, a causa de qualsevol problema crític d'error/vulnerabilitat). Si una versió està operativa al camp i s'informa d'alguns problemes crítics, s'espera que un pedaç de programari amb la correcció es publicarà en el termini d'un mes.
Els comerciants serien notificats sobre els llançaments (principals/menors/pedaç) mitjançant correus electrònics que s'enviarien directament a les seves respectives adreces de correu electrònic. El correu electrònic també inclourà els aspectes més destacats de la versió i les notes de llançament.
Els comerciants també poden accedir a les notes de la versió que es penjaran a: Notes de la versió del programari (nets.eu)
Les versions de Viking Software es signen mitjançant l'eina de cant d'Ingenico per a terminals Tetra. Només es pot carregar al terminal programari signat.
Requisits no aplicables
Aquesta secció conté una llista de requisits de l'estàndard de programari PCI-Secure que s'ha avaluat com a "No aplicable" a l'aplicació de pagament Viking i la justificació d'això.
| PCI Secure Software Standard CO | Activitat | Justificació per ser "No aplicable" |
| 5.3 | Els mètodes d'autenticació (incloses les credencials de sessió) són prou forts i robusts per protegir les credencials d'autenticació de ser falsificades, falsificades, filtrades, endevinades o eludides. | L'aplicació de pagament Viking s'executa en un dispositiu PTS POI aprovat per PCI. L'aplicació de pagament Viking no ofereix accés local, sense consola o remot, ni nivell de privilegis, per la qual cosa no hi ha credencials d'autenticació al dispositiu PTS POI. L'aplicació de pagament Viking no ofereix paràmetres per gestionar o generar identificadors d'usuari i no L'aplicació de pagament Viking) no proporciona cap accés local, que no sigui de consola o remot als recursos crítics (fins i tot amb finalitats de depuració). |
| 5.4 | Per defecte, tot l'accés als actius crítics està restringit només als comptes i serveis que requereixen aquest accés. | L'aplicació de pagament Viking s'executa en un dispositiu PTS POI aprovat per PCI. L'aplicació de pagament Viking no proporciona configuració per gestionar o generar comptes o serveis. |
| 7.3 | Tots els números aleatoris utilitzats pel programari es generen utilitzant només algorismes o biblioteques de generació de números aleatoris (RNG) aprovats. Els algorismes o biblioteques RNG aprovats són aquells que compleixen els estàndards de la indústria per a una imprevisibilitat suficient (per exemple, la publicació especial del NIST 800-22). |
L'aplicació de pagament Viking no utilitza cap RNG (generador de números aleatoris) per a les seves funcions de xifratge. L'aplicació de pagament Viking no genera ni utilitza números aleatoris per a funcions criptogràfiques. |
| 7.4 | Els valors aleatoris tenen entropia que compleix els requisits mínims de força efectiva de les primitives criptogràfiques i les claus que es basen en elles. | L'aplicació de pagament Viking no utilitza cap RNG (generador de números aleatoris) per a les seves funcions de xifratge. L'aplicació de pagament Viking no genera ni utilitza números aleatoris per a funcions criptogràfiques. |
| 8.1 | Tots els intents d'accés i l'ús d'actius crítics es fa un seguiment i es pot traçar a una persona única. | L'aplicació de pagament Viking s'executa en dispositius PTS POI aprovats per PCI, on es gestionen tots els actius crítics, i el microprogramari PTS POI garanteix la confidencialitat i la integritat de les dades sensibles mentre s'emmagatzemen al dispositiu PTS POI. La confidencialitat, la integritat i la resistència de la funció sensible de l'aplicació de pagament Viking estan protegides i proporcionades pel microprogramari PTS POI. El microprogramari PTS POI impedeix qualsevol accés als actius crítics fora del terminal i es basa en l'anti-tamperen característiques. L'aplicació de pagament Viking no ofereix accés local, sense consola o remot, ni nivell de privilegis, per tant no hi ha cap persona ni altres sistemes amb accés a actius crítics, només l'aplicació de pagament Viking és capaç de gestionar actius crítics. |
| 8.2 | Tota l'activitat es recull amb el detall suficient i necessari per descriure amb precisió quines activitats específiques es van dur a terme, qui les va realitzar, el moment en què es van realitzar i quins actius crítics es van veure afectats. | L'aplicació de pagament Viking s'executa en dispositius PTS POI aprovats per PCI. L'aplicació de pagament Viking no ofereix accés local, sense consola o remot, ni nivell de privilegis, per tant no hi ha cap persona ni altres sistemes amb accés a actius crítics, només l'aplicació de pagament Viking és capaç de gestionar els actius crítics. • L'aplicació de pagament Viking no ofereix modes de funcionament privilegiats. • No hi ha funcions per desactivar el xifratge de dades sensibles • No hi ha funcions per al desxifrat de dades sensibles • No hi ha funcions per exportar dades sensibles a altres sistemes o processos • No s'admeten funcions d'autenticació. Els controls de seguretat i la funcionalitat de seguretat no es pot desactivar ni suprimir. |
| 8.3 | El programari admet la retenció segura de detalls activitat registres. |
L'aplicació de pagament Viking s'executa en dispositius PTS POI aprovats per PCI. L'aplicació de pagament Viking no ofereix accés local, sense consola o remot, ni nivell de privilegis, per tant no hi ha cap persona ni altres sistemes amb accés a actius crítics, només l'aplicació de pagament Viking és capaç de gestionar els actius crítics. • L'aplicació de pagament Viking no ofereix modes de funcionament privilegiats. • No hi ha funcions per desactivar el xifratge de dades sensibles • No hi ha funcions per al desxifrat de dades sensibles • No hi ha funcions per exportar dades sensibles a altres sistemes o processos • No s'admeten funcions d'autenticació. Els controls de seguretat i la funcionalitat de seguretat no es pot desactivar ni suprimir. |
| 8.4 | El programari gestiona errors en els mecanismes de seguiment d'activitats de manera que es preserva la integritat dels registres d'activitats existents. | L'aplicació de pagament Viking s'executa en dispositius PTS POI aprovats per PCI. L'aplicació de pagament Viking no ofereix accés local, sense consola o remot, ni nivell de privilegis, per tant no hi ha cap persona ni altres sistemes amb accés a actius crítics, només l'aplicació Viking és capaç de gestionar actius crítics. • L'aplicació de pagament Viking no ofereix modes de funcionament privilegiats. • No hi ha funcions per desactivar el xifratge de dades sensibles • No hi ha funcions per al desxifrat de dades sensibles | • No hi ha funcions per exportar dades sensibles a altres sistemes o processos • No s'admeten funcions d'autenticació • Els controls de seguretat i la funcionalitat de seguretat no es poden desactivar ni suprimir. |
| B.1.3 | El proveïdor de programari manté la documentació que descriu totes les opcions configurables que poden afectar la seguretat de les dades sensibles. |
L'aplicació de pagament Viking s'executa en dispositius PTS POI aprovats per PCI. L'aplicació de pagament Viking no ofereix cap de les opcions següents als usuaris finals: • opció configurable per accedir a dades sensibles • opció configurable per modificar mecanismes de protecció de dades sensibles • accés remot a l'aplicació • actualitzacions remotes de l'aplicació • opció configurable per modificar la configuració predeterminada de l'aplicació |
| B.2.4 | El programari utilitza només el nombre aleatori funció(s) de generació incloses en el pagament avaluació del dispositiu PTS del terminal per a tots els criptogràfics operacions que involucren dades confidencials o funcions sensibles on es requereixen valors aleatoris i no implementen els seus propis funció(s) de generació de nombres aleatoris. |
Viking no utilitza cap RNG (generador de números aleatoris) per a les seves funcions de xifratge. L'aplicació Viking no genera ni utilitza números aleatoris per a funcions criptogràfiques. |
| B.2.9 | La integritat del missatge de programari files està protegit d'acord amb l'objectiu de control B.2.8. | Totes les indicacions que es mostren al terminal Viking estan codificades a l'aplicació i cap indicació files estan presents fora de l'aplicació. Cap indicació fileSi existeixen fora de l'aplicació de pagament Viking, tota la informació necessària la genera l'aplicació. |
| B.5.1.5 | Les guies d'implementació inclouen instruccions perquè les parts interessades signen criptogràficament tots els missatges files. | Totes les indicacions que es mostren al terminal Viking estan codificades a l'aplicació i no hi ha cap indicació files estan presents fora de l'aplicació. Cap indicació fileSi existeixen fora de l'aplicació de pagament Viking, tota la informació necessària la genera l'aplicació |
Referència dels requisits estàndard del programari segur PCI
| Capítols d'aquest document | Requisits estàndard de programari segur PCI | Requisits PCI DSS |
| 2. Aplicació de pagament segur | B.2.1 6.1 12.1 12.1.b |
2.2.3 |
| 3. Actualitzacions de programari remotes segures | 11.1 11.2 12.1 |
1 i 12.3.9 2, 8 i 10 |
| 4. Supressió segura de les dades sensibles i protecció de les dades emmagatzemades del titular de la targeta | 3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a |
3.2 3.2 3.1 3.3 3.4 3.5 3.6 |
| Autenticació i controls d'accés | 5.1 5.2 5.3 5.4 |
8.1 i 8.2 8.1 i 8.2 |
| Enregistrament | 3.6 8.1 8.3 |
10.1 10.5.3 |
| Xarxa sense fils | 4.1 | 1.2.3 i 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1 |
| Segmentació de la xarxa | 4.1c | 1.3.7 |
| Accés remot | B.1.3 | 8.3 |
| Transmissió de dades del titular de la targeta | A.2.1 A.2.3 |
4.1 4.2 2.3 8.3 |
| Metodologia de versions Viking | 11.2 12.1.b |
|
| Instruccions per als clients sobre la instal·lació segura de pedaços i actualitzacions. | 11.1 11.2 12.1 |
Glossari de termes
| TERME | DEFINICIÓ |
| Dades del titular de la targeta | Banda magnètica completa o PAN més qualsevol dels següents: · Nom del titular de la targeta · Data de caducitat · Codi de servei |
| DUKPT | La clau única derivada per transacció (DUKPT) és un esquema de gestió de claus en què per a cada transacció s'utilitza una clau única que es deriva d'una clau fixa. Per tant, si una clau derivada es veu compromesa, les dades de transaccions futures i passades encara estan protegides, ja que les claus següents o anteriors no es poden determinar fàcilment. |
| 3DES | En criptografia, Triple DES (3DES o TDES), oficialment l'algoritme de xifratge de dades triple (TDEA o Triple DEA), és un xifratge de blocs de clau simètrica, que aplica l'algoritme de xifratge DES tres vegades a cada bloc de dades. |
| Comerciant | L'usuari final i comprador del producte Viking. |
| SSF | El PCI Software Security Framework (SSF) és una col·lecció d'estàndards i programes per al disseny i desenvolupament segurs de programari de pagament. La seguretat del programari de pagament és una part crucial del flux de transaccions de pagament i és essencial per facilitar transaccions de pagament fiables i precises. |
| PA-QSA | Avaluadors de seguretat qualificats de sol·licitud de pagament. Empresa QSA que ofereix serveis als venedors d'aplicacions de pagament per validar les aplicacions de pagament dels venedors. |
| TRISTE
(Dades d'autenticació sensibles) |
Informació relacionada amb la seguretat (codis/valors de validació de targetes, dades completes de la pista, PIN i blocs de PIN) que s'utilitza per autenticar els titulars de la targeta, que apareix en text pla o sense protecció. La divulgació, modificació o destrucció d'aquesta informació podria comprometre la seguretat d'un dispositiu criptogràfic, sistema d'informació o informació del titular de la targeta o podria utilitzar-se en una transacció fraudulenta. Les dades d'autenticació sensibles no s'han d'emmagatzemar mai quan s'hagi acabat una transacció. |
| Viking | La plataforma de programari utilitzada per Nets per al desenvolupament d'aplicacions per al mercat europeu. |
| HSM | Mòdul de seguretat de maquinari |
Control de documents
Autor del document, Reviewers i aprovadors
| Descripció | Funció | Nom |
| PA-QSA | Reviewer | Claudio Adamic / Flavio Bonfiglio Shorans |
| Desenvolupament | Autor | Aruna va entrar en pànic |
| Gestor de compliment | Reviewer & Aprovador | Arno Edstrom |
| Arquitecte de sistemes | Reviewer & Aprovador | Shamsher Singh |
| QA | Reviewer & Aprovador | Varun Shukla |
| Propietari del producte | Reviewer & Aprovador | Cecilia Jensen Tyldum / Arti Kangas |
| Gestor de producte | Reviewer & Aprovador | May-Britt Dens de Sanderson |
| mànager d'ingenyeria | Gerent | Tamely Vallone |
Resum dels canvis
| Versió Número | Versió Data | Naturalesa del canvi | Canvia d'autor | Reviewer | Revisió Tag | Data d'aprovació |
| 1.0 | 03-08-2022 | Primera versió per a PCI-Secure Estàndard de programari |
Aruna va entrar en pànic | Shamsher Singh | 18-08-22 | |
| 1.0 | 15-09-2022 | Actualitzat l'apartat 14 amb els objectius de control no aplicables amb els seus justificació |
Aruna va entrar en pànic | Shamsher Singh | 29-09-22 | |
| 1.1 | 20-12-2022 | Seccions actualitzades 2.1.2 i 2.2 amb Self4000. S'ha eliminat Link2500 (PTS versió 4.x) de la llista de terminals compatibles |
Aruna va entrar en pànic | Shamsher Singh |
23-12-22 |
|
| 1.1 | 05-01-2023 | S'ha actualitzat la secció 2.2 amb Link2500 (pts v4) per mantenir el suport per a aquest
tipus de terminal. |
Aruna va entrar en pànic | Shamsher Singh | 05-01-23 | |
| 1.2 | 20-03-2023 | S'ha actualitzat la secció 2.1.1 amb el letó i el lituà terminal profiles. I 2.1.2 amb suport de tipus de comunicació BT-iOS |
Aruna va entrar en pànic | Shamsher Singh |
Llista de distribució
| Nom | Funció |
| Departament de Terminal | Desenvolupament, Test, Gestió de Projectes, Compliance |
| Gestió de productes | Equip de gestió del producte terminal, responsable de compliment – producte |
Aprovacions de documents
| Nom | Funció |
| Cecilia Jensen Tyldum | Propietari del producte |
| Arti Kangas | Propietari del producte |
Document Review Plans
Aquest document serà revieweditat i actualitzat, si cal, tal com es defineix a continuació:
- Segons sigui necessari per corregir o millorar el contingut d'informació
- Després de qualsevol canvi o reestructuració organitzativa
- Després d'una revisió anualview
- Després de l'explotació d'una vulnerabilitat
- Seguint la nova informació/requisits sobre vulnerabilitats rellevants
Documents/Recursos
 |
Nets PCI Secure Software Standard [pdfGuia de l'usuari Estàndard de programari segur PCI, estàndard de programari segur, estàndard de programari, estàndard |
 |
Nets PCI Secure Software Standard [pdfGuia de l'usuari Estàndard de programari segur PCI, estàndard de programari segur, estàndard de programari, estàndard |