Software standard PCI-Secure
Informazione di u produttu: Venditore standard di software PCI-Secure
Guida di Implementazione per Viking Terminal 2.00
Specificazioni
Versione: 2.0
1. Introduzione è Scope
1.1 Introduzione
U PCI-Secure Software Standard Vendor Implementation Guide
furnisce linee guida per implementà u software nantu à u Viking
Terminal 2.00.
1.2 Quadru di Sicurezza di u Software (SSF)
U Software Security Framework (SSF) assicura u pagamentu sicuru
applicazione nantu à u Terminal Viking 2.00.
1.3 Guida di implementazione di u venditore di software - Distribuzione è
Aghjurnamenti
Questa guida include infurmazione nantu à a distribuzione è l'aghjurnamenti
di a Guida di Implementazione di u Vendor di Software per u Terminal Viking
2.00.
2. Applicazione Pagamentu Secure
2.1 Applicazione S/W
U software di applicazione di pagamentu sicuru assicura sicuru
cumunicazione cù l'ospite di pagamentu è ECR.
2.1.1 Configurazione di i paràmetri TCP/IP di cumunicazione di l'ospite di pagamentu
Questa sezione furnisce struzzioni per a cunfigurazione di u TCP/IP
paràmetri per a cumunicazione cù l'ospite di pagamentu.
2.1.2 cumunicazione ECR
Questa sezione furnisce struzzioni per a cumunicazione cù u
ECR (Cash Register Elettronica).
2.1.3 Comunicazione à l'ospiti via ECR
Questa sezione spiega cumu stabilisce a cumunicazione cù u
host di pagamentu cù l'ECR.
2.2 Hardware (s) di terminal supportatu
L'applicazione di pagamentu sicuru supporta u Terminal Viking 2.00
hardware.
2.3 Politiche di Sicurezza
Questa sezione delinea e pulitiche di sicurezza chì deve esse
seguita quandu si usa l'applicazione di pagamentu sicuru.
3. Secure Remote Software Update
3.1 Applicabilità Merchant
Questa sezione furnisce infurmazioni nantu à l'applicabilità di a sicura
l'aghjurnamenti di u software remoti per i cummercianti.
3.2 Politica d'Usu Acceptable
Questa sezione delinea a pulitica d'usu accettabile per a sicura
l'aghjurnamenti di u software remoti.
3.3 Firewall persunale
Istruzzioni per cunfigurà u firewall persunale per permette
L'aghjurnamenti sicuri di u software remoto sò furniti in questa sezione.
3.4 Prucedure d'aghjurnamentu remoti
Questa sezione spiega e prucedure per a realizazione sicura
l'aghjurnamenti di u software remoti.
4. Cancellazione Secure di Dati Sensibili è Prutezzione di Stored
Dati di titolari di carta
4.1 Applicabilità Merchant
Questa sezione furnisce infurmazioni nantu à l'applicabilità di a sicura
eliminazione di dati sensittivi è prutezzione di dati di titulari di carta almacenati
per i cummercianti.
4.2 Secure Eliminazione Instructions
Istruzzioni per sguassà in modu sicuru e dati sensibili sò furnite
in sta sezione.
4.3 Locazioni di i dati di i titulari di carte
Questa sezione elenca i lochi induve i dati di i titolari di carta sò almacenati
è furnisce una guida per a prutezzione.
Questa sezione spiega e prucedure per a gestione differita
transazzioni d'autorizazione in modu sicuru.
4.5 Prucedure di risoluzione di i prublemi
Istruzzioni per a risoluzione di prublemi riguardanti a sicura
l'eliminazione è a prutezzione di i dati di i titulari di carta almacenati sò furnite in
sta sezione.
4.6 Locazioni PAN - Mostrati o Stampati
Questa sezione identifica i lochi induve PAN (Contu Primariu
Number) hè visualizatu o stampatu è furnisce una guida nantu à a sicura
lu.
4.7 Prompt files
Istruzzioni per a gestione di prompt files sò furniti in modu sicuru
sta sezione.
4.8 Gestione chjave
Questa sezione spiega i prucessi di gestione chjave per assicurà
a sicurità di i dati di i titulari di carte.
4.9 '24 HR' Reboot
Istruzzioni per fà un reboot "24 HR" per assicurà u sistema
sicurezza sò furnite in questa sezione.
4.10 Lista bianca
Questa sezione furnisce infurmazioni nantu à a lista bianca è u so
impurtanza à mantene a sicurità di u sistema.
5. Autentificazione è Access Controls
Questa sezione copre e misure di autentificazione è di cuntrollu di accessu
per assicurà a sicurità di u sistema.
Domande Frequenti (FAQ)
Q: Chì ghjè u scopu di u PCI-Secure Software Standard
Guida di implementazione di u venditore?
A: A guida furnisce linee guida per implementà pagamentu sicuru
software d'applicazione nantu à u Terminal Viking 2.00.
Q: Quale hardware terminale hè supportatu da u pagamentu sicuru
applicazione?
A: L'applicazione di pagamentu sicuru sustene u Terminal Viking
2.00 hardware.
Q: Cumu possu sguassà in modu sicuru e dati sensibili?
A: Istruzzioni per sguassà in modu sicuru e dati sensibili sò
furnitu in a sezione 4.2 di a guida.
Q: Chì hè l'impurtanza di whitelisting?
A: A lista bianca ghjoca un rolu cruciale in u mantenimentu di u sistema
a sicurità permettendu solu l'applicazioni appruvate per eseguisce.
Stu cuntenutu hè classificatu cum'è Internu
Nets Denmark A/S:
PCI-Secure Software Standard Software Vendor Implementation Guide for Viking terminal 2.00
Versione 2.0
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00 1 1
Cuntenuti
1. Introduzione è Scopu ……………………………………………………………………. 3
1.1
Introduzione …………………………………………………………………………………. 3
1.2
Framework di Sicurezza di u Software (SSF) …………………………………………………………………. 3
1.3
Guida di Implementazione di u Venditore di Software - Distribuzione è Aghjornamenti ...... 3
2. Applicazione di Pagamentu Sicuru………………………………………………………………… 4
2.1
Applicazione S/W ………………………………………………………………………………………………. 4
2.1.1 Configurazione di i paràmetri TCP/IP di cumunicazione di Pagamentu Host ………….. 4
2.1.2 Comunicazione ECR………………………………………………………………………………. 5
2.1.3 Comunicazione à l'ospiti via ECR…………………………………………………………………. 5
2.2
Hardware(s) di terminal supportatu …………………………………………………….. 6
2.3
Politiche di sicurezza …………………………………………………………………………………. 7
3. Secure Remote Software Update ………………………………………………………. 8
3.1
Applicabilità di u cummerciante………………………………………………………………… 8
3.2
Pulitica d'usu accettabile ……………………………………………………………………. 8
3.3
Firewall Personale……………………………………………………………………………… 8
3.4
Prucedure di l'aghjurnamentu à distanza ……………………………………………………… 8
4. Eliminazione sicura di Dati Sensibili è Prutezzione di Dati di Titulare di Carta Stored9
4.1
Applicabilità di u cummerciante………………………………………………………………… 9
4.2
Istruzzioni per l'eliminazione sicura …………………………………………………… 9
4.3
Locazioni di i dati di i titolari di carta archiviati……………………………………………….. 9
4.4
Transazzione di Autorizazione Differita ………………………………………………………. 10
4.5
Procedure di risoluzione di i prublemi ……………………………………………………… 10
4.6
Locazioni PAN - Affissate o stampate ……………………………………………………… 10
4.7
Prompt files ………………………………………………………………………………….. 11
4.8
Gestione chjave ………………………………………………………………………………… 11
4.9
Reboot `24 HR' ………………………………………………………………………………………. 12
4.10 Lista bianca ………………………………………………………………………………… 12
5. Autentificazione è Cuntrolli di Accessu ………………………………………………………. 13
5.1
Cuntrollu di Accessu …………………………………………………………………………………. 13
5.2
Cuntrolli di password …………………………………………………………………………………. 15
6. Logging ………………………………………………………………………………………………….. 15
6.1
Applicabilità mercantile ……………………………………………………………………. 15
6.2
Configurate i paràmetri di log …………………………………………………………………. 15
6.3
Logging Centrale ………………………………………………………………………………… 15
6.3.1 Abilita a traccia Logging in u terminal ……………………………………………………… 15
6.3.2 Mandate i logs di traccia à l'ospite …………………………………………………………………… 15
6.3.3 Logging di traccia remota………………………………………………………………………………. 16
6.3.4 Logging di errore remota……………………………………………………………………………………………. 16
7. Reti wireless ………………………………………………………………………………… 16
7.1
Applicabilità mercantile ……………………………………………………………………. 16
7.2
Configurazioni wireless consigliate ………………………………………… 16
8. Segmentazione di a rete …………………………………………………………………….. 17
8.1
Applicabilità mercantile ……………………………………………………………………. 17
9. Accessu Remote ……………………………………………………………………………… 17
9.1
Applicabilità mercantile ……………………………………………………………………. 17
10.
Trasmissione di dati Sensibili …………………………………………………….. 17
10.1 Trasmissione di dati Sensibili ……………………………………………………… 17
10.2 Sparte di Dati Sensibili à altri software ……………………………………….. 17
10.3 E-mail è Dati Sensibili …………………………………………………………………………. 17
10.4 Accessu Amministrativu Non-Console ………………………………………………………. 17
11.
Metodologia di Versione Viking ………………………………………………………. 18
12.
Istruzzioni per l'installazione sicura di patch è aghjurnamenti. …………. 18
13.
Aggiornamenti di u Viking Release …………………………………………………………………………. 19
14.
Requisiti micca applicabili ………………………………………………………. 19
15.
Riferimentu di i Requisiti Standard di u Software Secure PCI …………………… 23
16.
Glossariu di Termini …………………………………………………………………………………. 24
17.
Cuntrolla di Documenti …………………………………………………………………… 25
2
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
1. Introduzione è Scope
1.1 Introduzione
U scopu di sta Guida di Implementazione di u Vendor di Software Standard di PCI-Secure Software hè di furnisce à i stakeholder una guida chjara è approfondita nantu à l'implementazione sicura, a cunfigurazione è u funziunamentu di u software Viking. A guida insegna à i Mercanti cumu implementà l'applicazione Viking di Nets in u so ambiente in una manera conforme à u PCI Secure Software Standard. Ancu s'ellu ùn hè micca pensatu à esse una guida d'installazione cumpleta. L'applicazione Viking, se installata in cunfurmità cù e linee guida documentate quì, duverebbe facilità è sustene a conformità PCI di un mercante.
1.2 Quadru di Sicurezza di u Software (SSF)
U PCI Software Security Framework (SSF) hè una cullizzioni di standard è prugrammi per u disignu è u sviluppu sicuru di u software di l'applicazione di pagamentu. U SSF rimpiazza u Standard di Sicurezza di Dati di Applicazione di Pagamentu (PA-DSS) cù esigenze muderne chì supportanu una gamma più larga di tippi di software di pagamentu, tecnulugia è metodologie di sviluppu. Fornisce à i venditori standard di sicurezza cum'è PCI Secure Software Standard per u sviluppu è u mantenimentu di u software di pagamentu in modu chì prutegge e transazzioni di pagamentu è e dati, minimizza e vulnerabilità è difende contr'à attacchi.
1.3 Guida di Implementazione di u Vendor di Software - Distribuzione è Aghjornamenti
Questa guida di implementazione di u venditore di software standard di PCI Secure deve esse diffusa à tutti l'utilizatori di l'applicazioni pertinenti cumpresi i cummercianti. Hè da esse aghjurnatu almenu annu è dopu cambiamenti in u software. L'annu riview è l'aghjurnamentu duveranu include novi cambiamenti di u software è ancu cambiamenti in u Secure Software Standard.
Nets publica infurmazione nantu à u listinu websitu s'ellu ci sò aghjurnamenti in a guida di implementazione.
Websitu: https://support.nets.eu/
Per Example: Nets PCI-Secure Software Standard Software Vendor Implementation Guide serà distribuitu à tutti i clienti, rivenditori è integratori. Clienti, Rivenditori è Integratori seranu avvisati da reviews è aghjurnamenti.
L'aghjurnamenti à u PCI-Secure Software Standard Software Vendor Implementation Guide ponu esse ottenuti cuntattendu direttamente Nets, ancu.
Questa Guida di Implementazione di u Vendor di Software Standard PCI-Secure si riferisce sia à i requisiti PCI-Secure Software Standard sia PCI. I seguenti versioni sò stati riferiti in sta guida.
· PCI-Secure-Software-Standard-v1_2_1
3
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
2. Applicazione Pagamentu Secure
2.1 Applicazione S/W
L'applicazioni di pagamentu Viking ùn utilizanu micca software o hardware esternu chì ùn appartene micca à l'applicazione Viking incrustata. Tutti l'eseguibili S / W chì appartenenu à l'applicazione di pagamentu Viking sò firmati digitale cù u kit di firma Tetra furnitu da Ingenico.
· U terminal cumunicà cù u Nets Host utilizendu TCP/IP, o via Ethernet, GPRS, Wi-Fi, o via u PC-LAN chì esegue l'applicazione POS. Inoltre, u terminal pò cumunicà cù l'ospitu via mobile cù cunnessione Wi-Fi o GPRS.
I terminali Viking gestiscenu tutta a cumunicazione utilizendu u cumpunente di strati di link Ingenico. Stu cumpunente hè una applicazione caricata in u terminal. U Link Layer pò gestisce parechje cumunicazioni à u stessu tempu utilizendu diverse periferiche (modem è portu seriale per ex.ample).
Attualmente supporta i seguenti protokolli:
· Fisica: RS232, modem internu, modem esternu (via RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G è 4G.
· Data Link: SDLC, PPP. · Rete: IP. · Trasportu: TCP.
U terminal piglia sempre l'iniziativa per stabilisce a cumunicazione versu u Nets Host. Ùn ci hè micca un servitore TCP / IP S / W in u terminal, è u terminal S / W ùn hè mai risponde à e chjama entranti.
Quandu hè integratu cù una applicazione POS in un PC, u terminal pò esse stallatu per cumunicà via u PC-LAN chì esegue l'applicazione POS cù RS232, USB, o Bluetooth. Sempre tutte e funziunalità di l'applicazione di pagamentu sò in esecuzione in u terminal S/W.
U protocolu di l'applicazione (è a criptografia applicata) hè trasparente è indipendente da u tipu di cumunicazione.
2.2 Configurazione di i paràmetri TCP/IP di cumunicazione di l'ospite di pagamentu
4
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
2.3 cumunicazione ECR
· Seriale RS232 · Cunnessione USB · Configurazione di paràmetri TCP/IP, cunnisciutu ancu ECR over IP
· Opzioni di cumunicazione Host / ECR in l'Applicazione di Pagamentu Viking
· Cunfigurazione di i paràmetri di Nets Cloud ECR (Connect@Cloud).
2.4 Comunicazione à l'ospiti via ECR
Nota: Consultate "2.1.1- Configurazione di i paràmetri TCP / IP di cumunicazione di Pagamentu Host" per i porti TCP / IP specifichi di u paese.
5
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
2.5 Hardware (s) di terminal supportatu
L'applicazione di pagamentu Viking hè supportata da una varietà di dispositivi Ingenico validati PTS (securità di transazzione PIN). A lista di hardware terminale cù u so numeru di appruvazioni PTS hè datu quì sottu.
Tipi di terminal Tetra
Hardware terminal
Strada 3000
PTS
Approvazione PTS
numeru di versione
5.x
4-30310
Versione hardware PTS
LAN30EA LAN30AA
Scrivania 3500
5.x
4-20321
DES35BB
Sposta 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Link 2500
Link2500 Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
Versione di firmware PTS
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
2.6 Politiche di Sicurezza
L'applicazione di pagamentu Viking aderisce à tutte e pulitiche di sicurezza applicabili specificate da Ingenico. Per infurmazione generale, questi sò i ligami à e pulitiche di sicurità per i diversi terminali Tetra:
Tipu di terminal
Link2500 (v4)
Documentu di Politica di Sicurezza Link/2500 PCI PTS Politica di Sicurezza (pcisecuritystandards.org)
Link2500 (v5)
Politica di sicurezza PCI PTS (pcisecuritystandards.org)
Desk3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Move 3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Lane 3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self 4000
Self/4000 PCI PTS Politica di Sicurezza (pcisecuritystandards.org)
7
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
3. Secure Remote Software Update
3.1 Applicabilità Merchant
Nets furnisce in modu sicuru l'aghjurnamenti di l'applicazioni di pagamentu Viking remotamente. Queste aghjurnamenti sò in u stessu canali di cumunicazione cum'è e transazzione di pagamentu sicuru, è u cummerciante ùn hè micca necessariu di fà cambiamenti à sta strada di cumunicazione per u cumplimentu.
Per l'infurmazione generale, i cummircianti anu da sviluppà una pulitica d'usu accettabile per i tecnulugii critichi di l'impiegati, secondu e linee guida sottu per VPN, o altre cunnessione à alta velocità, l'aghjurnamenti sò ricevuti per un firewall o firewall persunale.
3.2 Politica d'Usu Acceptable
U cummerciante deve sviluppà pulitiche d'usu per tecnulugii critichi di l'impiegati, cum'è i modem è i dispositi wireless. Queste pulitiche d'usu duveranu include:
· Approvazione esplicita di a gestione per l'usu. · Autentificazione per usu. · Una lista di tutti i dispusitivi è u persunale cù accessu. · Labelling i dispusitivi cù u pruprietariu. · L'infurmazione di u cuntattu è u scopu. · Usi accettabili di a tecnulugia. · Lochi di rete accettabili per e tecnulugia. · Una lista di i prudutti appruvati da a cumpagnia. · Permette l'usu di modem per i venditori solu quandu hè necessariu è disattivazione dopu l'usu. · Proibizione di u almacenamentu di e dati di i titulari di carte nantu à i media lucali quandu sò cunnessi remotamente.
3.3 Firewall persunale
Ogni cunnessione "sempre attiva" da un computer à una VPN o à una altra cunnessione d'alta veloce deve esse assicurata cù un pruduttu firewall persunale. U firewall hè cunfiguratu da l'urganizazione per risponde à standard specifichi è micca alterabile da l'impiigatu.
3.4 Prucedure d'aghjurnamentu remoti
Ci hè duie manere di attivà u terminal per cuntattà u centru di software Nets per l'aghjurnamenti:
1. Sia manualmente via una opzione di menu in u terminal (swipe card mercante, selezziunate menu 8 "Software", 1 "Fetch software"), o Host iniziatu.
2. Utilizendu u metudu iniziatu Host; u terminal riceve automaticamente un cumandamentu da l'Host dopu avè realizatu una transazzione finanziaria. U cumandamentu dice à u terminal per cuntattà u centru di software Nets per verificà l'aghjurnamenti.
Dopu un aghjurnamentu successu di u software, un terminal cù una stampante integrata stamparà una ricevuta cù infurmazioni nantu à a nova versione.
L'integratori di terminali, i partenarii è / o a squadra di supportu tecnicu di Nets avarà a rispunsabilità di informà i cummircianti di l'aghjurnamentu, cumpresu u ligame à a guida di implementazione aghjurnata è e note di liberazione.
In più di u ricivutu dopu l'aghjurnamentu di u software, l'applicazione di pagamentu Viking pò ancu esse validata via Terminal Info pressu a chjave "F3" in u terminal.
8
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
4. Eliminazione sicura di Dati Sensibili è Prutezzione di Dati di titulari di carte
4.1 Applicabilità Merchant
L'applicazione di pagamentu Viking ùn guarda micca dati di strisce magnetiche, valori di validazione di carte o codici, PIN o dati di blocchi PIN, materiale di chjave criptografica, o criptogrammi da e so versioni precedenti.
Per esse conforme à PCI, un cummerciante deve avè una pulitica di retenzioni di dati chì definisce quantu tempu i dati di u titulare di a carta seranu guardati. L'applicazione di pagamentu Viking conserva i dati di titolari di carta è / o dati di autentificazione sensittivi di l'ultima transazzione è in casu s'ellu ci sò transazzioni d'autorizazione offline o differita mentre aderiscenu à u cumplimentu di u Standard di Software PCI-Secure à u stessu tempu, per quessa pò esse esentatu da a pulitica di conservazione di dati di u mercante.
4.2 Secure Eliminazione Instructions
U terminal ùn guarda micca dati di autentificazione sensittivi; full track2, CVC, CVV o PIN, nè prima nè dopu l'autorizazione; eccettu per e transazzioni di l'Autorizazione Differita in quale casu i dati d'autentificazione sensibili criptati (dati full track2) sò almacenati finu à chì l'autorizazione hè fatta. Post l'autorizazione i dati sò sguassati in modu sicuru.
Ogni casu di dati storici pruibiti chì esiste in un terminal serà automaticamente sguassatu in modu sicuru quandu l'applicazione di pagamentu Viking terminal hè aghjurnata. L'eliminazione di dati storici pruibiti è di dati chì sò a pulitica di retenzione passata accadrà automaticamente.
4.3 Locazioni di i dati di i titulari di carte
I dati di i titolari di carta sò salvati in u Flash DFS (Data File System) di u terminal. I dati ùn sò micca direttamente accessibile da u mercante.
Data Store (file, table, etc.)
Elementi di dati di u titolare di carta almacenati (PAN, scadenza, qualsiasi elementi di SAD)
Cumu hè assicuratu u magazzinu di dati (per esample, crittografia, cuntrolli d'accessu, troncamentu, etc.)
File: trans.rsd
PAN, data di scadenza, codice di serviziu
PAN: 3DES-DUKPT crittografatu (112 bit)
File: storefwd.rsd PAN, Data di scadenza, Codice di serviziu
PAN: 3DES-DUKPT crittografatu (112 bit)
File: transoff.rsd PAN, Data di scadenza, Codice di serviziu
PAN: 3DES-DUKPT crittografatu (112 bit)
File: transorr.rsd PAN truncatu
Truncated (Primi 6, Ultimi 4)
File: offlrep.dat
PAN truncatu
Truncated (Primi 6, Ultimi 4)
File: defauth.rsd PAN, Data di scadenza, Codice di serviziu
PAN: 3DES-DUKPT crittografatu (112 bit)
File: defauth.rsd Full track2 data
Dati Full Track2: 3DES-DUKPT pre-criptatu (112 bit)
9
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
4.4 Transazzione di Autorizazione Differita
L'Autorizazione Differita si trova quandu un cummerciante ùn pò micca cumplettà l'autorizazione à u mumentu di a transazzione cù u titulare di a carta per via di cunnessione, prublemi di sistemi o altre limitazioni, è dopu compie l'autorizazione quandu hè capaci di fà.
Questu significa chì una autorizazione differita si trova quandu una autorizazione in linea hè realizata dopu chì a carta ùn hè più dispunibule. Siccomu l'autorizazione in linea di e transazzioni di l'autorizazione differita sò ritardate, e transazzione seranu guardate in u terminal finu à chì e transazzione sò autorizate bè dopu quandu a rete hè dispunibule.
E transazzione sò almacenate è mandate dopu à l'ospite, cum'è cumu e transazzione Offline sò almacenate da oghje in l'applicazione di pagamentu Viking.
U Merchant pò inizià a transazzione cum'è "Autorizazione Differita" da u Cash Register Elettronicu (ECR) o via u menù di u terminal.
E transazzioni di l'Autorizazione Differita ponu esse caricate in l'ospitu Nets da u mercante utilizendu l'opzioni sottu: 1. ECR - Cumandante di amministratore - Mandate offline (0x3138) 2. Terminal - Merchant -> 2 EOT -> 2 mandatu à l'ospiti
4.5 Prucedure di risoluzione di i prublemi
U supportu di Nets ùn richiederà micca autentificazione sensittiva o dati di titolari di carta per scopi di risoluzione di prublemi. L'applicazione di pagamentu Viking ùn hè micca capace di cullà o risolve i dati sensibili in ogni casu.
4.6 Locazioni PAN - Mostrati o Stampati
PAN mascheratu:
· Ricevute di transazzione finanziaria: U PAN mascheratu hè sempre stampatu nantu à a ricevuta di transazzione sia per u titolare di a carta sia per u mercante. U PAN mascheratu in a maiò parte di i casi hè cù * induve i primi 6 cifre è l'ultimi 4 cifre sò in testu chjaru.
· Rapportu di a lista di transazzione: u rapportu di a lista di transazzione mostra e transazzione realizate in una sessione. I dettagli di a transazzione includenu Masked PAN, u nome di l'emittente di a carta è a quantità di transazzione.
· Ultima ricevuta di u cliente: A copia di l'ultima ricevuta di u cliente pò esse generata da u menù di copia di terminal. A ricevuta di u cliente cuntene u PAN mascheratu cum'è a ricevuta di u cliente originale. A funzione data hè aduprata in casu chì u terminal ùn riesce à generà una ricevuta di u cliente durante a transazzione per qualsiasi mutivu.
PAN criptatu:
· Ricevuta di transazzione offline: A versione di ricevuta di u retailer di transazzione offline include dati di titolari di carta criptati DUKPT Triple DES 112-bit (PAN, Data di scadenza è codice di serviziu).
BAX: 71448400-714484 12/08/2022 10:39
Visa Contactless ************ 3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 AID: A0000000031010 TVR: 0000000000 123461 Store KC000004
10
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
Risp.: Y1 Session: 782
COMPRA
NOK
12,00
APPROVATA
COPIA DI VENDITORE
Cunfirmazione:
L'applicazione di pagamentu Viking cripta sempre i dati di u titolu di a carta in modu predeterminatu per u almacenamentu di transazzione offline, a trasmissione versu l'ospiti NETS è per stampà i dati di a carta cifrata nantu à a ricevuta di u venditore per una transazzione offline.
Inoltre, per visualizà o stampà a carta PAN, l'applicazione di pagamentu Viking maschera sempre i numeri PAN cù l'asteriscu `*' cù First 6 + Last 4 digits in clear as default. U furmatu di stampa di u numeru di carta hè cuntrullatu da u sistema di gestione di u terminal induve u formatu di stampa pò esse cambiatu dumandendu per mezu di u canali propiu è presentendu una necessità legittima di l'affari, ma per l'applicazione di pagamentu Viking, ùn ci hè micca un tali casu.
Example per mascherati PAN: PAN: 957852181428133823-2
Info minima: **************3823-2
Massimu infurmazione: 957852********3823-2
4.7 Prompt files
L'applicazione di pagamentu Viking ùn furnisce micca un promptatu separatu files.
L'applicazione di pagamentu Viking richiede l'input di i titolari di carta per mezu di e richieste di visualizazione chì facenu parte di u sistema di messageria in l'applicazione di pagamentu Viking firmata.
L'indicazione di u PIN, l'ammontu, etc. sò mostrati nantu à u terminal, è l'inputs di i titulari di a carta sò aspittati. L'inputs ricevuti da u titolare di a carta ùn sò micca almacenati.
4.8 Gestione chjave
Per a gamma di mudelli di terminal Tetra, tutte e funziunalità di sicurità sò realizate in una zona sicura di un dispositivu PTS prutettu da l'applicazione di pagamentu.
A criptografia hè realizata in l'area sicura mentre a decifrazione di i dati criptati pò esse realizatu solu da i sistemi Nets Host. Tuttu u scambiu di chjave trà Nets host, Key / Inject tool (per i terminali Tetra) è u PED sò fatti in forma criptata.
E prucedure per a Gestione di Chiavi sò implementate da Nets secondu un schema DUKPT utilizendu a criptografia 3DES.
Tutti i chjavi è i cumpunenti chjave utilizati da i terminali di Nets sò generati cù prucessi aleatorii o pseudoaleatori appruvati. I chjavi è i cumpunenti chjave utilizati da i terminali Nets sò generati da u sistema di gestione di chjave Nets, chì utilizanu unità Thales Payshield HSM appruvate per generà chjavi criptografici.
11
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
A gestione chjave hè indipendente da a funziunalità di pagamentu. Caricà una nova applicazione per quessa ùn hè micca bisognu di cambià a funziunalità chjave. U spaziu chjave di u terminal sustenerà circa 2,097,152 transazzioni. Quandu u spaziu chjave hè esauritu, tirminali Viking ferma u travagliu è mostra un missaghju d'errore, è tandu u terminal deve esse rimpiazzatu.
4.9 Reboot "24 HR".
Tutti i terminali Viking sò PCI-PTS 4.x è sopra è per quessa seguitanu u requisitu di cunfurmità chì u terminal PCI-PTS 4.x riavviarà almenu una volta ogni 24 ore per sguassate a RAM è più sicura di u terminal HW da esse utilizatu per piglià u pagamentu. dati di carta.
Un altru benefiziu di u ciculu di re-boot "24hr" hè chì e fughe di memoria seranu mitigate è anu menu impattu per u cummerciante (micca chì duvemu accettà prublemi di perdita di memoria.
Merchant pò stabilisce u tempu di reboot da l'opzione Menu terminal à "Reboot Time". U tempu di reboot hè stabilitu basatu annantu à l'orologio "24hr" è piglià u formatu HH:MM.
U mecanismu di Reset hè pensatu per assicurà un reset di u terminal almenu una volta per 24 ore di corsa. Per cumpiendu stu requisitu, hè statu definitu un intervallu di tempu, chjamatu "intervallu di reset" rapprisintatu da Tmin è Tmax. Stu periodu rapprisenta l'intervallu di tempu induve u reset hè permessu. Sicondu u casu cummerciale, l'"intervallu di reset" hè persunalizatu durante a fase di stallazione di terminal. Per cuncepimentu, stu periodu ùn pò esse più cortu di 30 minuti. Duranti stu periodu, u resettore si faci ogni ghjornu 5 minuti prima (in T3) cum'è spiegatu da u schema sottu:
4.10 Lista bianca
A lista bianca hè una prucedura per stabilisce chì i PAN listati cum'è una lista bianca sò permessi di esse mostrati in testu chjaru. Viking usa 3 campi per determinà i PAN in lista bianca chì sò letti da e cunfigurazioni scaricate da u sistema di gestione di terminal.
Quandu un "Bandiera di Conformità" in Nets host hè stabilitu à Y, l'infurmazioni da u Nets Host o u sistema di gestione di Terminal hè scaricatu à u terminal, quandu u terminal principia. Questa bandiera di Conformità hè aduprata per determinà i PAN in lista bianca chì sò letti da u dataset.
A bandiera "Track2ECR" determina se a dati Track2 hè permessu di esse trattatu (inviatu / ricivutu) da l'ECR per un emittente specificu. Sicondu u valore di sta bandiera, hè determinatu se i dati track2 deve esse mostratu in modu locale in ECR.
"Campiu di furmatu di stampa" determina cumu u PAN serà visualizatu. E carte in u scopu PCI anu tutte u formatu di stampa stabilitu per vede u PAN in forma truncata / mascherata.
12
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
5. Autentificazione è Access Controls
5.1 Cuntrollu d'Accessu
L'applicazione di pagamentu Viking ùn hà micca cunti d'utilizatore o password currispundenti per quessa, l'applicazione di pagamentu Viking hè esenta da stu requisitu.
· Configurazione integrata ECR: Ùn hè micca pussibule di accede à i tipi di transazzione cum'è Rimborsu, Depositu è Inversione da u menù di u terminal per assicurà queste funzioni da esse abusate. Quessi sò i tippi di transazzione induve u flussu di soldi si trova da u cuntu di u mercante à u contu di u titolare di a carta. Hè a rispunsabilità di u cummerciante per assicurà chì ECR hè utilizatu solu da l'utilizatori autorizati.
· Configurazione autonoma: u cuntrollu di l'accessu à a carta di u Merchant hè attivatu per difettu per accede à i tipi di transazzione cum'è Rimborsu, Depositu è Inversione da u menù di u terminal per assicurà queste funzioni da esse abusate. U terminal Viking hè cunfiguratu per difettu per assicurà l'opzioni di menu, per impediscenu l'accessu micca autorizatu. I paràmetri per cunfigurà a sicurità di u menu si trovanu in u Menu Merchant (accessibile cù una carta Merchant) -> Parameters -> Security
Prutezzione di u menu Impostate à "Sì" per difettu. U buttone di menu nantu à u terminal hè prutettu cù a cunfigurazione di u menu Prutezzione. U menu pò esse accessu solu da u Merchant usendu una carta di cummerciante.
13
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
Prutegge l'inversione Impostate à "Sì" per difettu. L'inversione di una transazzione pò esse fatta solu da u cummerciante utilizendu a carta di cummerciale per accede à u menù di inversione.
Prutegge a cunciliazione Setta à "Sì" per difettu L'opzione per a cunciliazione pò esse accessu solu da u cummerciante cù a carta di cummerciante quandu sta prutezzione hè vera.
Protect Shortcut Impostate à "Sì" per predefinitu Menu di scelta rapida cù l'opzioni per viewL'infurmazione di u terminal è l'opzione per aghjurnà i paràmetri Bluetooth seranu dispunibuli per u cummerciante solu quandu a carta di cummerciante hè trascinata.
14
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
5.2 Cuntrolli di password
L'applicazione di pagamentu Viking ùn hà micca cunti d'utilizatori o password currispundenti; dunque, l'applicazione Viking hè esente da stu requisitu.
6. Logging
6.1 Applicabilità Merchant
Attualmente, per l'applicazione di pagamentu Nets Viking, ùn ci hè micca paràmetri di log PCI configurabili per l'utilizatori finali.
6.2 Configurate i paràmetri di log
L'applicazione di pagamentu Viking ùn hà micca cunti d'utilizatori, cusì u logu conforme à PCI ùn hè micca applicabile. Ancu in u logu di transazzione più verbose, l'applicazione di pagamentu Viking ùn registra micca dati d'autentificazione sensitivi o dati di titolari di carta.
6.3 Logging Centrale
U terminal hà un mecanismu di log genericu. U mecanismu include ancu u logu di creazione è eliminazione di eseguibile S / W.
L'attività di scaricamentu S/W sò registrate è ponu esse trasferite à Host manualmente via una scelta di menu in u terminal o nantu à a dumanda di l'ospite marcatu in u trafficu di transazzione ordinariu. Se l'attivazione di scaricamentu S/W fallisce per via di firme digitali invalide nantu à u ricivutu files, l'incidentu hè registratu è trasferitu à Host automaticamente è immediatamente.
6.4 6.3.1 Attivà traccia Logging in terminal
Per attivà u logu di traccia:
1 Swipe Card Merchant. 2 Allora in u menu selezziunate "9 System menu". 3 Dopu andate à u menù "2 System Log". 4 Inserite u codice tecnicu, chì pudete uttene chjamendu u supportu Nets Merchant Service. 5 Selezziunà "8 Parameters". 6 Allora attivate "Logging" à "Iè".
6.5 6.3.2 Mandate logs di traccia à l'ospiti
Per mandà i registri di traccia:
1 Press u buttone Menu nant'à u terminal, è dopu Swipe Merchant card. 2 Allora in u menù principale selezziunate "7 Menu Operatore". 3 Dopu selezziunate "5 Mandate Trace Logs" per mandà trace logs à l'ospiti.
15
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
6.6 6.3.3 Logging di traccia remota
Un paràmetru hè stabilitu in u Nets Host (PSP) chì attiverà / disattiverà a funziunalità di traccia di traccia di Terminal remotamente. Nets Host mandarà Trace enable / disable logging parameter à Terminal in Data set along with the time scheduled when Terminal will upload Trace logs. Quandu u terminal riceve u paràmetru Trace cum'è attivatu, cumincerà à catturà i logs di Trace è à l'ora prevista caricarà tutti i logs di traccia è disattiveghjanu a funziunalità di logging dopu.
6.7 6.3.4 Logging di errore remoti
I logs d'errore sò sempre attivati in u terminal. Cum'è a traccia di logging, un paràmetru hè stabilitu in Nets Host chì attiverà / disattiverà a funziunalità di registrazione di l'errore di Terminal remotamente. Nets Host mandarà Trace enable / disable logging parameter à Terminal in Data set along with the time scheduled when Terminal will upload Error logs. Quandu u terminal riceve u paràmetru di logging d'errore cum'è attivatu, cumincià à catturà i logs d'errore è à l'ora prevista caricarà tutti i logs d'errore è disattiveghjanu a funziunalità di logging dopu.
7. Reti Wireless
7.1 Applicabilità Merchant
Terminal di pagamentu Viking - MOVE 3500 è Link2500 anu a capacità di cunnette cù a rete Wi-Fi. Per quessa, per esse implementatu in modu sicuru, hè necessariu piglià in considerazione quandu installà è cunfigurà a rete wireless cum'è detallatu quì sottu.
7.2 Configurazioni Wireless Recommandate
Ci hè parechje cunsiderazioni è passi da piglià quandu cunfigurà e rete wireless chì sò cunnessi à a reta interna.
À u minimu, i seguenti paràmetri è cunfigurazioni devenu esse in u locu:
· Tutte e rete wireless deve esse segmentatu cù un firewall; se i cunnessione trà a rete wireless è l'ambiente di dati di u titulare di a carta sò richiesti, l'accessu deve esse cuntrullatu è assicuratu da u firewall.
· Cambia u SSID predeterminatu è disattiveghjanu a trasmissione SSID · Cambia password predeterminate sia per e cunnessione wireless sia per i punti d'accessu wireless, questu include cun-
l'accessu unicu è i stringhe di a cumunità SNMP · Cambia ogni altru predefinitu di sicurità furnitu o stabilitu da u venditore · Assicuratevi chì i punti d'accessu wireless sò aghjurnati à l'ultimu firmware · Aduprate solu WPA o WPA2 cù chjavi forti, WEP hè pruibitu è ùn deve mai esse usatu · Cambià e chjave WPA / WPA2 à a stallazione è in modu regulare è ogni volta chì una persona cun
a cunniscenza di e chjave abbanduneghja a cumpagnia
16
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
8. Segmentazione di a rete
8.1 Applicabilità Merchant
L'applicazione di pagamentu Viking ùn hè micca una applicazione di pagamentu basata in u servitore è reside in un terminal. Per questu mutivu, l'applicazione di pagamentu ùn hà micca bisognu di alcuna regulazione per risponde à stu requisitu. Per a cunniscenza generale di u mercante, i dati di a carta di creditu ùn ponu micca esse almacenati in sistemi direttamente cunnessi à Internet. Per esample, web i servitori è i servitori di basa di dati ùn devenu esse stallati nantu à u stessu servitore. Una zona demilitarizzata (DMZ) deve esse stallata per segmentà a reta in modu chì solu e macchine nantu à a DMZ sò accessibili in Internet.
9. Accessu Remote
9.1 Applicabilità Merchant
L'applicazione di pagamentu Viking ùn pò micca accede à distanza. L'assistenza remota si trova solu trà un membru di u staffu di supportu di Nets è u cummerciante per u telefunu o da Nets direttamente in situ cù u mercante.
10.Transmission di dati Sensitive
10.1 Trasmissioni di dati Sensibili
L'applicazione di pagamentu Viking assicura dati sensibili è / o dati di titolari di carta in transitu utilizendu una crittografia à livellu di messagiu utilizendu 3DES-DUKPT (112 bit) per tutte e trasmissioni (cumprese e rete pubbliche). I Protocolli di Sicurezza per e cumunicazioni IP da l'applicazione Viking à l'Host ùn sò micca richiesti, postu chì a criptografia à livellu di messagiu hè implementata cù 3DES-DUKPT (112-bits) cum'è descrittu sopra. Stu schema di criptografia assicura chì ancu s'è e transazzioni sò interceptate, ùn ponu micca esse mudificate o cumprumessi in ogni modu se 3DES-DUKPT (112-bits) resta cunsideratu cum'è criptografia forte. Sicondu u schema di gestione di chjave DUKPT, a chjave 3DES utilizata hè unica per ogni transazzione.
10.2 Sparte di dati Sensibili à altri software
L'applicazione di pagamentu Viking ùn furnisce micca interfaccia (s) / API logica per attivà a spartera di dati di contu in testu in claru direttamente cù altre software. Nisuna dati sensibili o dati di u contu di testu chjaru sò spartuti cù altri software per mezu di API esposti.
10.3 Email è Dati Sensibili
L'applicazione di pagamentu Viking ùn supporta nativamente l'invio di e-mail.
10.4 Accessu Amministrativu Non-Console
Viking ùn sustene micca l'accessu amministrativu non-Console. Tuttavia, per a cunniscenza generale di u cummerciante, l'accessu amministrativu non-Console deve aduprà sia SSH, VPN, o TLS per a criptografia di tutti l'accessu amministrativu non-console à i servitori in l'ambiente di dati di titolari di carta. Telnet o altri metudi d'accessu micca criptati ùn deve esse usatu.
17
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
11. Metodologia di versione Viking
A metodulugia di versione di Nets hè custituita da un numeru di versione S/W in dui parti: a.bb
induve `a' serà incrementatu quandu i cambiamenti d'impattu elevatu sò fatti cum'è per PCI-Secure Software Standard. a - versione maiò (1 cifra)
`bb' serà aumentatu quandu i cambiamenti pianificati à pocu impattu sò fatti cum'è per PCI-Secure Software Standard. bb - versione minore (2 cifre)
U numeru di versione S/W di l'applicazione di pagamentu Viking hè mostratu cusì nantu à u screnu di u terminal quandu u terminal hè alimentatu: "abb"
· Un aghjurnamentu da per esempiu, 1.00 à 2.00 hè un aghjurnamentu funziunale significativu. Puderà includere cambiamenti cù impattu nantu à a sicurità o i requisiti PCI Secure Software Standard.
· Un aghjurnamentu da per esempiu, 1.00 à 1.01 hè un aghjurnamentu funziunali micca significativu. Ùn pò micca include cambiamenti cù impattu nantu à a sicurità o i requisiti PCI Secure Software Standard.
Tutti i cambiamenti sò rapprisintati in ordine numericu sequenziale.
12. Instructions about Secure Installazione di Patch è Updates.
Nets furnisce in modu sicuru l'aghjurnamenti di l'applicazioni di pagamentu remoti. Queste aghjurnamenti sò in u stessu canali di cumunicazione cum'è e transazzione di pagamentu sicuru, è u cummerciante ùn hè micca necessariu di fà cambiamenti à sta strada di cumunicazione per u cumplimentu.
Quandu ci hè un patch, Nets aghjurnà a versione di patch in Nets Host. U mercante riceverà i patch per una dumanda di scaricamentu S / W automatizata, o u cummerciante pò ancu inizià una scaricazione di software da u menù di u terminal.
Per infurmazione generale, i cummircianti anu da sviluppà una pulitica d'usu accettabile per e tecnulugia critiche di l'impiegati, secondu e linee guida sottu per VPN o altre cunnessione à alta velocità, l'aghjurnamenti sò ricevuti per un firewall o un firewall di persunale.
L'ospite di Nets hè dispunibule sia via Internet utilizendu un accessu sicuru o via una reta chjusa. Cù rete chjusa, u fornitore di rete hà una cunnessione diretta à u nostru ambiente d'ospitu offertu da u so fornitore di rete. I terminali sò amministrati attraversu i servizii di gestione di terminali Nets. U serviziu di gestione di terminal definisce per exampa regione chì u terminal appartene è l'acquirente in usu. A gestione di u terminal hè ancu rispunsevuli di l'aghjurnamentu di u software di terminale remotamente nantu à a reta. Nets assicura chì u software caricatu à u terminal hà cumpletu e certificazioni richieste.
Nets ricumandemu i punti di cuntrollu à tutti i so clienti per assicurà i pagamenti sicuri è sicuri, cum'è elencu quì sottu: 1. Mantene una lista di tutti i terminali di pagamentu operativi è pigliate ritratti da tutte e dimensioni per sapè cumu si deve esse. 2. Cerca di segni evidenti di tampcum'è sigilli rotti nantu à i platti di copertura di accessu o viti, cablaggi strani o diffirenti o un novu dispositivu hardware chì ùn pudete micca ricunnosce. 3. Prutegge i vostri terminali da a portata di u cliente quandu ùn hè micca in usu. Inspeccione i vostri terminali di pagamentu ogni ghjornu è altri dispositi chì ponu leghje carte di pagamentu. 4. You deve cuntrollà identità di u persunale di riparà s'è vo sò aspittendu ogni riparazione terminal pagamentu. 5. Chjamate Nets o u vostru bancu subitu s'è vo suspette ogni attività unobvious. 6. Se crede chì u vostru dispositivu POS hè vulnerabile à u furtu, allora ci sò cradles di serviziu è arnesi sicuri è tethers dispunibili per cumprà cummirciali. Puderia vale a pena cunsiderà u so usu.
18
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
13.Viking Release Updates
U software Viking hè liberatu in i seguenti cicli di liberazione (sughjettu à cambiamenti):
· 2 versioni maiò annu · 2 versioni minori annu · Patch di u software, cum'è è quandu hè necessariu, (per esempiu, per via di qualsiasi bug criticu / prublema di vulnerabilità). Se a
A liberazione hè operativa in u campu è alcuni prublemi critichi sò signalati, allora un patch di software cù a correzione hè prevista per esse liberatu in un mesi.
I cummercianti seranu avvisati nantu à e versioni (major / minore / patch) per mezu di e-mail chì saranu direttamente mandati à i so indirizzi email rispettivi. L'email cuntene ancu i punti principali di e note di liberazione è di liberazione.
I cummercianti ponu ancu accede à e note di liberazione chì saranu caricate à:
Note di rilascio di software (nets.eu)
E versioni di Viking Software sò firmate cù l'utillita di cantu di Ingenico per i terminali Tetra. Solu u software firmatu pò esse caricatu nantu à u terminal.
14. esigenze Not-Applicable
Questa sezione cuntene una lista di esigenze in u PCI-Secure Software Standard chì hè stata valutata cum'è "Non Applicable" à l'applicazione di pagamentu Viking è a ghjustificazione per questu.
PCI Secure Software Standard
CO
Attività
Giustificazione per esse "Non applicabile"
5.3
I metudi di autentificazione (cumprese a sessione crea- L'applicazione di pagamentu Viking funziona nantu à PTS POI appruvati da PCI
dentials) sò abbastanza forti è robusti à u dispusitivu.
prutegge e credenziali di autentificazione da esse
falsificata, falsificata, filtrata, indovinata o circundante L'applicazione di pagamentu Viking ùn offre micca lucale, senza cunsola
ventilatu.
o accessu remoto, nè livellu di privileggi, cusì ùn ci hè micca au-
credenziali di autentificazione in u dispusitivu PTS POI.
L'applicazione di pagamentu Viking ùn furnisce micca paràmetri per gestisce o generà ID d'utilizatori è ùn furnisce micca accessu lucale, micca di cunsola o remotu à l'assi critichi (ancu per scopi di debug).
5.4
Per automaticamente, tuttu l'accessu à l'assi critichi hè ri-
L'applicazione di pagamentu Viking funziona nantu à u PTS POI appruvatu da PCI
ristrettu solu à quelli cunti è servizii dispositi.
chì necessitanu tali accessu.
L'applicazione di pagamentu Viking ùn furnisce micca paràmetri
gestisce o generà cunti o servizii.
7.3
Tutti i numeri aleatorii utilizati da u software sò l'applicazione di pagamentu Viking ùn usa alcun RNG (aleatoriu
generatu cù solu generatore di numeri aleatori appruvati) per e so funzioni di criptografia.
Ber generation (RNG) algoritmi o librerie.
19
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
L'algoritmi o biblioteche RNG appruvati sò quelli chì rispondenu à i normi di l'industria per un'imprevedibilità sufficiente (per esempiu, NIST Special Publication 800-22).
L'applicazione di pagamentu Viking ùn genera nè aduprate numeri aleatorii per e funzioni criptografiche.
7.4
I valori aleatorii anu entropia chì risponde à l'applicazione di pagamentu Viking ùn usa micca alcun RNG (aleatoriu
requisiti minimi di forza efficace di u generatore di numeri) per e so funzioni di criptografia.
i primitivi criptografici è e chjave chì si basanu
nantu à elli.
L'applicazione di pagamentu Viking ùn genera nè usa alcuna
numeri aleatorii per e funzioni criptografiche.
8.1
Tutti i tentativi d'accessu è l'usu di l'assi critichi L'applicazione di pagamentu Viking funziona nantu à u PTS POI appruvatu da PCI
hè tracciatu è tracciabile à un individuu unicu. dispusitivi, induve tutte e manipolazione di asset critichi succede, è u
U firmware PTS POI assicura a cunfidenziale è l'integrità di i sensi.
dati sittivi mentre sò almacenati in u dispusitivu PTS POI.
A cunfidenziale, l'integrità è a resilienza di a funzione sensitiva di l'applicazione di pagamentu Viking sò prutetti è furniti da u firmware PTS POI. U firmware PTS POI impedisce ogni accessu à l'assi critichi fora di u terminal è si basa in anti-tampe caratteristiche.
L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, senza cunsola o remotu, nè livellu di privileggi, cusì ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione di pagamentu Viking hè capaci di gestisce l'assi critichi.
8.2
Tutta l'attività hè catturata in l'applicazioni di pagamentu Viking suffirenzi è necessarii in u PTS POI appruvatu da PCI
sary detail per descriverà accuratamente quale dispusitivi specifichi.
attività sò state realizate, quale hà fattu
elli, u tempu ch'elli eranu realizati, è
L'applicazione di pagamentu Viking ùn offre micca lucale, senza cunsola
quali assi critichi sò stati affettati.
o accessu remoto, nè livellu di privileggi, cusì ùn ci hè micca
persona o altri sistemi cù accessu à l'assi critichi, solu
L'applicazione di pagamentu Viking hè capace di gestisce l'assi critichi.
· L'applicazione di pagamentu Viking ùn furnisce micca modi privilegiati di funziunamentu.
· Ùn ci sò micca funzioni per disattivà a criptografia di dati sensibili
· Ùn ci sò micca funzioni per a decifrazione di dati sensittivi
· Ùn ci sò micca funzioni per l'esportazione di dati sensittivi à altri sistemi o prucessi
· Ùn ci sò micca funzioni di autentificazione supportate
I cuntrolli di sicurità è e funziunalità di sicurità ùn ponu esse disattivati nè sguassati.
8.3
U software supporta a conservazione sicura di l'applicazione di pagamentu de- Viking funziona nantu à PTS POI appruvati da PCI
record di attività di coda.
dispusitivi.
20
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
8.4 B.1.3
L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, senza cunsola o remota, nè livellu di privilegi, per quessa, ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione di pagamentu Viking hè capaci di gestisce l'assi critichi.
· L'applicazione di pagamentu Viking ùn furnisce micca modi privilegiati di funziunamentu.
· Ùn ci sò micca funzioni per disattivà a criptografia di dati sensibili
· Ùn ci sò micca funzioni per a decifrazione di dati sensittivi
· Ùn ci sò micca funzioni per l'esportazione di dati sensittivi à altri sistemi o prucessi
· Ùn ci sò micca funzioni di autentificazione supportate
I cuntrolli di sicurità è e funziunalità di sicurità ùn ponu esse disattivati nè sguassati.
U software gestisce i fallimenti in i meccanismi di seguimentu di l'attività in modu chì l'integrità di i registri di l'attività esistenti hè preservata.
L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI.
L'applicazione di pagamentu Viking ùn offre micca un accessu lucale, micca cunsola o remotu, nè livellu di privilegi, per quessa, ùn ci hè nè persona o altri sistemi cù accessu à l'assi critichi, solu l'applicazione Viking hè capace di gestisce l'assi critichi.
· L'applicazione di pagamentu Viking ùn furnisce micca modi privilegiati di funziunamentu.
· Ùn ci sò micca funzioni per disattivà a criptografia di dati sensibili
· Ùn ci sò micca funzioni per a decifrazione di dati sensittivi
· Ùn ci sò micca funzioni per l'esportazione di dati sensittivi à altri sistemi o prucessi
· Ùn ci sò micca funzioni di autentificazione supportate
· I cuntrolli di sicurezza è e funziunalità di sicurità ùn ponu esse disattivati nè sguassati.
U venditore di u software mantene a documentazione chì descrive tutte l'opzioni configurabili chì ponu influenzà a sicurità di e dati sensittivi.
L'applicazione di pagamentu Viking funziona nantu à i dispositi PTS POI appruvati da PCI.
L'applicazione di pagamentu Viking ùn furnisce micca i seguenti à l'utilizatori finali:
· Opzione configurabile per accede à e dati sensittivi
21
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· Opzione configurabile per mudificà i meccanismi per prutege e dati sensittivi
· accessu remoto à l'applicazione
· aghjurnamenti remoti di l'applicazione
· Opzione configurabile per mudificà i paràmetri predeterminati di l'applicazione
U software usa solu a funzione (s) di generazione di numeri aleatorii inclusi in a valutazione di u dispositivu PTS di u terminal di pagamentu per tutte l'operazioni criptografiche chì implicanu dati sensittivi o funzioni sensittivi induve i valori aleatorii sò richiesti è ùn implementa micca u so propiu.
Viking ùn usa micca alcun RNG (generatore di numeri aleatorii) per e so funzioni di criptografia.
L'applicazione Viking ùn genera nè aduprate numeri aleatorii per e funzioni criptografiche.
funzione(e) di generazione di numeri aleatori.
L'integrità di u software prompt files hè prutetta in cunfurmità cù Control Objective B.2.8.
Tutti i schermi di prompt in u terminal Viking sò codificati in l'applicazione è senza prompt files sò prisenti fora di l'applicazione.
Nisun promptatu files fora di l'applicazione di pagamentu Viking esiste, tutte l'infurmazioni necessarii sò generati da l'applicazione.
A guida di implementazione include struzzioni per i stakeholders per firmà criptograficamente tutti i prompt files.
Tutti i prughjetti chì mostranu nantu à u terminal Viking sò codificati in l'appiecazione è nisun prompt files sò prisenti fora di l'applicazione.
Nisun promptatu files fora di l'applicazione di pagamentu Viking esiste, tutte l'infurmazioni necessarii sò generati da l'applicazione
22
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
15. PCI Secure Software Standard Requirements Reference
Capìtuli in stu ducumentu 2. Applicazione di Pagamentu Secure
Requisiti standard di u software PCI Secure
B.2.1 6.1 12.1 12.1.b
Requisiti PCI DSS
2.2.3
3. Software Remote Secure
11.1
Aghjurnamenti
11.2
12.1
1 & 12.3.9 2, 8 è 10
4. Eliminazione sicura di Dati Sensibili è Prutezzione di Dati di titulari di carte
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Autentificazione è Cuntrolli di Accessu 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 è 8.2 8.1 è 8.2
Logging
3.6
10.1
8.1
10.5.3
8.3
Rete wireless
4.1
1.2.3 & 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1
Segmentazione di a Rete Accessu Remote Trasmissione di Dati di i Titulari di Carta
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Metodologia di versione Viking
11.2 12.1.b
Istruzzioni per i clienti nantu à 11.1
installazione sicura di patch è 11.2
aghjurnamenti.
12.1
23
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
16. Glossary of Terms
TERM Dati di titolari di carta
DUKPT
3DES Merchant SSF
PA-QSA
DEFINIZIONE
Striscia magnetica cumpleta o PAN più una di e seguenti: · Nome di u titulare di a carta · Data di scadenza · Codice di serviziu
Derived Unique Key Per Transaction (DUKPT) hè un schema di gestione chjave in quale per ogni transazzione, una chjave unica hè aduprata chì hè derivata da una chjave fissa. Dunque, se una chjave derivata hè cumprumessa, i dati di transazzione futura è passata sò sempre prutetti, postu chì e chjave dopu o prima ùn ponu esse determinate facilmente.
In a criptografia, Triple DES (3DES o TDES), ufficialmente l'Algoritmu di Criptazione di Dati Triple (TDEA o Triple DEA), hè un cifru di bloccu di chjave simmetrica, chì applica l'algoritmu di cifru DES trè volte à ogni bloccu di dati.
L'utente finale è l'acquirente di u pruduttu Viking.
U PCI Software Security Framework (SSF) hè una cullizzioni di standard è prugrammi per u disignu è u sviluppu sicuru di u software di pagamentu. A sicurezza di u software di pagamentu hè una parte cruciale di u flussu di transazzione di pagamentu è hè essenziale per facilità transazzione di pagamentu affidabile è precisa.
Applicazione di Pagamentu Assessori di Sicurezza qualificati. Cumpagnia QSA chì furnisce servizii à i venditori di applicazioni di pagamentu per cunvalidà l'applicazioni di pagamentu di i venditori.
SAD (dati di autenticazione sensibili)
L'infurmazioni relative à a sicurità (Codici / Valori di Validazione di Carta, dati di traccia cumpletu, PIN, è Blocchi PIN) utilizati per autentificà i titulari di carte, chì si prisentanu in testu chjaru o altrimenti senza prutezzione. A divulgazione, a mudificazione, o a distruzzione di sta informazione puderia cumprumette a sicurità di un dispositivu criptograficu, sistema d'infurmazione, o infurmazione di u titolu di carta o puderia esse aduprata in una transazzione fraudulenta. I Dati di Autentificazione Sensibili ùn devenu mai esse guardati quandu una transazzione hè finita.
Viking HSM
A piattaforma software utilizata da Nets per u sviluppu di l'applicazioni per u mercatu europeu.
Modulu di sicurità di hardware
24
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
17. Document Control
Auteur du document, Reviewers è Approvatori
Descrizzione SSA Development Compliance Manager System Architect QA Product Owner Product Manager Product Manager Engineering Director
Funzione Reviewè l'autore Reviewer & Approvatore Reviewer & Approvatore Reviewer & Approvatore Reviewer & Approver Manager Manager
Name Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Riassuntu di i cambiamenti
Numero di versione 1.0
1.0
1.1
Data di a versione 03-08-2022
15-09-2022
20-12-2022
Natura di u cambiamentu
Prima Versione per PCI-Secure Software Standard
A sezione 14 aghjurnata cù l'obiettivi di cuntrollu micca applicabili cù a so ghjustificazione
Sezzioni aghjurnata 2.1.2 è 2.2
cù Self4000.
Sguassatu
Link2500 (versione PTS 4.x) da u
lista di terminali supportati
Cambia l'autore Aruna Panicker Aruna Panicker
Aruna Panicker
Reviewer
Data Appruvata
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Sezione aghjurnata 2.2 cù Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) per cuntinuà u supportu
per stu tipu di terminal.
1.2
20-03-2023 Sezione aghjurnata 2.1.1 cù u lettone Aruna Panicker Shamsher Singh 21-04-23
è terminale lituana profiles.
È 2.1.2 cù cumunicazione BT-iOS-
supportu di tipu tion
2.0
03-08-2023 Versione versione versione aghjurnata à Aruna Panicker Shamsher Singh 13-09-23
2.00 in header/footers.
A sezione aghjurnata 2.2 cù novu
Move3500 hardware è firmware
versioni. A sezione 11 aghjurnata per
"Metudulugia di Versione Viking".
A sezione aghjurnata 1.3 cù l'ultime
versione di u requisitu PCI SSS
guida. A sezione aghjurnata 2.2 per sup-
terminali portati rimossi insupportati
versioni hardware portate da u
lista.
2.0
16-11-2023 Actualizazione visuale (CVI).
Leyla Avsar
Arno Ekström 16-11-23
25
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
Lista di distribuzione
Nome Dipartimentu Terminal Management Product Management
Sviluppu di Funzioni, Test, Gestione di Prughjetti, Squadra di Gestione di Produttu di Terminale di Conformità, Pruduttu Manager di Conformità
Approvazioni di documenti
Nome Arto Kangas
Funzione Pruprietariu di u produttu
Document Review Piani
Stu documentu serà rivieweditatu è aghjurnatu, se necessariu, cum'è definitu quì sottu:
· Cum'è necessariu per correggere o rinfurzà u cuntenutu di l'infurmazioni · Dopu à ogni cambiamentu di l'urganisazione o ristrutturazione · Dopu à un annuview · Dopu a sfruttamentu di una vulnerabilità · Dopu novi infurmazioni / esigenze riguardanti vulnerabili pertinenti
26
PCI-Secure Software Standard Vendor Implementation Guide v2.0 per Viking Terminal 2.00
Documenti / Risorse
 |
nets PCI-Secure Software Standard [pdfGuida di l'utente PCI-Secure Software Standard, PCI-Secure, Software Standard, Software |
