PCI Secure Software Standard
Guida d'usu
Nets Denmark A/S:
PCI-Secure Software Standard
Guida di implementazione di u venditore di software
per u terminal Viking 1.02.0
Versione 1.2
Introduzione è Scopu
1.1 Introduzione
U scopu di sta Guida di Implementazione di u Vendor di Software Standard di PCI-Secure Software hè di furnisce à i stakeholder una guida chjara è approfondita nantu à l'implementazione sicura, a cunfigurazione è u funziunamentu di u software Viking. A guida insegna à i Mercanti cumu implementà l'applicazione Viking di Nets in u so ambiente in una manera conforme à u PCI Secure Software Standard. Ancu s'ellu ùn hè micca pensatu à esse una guida d'installazione cumpleta. L'applicazione Viking, se installata in cunfurmità cù e linee guida documentate quì, duverebbe facilità è sustene a conformità PCI di un mercante.
1.2 Quadru di Sicurezza di u Software (SSF)
U PCI Software Security Framework (SSF) hè una cullizzioni di standard è prugrammi per u disignu è u sviluppu sicuru di u software di l'applicazione di pagamentu. U SSF rimpiazza u Standard di Sicurezza di Dati di Applicazione di Pagamentu (PA-DSS) cù esigenze muderne chì supportanu una gamma più larga di tippi di software di pagamentu, tecnulugia è metodologie di sviluppu. Fornisce à i venditori standard di sicurezza cum'è PCI Secure Software Standard per u sviluppu è u mantenimentu di u software di pagamentu in modu chì prutegge e transazzioni di pagamentu è e dati, minimizza e vulnerabilità è difende contr'à attacchi.
1.3 Guida di Implementazione di u Vendor di Software - Distribuzione è Aghjornamenti
Questa guida di implementazione di u venditore di software standard di PCI Secure deve esse diffusa à tutti l'utilizatori di l'applicazioni pertinenti cumpresi i cummercianti. Hè da esse aghjurnatu almenu annu è dopu cambiamenti in u software. L'annu riview è l'aghjurnamentu duveranu include novi cambiamenti di u software è ancu cambiamenti in u Secure Software Standard.
Nets publica infurmazione nantu à u listinu websitu s'ellu ci sò aghjurnamenti in a guida di implementazione.
Websitu: https://support.nets.eu/
Per Example: Nets PCI-Secure Software Standard Software Vendor Implementation Guide serà distribuitu à tutti i clienti, rivenditori è integratori. Clienti, Rivenditori è Integratori seranu avvisati da reviews è aghjurnamenti. L'aghjurnamenti à u PCI-Secure Software Standard Software Vendor Implementation Guide ponu esse ottenuti cuntattendu direttamente Nets, ancu.
Questa Guida di Implementazione di u Vendor di Software Standard PCI-Secure si riferisce sia à i requisiti PCI-Secure Software Standard sia PCI. I seguenti versioni sò stati riferiti in sta guida.
- PCI-Secure-Software-Standard-v1_1
Applicazione di pagamentu sicuru
2.1 Applicazione S/W
L'applicazioni di pagamentu Viking ùn utilizanu micca software o hardware esternu chì ùn appartene micca à l'applicazione Viking incrustata. Tutti l'eseguibili S / W chì appartenenu à l'applicazione di pagamentu Viking sò firmati digitale cù u kit di firma Tetra furnitu da Ingenico.
- U terminal cumunicà cù u Nets Host utilizendu TCP / IP, o via Ethernet, GPRS, Wi-Fi, o via u PC-LAN chì esegue l'applicazione POS. Inoltre, u terminal pò cumunicà cù l'ospitu via mobile cù cunnessione Wi-Fi o GPRS.
I terminali Viking gestiscenu tutta a cumunicazione utilizendu u cumpunente di strati di link Ingenico. Stu cumpunente hè una applicazione caricata in u terminal. U Link Layer pò gestisce parechje cumunicazioni à u stessu tempu utilizendu diverse periferiche (modem è portu seriale per ex.ample).
Attualmente supporta i seguenti protokolli:
- Fisica: RS232, modem internu, modem esternu (via RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G è 4G.
- Data Link: SDLC, PPP.
- Rete: IP.
- Trasportu: TCP.
U terminal piglia sempre l'iniziativa per stabilisce a cumunicazione versu u Nets Host. Ùn ci hè micca un servitore TCP / IP S / W in u terminal, è u terminal S / W ùn hè mai risponde à e chjama entranti.
Quandu hè integratu cù una applicazione POS in un PC, u terminal pò esse stallatu per cumunicà via u PC-LAN chì esegue l'applicazione POS cù RS232, USB, o Bluetooth. Sempre tutte e funziunalità di l'applicazione di pagamentu sò in esecuzione in u terminal S/W.
U protocolu di l'applicazione (è a criptografia applicata) hè trasparente è indipendente da u tipu di cumunicazione.
2.1.1 Configurazione di i paràmetri TCP/IP di cumunicazione di l'ospite di pagamentu 
2.1.2 cumunicazione ECR
- Seriale RS232
- Cunnessione USB
- Configurazione di i paràmetri TCP/IP, cunnisciutu ancu ECR over IP
- Opzioni di cumunicazione Host / ECR in l'Applicazione di Pagamentu Viking
Host COMM Type Tipu di terminal Ethernet SeIf4000, Move3500, Desk3500, La n e3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i via ECR SeIf4000, Move3500, Link2500, Link2500i, Desk3500,
Lane 3000GPRS Move 3500 'Allineate Move3500, Link2500 ECR COMM Type Tipu di terminal Ethernet IP SeIf4000, Move3500, Desk3500, Lane3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i USB SeIf4000, Move3500, Link2500, Link2500i, Desk3500, Lane3000 RS232 SeIf4000, Desk3500, Lane3000 GPRS Move 3500 IP Will Move3500, Link2500 - Cunfigurazione di i paràmetri di Nets Cloud ECR (Connect Cloud).
Indirizzu IP ECR 212.226.157.243 Comunicazione TCP-IP PORT 6001
2.1.3 Comunicazione à l'ospiti via ECR
| Indirizzu IP host | 91.102.24142 |
| PORT di cumunicazione TCP-IP (Norvegia) | 9670 |
Nota: Consultate "2.1.1- Configurazione di i paràmetri TCP / IP di cumunicazione di Pagamentu Host" per i porti TCP / IP specifichi di u paese.
2.2 Hardware (s) di terminal supportatu
L'applicazione di pagamentu Viking hè supportata da una varietà di dispositivi Ingenico validati PTS (securità di transazzione PIN).
A lista di hardware terminale cù u so numeru di appruvazioni PTS hè datu quì sottu.
Tipi di terminal Tetra
| Terminal hardware | versione PTS | U numeru di appruvazioni PTS | Versione hardware PTS | Versione di firmware PTS |
| Strada 3000 | 5.x | 4-30310 | LAN30AN LAN30BA LAN30BN LAN30CA LAN30DA LAN30EA LAN30EN LAN30FA LAN30FN LAN30GA LAN30HA LAN30AA | 820547v01.xx
820561v01.xx |
| Scrivania 3500 | 5.x | 4-20321 | DES32BB DES32BC DES32CB DES32DB DES32DC DES35AB DES35BB DES35BC DES35CB DES35DB DES35DC DES32AB | 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx |
| Sposta 3500 | 5.x | 4-20320 | MOV35AC MOV35AQ MOV35BB MOV35BC MOV35BQ MOV35CB MOV35CC MOV35CQ MOV35DB MOV35DC MOV35DQ MOV35EB MOV35FB MOV35JB MOV35AB |
820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx |
| Link 2500 | 4.x | 4-30230 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA | 820555v01.xx 820556v01.xx 820547v01.xx |
| LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA | ||||
| Link 2500 | 5.x | 4-30326 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA LIN25NA LINXNUMXAA | 820547v01.xx |
| Self 4000 | 5.x | 4-30393 | SEL40BA | 820547v01.xx |
2.3 Politiche di Sicurezza
L'applicazione di pagamentu Viking aderisce à tutte e pulitiche di sicurezza applicabili specificate da Ingenico. Per infurmazione generale, questi sò i ligami à e pulitiche di sicurità per i diversi terminali Tetra:
| Tipu di terminal | Documentu di pulitica di sicurezza |
| Link2500 (v4) | Link/2500 PCI PTS Politica di Sicurezza (pcisecuritystandards.org) |
| Link2500 (v5) | Politica di sicurezza PCI PTS (pcisecuritystandards.org) |
| Desk3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-EN- V12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf |
| Move 3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-EN- V11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf |
| Lane 3000 | https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-EN- V16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf |
| Self 4000 | Self/4000 PCI PTS Politica di Sicurezza (pcisecuritystandards.org) |
Secure Remote Software Update
3.1 Applicabilità Merchant
Nets furnisce in modu sicuru l'aghjurnamenti di l'applicazioni di pagamentu Viking remotamente. Queste aghjurnamenti sò in u stessu canali di cumunicazione cum'è e transazzione di pagamentu sicuru, è u cummerciante ùn hè micca necessariu di fà cambiamenti à sta strada di cumunicazione per u cumplimentu.
Per l'infurmazione generale, i cummircianti anu da sviluppà una pulitica d'usu accettabile per i tecnulugii critichi di l'impiegati, secondu e linee guida sottu per VPN, o altre cunnessione à alta velocità, l'aghjurnamenti sò ricevuti per un firewall o firewall persunale.
3.2 Politica d'Usu Acceptable
U cummerciante deve sviluppà pulitiche d'usu per tecnulugii critichi di l'impiegati, cum'è i modem è i dispositi wireless. Queste pulitiche d'usu duveranu include:
- Approvazione esplicita di a gestione per l'usu.
- Autentificazione per usu.
- Una lista di tutti i dispusitivi è u persunale cù accessu.
- Etichettate i dispositi cù u pruprietariu.
- L'infurmazione di cuntattu è u scopu.
- Usi accettabili di a tecnulugia.
- Lochi di rete accettabili per e tecnulugia.
- Una lista di i prudutti appruvati da a cumpagnia.
- Permette l'usu di modem per i venditori solu quandu hè necessariu è disattivazione dopu l'usu.
- A pruibizione di u almacenamiento di dati di i titolari di carta nantu à i media lucali quandu sò cunnessi remotamente.
3.3 Firewall persunale
Ogni cunnessione "sempre attiva" da un computer à una VPN o à una altra cunnessione d'alta veloce deve esse assicurata cù un pruduttu firewall persunale. U firewall hè cunfiguratu da l'urganizazione per risponde à standard specifichi è micca alterabile da l'impiigatu.
3.4 Prucedure d'aghjurnamentu remoti
Ci hè duie manere di attivà u terminal per cuntattà u centru di software Nets per l'aghjurnamenti:
- Sia manualmente via una opzione di menu in u terminal (swipe card mercantile, selezziunate menu 8 "Software", 1 "Fetch software"), o Host iniziatu.
- Utilizà u metudu iniziatu Host; u terminal riceve automaticamente un cumandamentu da l'Host dopu avè realizatu una transazzione finanziaria. U cumandamentu dice à u terminal per cuntattà u centru di software Nets per verificà l'aghjurnamenti.
Dopu un aghjurnamentu successu di u software, un terminal cù una stampante integrata stamparà una ricevuta cù infurmazioni nantu à a nova versione.
L'integratori di terminali, i partenarii è / o a squadra di supportu tecnicu di Nets avarà a rispunsabilità di informà i cummircianti di l'aghjurnamentu, cumpresu u ligame à a guida di implementazione aghjurnata è e note di liberazione.
In più di a ricevuta dopu l'aghjurnamentu di u software, l'applicazione di pagamentu Viking pò ancu esse validata via Terminal Info pressu a chjave "F3" in u terminal.
Eliminazione Sicura di Dati Sensibili è Prutezzione di Dati di i Titulari di Card
4.1 Applicabilità Merchant
L'applicazione di pagamentu Viking ùn guarda micca dati di strisce magnetiche, valori di validazione di carte o codici, PIN o dati di blocchi PIN, materiale di chjave criptografica, o criptogrammi da e so versioni precedenti.
Per esse conforme à PCI, un cummerciante deve avè una pulitica di retenzioni di dati chì definisce quantu tempu i dati di u titulare di a carta seranu guardati. L'applicazione di pagamentu Viking conserva i dati di i titolari di carta è / o i dati di autentificazione sensibili di l'ultima transazzione è in casu chì ci sò transazzioni d'autorizazione offline o differite mentre aderiscenu à a conformità di u standard di software PCI-Secure à u stessu tempu, per quessa pò esse esentatu da a pulitica di conservazione di dati di u mercante.
4.2 Secure Eliminazione Instructions
U terminal ùn guarda micca dati di autentificazione sensittivi; full track2, CVC, CVV o PIN, nè prima nè dopu l'autorizazione; eccettu per e transazzioni di l'Autorizazione Differita in quale casu i dati d'autentificazione sensibili criptati (dati full track2) sò almacenati finu à chì l'autorizazione hè fatta. Post l'autorizazione i dati sò sguassati in modu sicuru.
Ogni casu di dati storici pruibiti chì esiste in un terminal serà automaticamente sguassatu in modu sicuru quandu l'applicazione di pagamentu Viking terminal hè aghjurnata. L'eliminazione di dati storici pruibiti è di dati chì sò a pulitica di retenzione passata accadrà automaticamente.
4.3 Locazioni di i dati di i titulari di carte
I dati di i titolari di carta sò salvati in u Flash DFS (Data File System) di u terminal. I dati ùn sò micca direttamente accessibile da u mercante.
| Data Store (file, table, etc.) | Elementi di dati di u titulare di carta almacenati (PAN, scadenza, qualsiasi elementi di SAD) |
Cumu hè assicuratu u magazzinu di dati (per esample, crittografia, cuntrolli d'accessu, troncamentu, etc.) |
| File: trasgressu | PAN, data di scadenza, codice di serviziu | PAN: 3DES-DUKPT crittografatu (112 bit) |
| File: storefwd.rsd | PAN, data di scadenza, codice di serviziu | PAN: 3DES-DUKPT crittografatu (112 bit) |
| File: transoff.rsd | PAN, data di scadenza, codice di serviziu | PAN: 3DES-DUKPT crittografatu (112 bit) |
| File: transorr.rsd | PAN truncatu | Truncated (Primi 6, Ultimi 4) |
| File: offlrep.dat | PAN truncatu | Truncated (Primi 6, Ultimi 4) |
| File: defauth.rsd | PAN, data di scadenza, codice di serviziu | PAN: 3DES-DUKPT crittografatu (112 bit) |
| File: defauth.rsd | Dati completi di a traccia 2 | Dati Full Track2: 3DES-DUKPT pre-criptatu (112 bit) |
4.4 Transazzione di Autorizazione Differita
L'Autorizazione Differita si trova quandu un cummerciante ùn pò micca cumplettà l'autorizazione à u mumentu di a transazzione cù u titulare di a carta per via di cunnessione, prublemi di sistemi o altre limitazioni, è dopu compie l'autorizazione quandu hè capaci di fà.
Questu significa chì una autorizazione differita si trova quandu una autorizazione in linea hè realizata dopu chì a carta ùn hè più dispunibule. Siccomu l'autorizazione in linea di e transazzioni di l'autorizazione differita sò ritardate, e transazzione seranu guardate in u terminal finu à chì e transazzione sò autorizate bè dopu quandu a rete hè dispunibule. E transazzione sò almacenate è mandate dopu à l'ospite, cum'è cumu e transazzioni Offline sò almacenate da oghje in l'applicazione di pagamentu Viking.
U Merchant pò inizià a transazzione cum'è "Autorizazione Differita" da u Cash Register Elettronicu (ECR) o via u menù di u terminal.
E transazzioni di l'Autorizazione Differita ponu esse caricate in l'ospite di Nets da u mercante utilizendu l'opzioni sottu:
- ECR - Command Admin - Mandate offline (0x3138)
- Terminal - Merchant -> 2 EOT -> 2 mandatu à l'ospiti
4.5 Prucedure di risoluzione di i prublemi
U supportu di Nets ùn richiederà micca autentificazione sensittiva o dati di titolari di carta per scopi di risoluzione di prublemi. L'applicazione di pagamentu Viking ùn hè micca capace di cullà o risolve i dati sensibili in ogni casu.
4.6 Locazioni PAN - Mostrati o Stampati
PAN mascheratu:
- Ricevute di transazzione finanziaria:
U PAN mascheratu hè sempre stampatu nantu à a ricevuta di a transazzione sia per u titolare di a carta sia per u mercante. U PAN mascheratu in a maiò parte di i casi hè cù * induve i primi 6 cifre è l'ultimi 4 cifre sò in testu chjaru. - Rapportu di a lista di transazzione:
U rapportu di a lista di transazzione mostra e transazzione realizate in una sessione. I dettagli di a transazzione includenu Masked PAN, u nome di l'emittente di a carta è a quantità di transazzione. - Ultima ricevuta di u cliente:
A copia di l'ultima ricevuta di u cliente pò esse generata da u menù di copia di terminal. A ricevuta di u cliente cuntene u PAN mascheratu cum'è a ricevuta di u cliente originale. A funzione data hè aduprata in casu chì u terminal ùn riesce à generà un cliente
ricevuta durante a transazzione per ogni ragione.
PAN criptatu:
• Ricevuta di transazzione offline:
A versione di ricevuta di u retailer di a transazzione offline include i dati di titolari di carta criptati DUKPT Triple DES 112-bit (PAN, data di scadenza è codice di serviziu).
BAX: 71448400-714484
12/08/2022 10:39
Visa
Senza cuntattu
************ 3439-0
107A47458AE773F3A84DF977
553E3D93FFFF9876543210E0
15F3
AIDU: A0000000031010
TVR: 0000000000
ID di u magazinu: 123461
Rif.: 000004 000000 KC3
Risp.: Y1
Sessione: 782
COMPRA
NOK 12,00
APPROVATA
COPIA DI VENDITORE
Cunfirmazione:
L'applicazione di pagamentu Viking cripta sempre i dati di u titolu di a carta in modu predeterminatu per u almacenamentu di transazzione offline, a trasmissione versu l'ospiti NETS è per stampà i dati di a carta cifrata nantu à a ricevuta di u venditore per una transazzione offline.
Inoltre, per vede o stampà a carta PAN, l'applicazione di pagamentu Viking maschera sempre i numeri PAN cù l'asteriscu '*' cù First 6 + Last 4 digits in clear as default. U furmatu di stampa di u numeru di carta hè cuntrullatu da u sistema di gestione di u terminal induve u formatu di stampa pò esse cambiatu dumandendu per mezu di u canali propiu è presentendu una necessità legittima di l'affari, ma per l'applicazione di pagamentu Viking, ùn ci hè micca un tali casu.
Example per PAN mascheratu:
PAN : 957852181428133823-2
Info minima: **************3823-2
Massimu infurmazione: 957852********3823-2
4.7 Prompt files
L'applicazione di pagamentu Viking ùn furnisce micca un promptatu separatu files.
L'applicazione di pagamentu Viking richiede l'input di i titolari di carta per mezu di e richieste di visualizazione chì facenu parte di u sistema di messageria in l'applicazione di pagamentu Viking firmata.
L'indicazione di u PIN, l'ammontu, etc. sò mostrati nantu à u terminal, è l'inputs di i titulari di a carta sò aspittati. L'inputs ricevuti da u titolare di a carta ùn sò micca almacenati.
4.8 Gestione chjave
Per a gamma di mudelli di terminal Tetra, tutte e funziunalità di sicurità sò realizate in una zona sicura di un dispositivu PTS prutettu da l'applicazione di pagamentu.
A criptografia hè realizata in l'area sicura mentre a decifrazione di i dati criptati pò esse realizatu solu da i sistemi Nets Host. Tuttu u scambiu di chjave trà Nets host, Key / Inject tool (per i terminali Tetra) è u PED sò fatti in forma criptata.
E prucedure per a Gestione di Chiavi sò implementate da Nets secondu un schema DUKPT utilizendu a criptografia 3DES.
Tutti i chjavi è i cumpunenti chjave utilizati da i terminali di Nets sò generati cù prucessi aleatorii o pseudoaleatori appruvati. I chjavi è i cumpunenti chjave utilizati da i terminali Nets sò generati da u sistema di gestione di chjave Nets, chì utilizanu unità HSM di scudo Thales Pay appruvati per generà chjavi criptografici.
A gestione chjave hè indipendente da a funziunalità di pagamentu. Caricà una nova applicazione per quessa ùn hè micca bisognu di cambià a funziunalità chjave. U spaziu chjave di u terminal supportarà circa 2,097,152 transazzioni.
Quandu u spaziu chjave hè esauritu, tirminali Viking ferma u travagliu è mostra un missaghju d'errore, è tandu u terminal deve esse rimpiazzatu.
4.9 '24 HR' Reboot
Tutti i terminali Viking sò PCI-PTS 4.x è sopra è per quessa seguitanu u requisitu di cunfurmità chì u terminal PCI-PTS 4.x riavviarà almenu una volta ogni 24 ore per sguassate a RAM è più sicura di u terminal HW da esse utilizatu per piglià u pagamentu. dati di carta.
Un altru benefiziu di u ciculu di re-boot "24 ore" hè chì e fughe di memoria saranu mitigate è anu menu impattu per u cummerciante (micca chì duvemu accettà prublemi di perdita di memoria.
Merchant pò stabilisce u tempu di reboot da l'opzione Menu di u terminal à "Reboot Time". U tempu di reboot hè stabilitu basatu annantu à l'orologio "24hr" è piglià u formatu HH:MM.
U mecanismu di Reset hè pensatu per assicurà un reset di u terminal almenu una volta per 24 ore di corsa. Per cumpiendu stu requisitu hè statu definitu un intervallu di tempu, chjamatu "intervallu di reset" rapprisintatu da Temin è Tmax. Stu periodu rapprisenta l'intervallu di tempu induve u reset hè permessu. Sicondu u casu cummerciale, l'"intervallu di reset" hè persunalizatu durante a fase di stallazione di terminal. Per cuncepimentu, stu periodu ùn pò esse più cortu di 30 minuti. Duranti stu periodu, u resettore si faci ogni ghjornu 5 minuti prima (in T3) cum'è spiegatu da u schema sottu:
4.10 Lista bianca
A lista bianca hè una prucedura per stabilisce chì i PAN listati cum'è una lista bianca sò permessi di esse mostrati in testu chjaru. Viking usa 3 campi per determinà i PAN in lista bianca chì sò letti da e cunfigurazioni scaricate da u sistema di gestione di terminal.
Quandu una "bandiera di Conformità" in l'ospite Nets hè impostata à Y, l'infurmazioni da u sistema di gestione Nets Host o Terminal hè scaricata à u terminal, quandu u terminal principia. Questa bandiera di Conformità hè aduprata per determinà i PAN in lista bianca chì sò letti da u dataset.
A bandiera "Track2ECR" determina se i dati Track2 sò permessi di esse trattati (inviati / ricivuti) da l'ECR per un emittente specificu. Sicondu u valore di sta bandiera, hè determinatu se i dati track2 deve esse mostratu in modu locale in ECR.
"Campiu di furmatu di stampa" determina cumu u PAN serà visualizatu. E carte in u scopu PCI anu tutte u formatu di stampa stabilitu per vede u PAN in forma truncata / mascherata.
Autentificazione è Cuntrolli di Accessu
5.1 Cuntrollu d'Accessu
L'applicazione di pagamentu Viking ùn hà micca cunti d'utilizatore o password currispundenti per quessa, l'applicazione di pagamentu Viking hè esenta da stu requisitu.
- Configurazione integrata ECR:
Ùn hè micca pussibule di accede à i tipi di transazzione cum'è Rimborsu, Depositu è Inversione da u menù di u terminal per assicurà queste funzioni da esse abusate. Quessi sò i tippi di transazzione induve u flussu di soldi si trova da u cuntu di u mercante à u contu di u titolare di a carta. Hè a rispunsabilità di u cummerciante per assicurà chì ECR hè utilizatu solu da l'utilizatori autorizati. - Configurazione standalone:
U cuntrollu di l'accessu à a carta di u cummerciante hè attivatu predeterminatu per accede à i tipi di transazzione cum'è Rimborsu, Depositu è Inversione da u menù di u terminal per assicurà queste funzioni da esse abusate.
U terminal Viking hè cunfiguratu per difettu per assicurà l'opzioni di menu, per impediscenu l'accessu micca autorizatu. I paràmetri per cunfigurà a sicurità di u menu si trovanu in u Menu Merchant (accessibile cù una carta Merchant) -> Parameters -> Security
Prutegge menu - Impostate à "Sì" per difettu.
U buttone di menu nantu à u terminal hè prutettu cù a cunfigurazione di u menu Prutezzione. U menu pò esse accessu solu da u Merchant usendu una carta di cummerciante. 
Prutegge l'inversione - Impostate à "Sì" per difettu.
L'inversione di una transazzione pò esse fatta solu da u cummerciante utilizendu a carta di cummerciale per accede à u menù di inversione. 
Prutegge a cunciliazione - Impostate à "Sì" per difettu
L'opzione per a cunciliazione pò esse accessu solu da u cummerciante cù a carta di cummerciante quandu sta prutezzione hè vera. 
Prutegge Shortcut - Impostate à "Iè" per difettu
Menu di scelta rapida cù l'opzioni per viewL'infurmazione di u terminal è l'opzione per aghjurnà i paràmetri Bluetooth seranu dispunibuli per u cummerciante solu quandu a carta di cummerciante hè trascinata.
5.2 Cuntrolli di password
L'applicazione di pagamentu Viking ùn hà micca cunti d'utilizatori o password currispundenti; dunque, l'applicazione Viking hè esente da stu requisitu.
Logging
6.1 Applicabilità Merchant
Attualmente, per l'applicazione di pagamentu Nets Viking, ùn ci hè micca paràmetri di log PCI configurabili per l'utilizatori finali.
6.2 Configurate i paràmetri di log
L'applicazione di pagamentu Viking ùn hà micca cunti d'utilizatori, cusì u logu conforme à PCI ùn hè micca applicabile. Ancu in u logu di transazzione più verbose, l'applicazione di pagamentu Viking ùn registra micca dati d'autentificazione sensitivi o dati di titolari di carta.
6.3 Logging Centrale
U terminal hà un mecanismu di log genericu. U mecanismu include ancu u logu di creazione è eliminazione di eseguibile S / W.
L'attività di scaricamentu S/W sò registrate è ponu esse trasferite à Host manualmente via una scelta di menu in u terminal o nantu à a dumanda di l'ospite marcatu in u trafficu di transazzione ordinariu. Se l'attivazione di scaricamentu S/W fallisce per via di firme digitali invalide nantu à u ricivutu files, l'incidentu hè registratu è trasferitu à Host automaticamente è immediatamente.
6.3.1 Attivà traccia Logging in terminal
Per attivà u logu di traccia:
- Swipe Card Merchant.
- Allora in u menù selezziunate "9 System menu".
- Allora andate à u menù "2 System Log".
- Scrivite u codice tecnicu, chì pudete uttene chjamendu u supportu Nets Merchant Service.
- Selezziunà "8 Parameters".
- Allora attivate "Logging" à "Sì".
6.3.2 Mandate Trace Logs à l'ospiti
Per mandà i registri di traccia:
- Press Menu chjave nant'à u tirminali e poi Swipe carta Merchant.
- Allora in u menù principale selezziunate "7 Menu Operatore".
- Dopu selezziunate "5 Mandate Trace Logs" per mandà trace logs à l'ospiti.
6.3.3 Logging di traccia remota
Un paràmetru hè stabilitu in u Nets Host (PSP) chì attiverà / disattiverà a funziunalità di traccia di traccia di Terminal remotamente. Nets Host mandarà Trace enable / disable logging parameter à Terminal in Data set along with the time scheduled when Terminal will upload Trace logs. Quandu u terminal riceve u paràmetru Trace cum'è attivatu, cumincerà à catturà i logs di Trace è à l'ora prevista caricarà tutti i logs di traccia è disattiveghjanu a funziunalità di logging dopu.
6.3.4 Logging di errore remota
I logs d'errore sò sempre attivati in u terminal. Cum'è a traccia di logging, un paràmetru hè stabilitu in Nets Host chì attiverà / disattiverà a funziunalità di registrazione di l'errore di Terminal remotamente. Nets Host mandarà Trace enable / disable logging parameter à Terminal in Data set along with the time scheduled when Terminal will upload Error logs. Quandu u terminal riceve u paràmetru di logging d'errore cum'è attivatu, cumincià à catturà i logs d'errore è à l'ora prevista caricarà tutti i logs d'errore è disattiveghjanu a funziunalità di logging dopu.
Reti wireless
7.1 Applicabilità Merchant
Terminal di pagamentu Viking - MOVE 3500 è Link2500 anu a capacità di cunnette cù a rete Wi-Fi. Per quessa, per esse implementatu in modu sicuru, hè necessariu piglià in considerazione quandu installà è cunfigurà a rete wireless cum'è detallatu quì sottu.
7.2 Configurazioni Wireless Recommandate
Ci hè parechje cunsiderazioni è passi da piglià quandu cunfigurà e rete wireless chì sò cunnessi à a reta interna.
À u minimu, i seguenti paràmetri è cunfigurazioni devenu esse in u locu:
- Tutte e rete wireless deve esse segmentatu cù un firewall; Se e cunnessione trà a rete wireless è l'ambiente di dati di u titulare di a carta sò richieste, l'accessu deve esse cuntrullatu è assicuratu da u firewall.
- Cambia u SSID predeterminatu è disattiveghjanu a trasmissione SSID
- Cambia password predeterminate sia per e cunnessione wireless sia per i punti d'accessu wireless, questu include l'accessu à a cunsola è e stringhe di a cumunità SNMP
- Cambia qualsiasi altre predeterminazione di sicurezza furnita o stabilita da u venditore
- Assicuratevi chì i punti d'accessu wireless sò aghjurnati à l'ultimu firmware
- Aduprate solu WPA o WPA2 cù chjavi forti, WEP hè pruibitu è ùn deve mai esse usatu
- Cambia i chjavi WPA / WPA2 à l'installazione è in modu regulare è ogni volta chì una persona cun cunniscenza di e chjavi lascia a cumpagnia
Segmentazione di a rete
8.1 Applicabilità Merchant
L'applicazione di pagamentu Viking ùn hè micca una applicazione di pagamentu basata in u servitore è reside in un terminal. Per questu mutivu, l'applicazione di pagamentu ùn hà micca bisognu di alcuna regulazione per risponde à stu requisitu.
Per a cunniscenza generale di u mercante, i dati di a carta di creditu ùn ponu micca esse almacenati in sistemi direttamente cunnessi à Internet. Per esample, web i servitori è i servitori di basa di dati ùn devenu esse stallati nantu à u stessu servitore. Una zona demilitarizzata (DMZ) deve esse stallata per segmentà a reta in modu chì solu e macchine nantu à a DMZ sò accessibili in Internet.
Accessu Remote
9.1 Applicabilità Merchant
L'applicazione di pagamentu Viking ùn pò micca accede à distanza. L'assistenza remota si trova solu trà un membru di u staffu di supportu di Nets è u cummerciante per u telefunu o da Nets direttamente in situ cù u mercante.
Trasmissione di dati Sensibili
10.1 Trasmissioni di dati Sensibili
L'applicazione di pagamentu Viking assicura dati sensibili è / o dati di titolari di carta in transitu utilizendu una crittografia à livellu di messagiu utilizendu 3DES-DUKPT (112 bit) per tutte e trasmissioni (cumprese e rete pubbliche). I Protocolli di Sicurezza per e cumunicazioni IP da l'applicazione Viking à l'Host ùn sò micca richiesti, postu chì a criptografia à livellu di messagiu hè implementata cù 3DES-DUKPT (112-bits) cum'è descrittu sopra. Stu schema di criptografia assicura chì ancu s'è e transazzioni sò interceptate, ùn ponu micca esse mudificate o cumprumessi in ogni modu se 3DES-DUKPT (112-bits) resta cunsideratu cum'è criptografia forte. Sicondu u schema di gestione di chjave DUKPT, a chjave 3DES utilizata hè unica per ogni transazzione.
10.2 Sparte di dati Sensibili à altri software
L'applicazione di pagamentu Viking ùn furnisce micca interfaccia (s) / API logica per attivà a spartera di dati di u contu di testu in claru direttamente cù altre software. Nisuna dati sensibili o dati di u contu di testu chjaru sò spartuti cù altri software per mezu di API esposti.
10.3 Email è Dati Sensibili
L'applicazione di pagamentu Viking ùn supporta nativamente l'invio di e-mail.
10.4 Accessu Amministrativu Non-Console
Viking ùn sustene micca l'accessu amministrativu non-Console.
Tuttavia, per a cunniscenza generale di u cummerciante, l'accessu amministrativu non-Console deve aduprà sia SSH, VPN, o TLS per a criptografia di tutti l'accessu amministrativu non-console à i servitori in l'ambiente di dati di titolari di carta. Telnet o altri metudi d'accessu micca criptati ùn deve esse usatu.
Metodologia di versione Viking
A metodulugia di versione di Nets hè custituita da un numeru di versione S/W in trè parti: a.bb.c
induve 'a' serà aumentatu quandu i cambiamenti d'impattu altu sò fatti cum'è per PCI-Secure Software Standard.
a - versione maiò (1 cifra)
'bb' serà aumentatu quandu i cambiamenti pianificati à pocu impattu sò fatti cum'è per PCI-Secure Software Standard.
bb - versione minore (2 cifre)
"c" serà aumentatu quandu i cambiamenti di patch à pocu impattu sò fatti cum'è per PCI-Secure Software Standard.
c - versione minore (1 cifra)
U numeru di versione S/W di l'applicazione di pagamentu Viking hè mostratu cusì nantu à u screnu di u terminal quandu u terminal hè alimentatu: 'abbc'
- Un aghjurnamentu da per esempiu, 1.00.0 à 2.00.0 hè un aghjurnamentu funziunale significativu. Puderà includere cambiamenti cù impattu nantu à a sicurità o à i requisiti PCI Secure Software Standard.
- Un aghjurnamentu da per esempiu, 1.00.0 à 1.01.0 hè un aghjurnamentu funziunale micca significativu. Ùn pò micca include cambiamenti cù impattu nantu à a sicurità o i requisiti PCI Secure Software Standard.
- Un aghjurnamentu da per esempiu, 1.00.0 à 1.00.1 hè un aghjurnamentu funziunale micca significativu. Ùn pò micca include cambiamenti cù impattu nantu à a sicurità o i requisiti PCI Secure Software Standard.
Tutti i cambiamenti sò rapprisintati in ordine numericu sequenziale.
Istruzzioni per l'installazione sicura di patch è aghjurnamenti.
Nets furnisce in modu sicuru l'aghjurnamenti di l'applicazioni di pagamentu remoti. Queste aghjurnamenti sò in u stessu canali di cumunicazione cum'è e transazzione di pagamentu sicuru, è u cummerciante ùn hè micca necessariu di fà cambiamenti à sta strada di cumunicazione per u cumplimentu.
Quandu ci hè un patch, Nets aghjurnà a versione di patch in Nets Host. U mercante riceverà i patch per una dumanda di scaricamentu S / W automatizata, o u cummerciante pò ancu inizià una scaricazione di software da u menù di u terminal.
Per infurmazione generale, i cummircianti anu da sviluppà una pulitica d'usu accettabile per e tecnulugia critiche di l'impiegati, secondu e linee guida sottu per VPN o altre cunnessione à alta velocità, l'aghjurnamenti sò ricevuti per un firewall o un firewall di persunale.
L'ospite di Nets hè dispunibule sia via Internet utilizendu un accessu sicuru o via una reta chjusa. Cù rete chjusa, u fornitore di rete hà una cunnessione diretta à u nostru ambiente d'ospitu offertu da u so fornitore di rete. I terminali sò amministrati attraversu i servizii di gestione di terminali Nets. U serviziu di gestione di terminal definisce per exampa regione chì u terminal appartene è l'acquirente in usu. A gestione di u terminal hè ancu rispunsevuli di l'aghjurnamentu di u software di terminale remotamente nantu à a reta. Nets assicura chì u software caricatu à u terminal hà cumpletu e certificazioni richieste.
Nets ricumandemu punti di cuntrollu à tutti i so clienti per assicurà pagamenti sicuri è sicuri cum'è elencatu quì sottu:
- Mantene una lista di tutti i terminali di pagamentu operativi è pigliate ritratti da tutte e dimensioni per sapè cumu si deve esse.
- Cercate segni evidenti di tampcum'è sigilli rotti nantu à piastre di copertura o viti d'accessu, cablaggi strani o diffirenti o un novu dispositivu hardware chì ùn pudete micca ricunnosce.
- Prutegge i vostri terminali da a portata di u cliente quandu ùn sò micca in usu. Inspeccione i vostri terminali di pagamentu ogni ghjornu è altri dispositi chì ponu leghje carte di pagamentu.
- Avete bisognu di verificà l'identità di u persunale di riparazione s'ellu aspettate una riparazione di terminal di pagamentu.
- Chjamate immediatamente Nets o u vostru bancu se suspettate qualsiasi attività senza evidenza.
- Se crede chì u vostru dispositivu POS hè vulnerabile à u furtu, allora ci sò cradles di serviziu è arnesi sicuri è tethers dispunibili per cumprà cummirciali. Puderia vale a pena cunsiderà u so usu.
L'aghjurnamenti di a versione di Viking
U software Viking hè liberatu in i seguenti cicli di liberazione (sughjettu à cambiamenti):
- 2 versioni maiò annu
- 2 versioni minori annu
- Patch di u software, cum'è è quandu hè necessariu, (per esempiu per via di qualsiasi bug criticu / prublema di vulnerabilità). Se una liberazione hè operativa in u campu è alcuni prublemi critichi sò signalati, allora un patch di software cù a correzione hè prevista per esse liberatu in un mesi.
I cummercianti seranu avvisati nantu à e versioni (major / minore / patch) per mezu di e-mail chì saranu direttamente mandati à i so indirizzi email rispettivi. L'email cuntene ancu i punti principali di e note di liberazione è di liberazione.
I cummercianti ponu ancu accede à e note di liberazione chì saranu caricate à: Note di liberazione di u software (nets.eu)
E versioni di Viking Software sò firmate cù l'utillita di cantu di Ingenico per i terminali Tetra. Solu u software firmatu pò esse caricatu nantu à u terminal.
Requisiti micca-applicabili
Questa sezione cuntene una lista di esigenze in u PCI-Secure Software Standard chì hè stata valutata cum'è "Non applicabile" à l'applicazione di pagamentu Viking è a ghjustificazione per questu.
| PCI Secure Software Standard CO | Attività | Giustificazione per esse "Non applicabile" |
| 5.3 | I metudi d'autentificazione (cumprese e credenziali di sessione) sò abbastanza forti è robusti per prutege e credenziali di autentificazione da esse falsificate, falsificate, filtrate, indovinate o aggirate. | L'applicazione di pagamentu Viking funziona nantu à un dispositivu PTS POI appruvatu da PCI. L'applicazione di pagamentu Viking ùn offre micca accessu lucale, senza cunsola o remotu, nè livellu di privilegi, per quessa ùn ci hè micca credenziali di autentificazione in u dispositivu PTS POI. L'applicazione di pagamentu Viking ùn furnisce micca paràmetri per gestisce o generà ID d'utilizatori è ùn furnisce micca accessu lucale, micca di cunsola o remotu à l'assi critichi (ancu per scopi di debug). |
| 5.4 | Per automaticamente, tuttu l'accessu à l'assi critichi hè limitatu solu à quelli cunti è servizii chì necessitanu tali accessu. | L'applicazione di pagamentu Viking funziona nantu à un dispositivu PTS POI appruvatu da PCI. L'applicazione di pagamentu Viking ùn furnisce micca paràmetri per gestisce o generà cunti o servizii. |
| 7.3 | Tutti i numeri aleatorii utilizati da u software sò generati cù solu algoritmi o biblioteche appruvati di generazione di numeri aleatorii (RNG). L'algoritmi o biblioteche RNG appruvati sò quelli chì rispondenu à i normi di l'industria per l'imprevedibilità sufficiente (per esempiu, NIST Special Publication 800-22). |
L'applicazione di pagamentu Viking ùn usa micca alcun RNG (generatore di numeri aleatorii) per e so funzioni di criptografia. L'applicazione di pagamentu Viking ùn genera nè aduprate numeri aleatorii per e funzioni criptografiche. |
| 7.4 | I valori aleatorii anu entropia chì risponde à i requisiti minimi di forza efficace di e primitive criptografiche è e chjave chì si basanu nantu à elli. | L'applicazione di pagamentu Viking ùn usa micca alcun RNG (generatore di numeri aleatorii) per e so funzioni di criptografia. L'applicazione di pagamentu Viking ùn genera nè aduprate numeri aleatorii per e funzioni criptografiche. |
| 8.1 | Tutti i tentativi di accessu è l'usu di l'assi critichi sò tracciati è tracciabili à un individuu unicu. | L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI, induve tutte e manipolazioni di l'asset critichi accadenu, è u firmware PTS POI assicura a cunfidenziale è l'integrità di e dati sensibili mentre sò almacenati in u dispositivu PTS POI. A cunfidenziale, l'integrità è a resilienza di a funzione sensitiva di l'applicazione di pagamentu Viking sò prutetti è furniti da u firmware PTS POI. U firmware PTS POI impedisce ogni accessu à l'assi critichi fora di u terminal è si basa in anti-tampe caratteristiche. L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, senza cunsola o remotu, nè livellu di privileggi, cusì ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione di pagamentu Viking hè capaci di gestisce l'assi critichi. |
| 8.2 | Tutta l'attività hè catturata in u dettagliu suffirenziu è necessariu per descriverà accuratamente quale attività specifiche sò state realizate, quale l'hà realizatu, u tempu in quale sò state realizate, è quali assi critichi sò stati affettati. | L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI. L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, senza cunsola o remota, nè livellu di privilegi, per quessa, ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione di pagamentu Viking hè capaci di gestisce l'assi critichi. • L'applicazione di pagamentu Viking ùn furnisce micca modi privilegiati di u funziunamentu. • Ùn ci sò micca funzioni per disattivà a criptografia di dati sensitivi • Ùn ci sò micca funzioni per a decryption di dati sensitivi • Ùn ci sò micca funzioni per l'esportazione di dati sensitivi à altri sistemi o prucessi • Ùn ci sò micca funziunalità di autentificazione suppurtatu Cuntrolli di sicurezza è funziunalità di sicurità ùn ponu esse disattivati nè sguassati. |
| 8.3 | U software supporta a conservazione sicura di dettagli attività records. |
L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI. L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, senza cunsola o remota, nè livellu di privilegi, per quessa, ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione di pagamentu Viking hè capaci di gestisce l'assi critichi. • L'applicazione di pagamentu Viking ùn furnisce micca modi privilegiati di u funziunamentu. • Ùn ci sò micca funzioni per disattivà a criptografia di dati sensitivi • Ùn ci sò micca funzioni per a decryption di dati sensitivi • Ùn ci sò micca funzioni per l'esportazione di dati sensitivi à altri sistemi o prucessi • Ùn ci sò micca funziunalità di autentificazione suppurtatu Cuntrolli di sicurezza è funziunalità di sicurità ùn ponu esse disattivati nè sguassati. |
| 8.4 | U software gestisce i fallimenti in i meccanismi di seguimentu di l'attività in modu chì l'integrità di i registri di l'attività esistenti hè preservata. | L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI. L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, micca cunsola o remotu, nè livellu di privilegi, per quessa, ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione Viking hè capace di gestisce l'assi critichi. • L'applicazione di pagamentu Viking ùn furnisce micca modi privilegiati di u funziunamentu. • Ùn ci sò micca funzioni per disattivà a criptografia di dati sensitivi • Ùn ci sò micca funzioni per u decryption di dati sensibule | • Ùn ci sò micca funzioni per l'esportazione di dati sensitivi à altri sistemi o prucessi • Ùn ci sò micca funziunalità autentificazione suppurtatu • Cuntrolli di sicurità è funziunalità di sicurità ùn pò esse disattivati nè sguassati. |
| B.1.3 | U venditore di u software mantene a documentazione chì descrive tutte l'opzioni configurabili chì ponu influenza a sicurità di e dati sensittivi. |
L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI. L'applicazione di pagamentu Viking ùn furnisce micca i seguenti à l'utilizatori finali: • opzione configurable per accede à i dati sensitivi • opzione configurable per mudificà i miccanismi per prutege i dati sensitivi • accessu luntani à l 'applicazzioni • aghjurnamenti luntani di l 'applicazzioni • opzione configurable per mudificà i paràmetri predeterminati di l'applicazione |
| B.2.4 | U software usa solu u numeru aleatoriu funzione (s) di generazione inclusa in u pagamentu valutazione di u dispositivu PTS di u terminal per tutte e criptografie operazioni chì implicanu dati sensittivi o funzioni sensittivi induve i valori aleatori sò richiesti è ùn implementanu micca i so propiu funzione(e) di generazione di numeri aleatori. |
Viking ùn usa micca alcun RNG (generatore di numeri aleatorii) per e so funzioni di criptografia. L'applicazione Viking ùn genera nè aduprate numeri aleatorii per e funzioni criptografiche. |
| B.2.9 | L'integrità di u software prompt files hè prutetta in cunfurmità cù Control Objective B.2.8. | Tutti i schermi di prompt in u terminal Viking sò codificati in l'applicazione è senza prompt files sò prisenti fora di l'applicazione. Nisun promptatu files fora di l'applicazione di pagamentu Viking esiste, tutte l'infurmazioni necessarii sò generati da l'applicazione. |
| B.5.1.5 | A guida di implementazione include struzzioni per i stakeholders per firmà criptograficamente tutti i prompt files. | Tutti i prughjetti chì mostranu nantu à u terminal Viking sò codificati in l'appiecazione è nisun prompt files sò prisenti fora di l'applicazione. Nisun promptatu files fora di l'applicazione di pagamentu Viking esiste, tutte l'infurmazioni necessarii sò generati da l'applicazione |
Riferimentu di i Requisiti Standard di u Software Secure PCI
| Capituli in stu documentu | Requisiti standard di u software PCI Secure | Requisiti PCI DSS |
| 2. Applicazione Pagamentu Secure | B.2.1 6.1 12.1 12.1.b |
2.2.3 |
| 3. Secure Remote Software Updates | 11.1 11.2 12.1 |
1 & 12.3.9 2, 8 è 10 |
| 4. Eliminazione sicura di Dati Sensibili è Prutezzione di Dati di titulari di carte | 3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a |
3.2 3.2 3.1 3.3 3.4 3.5 3.6 |
| Autentificazione è Cuntrolli di Accessu | 5.1 5.2 5.3 5.4 |
8.1 è 8.2 8.1 è 8.2 |
| Logging | 3.6 8.1 8.3 |
10.1 10.5.3 |
| Rete wireless | 4.1 | 1.2.3 è 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1 |
| Segmentazione di a rete | 4.1c | 1.3.7 |
| Accessu Remote | B.1.3 | 8.3 |
| Trasmissione di dati di u titulare di carta | A.2.1 A.2.3 |
4.1 4.2 2.3 8.3 |
| Metodologia di versione Viking | 11.2 12.1.b |
|
| Istruzzioni per i clienti nantu à a stallazione sicura di patch è aghjurnamenti. | 11.1 11.2 12.1 |
Glossariu di i termini
| TERME | DEFINIZIONE |
| Dati di titolari di carta | Striscia magnetica completa o PAN più una di e seguenti: · Nome di u titulare di a carta · Data di perenzione · Codice di serviziu |
| DUKPT | Derived Unique Key Per Transaction (DUKPT) hè un schema di gestione chjave in quale per ogni transazzione, una chjave unica hè aduprata chì hè derivata da una chjave fissa. Dunque, se una chjave derivata hè cumprumessa, i dati di transazzione futura è passata sò sempre prutetti, postu chì e chjave dopu o prima ùn ponu esse determinate facilmente. |
| 3DES | In a criptografia, Triple DES (3DES o TDES), ufficialmente l'Algoritmu di Criptazione di Dati Triple (TDEA o Triple DEA), hè un cifru di bloccu di chjave simmetrica, chì applica l'algoritmu di cifru DES trè volte à ogni bloccu di dati. |
| Merchant | L'utente finale è l'acquirente di u pruduttu Viking. |
| SSF | U PCI Software Security Framework (SSF) hè una cullizzioni di standard è prugrammi per u disignu è u sviluppu sicuru di software di pagamentu. A sicurezza di u software di pagamentu hè una parte cruciale di u flussu di transazzione di pagamentu è hè essenziale per facilità transazzione di pagamentu affidabile è precisa. |
| PA-QSA | Applicazione di Pagamentu Assessori di Sicurezza qualificati. Cumpagnia QSA chì furnisce servizii à i venditori di applicazioni di pagamentu per cunvalidà l'applicazioni di pagamentu di i venditori. |
| TRISTU
(Dati Sensibili di Autentificazione) |
L'infurmazioni relative à a sicurità (Codici / Valori di Validazione di Carta, dati di traccia cumpletu, PIN è Blocchi PIN) utilizati per autentificà i titulari di carte, chì appare in testu chjaru o altrimenti senza prutezzione. A divulgazione, a mudificazione, o a distruzzione di sta informazione puderia cumprumette a sicurità di un dispositivu criptograficu, un sistema d'infurmazione, o l'infurmazioni di u titulare di carta o puderia esse aduprata in una transazzione fraudulenta. I Dati di Autentificazione Sensibili ùn devenu mai esse guardati quandu una transazzione hè finita. |
| Viking | A piattaforma software utilizata da Nets per u sviluppu di l'applicazioni per u mercatu europeu. |
| HSM | Modulu di sicurità di hardware |
Cuntrolla di Documenti
Auteur du document, Reviewers è Approvatori
| Descrizzione | Funzione | Nome |
| PA-QSA | Reviewer | Claudio Adamic / Flavio Bonfiglio Shorans |
| Sviluppu | Autore | Aruna in panico |
| Manager di Cunformità | Reviewer & Approvatore | Arno Edstrom |
| L'architettu di u sistema | Reviewer & Approvatore | Shamsher Singh |
| QA | Reviewer & Approvatore | Varun Shukla |
| Pruprietariu di u pruduttu | Reviewer & Approvatore | Cecilia Jensen Tyldum / Arti Kangas |
| Manager di produttu | Reviewer & Approvatore | May-Britt Dens di Sanderson |
| Manager di Ingegneria | Manager | Tamely Vallone |
Riassuntu di i cambiamenti
| Versione numeru | Versione Data | Natura di u cambiamentu | Cambia l'autore | Reviewer | Revisione Tag | Data Appruvata |
| 1.0 | 03-08-2022 | Prima versione per PCI-Secure Software Standard |
Aruna in panico | Shamsher Singh | 18-08-22 | |
| 1.0 | 15-09-2022 | A sezione 14 aghjurnata cù l'ugettivi di cuntrollu micca applicabili cù i so giustificazione |
Aruna in panico | Shamsher Singh | 29-09-22 | |
| 1.1 | 20-12-2022 | Sezzioni aghjurnata 2.1.2 è 2.2 cù Self4000. Eliminatu Link2500 (versione PTS 4.x) da a lista di terminali supportati |
Aruna in panico | Shamsher Singh |
23-12-22 |
|
| 1.1 | 05-01-2023 | A sezione aghjurnata 2.2 cù Link2500 (pts v4) per cuntinuà u supportu per questu
tipu di terminal. |
Aruna in panico | Shamsher Singh | 05-01-23 | |
| 1.2 | 20-03-2023 | A sezione aghjurnata 2.1.1 cù u lettone è u lituanu terminal profiles. È 2.1.2 cù supportu di tipu di cumunicazione BT-iOS |
Aruna in panico | Shamsher Singh |
Lista di distribuzione
| Nome | Funzione |
| Dipartimentu Terminal | Sviluppu, Test, Gestione di Prughjetti, Cunformità |
| Gestione di u produttu | Squadra di Gestione di u Produttu di Terminale, Manager di Cunfurmità - Produttu |
Approvazioni di documenti
| Nome | Funzione |
| Cecilia Jensen Tyldum | Pruprietariu di u pruduttu |
| Arti Kangas | Pruprietariu di u pruduttu |
Document Review Piani
Stu documentu serà rivieweditatu è aghjurnatu, se necessariu, cum'è definitu quì sottu:
- Cum'è necessariu per curregà o rinfurzà u cuntenutu di l'infurmazioni
- Dopu à qualsiasi cambiamenti organizzativi o ristrutturazioni
- Dopu un annu riview
- Dopu sfruttamentu di una vulnerabilità
- Dopu novi infurmazioni / esigenze riguardanti vulnerabili pertinenti
Documenti / Risorse
 |
Nets PCI Secure Software Standard [pdfGuida di l'utente PCI Secure Software Standard, Secure Software Standard, Software Standard, Standard |
 |
Nets PCI Secure Software Standard [pdfGuida di l'utente PCI Secure Software Standard, Secure Software Standard, Software Standard, Standard |