Πρότυπο λογισμικό PCI-Secure
Πληροφορίες προϊόντος: Τυπικός προμηθευτής λογισμικού PCI-Secure
Οδηγός υλοποίησης για το Viking Terminal 2.00
Προδιαγραφές
Έκδοση: 2.0
1. Εισαγωγή και πεδίο εφαρμογής
1.1 Εισαγωγή
Ο Οδηγός υλοποίησης τυπικού προμηθευτή λογισμικού PCI-Secure
παρέχει οδηγίες για την εφαρμογή του λογισμικού στο Viking
Τερματικό 2.00.
1.2 Πλαίσιο ασφαλείας λογισμικού (SSF)
Το Πλαίσιο Ασφαλείας Λογισμικού (SSF) διασφαλίζει την ασφαλή πληρωμή
εφαρμογή στο Viking Terminal 2.00.
1.3 Οδηγός υλοποίησης προμηθευτή λογισμικού – Διανομή και
Ενημερώσεις
Αυτός ο οδηγός περιλαμβάνει πληροφορίες για τη διανομή και τις ενημερώσεις
του Οδηγού υλοποίησης προμηθευτή λογισμικού για το τερματικό Viking
2.00.
2. Αίτηση Ασφαλούς Πληρωμής
2.1 Α/Α εφαρμογής
Το λογισμικό εφαρμογής ασφαλών πληρωμών εξασφαλίζει ασφάλεια
επικοινωνία με τον κεντρικό υπολογιστή πληρωμών και το ECR.
2.1.1 Επικοινωνία κεντρικού υπολογιστή πληρωμής Ρύθμιση παραμέτρου TCP/IP
Αυτή η ενότητα παρέχει οδηγίες για τη ρύθμιση του TCP/IP
παραμέτρους επικοινωνίας με τον κεντρικό υπολογιστή πληρωμών.
2.1.2 Επικοινωνία ECR
Αυτή η ενότητα παρέχει οδηγίες για την επικοινωνία με το
ECR (Ηλεκτρονική Ταμειακή Μηχανή).
2.1.3 Επικοινωνία προς φιλοξενία μέσω ECR
Αυτή η ενότητα εξηγεί πώς να δημιουργήσετε επικοινωνία με το
κεντρικός υπολογιστής πληρωμής χρησιμοποιώντας το ECR.
2.2 Υποστηριζόμενο υλικό(α) τερματικού
Η εφαρμογή ασφαλούς πληρωμής υποστηρίζει το Viking Terminal 2.00
μηχανήματα υπολογιστών.
2.3 Πολιτικές ασφαλείας
Αυτή η ενότητα περιγράφει τις πολιτικές ασφαλείας που πρέπει να είναι
ακολουθείται κατά τη χρήση της εφαρμογής ασφαλούς πληρωμής.
3. Ασφαλής απομακρυσμένη ενημέρωση λογισμικού
3.1 Δυνατότητα εφαρμογής εμπόρου
Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τη δυνατότητα εφαρμογής του ασφαλούς
απομακρυσμένες ενημερώσεις λογισμικού για εμπόρους.
3.2 Πολιτική αποδεκτής χρήσης
Αυτή η ενότητα περιγράφει την αποδεκτή πολιτική χρήσης για ασφάλεια
απομακρυσμένες ενημερώσεις λογισμικού.
3.3 Προσωπικό τείχος προστασίας
Οδηγίες για τη διαμόρφωση του προσωπικού τείχους προστασίας ώστε να επιτρέπει
Σε αυτήν την ενότητα παρέχονται ασφαλείς απομακρυσμένες ενημερώσεις λογισμικού.
3.4 Διαδικασίες απομακρυσμένης ενημέρωσης
Αυτή η ενότητα εξηγεί τις διαδικασίες για τη διεξαγωγή ασφαλούς
απομακρυσμένες ενημερώσεις λογισμικού.
4. Ασφαλής Διαγραφή Ευαίσθητων Δεδομένων και Προστασία Αποθηκευμένων
Στοιχεία κατόχου κάρτας
4.1 Δυνατότητα εφαρμογής εμπόρου
Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τη δυνατότητα εφαρμογής του ασφαλούς
διαγραφή ευαίσθητων δεδομένων και προστασία των αποθηκευμένων δεδομένων κατόχου της κάρτας
για εμπόρους.
4.2 Οδηγίες Ασφαλούς Διαγραφής
Παρέχονται οδηγίες για την ασφαλή διαγραφή ευαίσθητων δεδομένων
σε αυτή την ενότητα.
4.3 Τοποθεσίες των αποθηκευμένων δεδομένων κατόχου κάρτας
Αυτή η ενότητα παραθέτει τις τοποθεσίες όπου αποθηκεύονται τα δεδομένα κατόχου κάρτας
και παρέχει οδηγίες για την προστασία του.
Αυτή η ενότητα εξηγεί τις διαδικασίες για τον χειρισμό της αναβολής
συναλλαγές εξουσιοδότησης με ασφάλεια.
4.5 Διαδικασίες αντιμετώπισης προβλημάτων
Οδηγίες για την αντιμετώπιση προβλημάτων που σχετίζονται με την ασφάλεια
η διαγραφή και η προστασία των αποθηκευμένων δεδομένων κατόχου κάρτας παρέχονται στο
αυτό το τμήμα.
4.6 Θέσεις PAN – Εμφανίζονται ή εκτυπώνονται
Αυτή η ενότητα προσδιορίζει τις τοποθεσίες όπου το PAN (Κύριος Λογαριασμός
Number) εμφανίζεται ή εκτυπώνεται και παρέχει οδηγίες για την ασφάλιση
το.
4.7 Προτροπή files
Οδηγίες για τη διαχείριση προτροπής files με ασφάλεια παρέχονται μέσα
αυτό το τμήμα.
4.8 Διαχείριση κλειδιών
Αυτή η ενότητα εξηγεί τις βασικές διαδικασίες διαχείρισης για τη διασφάλιση
την ασφάλεια των αποθηκευμένων δεδομένων κατόχου της κάρτας.
4.9 Επανεκκίνηση '24 HR'
Οδηγίες για την πραγματοποίηση επανεκκίνησης «24 HR» για τη διασφάλιση του συστήματος
ασφάλεια παρέχονται σε αυτή την ενότητα.
4.10 Λευκή λίστα
Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τη λίστα επιτρεπόμενων και τις
σημασία για τη διατήρηση της ασφάλειας του συστήματος.
5. Έλεγχος ταυτότητας και στοιχεία ελέγχου πρόσβασης
Αυτή η ενότητα καλύπτει μέτρα ελέγχου ταυτότητας και ελέγχου πρόσβασης
για τη διασφάλιση της ασφάλειας του συστήματος.
Συχνές Ερωτήσεις (FAQ)
Ε: Ποιος είναι ο σκοπός του προτύπου λογισμικού PCI-Secure
Οδηγός υλοποίησης προμηθευτή;
Α: Ο οδηγός παρέχει οδηγίες για την εφαρμογή ασφαλών πληρωμών
λογισμικό εφαρμογής στο Viking Terminal 2.00.
Ε: Ποιο υλικό τερματικού υποστηρίζεται από την ασφαλή πληρωμή
εφαρμογή;
Α: Η εφαρμογή ασφαλούς πληρωμής υποστηρίζει το Viking Terminal
2.00 υλικό.
Ε: Πώς μπορώ να διαγράψω με ασφάλεια ευαίσθητα δεδομένα;
Α: Οι οδηγίες για την ασφαλή διαγραφή ευαίσθητων δεδομένων είναι
παρέχεται στην ενότητα 4.2 του οδηγού.
Ε: Ποια είναι η σημασία της επιτρεπόμενης λίστας;
Α: Η εγγραφή στη λίστα επιτρεπόμενων διαδραματίζει κρίσιμο ρόλο στη διατήρηση του συστήματος
ασφάλεια επιτρέποντας την εκτέλεση μόνο εγκεκριμένων εφαρμογών.
Αυτό το περιεχόμενο ταξινομείται ως Εσωτερικό
Νετς Δανίας A/S:
PCI-Secure Software Standard Software Vendor Implementation Guide for Viking terminal 2.00
Έκδοση 2.0
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00 1 1
Περιεχόμενα
1. Εισαγωγή και πεδίο εφαρμογής ………………………………………………………………………… 3
1.1
Εισαγωγή ………………………………………………………………………………………. 3
1.2
Πλαίσιο Ασφαλείας Λογισμικού (SSF)……………………………………………………. 3
1.3
Οδηγός υλοποίησης προμηθευτή λογισμικού – Διανομή και ενημερώσεις …… 3
2. Αίτηση Ασφαλούς Πληρωμής…………………………………………………………………… 4
2.1
Α/Α εφαρμογή …………………………………………………………………………………… 4
2.1.1 Επικοινωνία κεντρικού υπολογιστή πληρωμής Ρύθμιση παραμέτρου TCP/IP ……………………….. 4
2.1.2 Επικοινωνία ECR…………………………………………………………………………. 5
2.1.3 Επικοινωνία προς φιλοξενία μέσω ECR…………………………………………………………. 5
2.2
Υποστηριζόμενο υλικό(α) τερματικού……………………………………………………….. 6
2.3
Πολιτικές Ασφαλείας……………………………………………………………………………… 7
3. Ασφαλής Απομακρυσμένη Ενημέρωση Λογισμικού …………………………………………………………. 8
3.1
Δυνατότητα εφαρμογής εμπόρου………………………………………………………………………… 8
3.2
Πολιτική αποδεκτής χρήσης ………………………………………………………………………… 8
3.3
Προσωπικό Τείχος προστασίας………………………………………………………………………………… 8
3.4
Διαδικασίες απομακρυσμένης ενημέρωσης ………………………………………………………………………
4. Ασφαλής Διαγραφή Ευαίσθητων Δεδομένων και Προστασία Αποθηκευμένων Δεδομένων Κατόχου Κάρτας9
4.1
Δυνατότητα εφαρμογής εμπόρου………………………………………………………………………… 9
4.2
Οδηγίες ασφαλούς διαγραφής………………………………………………………………… 9
4.3
Τοποθεσίες των αποθηκευμένων δεδομένων κατόχου κάρτας…………………………………………………….. 9
4.4
Συναλλαγή αναβαλλόμενης εξουσιοδότησης …………………………………………………… 10
4.5
Διαδικασίες αντιμετώπισης προβλημάτων ……………………………………………………………… 10
4.6
Τοποθεσίες PAN – Εμφανίζονται ή εκτυπώνονται …………………………………………………… 10
4.7
Ταχύς files ………………………………………………………………………………….. 11
4.8
Διαχείριση κλειδιών …………………………………………………………………………………… 11
4.9
Επανεκκίνηση «24 HR» ……………………………………………………………………………… 12
4.10 Λίστα επιτρεπόμενων ……………………………………………………………………………………… 12
5. Έλεγχος ταυτότητας και έλεγχοι πρόσβασης …………………………………………………… 13
5.1
Έλεγχος πρόσβασης…………………………………………………………………………………………. 13
5.2
Στοιχεία ελέγχου κωδικού πρόσβασης …………………………………………………………………………… 15
6. Καταγραφή ………………………………………………………………………………………….. 15
6.1
Δυνατότητα εφαρμογής εμπόρου………………………………………………………………………. 15
6.2
Διαμόρφωση ρυθμίσεων αρχείου καταγραφής ……………………………………………………………………. 15
6.3
Κεντρική Καταγραφή……………………………………………………………………………………………………………………………………………………………
6.3.1 Ενεργοποίηση καταγραφής ίχνους στο τερματικό ……………………………………………………………… 15
6.3.2 Αποστολή αρχείων καταγραφής ιχνών στον κεντρικό υπολογιστή …………………………………………………………………………… 15
6.3.3 Απομακρυσμένη καταγραφή ιχνών……………………………………………………………………………. 16
6.3.4 Απομακρυσμένη καταγραφή σφαλμάτων………………………………………………………………………………. 16
7. Ασύρματα δίκτυα …………………………………………………………………………………… 16
7.1
Δυνατότητα εφαρμογής εμπόρου………………………………………………………………………. 16
7.2
Προτεινόμενες διαμορφώσεις ασύρματης σύνδεσης ……………………………………………… 16
8. Τμηματοποίηση Δικτύου …………………………………………………………………….. 17
8.1
Δυνατότητα εφαρμογής εμπόρου………………………………………………………………………. 17
9. Απομακρυσμένη πρόσβαση ……………………………………………………………………………………… 17
9.1
Δυνατότητα εφαρμογής εμπόρου………………………………………………………………………. 17
10.
Διαβίβαση ευαίσθητων δεδομένων ………………………………………………………….. 17
10.1 Διαβίβαση ευαίσθητων δεδομένων ……………………………………………………………… 17
10.2 Κοινή χρήση ευαίσθητων δεδομένων με άλλο λογισμικό ……………………………………………….. 17
10.3 Email και ευαίσθητα δεδομένα …………………………………………………………………… 17
10.4 Πρόσβαση διαχειριστή χωρίς κονσόλα ……………………………………………………. 17
11.
Μεθοδολογία Viking Versioning………………………………………………………. 18
12.
Οδηγίες σχετικά με την ασφαλή εγκατάσταση των ενημερώσεων κώδικα και ενημερώσεων. ……………. 18
13.
Ενημερώσεις έκδοσης Viking ……………………………………………………………………. 19
14.
Μη-Ισχύουσες απαιτήσεις ………………………………………………………………. 19
15.
Αναφορά τυπικών απαιτήσεων λογισμικού PCI Secure ……………………… 23
16.
Λεξικό όρων ………………………………………………………………………. 24
17.
Έλεγχος εγγράφων…………………………………………………………………………………………………………………………………………
2
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
1. Εισαγωγή και πεδίο εφαρμογής
1.1 Εισαγωγή
Ο σκοπός αυτού του Οδηγού Εφαρμογής Προμηθευτών Προτύπων Λογισμικού PCI-Secure είναι να παρέχει στους ενδιαφερόμενους σαφείς και εμπεριστατωμένες οδηγίες σχετικά με την ασφαλή υλοποίηση, διαμόρφωση και λειτουργία του λογισμικού Viking. Ο οδηγός καθοδηγεί τους εμπόρους σχετικά με τον τρόπο εφαρμογής της εφαρμογής Viking της Nets στο περιβάλλον τους με τρόπο συμβατό με το πρότυπο PCI Secure Software. Ωστόσο, δεν προορίζεται να είναι ένας πλήρης οδηγός εγκατάστασης. Η εφαρμογή Viking, εάν εγκατασταθεί σύμφωνα με τις οδηγίες που τεκμηριώνονται εδώ, θα πρέπει να διευκολύνει και να υποστηρίζει τη συμμόρφωση με το PCI ενός εμπόρου.
1.2 Πλαίσιο ασφαλείας λογισμικού (SSF)
Το PCI Software Security Framework (SSF) είναι μια συλλογή προτύπων και προγραμμάτων για την ασφαλή σχεδίαση και ανάπτυξη λογισμικού εφαρμογών πληρωμών. Το SSF αντικαθιστά το Πρότυπο Ασφάλειας Δεδομένων Εφαρμογής Πληρωμών (PA-DSS) με σύγχρονες απαιτήσεις που υποστηρίζουν ένα ευρύτερο φάσμα τύπων λογισμικού πληρωμών, τεχνολογιών και μεθοδολογιών ανάπτυξης. Παρέχει στους προμηθευτές πρότυπα ασφαλείας όπως το PCI Secure Software Standard για την ανάπτυξη και τη συντήρηση λογισμικού πληρωμών, έτσι ώστε να προστατεύει τις συναλλαγές πληρωμών και τα δεδομένα, να ελαχιστοποιεί τα τρωτά σημεία και να προστατεύεται από επιθέσεις.
1.3 Οδηγός υλοποίησης προμηθευτή λογισμικού – Διανομή και ενημερώσεις
Αυτός ο Οδηγός Εφαρμογής Τυποποιημένου Προμηθευτή Λογισμικού Ασφαλούς Λογισμικού PCI θα πρέπει να διανεμηθεί σε όλους τους σχετικούς χρήστες εφαρμογών, συμπεριλαμβανομένων των εμπόρων. Θα πρέπει να ενημερώνεται τουλάχιστον ετησίως και μετά από αλλαγές στο λογισμικό. Η ετήσια ρεview και η ενημέρωση θα πρέπει να περιλαμβάνει νέες αλλαγές λογισμικού καθώς και αλλαγές στο Secure Software Standard.
Η Nets δημοσιεύει πληροφορίες σχετικά με τη λίστα webιστότοπο εάν υπάρχουν ενημερώσεις στον οδηγό υλοποίησης.
Webιστότοπος: https://support.nets.eu/
Για Πχample: Ο Οδηγός Εφαρμογής Προμηθευτών Λογισμικού Nets PCI-Secure Standard Software θα διανεμηθεί σε όλους τους πελάτες, τους μεταπωλητές και τους ενοποιητές. Οι πελάτες, οι μεταπωλητές και οι ολοκληρωμένοι θα ειδοποιηθούν από το reviews και ενημερώσεις.
Μπορείτε επίσης να λάβετε ενημερώσεις στον Οδηγό υλοποίησης τυπικού λογισμικού προμηθευτή λογισμικού PCI-Secure, επικοινωνώντας απευθείας με τη Nets.
Αυτός ο Οδηγός Εφαρμογής Προμηθευτής Προτύπων Λογισμικού PCI-Secure αναφέρεται τόσο στο Πρότυπο λογισμικού PCI-Secure όσο και στις απαιτήσεις PCI. Οι ακόλουθες εκδόσεις αναφέρονται σε αυτόν τον οδηγό.
· PCI-Secure-Software-Standard-v1_2_1
3
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
2. Αίτηση Ασφαλούς Πληρωμής
2.1 Α/Α εφαρμογής
Οι εφαρμογές πληρωμής Viking δεν χρησιμοποιούν εξωτερικό λογισμικό ή υλικό που δεν ανήκει στην ενσωματωμένη εφαρμογή Viking. Όλα τα εκτελέσιμα S/W που ανήκουν στην εφαρμογή πληρωμής Viking είναι ψηφιακά υπογεγραμμένα με το κιτ υπογραφής Tetra που παρέχεται από την Ingenico.
· Το τερματικό επικοινωνεί με τον κεντρικό υπολογιστή Nets χρησιμοποιώντας TCP/IP, είτε μέσω Ethernet, GPRS, Wi-Fi, είτε μέσω του PC-LAN που εκτελεί την εφαρμογή POS. Επίσης, το τερματικό μπορεί να επικοινωνεί με τον κεντρικό υπολογιστή μέσω κινητού με συνδεσιμότητα Wi-Fi ή GPRS.
Τα τερματικά Viking διαχειρίζονται όλη την επικοινωνία χρησιμοποιώντας το στοιχείο επιπέδου σύνδεσης Ingenico. Αυτό το στοιχείο είναι μια εφαρμογή που έχει φορτωθεί στο τερματικό. Το Link Layer μπορεί να διαχειριστεί πολλές επικοινωνίες ταυτόχρονα χρησιμοποιώντας διαφορετικά περιφερειακά (μόντεμ και σειριακή θύρα για π.χ.ample).
Προς το παρόν υποστηρίζει τα ακόλουθα πρωτόκολλα:
· Φυσική: RS232, εσωτερικό μόντεμ, εξωτερικό μόντεμ (μέσω RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G και 4G.
· Σύνδεσμος δεδομένων: SDLC, PPP. · Δίκτυο: IP. · Μεταφορά: TCP.
Το τερματικό αναλαμβάνει πάντα την πρωτοβουλία για την πραγματοποίηση της επικοινωνίας προς τον οικοδεσπότη του δικτύου. Δεν υπάρχει διακομιστής TCP/IP S/W στο τερματικό και το τερματικό S/W δεν ανταποκρίνεται ποτέ σε εισερχόμενες κλήσεις.
Όταν ενσωματώνεται με μια εφαρμογή POS σε υπολογιστή, το τερματικό μπορεί να ρυθμιστεί ώστε να επικοινωνεί μέσω του PC-LAN που εκτελεί την εφαρμογή POS χρησιμοποιώντας RS232, USB ή Bluetooth. Ακόμα όλες οι λειτουργίες της εφαρμογής πληρωμής εκτελούνται στο τερματικό S/W.
Το πρωτόκολλο εφαρμογής (και η εφαρμοσμένη κρυπτογράφηση) είναι διαφανές και ανεξάρτητο από τον τύπο επικοινωνίας.
2.2 Επικοινωνία κεντρικού υπολογιστή πληρωμής Ρύθμιση παραμέτρου TCP/IP
4
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
2.3 Επικοινωνία ECR
· Σειριακή RS232 · Σύνδεση USB · Ρύθμιση παραμέτρων TCP/IP, γνωστή και ως ECR μέσω IP
· Επιλογές επικοινωνίας κεντρικού υπολογιστή/ECR στην εφαρμογή πληρωμής Viking
· Διαμόρφωση παραμέτρων του Net Cloud ECR (Connect@Cloud).
2.4 Επικοινωνία προς φιλοξενία μέσω ECR
Σημείωση: Ανατρέξτε στην ενότητα "2.1.1- Ρύθμιση παραμέτρου TCP/IP επικοινωνίας κεντρικού υπολογιστή πληρωμής" για θύρες TCP/IP συγκεκριμένης χώρας.
5
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
2.5 Υποστηριζόμενο υλικό(α) τερματικού
Η εφαρμογή πληρωμής Viking υποστηρίζεται σε διάφορες συσκευές Ingenico επικυρωμένες με PTS (ασφάλεια συναλλαγών PIN). Η λίστα του υλικού τερματικού μαζί με τον αριθμό έγκρισης PTS δίνεται παρακάτω.
Τύποι τερματικών Tetra
Υλικό τερματικού
Λωρίδα 3000
PTS
Έγκριση PTS
αριθμός έκδοσης
5.χ
4-30310
Έκδοση υλικού PTS
LAN30EA LAN30AA
Γραφείο 3500
5.χ
4-20321
DES35BB
Μετακίνηση 3500
5.χ
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Σύνδεσμος 2500
Link2500 Self4000
4.χ
4-30230
5.χ
4-30326
5.χ
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
Έκδοση υλικολογισμικού PTS
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
2.6 Πολιτικές ασφαλείας
Η εφαρμογή πληρωμής Viking συμμορφώνεται με όλες τις ισχύουσες πολιτικές ασφαλείας που καθορίζονται από την Ingenico. Για γενικές πληροφορίες, αυτοί είναι οι σύνδεσμοι προς τις πολιτικές ασφαλείας για διαφορετικά τερματικά Tetra:
Τύπος τερματικού
Link2500 (v4)
Έγγραφο Πολιτικής Ασφαλείας Link/2500 Πολιτική Ασφαλείας PCI PTS (pcisecuritystandards.org)
Link2500 (v5)
Πολιτική Ασφαλείας PCI PTS (pcisecuritystandards.org)
Γραφείο 3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Μετακίνηση3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Λωρίδα 3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self4000
Πολιτική ασφαλείας Self/4000 PCI PTS (pcisecuritystandards.org)
7
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
3. Ασφαλής απομακρυσμένη ενημέρωση λογισμικού
3.1 Δυνατότητα εφαρμογής εμπόρου
Η Nets παρέχει με ασφάλεια ενημερώσεις εφαρμογών πληρωμής Viking εξ αποστάσεως. Αυτές οι ενημερώσεις πραγματοποιούνται στο ίδιο κανάλι επικοινωνίας με τις ασφαλείς συναλλαγές πληρωμής και ο έμπορος δεν απαιτείται να κάνει αλλαγές σε αυτήν τη διαδρομή επικοινωνίας για συμμόρφωση.
Για γενικές πληροφορίες, οι έμποροι θα πρέπει να αναπτύξουν μια αποδεκτή πολιτική χρήσης για κρίσιμες τεχνολογίες που αντιμετωπίζουν οι εργαζόμενοι, σύμφωνα με τις παρακάτω οδηγίες για VPN ή άλλες συνδέσεις υψηλής ταχύτητας, οι ενημερώσεις λαμβάνονται μέσω τείχους προστασίας ή προσωπικού τείχους προστασίας.
3.2 Πολιτική αποδεκτής χρήσης
Ο έμπορος θα πρέπει να αναπτύξει πολιτικές χρήσης για κρίσιμες τεχνολογίες που αντιμετωπίζουν οι εργαζόμενοι, όπως μόντεμ και ασύρματες συσκευές. Αυτές οι πολιτικές χρήσης πρέπει να περιλαμβάνουν:
· Ρητή έγκριση διαχείρισης για χρήση. · Έλεγχος ταυτότητας για χρήση. · Μια λίστα με όλες τις συσκευές και το προσωπικό με πρόσβαση. · Επισήμανση των συσκευών με τον ιδιοκτήτη. · Στοιχεία επικοινωνίας και σκοπός. · Αποδεκτές χρήσεις της τεχνολογίας. · Αποδεκτές τοποθεσίες δικτύου για τις τεχνολογίες. · Λίστα εγκεκριμένων προϊόντων της εταιρείας. · Επιτρέπεται η χρήση μόντεμ για προμηθευτές μόνο όταν χρειάζεται και η απενεργοποίηση μετά τη χρήση. · Απαγόρευση αποθήκευσης δεδομένων κατόχου κάρτας σε τοπικά μέσα όταν είναι απομακρυσμένα συνδεδεμένα.
3.3 Προσωπικό τείχος προστασίας
Οποιεσδήποτε συνδέσεις "πάντα ενεργές" από έναν υπολογιστή σε ένα VPN ή άλλη σύνδεση υψηλής ταχύτητας θα πρέπει να ασφαλίζονται χρησιμοποιώντας ένα προσωπικό προϊόν τείχους προστασίας. Το τείχος προστασίας έχει ρυθμιστεί από τον οργανισμό ώστε να πληροί συγκεκριμένα πρότυπα και δεν μπορεί να τροποποιηθεί από τον υπάλληλο.
3.4 Διαδικασίες απομακρυσμένης ενημέρωσης
Υπάρχουν δύο τρόποι για να ενεργοποιήσετε το τερματικό για να επικοινωνήσετε με το κέντρο λογισμικού Nets για ενημερώσεις:
1. Είτε χειροκίνητα μέσω μιας επιλογής μενού στο τερματικό (σύρετε την κάρτα εμπόρου, επιλέξτε το μενού 8 «Λογισμικό», 1 «Λήψη λογισμικού») ή Εκκίνηση κεντρικού υπολογιστή.
2. Χρήση της μεθόδου Host initiated. το τερματικό λαμβάνει αυτόματα μια εντολή από τον κεντρικό υπολογιστή αφού πραγματοποιήσει μια οικονομική συναλλαγή. Η εντολή λέει στο τερματικό να επικοινωνήσει με το κέντρο λογισμικού Nets για να ελέγξει για ενημερώσεις.
Μετά από μια επιτυχημένη ενημέρωση λογισμικού, ένα τερματικό με ενσωματωμένο εκτυπωτή θα εκτυπώσει μια απόδειξη με πληροφορίες για τη νέα έκδοση.
Οι ενοποιητές τερματικών, οι συνεργάτες ή/και η ομάδα τεχνικής υποστήριξης της Nets θα έχουν την ευθύνη να ενημερώνουν τους εμπόρους για την ενημέρωση, συμπεριλαμβανομένου του συνδέσμου προς τον ενημερωμένο οδηγό υλοποίησης και των σημειώσεων έκδοσης.
Εκτός από την απόδειξη μετά την ενημέρωση λογισμικού, η εφαρμογή πληρωμής Viking μπορεί επίσης να επικυρωθεί μέσω του Terminal Info πατώντας το πλήκτρο «F3» στο τερματικό.
8
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
4. Ασφαλής Διαγραφή Ευαίσθητων Δεδομένων και Προστασία Αποθηκευμένων Δεδομένων Κατόχου Κάρτας
4.1 Δυνατότητα εφαρμογής εμπόρου
Η εφαρμογή πληρωμής Viking δεν αποθηκεύει δεδομένα μαγνητικής λωρίδας, τιμές ή κωδικούς επικύρωσης καρτών, δεδομένα μπλοκ PIN ή PIN, υλικό κρυπτογράφησης κλειδιού ή κρυπτογραφήματα από τις προηγούμενες εκδόσεις της.
Για να είναι συμβατός με το PCI, ένας έμπορος πρέπει να έχει μια πολιτική διατήρησης δεδομένων που να καθορίζει πόσο καιρό θα διατηρούνται τα δεδομένα του κατόχου της κάρτας. Η εφαρμογή πληρωμής Viking διατηρεί δεδομένα κατόχου κάρτας ή/και ευαίσθητα δεδομένα ελέγχου ταυτότητας της τελευταίας συναλλαγής και σε περίπτωση που υπάρχουν συναλλαγές εκτός σύνδεσης ή αναβληθείσες συναλλαγές εξουσιοδότησης ενώ ταυτόχρονα τηρεί τη συμμόρφωση με το Πρότυπο PCI-Secure Software, επομένως μπορεί να εξαιρεθεί από πολιτική διατήρησης δεδομένων κατόχου κάρτας του εμπόρου.
4.2 Οδηγίες Ασφαλούς Διαγραφής
Το τερματικό δεν αποθηκεύει ευαίσθητα δεδομένα ελέγχου ταυτότητας. full track2, CVC, CVV ή PIN, ούτε πριν ούτε μετά την εξουσιοδότηση. εκτός από τις συναλλαγές Αναβαλλόμενης Εξουσιοδότησης, οπότε τα κρυπτογραφημένα ευαίσθητα δεδομένα ελέγχου ταυτότητας (πλήρη δεδομένα track2) αποθηκεύονται μέχρι να ολοκληρωθεί η εξουσιοδότηση. Μετά την εξουσιοδότηση τα δεδομένα διαγράφονται με ασφάλεια.
Κάθε περίπτωση απαγορευμένων ιστορικών δεδομένων που υπάρχει σε ένα τερματικό θα διαγραφεί αυτόματα με ασφάλεια όταν αναβαθμιστεί η εφαρμογή πληρωμής τερματικού Viking. Η διαγραφή των απαγορευμένων ιστορικών δεδομένων και δεδομένων που αποτελούν πολιτική διατήρησης του παρελθόντος θα γίνει αυτόματα.
4.3 Τοποθεσίες των αποθηκευμένων δεδομένων κατόχου κάρτας
Τα δεδομένα κατόχου κάρτας αποθηκεύονται στο Flash DFS (Δεδομένα File σύστημα) του τερματικού. Τα δεδομένα δεν είναι άμεσα προσβάσιμα από τον έμπορο.
Αποθήκη δεδομένων (file, τραπέζι κ.λπ.)
Στοιχεία δεδομένων κατόχου κάρτας αποθηκευμένα (PAN, λήξη, τυχόν στοιχεία του SAD)
Πώς διασφαλίζεται η αποθήκευση δεδομένων (π.χample, κρυπτογράφηση, έλεγχοι πρόσβασης, περικοπή κ.λπ.)
File: trans.rsd
PAN, Ημερομηνία Λήξης, Κωδικός Service
PAN: Κρυπτογραφημένο 3DES-DUKPT (112 bit)
File: storefwd.rsd PAN, Ημερομηνία λήξης, Κωδικός σέρβις
PAN: Κρυπτογραφημένο 3DES-DUKPT (112 bit)
File: transoff.rsd PAN, Ημερομηνία Λήξης, Κωδικός Σέρβις
PAN: Κρυπτογραφημένο 3DES-DUKPT (112 bit)
File: transorr.rsd Περικομμένο PAN
Περικομμένο (Πρώτα 6, Τελευταία 4)
File: offflrep.dat
Περικομμένο PAN
Περικομμένο (Πρώτα 6, Τελευταία 4)
File: defauth.rsd PAN, Ημερομηνία Λήξης, Κωδικός Σέρβις
PAN: Κρυπτογραφημένο 3DES-DUKPT (112 bit)
File: defauth.rsd Πλήρη δεδομένα track2
Πλήρη δεδομένα Track2: προ-κρυπτογραφημένο 3DES-DUKPT (112 bit)
9
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
4.4 Συναλλαγή με αναβολή εξουσιοδότησης
Η αναβαλλόμενη εξουσιοδότηση εμφανίζεται όταν ένας έμπορος δεν μπορεί να ολοκληρώσει μια εξουσιοδότηση τη στιγμή της συναλλαγής με τον κάτοχο της κάρτας λόγω συνδεσιμότητας, ζητημάτων συστημάτων ή άλλων περιορισμών και, στη συνέχεια, ολοκληρώνει την εξουσιοδότηση όταν είναι σε θέση να το κάνει.
Αυτό σημαίνει ότι μια αναβαλλόμενη εξουσιοδότηση προκύπτει όταν μια ηλεκτρονική εξουσιοδότηση εκτελείται αφού η κάρτα δεν είναι πλέον διαθέσιμη. Καθώς η ηλεκτρονική εξουσιοδότηση των αναβαλλόμενων συναλλαγών εξουσιοδότησης καθυστερεί, οι συναλλαγές θα αποθηκευτούν στο τερματικό έως ότου οι συναλλαγές εγκριθούν επιτυχώς αργότερα όταν το δίκτυο είναι διαθέσιμο.
Οι συναλλαγές αποθηκεύονται και αποστέλλονται αργότερα στον κεντρικό υπολογιστή, όπως πώς αποθηκεύονται οι συναλλαγές εκτός σύνδεσης από σήμερα στην εφαρμογή πληρωμής Viking.
Ο έμπορος μπορεί να ξεκινήσει τη συναλλαγή ως «Αναβαλλόμενη Εξουσιοδότηση» από την Ηλεκτρονική Ταμειακή Μηχανή (ECR) ή μέσω του μενού τερματικού.
Οι συναλλαγές αναβαλλόμενης εξουσιοδότησης μπορούν να μεταφορτωθούν στον κεντρικό υπολογιστή Nets από έμπορο χρησιμοποιώντας τις παρακάτω επιλογές: 1. ECR – Εντολή διαχειριστή – Αποστολή εκτός σύνδεσης (0x3138) 2. Τερματικό – Έμπορος ->2 EOT -> 2 αποστολή στον κεντρικό υπολογιστή
4.5 Διαδικασίες αντιμετώπισης προβλημάτων
Η υποστήριξη Nets δεν θα ζητήσει ευαίσθητο έλεγχο ταυτότητας ή δεδομένα κατόχου κάρτας για σκοπούς αντιμετώπισης προβλημάτων. Η εφαρμογή πληρωμής Viking δεν μπορεί σε καμία περίπτωση να συλλέξει ή να αντιμετωπίσει τα ευαίσθητα δεδομένα.
4.6 Θέσεις PAN – Εμφανίζονται ή εκτυπώνονται
Masked PAN:
· Αποδείξεις χρηματοοικονομικών συναλλαγών: Το Masked PAN είναι πάντα τυπωμένο στην απόδειξη συναλλαγής τόσο για τον κάτοχο της κάρτας όσο και για τον έμπορο. Το καλυμμένο PAN στις περισσότερες περιπτώσεις είναι με * όπου τα πρώτα 6 ψηφία και τα τελευταία 4 ψηφία είναι σε καθαρό κείμενο.
· Αναφορά λίστας συναλλαγών: Η αναφορά λίστας συναλλαγών εμφανίζει τις συναλλαγές που πραγματοποιήθηκαν σε μια περίοδο λειτουργίας. Τα στοιχεία της συναλλαγής περιλαμβάνουν Masked PAN, όνομα εκδότη κάρτας και το ποσό της συναλλαγής.
· Απόδειξη τελευταίας πελάτη: Το αντίγραφο της τελευταίας απόδειξης πελάτη μπορεί να δημιουργηθεί από το μενού αντιγραφής τερματικού. Η απόδειξη πελάτη περιέχει το καλυμμένο PAN ως την αρχική απόδειξη πελάτη. Η δεδομένη συνάρτηση χρησιμοποιείται σε περίπτωση που το τερματικό αποτύχει να δημιουργήσει απόδειξη πελάτη κατά τη διάρκεια της συναλλαγής για οποιονδήποτε λόγο.
Κρυπτογραφημένο PAN:
· Απόδειξη συναλλαγής εκτός σύνδεσης: Η έκδοση απόδειξης λιανικής της συναλλαγής εκτός σύνδεσης περιλαμβάνει κρυπτογραφημένα δεδομένα κατόχου κάρτας Triple DES 112-bit DUKPT (PAN, ημερομηνία λήξης και κωδικός υπηρεσίας).
BAX: 71448400-714484 12/08/2022 10:39
Visa Contactless ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 ΒΟΗΘΗΣΗ: A0000000031010 TVR: 0000000000 Re: 123461 000004 KC000000
10
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Απ.: Υ1 Συνεδρία: 782
ΑΓΟΡΑ
ΝΟΚ
12,00
ΕΓΚΕΚΡΙΜΕΝΟ
ΑΝΤΙΓΡΑΦΟ ΛΙΑΝΙΚΟΥ
Επιβεβαίωση:
Η εφαρμογή πληρωμής Viking κρυπτογραφεί πάντα τα δεδομένα του κατόχου της κάρτας από προεπιλογή για αποθήκευση συναλλαγών εκτός σύνδεσης, μετάδοση προς τον κεντρικό υπολογιστή NETS και για εκτύπωση κρυπτογραφημένων δεδομένων κάρτας στην απόδειξη του λιανοπωλητή για μια συναλλαγή εκτός σύνδεσης.
Επίσης, για να εμφανίσετε ή να εκτυπώσετε το PAN της κάρτας, η εφαρμογή πληρωμής Viking καλύπτει πάντα τα ψηφία PAN με τον αστερίσκο «*» με τα πρώτα 6 + τα τελευταία 4 ψηφία ως προεπιλογή. Η μορφή εκτύπωσης του αριθμού κάρτας ελέγχεται από σύστημα διαχείρισης τερματικού όπου η μορφή εκτύπωσης μπορεί να αλλάξει με αίτημα μέσω κατάλληλου καναλιού και παρουσιάζοντας μια νόμιμη επιχειρηματική ανάγκη, ωστόσο για την εφαρμογή πληρωμής Viking δεν υπάρχει τέτοια περίπτωση.
Example for masked PAN: PAN: 957852181428133823-2
Ελάχιστες πληροφορίες: **************3823-2
Μέγιστες πληροφορίες: 957852********3823-2
4.7 Προτροπή files
Η εφαρμογή πληρωμής Viking δεν παρέχει καμία ξεχωριστή προτροπή files.
Η εφαρμογή πληρωμής Viking ζητά στοιχεία από τον κάτοχο της κάρτας μέσω μηνυμάτων οθόνης που αποτελούν μέρος του συστήματος ανταλλαγής μηνυμάτων στην υπογεγραμμένη εφαρμογή πληρωμής Viking.
Οι προτροπές εμφάνισης για το PIN, το ποσό κ.λπ. εμφανίζονται στο τερματικό και αναμένονται τα στοιχεία του κατόχου της κάρτας. Οι είσοδοι που λαμβάνονται από τον κάτοχο της κάρτας δεν αποθηκεύονται.
4.8 Διαχείριση κλειδιών
Για τη σειρά μοντέλων τερματικών Tetra, όλες οι λειτουργίες ασφαλείας εκτελούνται σε μια ασφαλή περιοχή μιας συσκευής PTS που προστατεύεται από την εφαρμογή πληρωμής.
Η κρυπτογράφηση εκτελείται εντός της ασφαλούς περιοχής ενώ η αποκρυπτογράφηση των κρυπτογραφημένων δεδομένων μπορεί να πραγματοποιηθεί μόνο από τα συστήματα Net Host. Όλη η ανταλλαγή κλειδιών μεταξύ του κεντρικού υπολογιστή Nets, του εργαλείου Key/Inject (για τερματικά Tetra) και του PED γίνεται σε κρυπτογραφημένη μορφή.
Οι διαδικασίες για τη διαχείριση κλειδιών υλοποιούνται από τη Nets σύμφωνα με ένα σχήμα DUKPT χρησιμοποιώντας κρυπτογράφηση 3DES.
Όλα τα κλειδιά και τα βασικά στοιχεία που χρησιμοποιούνται από τα τερματικά της Nets δημιουργούνται χρησιμοποιώντας εγκεκριμένες τυχαίες ή ψευδοτυχαίες διαδικασίες. Τα κλειδιά και τα βασικά εξαρτήματα που χρησιμοποιούνται από τα τερματικά Nets δημιουργούνται από το σύστημα διαχείρισης κλειδιών Nets, το οποίο χρησιμοποιεί εγκεκριμένες μονάδες Thales Payshield HSM για τη δημιουργία κρυπτογραφικών κλειδιών.
11
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Η διαχείριση κλειδιών είναι ανεξάρτητη από τη λειτουργία πληρωμής. Επομένως, η φόρτωση μιας νέας εφαρμογής δεν απαιτεί αλλαγή στη βασική λειτουργικότητα. Ο χώρος κλειδιού τερματικού θα υποστηρίζει περίπου 2,097,152 συναλλαγές. Όταν εξαντληθεί ο χώρος του κλειδιού, το τερματικό Viking σταματά να λειτουργεί και εμφανίζει ένα μήνυμα σφάλματος και, στη συνέχεια, το τερματικό πρέπει να αντικατασταθεί.
4.9 Επανεκκίνηση «24 HR».
Όλα τα τερματικά Viking είναι PCI-PTS 4.x και άνω και, ως εκ τούτου, ακολουθεί την απαίτηση συμμόρφωσης ότι το τερματικό PCI-PTS 4.x πρέπει να επανεκκινεί τουλάχιστον μία φορά κάθε 24 ώρες για να εξαλείψει τη χρήση της μνήμης RAM και της περαιτέρω ασφάλειας του τερματικού HW για τη διατήρηση της πληρωμής δεδομένα κάρτας.
Ένα άλλο πλεονέκτημα του κύκλου επανεκκίνησης «24 ωρών» είναι ότι οι διαρροές μνήμης θα μετριαστούν και θα έχουν μικρότερο αντίκτυπο για τον έμπορο (όχι ότι θα πρέπει να δεχόμαστε προβλήματα διαρροής μνήμης.
Ο έμπορος μπορεί να ορίσει τον χρόνο επανεκκίνησης από την επιλογή Μενού τερματικού σε «Ώρα επανεκκίνησης». Ο χρόνος επανεκκίνησης ρυθμίζεται με βάση το ρολόι «24 ώρες» και θα έχει τη μορφή ΩΩ:ΛΛ.
Ο μηχανισμός επαναφοράς έχει σχεδιαστεί για να εξασφαλίζει επαναφορά τερματικού τουλάχιστον μία φορά ανά 24 ώρες λειτουργίας. Για την εκπλήρωση αυτής της απαίτησης έχει οριστεί μια χρονική θυρίδα, που ονομάζεται «διάστημα επαναφοράς» που αντιπροσωπεύεται από τα Tmin και Tmax. Αυτή η περίοδος αντιπροσωπεύει το χρονικό διάστημα όπου επιτρέπεται η επαναφορά. Ανάλογα με την περίπτωση της επιχείρησης, το "διάστημα επαναφοράς" προσαρμόζεται κατά τη φάση της τερματικής εγκατάστασης. Σύμφωνα με το σχεδιασμό, αυτή η περίοδος δεν μπορεί να είναι μικρότερη από 30 λεπτά. Κατά τη διάρκεια αυτής της περιόδου, η επαναφορά πραγματοποιείται κάθε μέρα 5 λεπτά νωρίτερα (στο Τ3) όπως εξηγείται στο παρακάτω διάγραμμα:
4.10 Λευκή λίστα
Η προσθήκη στη λίστα επιτρεπόμενων είναι μια διαδικασία για τον προσδιορισμό του ότι τα PAN που αναφέρονται ως λίστα επιτρεπόμενων επιτρέπεται να εμφανίζονται σε καθαρό κείμενο. Η Viking χρησιμοποιεί 3 πεδία για τον προσδιορισμό των PAN στη λίστα επιτρεπόμενων που διαβάζονται από τις διαμορφώσεις που έχουν ληφθεί από το σύστημα διαχείρισης τερματικού.
Όταν μια «σημαία συμμόρφωσης» στον κεντρικό υπολογιστή Nets έχει οριστεί σε Y, οι πληροφορίες από τον κεντρικό υπολογιστή Nets ή το σύστημα διαχείρισης τερματικού μεταφορτώνονται στο τερματικό, κατά την εκκίνηση του τερματικού. Αυτή η σημαία Συμμόρφωσης χρησιμοποιείται για τον προσδιορισμό των PAN που περιλαμβάνονται στη λίστα επιτρεπόμενων που διαβάζονται από το σύνολο δεδομένων.
Η σημαία «Track2ECR» καθορίζει εάν τα δεδομένα Track2 επιτρέπεται να χειρίζονται (αποστέλλονται/λαμβάνονται) από το ECR για έναν καθορισμένο εκδότη. Ανάλογα με την τιμή αυτής της σημαίας, καθορίζεται εάν τα δεδομένα track2 θα πρέπει να εμφανίζονται σε τοπική λειτουργία στο ECR.
Το «πεδίο μορφής εκτύπωσης» καθορίζει τον τρόπο εμφάνισης του PAN. Οι κάρτες στο πεδίο PCI θα έχουν όλες τη μορφή εκτύπωσης που έχει ρυθμιστεί για εμφάνιση του PAN σε περικομμένη/μάσκα μορφή.
12
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
5. Έλεγχος ταυτότητας και στοιχεία ελέγχου πρόσβασης
5.1 Έλεγχος πρόσβασης
Η εφαρμογή πληρωμής Viking δεν έχει λογαριασμούς χρήστη ή αντίστοιχους κωδικούς πρόσβασης, επομένως, η εφαρμογή πληρωμής Viking εξαιρείται από αυτήν την απαίτηση.
· Ενσωματωμένη ρύθμιση ECR: Δεν είναι δυνατή η πρόσβαση σε τύπους συναλλαγών, όπως Επιστροφή χρημάτων, Κατάθεση και Αντιστροφή από το μενού τερματικού, ώστε αυτές οι λειτουργίες να είναι ασφαλείς από κακή χρήση. Αυτοί είναι οι τύποι συναλλαγών όπου η ροή χρημάτων γίνεται από τον λογαριασμό εμπόρου στον λογαριασμό του κατόχου της κάρτας. Είναι ευθύνη του εμπόρου να διασφαλίσει ότι το ECR χρησιμοποιείται μόνο από εξουσιοδοτημένους χρήστες.
· Αυτόνομη ρύθμιση: Ο έλεγχος πρόσβασης της κάρτας εμπόρου είναι προεπιλεγμένος ενεργοποιημένος για πρόσβαση σε τύπους συναλλαγών, όπως Επιστροφή χρημάτων, Κατάθεση και Αντιστροφή από το μενού τερματικού, ώστε αυτές οι λειτουργίες να είναι ασφαλείς από κακή χρήση. Το τερματικό Viking έχει διαμορφωθεί από προεπιλογή για να ασφαλίζει τις επιλογές του μενού, για να αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση. Οι παράμετροι για τη διαμόρφωση της ασφάλειας μενού εμπίπτουν στο Μενού εμπόρου (προσβάσιμο με κάρτα εμπόρου) -> Παράμετροι -> Ασφάλεια
Μενού Προστασίας Ορίστε σε «Ναι» από προεπιλογή. Το κουμπί μενού στο τερματικό προστατεύεται χρησιμοποιώντας τη διαμόρφωση του μενού Προστασία. Η πρόσβαση στο μενού είναι δυνατή μόνο από τον έμπορο χρησιμοποιώντας μια κάρτα εμπόρου.
13
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Προστασία αντιστροφής Ορίστε σε «Ναι» από προεπιλογή. Η αντιστροφή μιας συναλλαγής μπορεί να γίνει μόνο από τον έμπορο χρησιμοποιώντας την κάρτα εμπόρου για πρόσβαση στο μενού αντιστροφής.
Προστασία συμφιλίωσης Ορίστηκε σε «Ναι» από προεπιλογή Η επιλογή για Συμφιλίωση μπορεί να έχει πρόσβαση μόνο από τον έμπορο με την κάρτα εμπόρου όταν αυτή η προστασία έχει οριστεί σε αληθή.
Προστασία Συντόμευσης Ρυθμίστε το "Ναι" από το προεπιλεγμένο μενού Συντόμευσης με τις επιλογές για viewΟι πληροφορίες τερματικού και η επιλογή για την ενημέρωση των παραμέτρων Bluetooth θα είναι διαθέσιμες στον έμπορο μόνο όταν σύρεται η κάρτα εμπόρου.
14
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
5.2 Στοιχεία ελέγχου κωδικού πρόσβασης
Η εφαρμογή πληρωμής Viking δεν διαθέτει λογαριασμούς χρήστη ή αντίστοιχους κωδικούς πρόσβασης. Επομένως, η εφαρμογή Viking εξαιρείται από αυτήν την απαίτηση.
6. Καταγραφή
6.1 Δυνατότητα εφαρμογής εμπόρου
Επί του παρόντος, για την εφαρμογή πληρωμής Nets Viking, δεν υπάρχουν ρυθμίσεις καταγραφής PCI με δυνατότητα διαμόρφωσης για τον τελικό χρήστη.
6.2 Διαμόρφωση ρυθμίσεων αρχείου καταγραφής
Η εφαρμογή πληρωμής Viking δεν διαθέτει λογαριασμούς χρηστών, επομένως δεν ισχύει η καταγραφή συμβατή με PCI. Ακόμη και στην πιο περιεκτική καταγραφή συναλλαγών, η εφαρμογή πληρωμής Viking δεν καταγράφει ευαίσθητα δεδομένα ελέγχου ταυτότητας ή δεδομένα κατόχου κάρτας.
6.3 Κεντρική υλοτομία
Το τερματικό έχει έναν γενικό μηχανισμό καταγραφής. Ο μηχανισμός περιλαμβάνει επίσης καταγραφή δημιουργίας και διαγραφής εκτελέσιμου S/W.
Οι δραστηριότητες λήψης S/W καταγράφονται και μπορούν να μεταφερθούν στο Host με μη αυτόματο τρόπο μέσω μιας επιλογής μενού στο τερματικό ή κατόπιν αιτήματος από τον κεντρικό υπολογιστή που έχει επισημανθεί σε κανονική κίνηση συναλλαγών. Εάν η ενεργοποίηση λήψης S/W αποτύχει λόγω μη έγκυρων ψηφιακών υπογραφών στη λήψη files, το περιστατικό καταγράφεται και μεταφέρεται στο Host αυτόματα και αμέσως.
6.4 6.3.1 Ενεργοποίηση καταγραφής ίχνους στο τερματικό
Για να ενεργοποιήσετε την καταγραφή ιχνών:
1 Σύρετε την κάρτα Merchant. 2 Στη συνέχεια, στο μενού επιλέξτε «9 Μενού συστήματος». 3 Στη συνέχεια, μεταβείτε στο μενού «2 Μητρώο συστήματος». 4 Πληκτρολογήστε τον κωδικό τεχνικού, τον οποίο μπορείτε να λάβετε καλώντας την υποστήριξη της Nets Merchant Service. 5 Επιλέξτε «8 Παράμετροι». 6 Στη συνέχεια, ενεργοποιήστε το "Logging" σε "Yes".
6.5 6.3.2 Αποστολή αρχείων καταγραφής ιχνών στον κεντρικό υπολογιστή
Για να στείλετε αρχεία καταγραφής ιχνών:
1 Πατήστε το πλήκτρο Μενού στο τερματικό και μετά σύρετε την κάρτα εμπόρου. 2 Στη συνέχεια, στο κύριο μενού επιλέξτε «7 Μενού χειριστή». 3 Στη συνέχεια, επιλέξτε "5 Αποστολή αρχείων καταγραφής ιχνών" για να στείλετε αρχεία καταγραφής ιχνών στον κεντρικό υπολογιστή.
15
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
6.6 6.3.3 Απομακρυσμένη καταγραφή ιχνών
Μια παράμετρος έχει οριστεί στον κεντρικό υπολογιστή δικτύου (PSP) που θα ενεργοποιήσει/απενεργοποιήσει τη λειτουργία καταγραφής ιχνών του τερματικού εξ αποστάσεως. Το Nets Host θα στείλει την παράμετρο ενεργοποίησης/απενεργοποίησης της καταγραφής Trace στο Terminal στο σύνολο δεδομένων μαζί με την προγραμματισμένη ώρα κατά την οποία το Terminal θα ανεβάσει αρχεία καταγραφής Trace. Όταν το τερματικό λάβει την παράμετρο Trace όπως είναι ενεργοποιημένη, θα αρχίσει να καταγράφει αρχεία καταγραφής Trace και την προγραμματισμένη ώρα θα ανεβάσει όλα τα αρχεία καταγραφής ίχνους και στη συνέχεια θα απενεργοποιήσει τη λειτουργία καταγραφής.
6.7 6.3.4 Απομακρυσμένη καταγραφή σφαλμάτων
Τα αρχεία καταγραφής σφαλμάτων είναι πάντα ενεργοποιημένα στο τερματικό. Όπως και η καταγραφή ανίχνευσης, μια παράμετρος ορίζεται στον κεντρικό υπολογιστή δικτύου που θα ενεργοποιήσει/απενεργοποιήσει τη λειτουργία καταγραφής σφαλμάτων του τερματικού εξ αποστάσεως. Το Nets Host θα στείλει την παράμετρο Trace enable/απενεργοποίηση καταγραφής στο Terminal στο σύνολο δεδομένων μαζί με την προγραμματισμένη ώρα κατά την οποία το Terminal θα ανεβάσει αρχεία καταγραφής σφαλμάτων. Όταν το τερματικό λάβει την παράμετρο καταγραφής σφαλμάτων όπως είναι ενεργοποιημένη, θα αρχίσει να καταγράφει αρχεία καταγραφής σφαλμάτων και την προγραμματισμένη ώρα θα ανεβάσει όλα τα αρχεία καταγραφής σφαλμάτων και στη συνέχεια θα απενεργοποιήσει τη λειτουργία καταγραφής.
7. Ασύρματα Δίκτυα
7.1 Δυνατότητα εφαρμογής εμπόρου
Τερματικό πληρωμών Viking – Το MOVE 3500 και το Link2500 έχουν τη δυνατότητα σύνδεσης με δίκτυο Wi-Fi. Επομένως, για την ασφαλή εφαρμογή του Wireless, θα πρέπει να λαμβάνεται υπόψη κατά την εγκατάσταση και τη διαμόρφωση του ασύρματου δικτύου όπως περιγράφεται παρακάτω.
7.2 Προτεινόμενες διαμορφώσεις ασύρματης σύνδεσης
Υπάρχουν πολλές σκέψεις και βήματα που πρέπει να ληφθούν κατά τη διαμόρφωση των ασύρματων δικτύων που είναι συνδεδεμένα στο εσωτερικό δίκτυο.
Τουλάχιστον, πρέπει να υπάρχουν οι ακόλουθες ρυθμίσεις και διαμορφώσεις:
· Όλα τα ασύρματα δίκτυα πρέπει να τμηματοποιούνται χρησιμοποιώντας ένα τείχος προστασίας. Εάν απαιτούνται συνδέσεις μεταξύ του ασύρματου δικτύου και του περιβάλλοντος δεδομένων κατόχου κάρτας, η πρόσβαση πρέπει να ελέγχεται και να διασφαλίζεται από το τείχος προστασίας.
· Αλλάξτε το προεπιλεγμένο SSID και απενεργοποιήστε τη μετάδοση SSID · Αλλάξτε τους προεπιλεγμένους κωδικούς πρόσβασης τόσο για ασύρματες συνδέσεις όσο και για ασύρματα σημεία πρόσβασης, αυτό περιλαμβάνει
αποκλειστική πρόσβαση καθώς και συμβολοσειρές κοινότητας SNMP · Αλλάξτε τυχόν άλλες προεπιλογές ασφαλείας που παρέχονται ή ορίζονται από τον προμηθευτή · Βεβαιωθείτε ότι τα σημεία ασύρματης πρόσβασης είναι ενημερωμένα στο πιο πρόσφατο υλικολογισμικό · Χρησιμοποιείτε μόνο WPA ή WPA2 με ισχυρά κλειδιά, το WEP απαγορεύεται και δεν πρέπει να χρησιμοποιείται ποτέ · Αλλάζετε τα κλειδιά WPA/WPA2 κατά την εγκατάσταση καθώς και σε τακτική βάση και όποτε ένα άτομο με
η γνώση των κλειδιών φεύγει από την εταιρεία
16
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
8. Τμηματοποίηση Δικτύου
8.1 Δυνατότητα εφαρμογής εμπόρου
Η εφαρμογή πληρωμής Viking δεν είναι μια εφαρμογή πληρωμής που βασίζεται σε διακομιστή και βρίσκεται σε ένα τερματικό. Για το λόγο αυτό, η αίτηση πληρωμής δεν απαιτεί καμία προσαρμογή για την ικανοποίηση αυτής της απαίτησης. Για τη γενική γνώση του εμπόρου, τα δεδομένα της πιστωτικής κάρτας δεν μπορούν να αποθηκευτούν σε συστήματα απευθείας συνδεδεμένα στο Διαδίκτυο. Για π.χample, web Οι διακομιστές και οι διακομιστές βάσεων δεδομένων δεν πρέπει να είναι εγκατεστημένοι στον ίδιο διακομιστή. Πρέπει να δημιουργηθεί μια αποστρατιωτικοποιημένη ζώνη (DMZ) για να τμηματοποιηθεί το δίκτυο έτσι ώστε μόνο οι μηχανές στο DMZ να είναι προσβάσιμες στο Διαδίκτυο.
9. Απομακρυσμένη πρόσβαση
9.1 Δυνατότητα εφαρμογής εμπόρου
Δεν είναι δυνατή η απομακρυσμένη πρόσβαση στην εφαρμογή πληρωμής Viking. Η απομακρυσμένη υποστήριξη παρέχεται μόνο μεταξύ ενός μέλους του προσωπικού υποστήριξης της Nets και του εμπόρου μέσω τηλεφώνου ή μέσω της Nets απευθείας με τον έμπορο.
10.Μετάδοση ευαίσθητων δεδομένων
10.1 Διαβίβαση ευαίσθητων δεδομένων
Η εφαρμογή πληρωμής Viking προστατεύει ευαίσθητα δεδομένα ή/και δεδομένα κατόχου κάρτας κατά τη μεταφορά χρησιμοποιώντας κρυπτογράφηση σε επίπεδο μηνύματος χρησιμοποιώντας 3DES-DUKPT (112 bit) για όλες τις μεταδόσεις (συμπεριλαμβανομένων των δημόσιων δικτύων). Δεν απαιτούνται πρωτόκολλα ασφαλείας για επικοινωνίες IP από την εφαρμογή Viking στον κεντρικό υπολογιστή, καθώς η κρυπτογράφηση σε επίπεδο μηνύματος υλοποιείται χρησιμοποιώντας 3DES-DUKPT (112 bit) όπως περιγράφεται παραπάνω. Αυτό το σχήμα κρυπτογράφησης διασφαλίζει ότι ακόμη και αν οι συναλλαγές υποκλαπούν, δεν μπορούν να τροποποιηθούν ή να παραβιαστούν με οποιονδήποτε τρόπο, εάν το 3DES-DUKPT (112-bit) εξακολουθεί να θεωρείται ως ισχυρή κρυπτογράφηση. Σύμφωνα με το σχήμα διαχείρισης κλειδιών DUKPT, το κλειδί 3DES που χρησιμοποιείται είναι μοναδικό για κάθε συναλλαγή.
10.2 Κοινή χρήση ευαίσθητων δεδομένων με άλλο λογισμικό
Η εφαρμογή πληρωμής Viking δεν παρέχει καμία λογική(ες) διεπαφή(ες)/API που να επιτρέπουν την κοινή χρήση δεδομένων λογαριασμού καθαρού κειμένου απευθείας με άλλο λογισμικό. Δεν κοινοποιούνται ευαίσθητα δεδομένα ή δεδομένα λογαριασμού καθαρού κειμένου με άλλο λογισμικό μέσω εκτεθειμένων API.
10.3 Email και ευαίσθητα δεδομένα
Η εφαρμογή πληρωμής Viking δεν υποστηρίζει εγγενώς την αποστολή email.
10.4 Πρόσβαση διαχειριστή χωρίς κονσόλα
Το Viking δεν υποστηρίζει πρόσβαση διαχειριστή εκτός της Κονσόλας. Ωστόσο, για τη γενική γνώση του εμπόρου, η πρόσβαση διαχειριστή εκτός Κονσόλας πρέπει να χρησιμοποιεί είτε SSH, VPN ή TLS για την κρυπτογράφηση όλων των διαχειριστικών προσβάσεων εκτός κονσόλας σε διακομιστές σε περιβάλλον δεδομένων κατόχου κάρτας. Δεν πρέπει να χρησιμοποιούνται Telnet ή άλλες μη κρυπτογραφημένες μέθοδοι πρόσβασης.
17
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
11. Μεθοδολογία Viking Versioning
Η μεθοδολογία έκδοσης Nets αποτελείται από έναν αριθμό έκδοσης S/W δύο μερών: a.bb
όπου το «a» θα αυξηθεί όταν γίνονται αλλαγές υψηλού αντίκτυπου σύμφωνα με το Πρότυπο λογισμικού PCI-Secure. a – κύρια έκδοση (1 ψηφίο)
Το «bb» θα αυξηθεί όταν πραγματοποιηθούν προγραμματισμένες αλλαγές χαμηλού αντίκτυπου σύμφωνα με το Πρότυπο λογισμικού PCI-Secure. bb – δευτερεύουσα έκδοση (2 ψηφία)
Ο αριθμός έκδοσης της εφαρμογής πληρωμής Viking S/W εμφανίζεται ως εξής στην οθόνη του τερματικού όταν ενεργοποιείται το τερματικό: «abb»
· Μια ενημέρωση από π.χ. 1.00 έως 2.00 είναι μια σημαντική λειτουργική ενημέρωση. Μπορεί να περιλαμβάνει αλλαγές με αντίκτυπο στην ασφάλεια ή απαιτήσεις του Προτύπου Ασφαλούς Λογισμικού PCI.
· Μια ενημέρωση από π.χ. 1.00 έως 1.01 είναι μια μη σημαντική λειτουργική ενημέρωση. Μπορεί να μην περιλαμβάνει αλλαγές με αντίκτυπο στην ασφάλεια ή απαιτήσεις του προτύπου ασφαλούς λογισμικού PCI.
Όλες οι αλλαγές παρουσιάζονται με διαδοχική αριθμητική σειρά.
12. Οδηγίες σχετικά με την ασφαλή εγκατάσταση των ενημερώσεων κώδικα και ενημερώσεων.
Η Nets παρέχει με ασφάλεια ενημερώσεις εφαρμογών απομακρυσμένων πληρωμών. Αυτές οι ενημερώσεις πραγματοποιούνται στο ίδιο κανάλι επικοινωνίας με τις ασφαλείς συναλλαγές πληρωμής και ο έμπορος δεν απαιτείται να κάνει αλλαγές σε αυτήν τη διαδρομή επικοινωνίας για συμμόρφωση.
Όταν υπάρχει μια ενημέρωση κώδικα, η Nets θα ενημερώσει την έκδοση της ενημέρωσης κώδικα στο Nets Host. Ο έμπορος θα λάμβανε τις ενημερώσεις κώδικα μέσω αυτοματοποιημένου αιτήματος λήψης S/W ή ο έμπορος μπορεί επίσης να ξεκινήσει μια λήψη λογισμικού από το μενού του τερματικού.
Για γενικές πληροφορίες, οι έμποροι θα πρέπει να αναπτύξουν μια αποδεκτή πολιτική χρήσης για κρίσιμες τεχνολογίες που αντιμετωπίζουν οι εργαζόμενοι, σύμφωνα με τις παρακάτω οδηγίες για VPN ή άλλες συνδέσεις υψηλής ταχύτητας, οι ενημερώσεις λαμβάνονται μέσω τείχους προστασίας ή τείχους προστασίας προσωπικού.
Ο κεντρικός υπολογιστής Nets είναι διαθέσιμος είτε μέσω Διαδικτύου με ασφαλή πρόσβαση είτε μέσω κλειστού δικτύου. Με κλειστό δίκτυο, ο πάροχος δικτύου έχει άμεση σύνδεση με το περιβάλλον υποδοχής που προσφέρεται από τον πάροχο δικτύου του. Η διαχείριση των τερματικών γίνεται μέσω των υπηρεσιών διαχείρισης τερματικών Nets. Η υπηρεσία διαχείρισης τερματικού ορίζει για π.χampτην περιοχή στην οποία ανήκει το τερματικό και τον αγοραστή σε χρήση. Η διαχείριση τερματικού είναι επίσης υπεύθυνη για την αναβάθμιση του λογισμικού τερματικού εξ αποστάσεως μέσω του δικτύου. Η Nets διασφαλίζει ότι το λογισμικό που μεταφορτώνεται στο τερματικό έχει ολοκληρώσει τις απαιτούμενες πιστοποιήσεις.
Η Nets συνιστά σημεία ελέγχου σε όλους τους πελάτες της για τη διασφάλιση ασφαλών πληρωμών όπως αναφέρονται παρακάτω: 1. Διατηρήστε μια λίστα με όλα τα λειτουργικά τερματικά πληρωμών και τραβήξτε φωτογραφίες από όλες τις διαστάσεις, ώστε να γνωρίζετε πώς θα πρέπει να μοιάζουν. 2. Αναζητήστε εμφανή σημάδια tampόπως σπασμένα στεγανοποιητικά πάνω από πλάκες καλύμματος πρόσβασης ή βίδες, περίεργα ή διαφορετικά καλώδια ή μια νέα συσκευή υλικού που δεν μπορείτε να αναγνωρίσετε. 3. Προστατέψτε τα τερματικά σας από την πρόσβαση των πελατών όταν δεν χρησιμοποιούνται. Επιθεωρήστε τα τερματικά πληρωμής σας σε καθημερινή βάση και άλλες συσκευές που μπορούν να διαβάσουν κάρτες πληρωμής. 4. Πρέπει να ελέγξετε την ταυτότητα του προσωπικού επισκευής εάν αναμένετε επισκευές τερματικού πληρωμών. 5. Καλέστε αμέσως τη Nets ή την τράπεζά σας εάν υποψιάζεστε οποιαδήποτε μη εμφανή δραστηριότητα. 6. Εάν πιστεύετε ότι η συσκευή σας POS είναι ευάλωτη σε κλοπή, τότε υπάρχουν βάσεις σέρβις και ασφαλείς ιμάντες και πρόσδεση που διατίθενται για εμπορική αγορά. Ίσως αξίζει να εξεταστεί η χρήση τους.
18
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
13.Ενημερώσεις έκδοσης Viking
Το λογισμικό Viking κυκλοφορεί στους ακόλουθους κύκλους έκδοσης (υπόκειται σε αλλαγές):
· 2 σημαντικές εκδόσεις ετησίως · 2 δευτερεύουσες εκδόσεις ετησίως · Ενημερωμένες εκδόσεις κώδικα λογισμικού, όπως και όταν απαιτείται, (π.χ. λόγω οποιουδήποτε κρίσιμου προβλήματος σφάλματος/ευπάθειας). Αν ένα
Η έκδοση είναι λειτουργική επί τόπου και αναφέρονται ορισμένα κρίσιμα ζητήματα, στη συνέχεια μια ενημέρωση κώδικα λογισμικού με την επιδιόρθωση αναμένεται να κυκλοφορήσει εντός ενός μηνός.
Οι έμποροι θα ειδοποιούνται για τις εκδόσεις (κυριότερες/ελάσσονες/ενημερωμένες εκδόσεις κώδικα) μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου που θα αποστέλλονται απευθείας στις αντίστοιχες διευθύνσεις ηλεκτρονικού ταχυδρομείου τους. Το email θα περιέχει επίσης τα σημαντικότερα σημεία της έκδοσης και τις σημειώσεις έκδοσης.
Οι έμποροι μπορούν επίσης να έχουν πρόσβαση στις σημειώσεις έκδοσης που θα μεταφορτωθούν στη διεύθυνση:
Σημειώσεις έκδοσης λογισμικού (nets.eu)
Οι εκδόσεις λογισμικού Viking υπογράφονται χρησιμοποιώντας το εργαλείο τραγουδιού της Ingenico για τερματικά Tetra. Μόνο υπογεγραμμένο λογισμικό μπορεί να φορτωθεί στο τερματικό.
14. Μη ισχύουσες απαιτήσεις
Αυτή η ενότητα περιέχει μια λίστα απαιτήσεων στο Πρότυπο λογισμικού PCI-Secure που έχει αξιολογηθεί ως "Μη Εφαρμόσιμο" στην εφαρμογή πληρωμής Viking και την αιτιολόγηση για αυτό.
Πρότυπο ασφαλούς λογισμικού PCI
CO
Δραστηριότητα
αιτιολόγηση για το ότι είναι «μη εφαρμοστέο»
5.3
Μέθοδοι ελέγχου ταυτότητας (συμπεριλαμβανομένης της περιόδου λειτουργίας cre- Η εφαρμογή πληρωμής Viking εκτελείται σε εγκεκριμένο PCI PTS POI
τα στοιχεία) είναι αρκετά ισχυρά και στιβαρά στη συσκευή.
προστατεύστε τα διαπιστευτήρια ελέγχου ταυτότητας από την ύπαρξη
πλαστογραφημένη, πλαστογραφημένη, διαρροή, εικασία ή περικοπή- Η εφαρμογή πληρωμής Viking δεν προσφέρει τοπική, μη κονσόλα
αεριζόμενοι.
ή απομακρυσμένη πρόσβαση, ούτε επίπεδο προνομίων, επομένως δεν υπάρχει
τα διαπιστευτήρια επαλήθευσης στη συσκευή PTS POI.
Η εφαρμογή πληρωμής Viking δεν παρέχει ρυθμίσεις για τη διαχείριση ή τη δημιουργία αναγνωριστικών χρηστών και δεν παρέχει τοπική, μη κονσόλα ή απομακρυσμένη πρόσβαση σε κρίσιμα στοιχεία (ακόμη και για σκοπούς εντοπισμού σφαλμάτων).
5.4
Από προεπιλογή, όλη η πρόσβαση σε κρίσιμα στοιχεία είναι εκ νέου
Η εφαρμογή πληρωμής Viking εκτελείται σε εγκεκριμένο PCI PTS POI
αυστηρά μόνο σε αυτούς τους λογαριασμούς και τη συσκευή υπηρεσιών.
που απαιτούν τέτοια πρόσβαση.
Η εφαρμογή πληρωμής Viking δεν παρέχει ρυθμίσεις σε
διαχείριση ή δημιουργία λογαριασμών ή υπηρεσιών.
7.3
Όλοι οι τυχαίοι αριθμοί που χρησιμοποιούνται από το λογισμικό είναι η εφαρμογή πληρωμής Viking δεν χρησιμοποιεί κανένα RNG (τυχαία
που δημιουργείται χρησιμοποιώντας μόνο εγκεκριμένη γεννήτρια τυχαίων αριθμών) για τις λειτουργίες κρυπτογράφησης.
αλγόριθμους ή βιβλιοθήκες παραγωγής ber (RNG).
19
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Οι εγκεκριμένοι αλγόριθμοι ή βιβλιοθήκες RNG είναι εκείνοι που πληρούν τα βιομηχανικά πρότυπα για επαρκή απρόβλεπτο χαρακτήρα (π.χ. Ειδική δημοσίευση NIST 800-22).
Η εφαρμογή πληρωμής Viking δεν δημιουργεί ούτε χρησιμοποιεί τυχαίους αριθμούς για κρυπτογραφικές λειτουργίες.
7.4
Οι τυχαίες τιμές έχουν εντροπία που ανταποκρίνεται στην εφαρμογή πληρωμής Viking δεν χρησιμοποιεί κανένα RNG (τυχαία
ελάχιστες αποτελεσματικές απαιτήσεις αντοχής της γεννήτριας αριθμών) για τις λειτουργίες κρυπτογράφησης της.
τα κρυπτογραφικά πρωτόγονα και κλειδιά που βασίζονται
πάνω τους.
Η εφαρμογή πληρωμής Viking δεν δημιουργεί ούτε χρησιμοποιεί καμία
τυχαίους αριθμούς για κρυπτογραφικές συναρτήσεις.
8.1
Όλες οι προσπάθειες πρόσβασης και η χρήση των κρίσιμων στοιχείων Η εφαρμογή πληρωμής Viking εκτελείται σε εγκεκριμένο PCI PTS POI
παρακολουθείται και μπορεί να εντοπιστεί σε ένα μοναδικό άτομο. συσκευές, όπου γίνεται όλος ο χειρισμός κρίσιμων περιουσιακών στοιχείων, και
Το υλικολογισμικό PTS POI διασφαλίζει την εμπιστευτικότητα και την ακεραιότητα του
τοπικά δεδομένα ενώ αποθηκεύονται στη συσκευή PTS POI.
Η εμπιστευτικότητα, η ακεραιότητα και η ανθεκτικότητα της ευαίσθητης λειτουργίας της εφαρμογής πληρωμών Viking προστατεύονται και παρέχονται από το υλικολογισμικό PTS POI. Το υλικολογισμικό PTS POI αποτρέπει οποιαδήποτε πρόσβαση σε κρίσιμα στοιχεία εκτός τερματικού και βασίζεται στο anti-tampering χαρακτηριστικά.
Η εφαρμογή πληρωμών Viking δεν προσφέρει τοπική, μη κονσόλα ή απομακρυσμένη πρόσβαση, ούτε επίπεδο προνομίων, επομένως δεν υπάρχει άτομο ή άλλα συστήματα με πρόσβαση σε κρίσιμα στοιχεία, μόνο η εφαρμογή πληρωμής Viking είναι σε θέση να χειριστεί σημαντικά περιουσιακά στοιχεία
8.2
Όλη η δραστηριότητα καταγράφεται σε επαρκείς και απαραίτητες - Η εφαρμογή πληρωμής Viking εκτελείται σε εγκεκριμένο PCI PTS POI
λεπτομέρεια για να περιγράψει με ακρίβεια ποιες συγκεκριμένες συσκευές.
πραγματοποιήθηκαν δραστηριότητες, ποιος εκτέλεσε
τους, την ώρα που τελέστηκαν, και
Η εφαρμογή πληρωμής Viking δεν προσφέρει τοπική, μη κονσόλα
ποια κρίσιμα περιουσιακά στοιχεία επηρεάστηκαν.
ή απομακρυσμένη πρόσβαση, ούτε επίπεδο προνομίων, επομένως δεν υπάρχει
πρόσωπο ή άλλα συστήματα με πρόσβαση σε κρίσιμα περιουσιακά στοιχεία, μόνο
Η εφαρμογή πληρωμής Viking είναι σε θέση να χειριστεί σημαντικά περιουσιακά στοιχεία.
· Η εφαρμογή πληρωμής Viking δεν παρέχει προνομιακούς τρόπους λειτουργίας.
· Δεν υπάρχουν λειτουργίες για την απενεργοποίηση της κρυπτογράφησης ευαίσθητων δεδομένων
· Δεν υπάρχουν λειτουργίες για την αποκρυπτογράφηση ευαίσθητων δεδομένων
· Δεν υπάρχουν λειτουργίες για την εξαγωγή ευαίσθητων δεδομένων σε άλλα συστήματα ή διαδικασίες
· Δεν υποστηρίζονται δυνατότητες ελέγχου ταυτότητας
Τα στοιχεία ελέγχου ασφαλείας και η λειτουργία ασφαλείας δεν μπορούν να απενεργοποιηθούν ούτε να διαγραφούν.
8.3
Το λογισμικό υποστηρίζει την ασφαλή διατήρηση των εφαρμογών πληρωμής de-Viking που εκτελούνται σε εγκεκριμένα PCI PTS POI
καταγραφές δραστηριότητας.
συσκευές.
20
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
8.4 Β.1.3
Η εφαρμογή πληρωμής Viking δεν προσφέρει τοπική, μη κονσόλα ή απομακρυσμένη πρόσβαση, ούτε επίπεδο προνομίων, επομένως δεν υπάρχει άτομο ή άλλα συστήματα με πρόσβαση σε κρίσιμα στοιχεία, μόνο η εφαρμογή πληρωμών Viking μπορεί να χειριστεί σημαντικά στοιχεία.
· Η εφαρμογή πληρωμής Viking δεν παρέχει προνομιακούς τρόπους λειτουργίας.
· Δεν υπάρχουν λειτουργίες για την απενεργοποίηση της κρυπτογράφησης ευαίσθητων δεδομένων
· Δεν υπάρχουν λειτουργίες για την αποκρυπτογράφηση ευαίσθητων δεδομένων
· Δεν υπάρχουν λειτουργίες για την εξαγωγή ευαίσθητων δεδομένων σε άλλα συστήματα ή διαδικασίες
· Δεν υποστηρίζονται δυνατότητες ελέγχου ταυτότητας
Τα στοιχεία ελέγχου ασφαλείας και η λειτουργία ασφαλείας δεν μπορούν να απενεργοποιηθούν ούτε να διαγραφούν.
Το λογισμικό χειρίζεται αστοχίες σε μηχανισμούς παρακολούθησης δραστηριότητας, έτσι ώστε να διατηρείται η ακεραιότητα των υπαρχόντων αρχείων δραστηριότητας.
Η εφαρμογή πληρωμής Viking εκτελείται σε συσκευές PTS POI εγκεκριμένες με PCI.
Η εφαρμογή πληρωμής Viking δεν προσφέρει τοπική, μη κονσόλα ή απομακρυσμένη πρόσβαση, ούτε επίπεδο προνομίων, επομένως δεν υπάρχει άτομο ή άλλα συστήματα με πρόσβαση σε κρίσιμα στοιχεία, μόνο η εφαρμογή Viking μπορεί να χειριστεί κρίσιμα στοιχεία.
· Η εφαρμογή πληρωμής Viking δεν παρέχει προνομιακούς τρόπους λειτουργίας.
· Δεν υπάρχουν λειτουργίες για την απενεργοποίηση της κρυπτογράφησης ευαίσθητων δεδομένων
· Δεν υπάρχουν λειτουργίες για την αποκρυπτογράφηση ευαίσθητων δεδομένων
· Δεν υπάρχουν λειτουργίες για την εξαγωγή ευαίσθητων δεδομένων σε άλλα συστήματα ή διαδικασίες
· Δεν υποστηρίζονται δυνατότητες ελέγχου ταυτότητας
· Τα στοιχεία ελέγχου ασφαλείας και η λειτουργία ασφαλείας δεν μπορούν να απενεργοποιηθούν ούτε να διαγραφούν.
Ο προμηθευτής λογισμικού διατηρεί τεκμηρίωση που περιγράφει όλες τις διαμορφώσιμες επιλογές που μπορούν να επηρεάσουν την ασφάλεια των ευαίσθητων δεδομένων.
Η εφαρμογή πληρωμής Viking εκτελείται σε συσκευές PTS POI εγκεκριμένες με PCI.
Η εφαρμογή πληρωμής Viking δεν παρέχει τίποτα από τα ακόλουθα στους τελικούς χρήστες:
· Ρυθμιζόμενη επιλογή πρόσβασης σε ευαίσθητα δεδομένα
21
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Β.2.4 Β.2.9 Β.5.1.5
· διαμορφώσιμη επιλογή για την τροποποίηση μηχανισμών για την προστασία ευαίσθητων δεδομένων
· απομακρυσμένη πρόσβαση στην εφαρμογή
· απομακρυσμένες ενημερώσεις της εφαρμογής
· δυνατότητα διαμόρφωσης για την τροποποίηση των προεπιλεγμένων ρυθμίσεων της εφαρμογής
Το λογισμικό χρησιμοποιεί μόνο τις συναρτήσεις δημιουργίας τυχαίων αριθμών που περιλαμβάνονται στην αξιολόγηση της συσκευής PTS του τερματικού πληρωμών για όλες τις κρυπτογραφικές λειτουργίες που περιλαμβάνουν ευαίσθητα δεδομένα ή ευαίσθητες λειτουργίες όπου απαιτούνται τυχαίες τιμές και δεν εφαρμόζει τις δικές του
Η Viking δεν χρησιμοποιεί κανένα RNG (γεννήτρια τυχαίων αριθμών) για τις λειτουργίες κρυπτογράφησης.
Η εφαρμογή Viking δεν δημιουργεί ούτε χρησιμοποιεί τυχαίους αριθμούς για κρυπτογραφικές λειτουργίες.
Συναρτήσεις δημιουργίας τυχαίων αριθμών.
Προτροπή για την ακεραιότητα του λογισμικού fileΤο s προστατεύεται σύμφωνα με τον Στόχο Ελέγχου Β.2.8.
Όλες οι οθόνες προτροπής στο τερματικό Viking κωδικοποιούνται στην εφαρμογή και δεν υπάρχει ερώτηση files υπάρχουν εκτός της εφαρμογής.
Χωρίς προτροπή fileΕάν υπάρχουν εκτός της εφαρμογής πληρωμής Viking, όλες οι απαραίτητες πληροφορίες δημιουργούνται από την εφαρμογή.
Η καθοδήγηση εφαρμογής περιλαμβάνει οδηγίες για τους ενδιαφερόμενους φορείς να υπογράψουν κρυπτογραφικά όλα τα μηνύματα files.
Όλες οι προτροπές που εμφανίζονται στο τερματικό Viking κωδικοποιούνται στην εφαρμογή και δεν υπάρχει ερώτηση files υπάρχουν εκτός της εφαρμογής.
Χωρίς προτροπή fileΕάν υπάρχουν εκτός της εφαρμογής πληρωμής Viking, όλες οι απαραίτητες πληροφορίες δημιουργούνται από την εφαρμογή
22
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
15. Αναφορά τυπικών απαιτήσεων λογισμικού PCI Secure
Κεφάλαια σε αυτό το έγγραφο 2. Αίτηση ασφαλούς πληρωμής
Τυπικές απαιτήσεις λογισμικού PCI Secure
Β.2.1 6.1 12.1 12.1.β
Απαιτήσεις PCI DSS
2.2.3
3. Ασφαλές απομακρυσμένο λογισμικό
11.1
Ενημερώσεις
11.2
12.1
1&12.3.9 2, 8 και 10
4. Ασφαλής Διαγραφή Ευαίσθητων Δεδομένων και Προστασία Αποθηκευμένων Δεδομένων Κατόχου Κάρτας
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Έλεγχος ταυτότητας και έλεγχοι πρόσβασης 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 & 8.2 8.1 & 8.2
Ξύλευση
3.6
10.1
8.1
10.5.3
8.3
Ασύρματο Δίκτυο
4.1
1.2.3 & 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1, XNUMX
Τμηματοποίηση δικτύου Απομακρυσμένη πρόσβαση Μετάδοση δεδομένων κατόχου κάρτας
4.1γ
Β.1.3
Α.2.1 Α.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Μεθοδολογία Viking Versioning
11.2 12.1.β
Οδηγίες για πελάτες σχετικά με 11.1
ασφαλής εγκατάσταση μπαλωμάτων και 11.2
ενημερώσεις.
12.1
23
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
16. Γλωσσάρι Όρων
TERM Στοιχεία κατόχου κάρτας
DUKPT
3DES Merchant SSF
PA-QSA
ΟΡΙΣΜΟΣ
Πλήρης μαγνητική λωρίδα ή το PAN συν οποιοδήποτε από τα ακόλουθα: · Όνομα κατόχου κάρτας · Ημερομηνία λήξης · Κωδικός υπηρεσίας
Το παράγωγο μοναδικό κλειδί ανά συναλλαγή (DUKPT) είναι ένα σχήμα διαχείρισης κλειδιών στο οποίο για κάθε συναλλαγή χρησιμοποιείται ένα μοναδικό κλειδί που προέρχεται από ένα σταθερό κλειδί. Επομένως, εάν ένα παράγωγο κλειδί παραβιάζεται, τα δεδομένα μελλοντικών και προηγούμενων συναλλαγών εξακολουθούν να προστατεύονται, καθώς το επόμενο ή το προηγούμενο κλειδί δεν μπορεί να προσδιοριστεί εύκολα.
Στην κρυπτογραφία, το Triple DES (3DES ή TDES), επίσημα ο αλγόριθμος κρυπτογράφησης τριπλού δεδομένων (TDEA ή Triple DEA), είναι ένας κρυπτογράφησης μπλοκ συμμετρικού κλειδιού, ο οποίος εφαρμόζει τον αλγόριθμο κρυπτογράφησης DES τρεις φορές σε κάθε μπλοκ δεδομένων.
Ο τελικός χρήστης και αγοραστής του προϊόντος Viking.
Το PCI Software Security Framework (SSF) είναι μια συλλογή προτύπων και προγραμμάτων για την ασφαλή σχεδίαση και ανάπτυξη λογισμικού πληρωμών. Η ασφάλεια του λογισμικού πληρωμών είναι ένα κρίσιμο μέρος της ροής των συναλλαγών πληρωμών και είναι απαραίτητο για τη διευκόλυνση αξιόπιστων και ακριβών συναλλαγών πληρωμών.
Πιστοποιημένοι Αξιολογητές Ασφαλείας Εφαρμογής Πληρωμών. Εταιρεία QSA που παρέχει υπηρεσίες σε προμηθευτές εφαρμογών πληρωμής για την επικύρωση των εφαρμογών πληρωμής των προμηθευτών.
SAD (Ευαίσθητα δεδομένα ελέγχου ταυτότητας)
Πληροφορίες που σχετίζονται με την ασφάλεια (Κωδικοί/Τιμές επικύρωσης καρτών, πλήρη δεδομένα κομματιών, PIN και μπλοκ PIN) που χρησιμοποιούνται για τον έλεγχο ταυτότητας κατόχων καρτών, που εμφανίζονται σε απλό κείμενο ή σε άλλη μορφή χωρίς προστασία. Η αποκάλυψη, τροποποίηση ή καταστροφή αυτών των πληροφοριών θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια μιας κρυπτογραφικής συσκευής, ενός συστήματος πληροφοριών ή πληροφοριών κατόχου κάρτας ή θα μπορούσε να χρησιμοποιηθεί σε μια δόλια συναλλαγή. Τα ευαίσθητα δεδομένα ελέγχου ταυτότητας δεν πρέπει ποτέ να αποθηκεύονται όταν ολοκληρωθεί μια συναλλαγή.
Βίκινγκ HSM
Η πλατφόρμα λογισμικού που χρησιμοποιεί η Nets για την ανάπτυξη εφαρμογών για την ευρωπαϊκή αγορά.
Μονάδα ασφαλείας υλικού
24
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
17. Έλεγχος εγγράφων
Document Author, Reviewερείς και εγκρίοντες
Περιγραφή SSA Development Compliance Manager System Architect QA Product Owner Product Manager Διευθυντής Μηχανικής
Συνάρτηση Reviewer Συγγραφέας Reviewer & Approver Reviewer & Approver Reviewer & Approver Reviewer & Approver Manager Manager
Όνομα Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Περίληψη των Αλλαγών
Έκδοση Αριθμός 1.0
1.0
1.1
Ημερομηνία Έκδοσης 03-08-2022
15-09-2022
20-12-2022
Φύση της Αλλαγής
Πρώτη έκδοση για PCI-Secure Software Standard
Ενημερώθηκε η ενότητα 14 με τους μη ισχύοντες στόχους ελέγχου με την αιτιολόγησή τους
Ενημερώθηκαν οι ενότητες 2.1.2 και 2.2
με Self4000.
Καταργήθηκε
Link2500 (PTS έκδοση 4.x) από το
λίστα υποστηριζόμενων τερματικών
Αλλαγή συγγραφέα Aruna Panicker Aruna Panicker
Aruna Panicker
Reviewer
Ημερομηνία έγκρισης
Σάμσερ Σινγκ 18-08-22
Σάμσερ Σινγκ 29-09-22
Σάμσερ Σινγκ 23-12-22
1.1
05-01-2023 Ενημερώθηκε η ενότητα 2.2 με Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) για τη συνέχιση της υποστήριξης
για αυτόν τον τύπο τερματικού.
1.2
20-03-2023 Ενημερώθηκε η ενότητα 2.1.1 με τον Λετονό Aruna Panicker Shamsher Singh 21-04-23
και Λιθουανικό τερματικό επαγγελματίαςfiles.
Και 2.1.2 με επικοινωνία BT-iOS-
υποστήριξη τύπου tion
2.0
03-08-2023 Έκδοση έκδοσης ενημερώθηκε σε Aruna Panicker Shamsher Singh 13-09-23
2.00 σε κεφαλίδα/υποσέλιδα.
Ενημερώθηκε η ενότητα 2.2 με νέα
Υλικό και υλικολογισμικό Move3500
εκδόσεις. Ενημερώθηκε η ενότητα 11 για
«Μεθοδολογία Viking Versioning».
Ενημερώθηκε η ενότητα 1.3 με τα πιο πρόσφατα
έκδοση της απαίτησης PCI SSS
οδηγός. Ενημερώθηκε η ενότητα 2.2 για υποστήριξη
τα μεταφερμένα τερματικά αφαιρέθηκαν χωρίς υποστήριξη
μεταφερμένες εκδόσεις υλικού από το
λίστα.
2.0
16-11-2023 Ενημέρωση Visual (CVI).
Leyla Avsar
Άρνο Έκστρομ 16-11-23
25
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Λίστα διανομής
Ονομασία Τμήμα Διαχείρισης Προϊόντων Τερματικού
Ανάπτυξη λειτουργιών, δοκιμή, διαχείριση έργου, ομάδα διαχείρισης προϊόντων τερματικού συμμόρφωσης, προϊόν διαχείρισης συμμόρφωσης
Εγκρίσεις εγγράφων
Όνομα Άρτο Κάγκας
Λειτουργία Ιδιοκτήτης προϊόντος
Document Review Σχέδια
Αυτό το έγγραφο θα είναι ρεviewεκδίδεται και ενημερώνεται, εάν χρειάζεται, όπως ορίζεται παρακάτω:
· Όπως απαιτείται για τη διόρθωση ή τη βελτίωση του περιεχομένου πληροφοριών · Μετά από οποιεσδήποτε οργανωτικές αλλαγές ή αναδιάρθρωση · Μετά από ετήσια ανανέωσηview · Μετά από εκμετάλλευση μιας ευπάθειας · Ακολούθηση νέων πληροφοριών / απαιτήσεων σχετικά με σχετικά τρωτά σημεία
26
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00
Έγγραφα / Πόροι
 |
net PCI-Secure Standard Software [pdf] Οδηγός χρήστη PCI-Secure Standard Software, PCI-Secure, Standard Software, Software |
