PCI turvalise tarkvara standard
Kasutusjuhend
Nets Denmark A/S:
PCI-Secure tarkvara standard
Tarkvara tarnija juurutamise juhend
Viking terminali 1.02.0 jaoks
Versioon 1.2
Sissejuhatus ja ulatus
1.1 Sissejuhatus
Selle PCI-Secure'i tarkvara standardtarkvara tarnija juurutamise juhendi eesmärk on anda sidusrühmadele selgeid ja põhjalikke juhiseid Vikingi tarkvara turvalise juurutamise, konfigureerimise ja toimimise kohta. Juhend juhendab kaupmehi, kuidas rakendada Netsi Vikingi rakendust oma keskkonda PCI Secure Software Standardiga ühilduval viisil. Kuigi see ei ole mõeldud täielikuks paigaldusjuhendiks. Vikingi rakendus, kui see on installitud vastavalt siin dokumenteeritud juhistele, peaks hõlbustama ja toetama kaupmehe PCI vastavust.
1.2 Tarkvara turberaamistik (SSF)
PCI Software Security Framework (SSF) on standardite ja programmide kogumik makserakenduste tarkvara turvaliseks kujundamiseks ja arendamiseks. SSF asendab makserakenduse andmeturbestandardi (PA-DSS) kaasaegsete nõuetega, mis toetavad laiemat valikut maksetarkvara tüüpe, tehnoloogiaid ja arendusmetoodikaid. See pakub tarnijatele turvastandardeid, nagu PCI Secure Software Standard maksetarkvara arendamiseks ja hooldamiseks, nii et see kaitseb maksetehinguid ja andmeid, minimeerib haavatavusi ja kaitseb rünnakute eest.
1.3 Tarkvara tarnija juurutamise juhend – levitamine ja värskendused
See PCI turvalise tarkvara standardtarkvara tarnija juurutamise juhend tuleks levitada kõigile asjakohastele rakenduste kasutajatele, sealhulgas kaupmeestele. Seda tuleks värskendada vähemalt kord aastas ja pärast tarkvara muutmist. Iga-aastane review ja värskendus peaks hõlmama nii uusi tarkvaramuudatusi kui ka turvalise tarkvara standardi muudatusi.
Nets avaldab teavet loetletud websaidil, kui rakendusjuhendis on värskendusi.
Websait: https://support.nets.eu/
Example: Netsi PCI-Secure'i tarkvara standardtarkvara tarnija juurutamise juhend jagatakse kõigile klientidele, edasimüüjatele ja integraatoritele. Kliente, edasimüüjaid ja integraatoreid teavitatakse reviews ja uuendused. PCI-Secure'i tarkvara standardse tarkvara tarnija juurutamise juhendi värskendusi saate hankida ka otse Netsiga ühendust võttes.
See PCI-Secure'i tarkvara standardtarkvara tarnija juurutamise juhend viitab nii PCI-Secure'i tarkvarastandardile kui ka PCI nõuetele. Selles juhendis viidati järgmistele versioonidele.
- PCI-Secure-Software-Standard-v1_1
Turvaline maksetaotlus
2.1 Rakendus S/W
Vikingi makserakendused ei kasuta välist tarkvara ega riistvara, mis ei kuulu Vikingi sisseehitatud rakendusse. Kõik Viking makserakendusse kuuluvad S/W käivitatavad failid on digitaalselt allkirjastatud Ingenico pakutava Tetra allkirjastamiskomplektiga.
- Terminal suhtleb Nets Hostiga TCP/IP abil, kas Etherneti, GPRS-i, Wi-Fi või POS-rakendust käivitava PC-LAN kaudu. Samuti saab terminal hostiga suhelda mobiili kaudu Wi-Fi või GPRS-ühendusega.
Vikingi terminalid haldavad kogu suhtlust Ingenico lingikihi komponendi abil. See komponent on terminali laaditud rakendus. Link Layer saab hallata mitut sidet korraga, kasutades erinevaid välisseadmeid (modem ja jadaport näiteksample).
Praegu toetab see järgmisi protokolle:
- Füüsiline: RS232, sisemine modem, väline modem (RS232 kaudu), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G ja 4G.
- Andmeside: SDLC, PPP.
- Võrk: IP.
- Transport: TCP.
Terminal võtab alati initsiatiivi võrguhostiga side loomisel. Terminalis puudub TCP/IP-server S/W ja terminali S/W ei vasta kunagi sissetulevatele kõnedele.
Arvuti POS-rakendusega integreerituna saab terminali seadistada suhtlema PC-LAN-i kaudu, kus töötab POS-rakendus, kasutades RS232, USB või Bluetoothi. Sellegipoolest töötavad terminali S/W kõik makserakenduse funktsioonid.
Rakendusprotokoll (ja rakendatud krüptimine) on läbipaistev ja sidetüübist sõltumatu.
2.1.1 Makse hosti side TCP/IP parameetri seadistamine 
2.1.2 ECR-i suhtlus
- RS232 jada
- USB-ühendus
- TCP/IP parameetrite seadistamine, tuntud ka kui ECR over IP
- Hosti/ECR-i suhtlusvõimalused Vikingi makserakenduses
Hosti KOMM-i tüüp Terminali tüüp Ethernet SeIf4000, Move3500, Desk3500, La n e3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i ECR kaudu SeIf4000, Move3500, Link2500, Link2500i, Desk3500,
Rada 3000GPRS 3500 'Joonda Move3500, Link2500 ECR KOMM tüüp Terminali tüüp IP Ethernet SeIf4000, Move3500, Desk3500, Lane3000 BT iOS Link2500, Link2500i BT Android Move3500, Link2500, Link2500i USB SeIf4000, Move3500, Link2500, Link2500i, Desk3500, Lane3000 RS232 SeIf4000, Desk3500, Lane3000 GPRS 3500 IP Will Move3500, Link2500 - Nets Cloud ECR (Connect Cloud) parameetrite konfigureerimine
ECR IP-aadress 212.226.157.243 Side TCP-IP PORT 6001
2.1.3 Side hostiga ECR-i kaudu
| Hosti IP-aadress | 91.102.24142 |
| Side TCP-IP PORT (Norra) | 9670 |
Märkus. Riigipõhiste TCP/IP-portide kohta vaadake jaotist „2.1.1 – maksehosti side TCP/IP parameetri seadistamine”.
2.2 Toetatud terminali riistvara(d)
Vikingi makserakendust toetavad mitmed PTS (PIN-i tehingu turvalisus) valideeritud Ingenico seadmed.
Terminali riistvara loend koos nende PTS-i kinnitusnumbriga on toodud allpool.
Tetra terminali tüübid
| Terminal riistvara | PTS versioon | PTS kinnitusnumber | PTS riistvara versioon | PTS püsivara versioon |
| Rada 3000 | 5.x | 4-30310 | LAN30AN LAN30BA LAN30BN LAN30CA LAN30DA LAN30EA LAN30EN LAN30FA LAN30FN LAN30GA LAN30HA LAN30AA | 820547v01.xx 820561v01.xx |
| Kirjutuslaud 3500 | 5.x | 4-20321 | DES32BB DES32BC DES32CB DES32DB DES32DC DES35AB DES35BB DES35BC DES35CB DES35DB DES35DC DES32AB | 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx |
| Liigutage 3500 | 5.x | 4-20320 | MOV35AC MOV35AQ MOV35BB MOV35BC MOV35BQ MOV35CB MOV35CC MOV35CQ MOV35DB MOV35DC MOV35DQ MOV35EB MOV35FB MOV35JB MOV35AB | 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx |
| Link 2500 | 4.x | 4-30230 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA | 820555v01.xx 820556v01.xx 820547v01.xx |
| LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA | ||||
| Link 2500 | 5.x | 4-30326 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA LIN25 | 820547v01.xx |
| Ise 4000 | 5.x | 4-30393 | SEL40BA | 820547v01.xx |
2.3 Turvapoliitika
Vikingi makserakendus järgib kõiki Ingenico määratud kehtivaid turvapoliitikaid. Üldteabe saamiseks on need lingid erinevate Tetra terminalide turvapoliitikatele:
| Terminali tüüp | Turvapoliitika dokument |
| Link2500 (v4) | Link/2500 PCI PTS turbepoliitika (pcisecuritystandards.org) |
| Link2500 (v5) | PCI PTS turbepoliitika (pcisecuritystandards.org) |
| laud 3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-EN- V12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf |
| 3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-EN- V11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf |
| Rada 3000 | https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-EN- V16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf |
| Ise 4000 | Self/4000 PCI PTS turbepoliitika (pcisecuritystandards.org) |
Turvaline kaugtarkvaravärskendus
3.1 Kohaldatavus kaupmehele
Nets tarnib Vikingi makserakenduste värskendusi turvaliselt eemalt. Need värskendused toimuvad samas sidekanalis, kus turvalised maksetehingud ja kaupmees ei pea nõuete täitmiseks sellel suhtlusteel muudatusi tegema.
Üldteabe saamiseks peaksid kaupmehed töötama välja vastuvõetavad kasutusreeglid kriitiliste töötajatele suunatud tehnoloogiate jaoks vastavalt allolevatele VPN-i või muude kiirete ühenduste juhistele. Värskendused võetakse vastu tulemüüri või isikliku tulemüüri kaudu.
3.2 Vastuvõetava kasutamise eeskirjad
Kaupmees peaks välja töötama töötajatele suunatud kriitiliste tehnoloogiate (nt modemid ja juhtmeta seadmed) kasutuspoliitikad. Need kasutuseeskirjad peaksid sisaldama järgmist:
- Juhtkonna selgesõnaline kasutusluba.
- Autentimine kasutamiseks.
- Kõigi juurdepääsuga seadmete ja töötajate loend.
- Seadmete märgistamine omanikuga.
- Kontaktandmed ja eesmärk.
- Tehnoloogia vastuvõetavad kasutusviisid.
- Tehnoloogiate jaoks vastuvõetavad võrgu asukohad.
- Ettevõtte heakskiidetud toodete loend.
- Modemite kasutamise lubamine tarnijatele ainult vajaduse korral ja desaktiveerimine pärast kasutamist.
- Kaardiomaniku andmete salvestamise keeld kohalikule andmekandjale kaugühenduse korral.
3.3 Isiklik tulemüür
Kõik "alati sisse lülitatud" ühendused arvutist VPN-i või muu kiire ühendusega peaksid olema kaitstud isikliku tulemüüritoote abil. Organisatsioon konfigureerib tulemüüri nii, et see vastaks konkreetsetele standarditele ja töötaja ei saa seda muuta.
3.4 Kaugvärskendamise protseduurid
Terminali käivitamiseks Netsi tarkvarakeskusega värskenduste saamiseks ühendust võtma on kaks võimalust:
- Kas käsitsi terminali menüüvaliku kaudu (pühkige kaupmehe kaarti, valige menüü 8 „Tarkvara“, 1 „Tarkvara toomine“) või käivitatud host.
- Host algatatud meetodi kasutamine; terminal saab automaatselt käsu Hostilt pärast finantstehingu sooritamist. Käsk käsib terminalil värskenduste kontrollimiseks ühendust võtta Netsi tarkvarakeskusega.
Pärast edukat tarkvarauuendust prindib sisseehitatud printeriga terminal kviitungi teabega uue versiooni kohta.
Terminali integraatorid, partnerid ja/või Netsi tehnilise toe meeskond vastutavad kaupmeeste teavitamise eest värskendusest, sealhulgas lingist värskendatud juurutusjuhendile ja väljalaskemärkmetele.
Lisaks tarkvarauuendusjärgsele kviitungile saab Vikingi makserakendust valideerida ka terminali info kaudu, vajutades terminalil klahvi F3.
Tundlike andmete turvaline kustutamine ja salvestatud kaardiomanike andmete kaitse
4.1 Kohaldatavus kaupmehele
Viking makserakendus ei salvesta oma varasematest versioonidest magnetriba andmeid, kaardi valideerimise väärtusi või koode, PIN-koode või PIN-bloki andmeid, krüptograafilise võtme materjali ega krüptogramme.
PCI-ühildumiseks peab kaupmehel olema andmete säilitamise poliitika, mis määrab, kui kaua kaardiomaniku andmeid säilitatakse. Viking makserakendus säilitab kaardiomaniku andmed ja/või delikaatsed autentimisandmed kõige viimase tehingu kohta ning juhul, kui toimub võrguühenduseta või edasilükatud autoriseerimistehing, järgides samal ajal PCI-Secure Software Standardi nõuetele vastavust, võib see olla vabastatud kaupmehe kaardiomaniku andmete säilitamise poliitika.
4.2 Turvalise kustutamise juhised
Terminal ei salvesta tundlikke autentimisandmeid; full track2, CVC, CVV või PIN, ei enne ega pärast autoriseerimist; välja arvatud edasilükatud autoriseerimise tehingud, mille puhul krüptitud tundlikud autentimisandmed (täielikud track2 andmed) salvestatakse kuni autoriseerimiseni. Pärast autoriseerimist kustutatakse andmed turvaliselt.
Kõik terminalis leiduvad keelatud ajaloolised andmed kustutatakse automaatselt turvaliselt, kui terminali Viking makserakendust uuendatakse. Keelatud ajaloolised andmed ja andmed, mille säilitamiseeskirjad on möödunud, kustutatakse automaatselt.
4.3 Kaardiomaniku salvestatud andmete asukohad
Kaardiomaniku andmed salvestatakse Flash DFS-i (Data File terminali süsteem). Andmed ei ole kaupmehele otseselt kättesaadavad.
| Andmepood (file, laud jne) | Kaardiomaniku andmeelemendid on salvestatud (PAN, aegumine, SAD-i mis tahes elemendid) | Kuidas andmehoidla on kaitstud (ntample, krüpteerimine, juurdepääsu juhtimine, kärpimine jne) |
| File: üleastumine | PAN, aegumiskuupäev, teeninduskood | PAN: krüptitud 3DES-DUKPT (112 bitti) |
| File: storefwd.rsd | PAN, aegumiskuupäev, teeninduskood | PAN: krüptitud 3DES-DUKPT (112 bitti) |
| File: transoff.rsd | PAN, aegumiskuupäev, teeninduskood | PAN: krüptitud 3DES-DUKPT (112 bitti) |
| File: transorr.rsd | Kärbitud PAN | Kärbitud (esimesed 6, viimased 4) |
| File: offlrep.dat | Kärbitud PAN | Kärbitud (esimesed 6, viimased 4) |
| File: defauth.rsd | PAN, aegumiskuupäev, teeninduskood | PAN: krüptitud 3DES-DUKPT (112 bitti) |
| File: defauth.rsd | Täielikud track2 andmed | Täielikud Track2 andmed: eelkrüpteeritud 3DES-DUKPT (112 bitti) |
4.4 Edasilükatud autoriseerimistehing
Edasilükatud autoriseerimine ilmneb siis, kui kaupmees ei saa ühenduvuse, süsteemiprobleemide või muude piirangute tõttu kaardiomanikuga tehingu tegemise ajal autoriseerimist lõpule viia ja seejärel teostab autoriseerimise hiljem, kui ta saab seda teha.
See tähendab, et edasilükatud autoriseerimine toimub siis, kui veebipõhine autoriseerimine tehakse pärast seda, kui kaart pole enam saadaval. Kuna edasilükatud autoriseerimise tehingute online-autoriseerimine viibib, salvestatakse tehingud terminalis seni, kuni tehingud on hiljem edukalt autoriseeritud, kui võrk on saadaval. Tehingud salvestatakse ja saadetakse hiljem hostile, nagu näiteks tänase seisuga Viking makserakenduses Offline-tehingute salvestamine.
Kaupleja saab tehingu algatada elektroonilise kassaaparaadi (ECR) kaudu või terminali menüü kaudu "edasildatud autoriseerimisena".
Edasilükatud autoriseerimise tehingud saab kaupmees Netsi hosti üles laadida, kasutades järgmisi valikuid.
- ECR – administraatori käsk – võrguühenduseta saatmine (0x3138)
- Terminal – kaupmees -> 2 EOT -> 2 hostile saadetud
4.5 Tõrkeotsingu protseduurid
Netsi tugi ei nõua tõrkeotsingu eesmärgil tundlikku autentimist ega kaardiomaniku andmeid. Viking makserakendus ei suuda mingil juhul delikaatseid andmeid koguda ega tõrkeotsingut teha.
4.6 PAN-i asukohad – kuvatakse või prinditakse
Maskeeritud PAN:
- Finantstehingute kviitungid:
Maskeeritud PAN trükitakse alati nii kaardiomaniku kui kaupmehe tehingukviitungile. Maskeeritud PAN on enamikul juhtudel tähega *, kus esimesed 6 numbrit ja viimased 4 numbrit on selge tekstina. - Tehingute loendi aruanne:
Tehingute loendi aruanne näitab seansi jooksul tehtud tehinguid. Tehingu üksikasjad hõlmavad maskeeritud PAN-i, kaardi väljaandja nime ja tehingu summat. - Viimane kliendi kviitung:
Viimase kliendikviitungi koopia saab genereerida terminali koopiamenüüst. Kliendi kviitung sisaldab algse kliendikviitungina maskeeritud PAN-i. Antud funktsiooni kasutatakse juhul, kui terminalil ei õnnestu klienti genereerida
kviitungi tehingu ajal mis tahes põhjusel.
Krüpteeritud PAN:
• Võrguühenduseta tehingu kviitung:
Võrguühenduseta tehingu jaemüüja kviitungi versioon sisaldab kolmekordse DES 112-bitise DUKPT krüptitud kaardiomaniku andmeid (PAN, aegumiskuupäev ja teenusekood).
BAX: 71448400-714484
12/08/2022 10:39
Visa
Kontaktivaba
***********3439-0
107A47458AE773F3A84DF977
553E3D93FFFF9876543210E0
15F3
ABI: A0000000031010
TVR: 0000000000
Kaupluse ID: 123461
Viide: 000004 000000 KC3
Vastus: Y1
Seanss: 782
OST
12,00 NOK
KINNITUD
JAEMÜÜJA KOOPIA
Kinnitus:
Viking makserakendus krüpteerib alati kaardiomaniku andmed vaikimisi võrguühenduseta tehingute salvestamiseks, edastamiseks NETS-i hosti ja krüpteeritud kaardiandmete printimiseks jaemüüja kviitungile võrguühenduseta tehingu puhul.
Samuti varjab Viking makserakendus kaardi PAN kuvamiseks või printimiseks alati PAN-i numbrid tärniga '*' ja vaikimisi on selged esimesed 6 + 4 viimast numbrit. Kaardinumbri printimise vormingut kontrollib terminalihaldussüsteem, kus trükivormingut saab muuta õige kanali kaudu taotledes ja ärilise õigustatud vajaduse esitamisel, kuid Vikingi makserakenduse puhul sellist juhtumit ei ole.
Example maskeeritud PAN-i jaoks:
PAN: 957852181428133823-2
Minimaalne info: **************3823-2
Maksimaalne info: 957852********3823-2
4.7 Viip files
Viking maksetaotlus ei anna eraldi viipasid files.
Viking makserakendus taotleb kaardiomaniku sisestusi ekraaniviipade kaudu, mis on osa allkirjastatud Vikingi makserakenduse sõnumisüsteemist.
Terminalis kuvatakse PIN-koodi, summa jms viipasid ning oodatakse kaardiomaniku sisestusi. Kaardiomanikult saadud sisendeid ei salvestata.
4.8 Võtmehaldus
Tetra terminalimudelite sarja puhul teostatakse kõik turvafunktsioonid makserakenduse eest kaitstud PTS-seadme turvalises piirkonnas.
Krüptimine toimub turvalises piirkonnas, samas kui krüptitud andmete dekrüpteerimist saavad teostada ainult Nets Hosti süsteemid. Kogu võtmevahetus Netsi hosti, võtme/süsti tööriista (Tetra terminalide jaoks) ja PED-i vahel toimub krüptitud kujul.
Võtmehalduse protseduure rakendab Nets vastavalt DUKPT-skeemile, kasutades 3DES-krüptimist.
Kõik Netsi terminalides kasutatavad võtmed ja võtmekomponendid genereeritakse heakskiidetud juhuslike või pseudojuhuslike protsesside abil. Netsi terminalides kasutatavad võtmed ja võtmekomponendid genereerib Netsi võtmehaldussüsteem, mis kasutab krüptograafiliste võtmete genereerimiseks heakskiidetud Thales Pay shield HSM-üksusi.
Võtmehaldus on maksefunktsioonist sõltumatu. Seetõttu ei nõua uue rakenduse laadimine võtmefunktsioonide muutmist. Terminali võtmeruum toetab umbes 2,097,152 XNUMX XNUMX tehingut.
Kui võtmeruum on ammendatud, lõpetab Viking terminal töö ja kuvab veateate ning siis tuleb terminal välja vahetada.
4.9 '24 HR' Taaskäivitamine
Kõik Vikingi terminalid on PCI-PTS 4.x ja uuemad ning järgib seega vastavusnõuet, et PCI-PTS 4.x terminal peab taaskäivitama vähemalt kord 24 tunni jooksul, et kustutada RAM ja muu turvaline terminali HW, et seda ei kasutataks maksete kättesaamiseks. kaardi andmed.
Veel üks 24-tunnise taaskäivitustsükli eelis on see, et mälulekkeid leevendatakse ja need mõjutavad kaupmeest vähem (mitte, et me peaksime mälulekke probleemidega nõustuma.
Kaupmees saab määrata taaskäivitamise ajaks terminali menüü valikust 'Reboot Time'. Taaskäivitusaeg määratakse 24-tunnise kella alusel ja see on vormingus HH:MM.
Lähtestamismehhanism on loodud tagama terminali lähtestamise vähemalt üks kord 24 tunni jooksul. Selle nõude täitmiseks on määratletud ajapilu, mida nimetatakse lähtestamisintervalliks, mida esindavad Temin ja Tmax. See periood tähistab ajavahemikku, mille jooksul lähtestamine on lubatud. Olenevalt ärijuhtumist kohandatakse lähtestamisintervalli terminali paigaldamise etapis. Projekti järgi ei tohi see periood olla lühem kui 30 minutit. Sel perioodil toimub lähtestamine iga päev 5 minutit varem (T3 ajal), nagu on selgitatud alloleval diagrammil:
4.10 Lubatud nimekirja lisamine
Valge nimekirja lisamine on protseduur, mille abil tehakse kindlaks, kas lubatud loendina loetletud PAN-e on lubatud kuvada selge tekstina. Viking kasutab valgesse nimekirja kantud PAN-ide määramiseks 3 välja, mida loetakse terminalihaldussüsteemist alla laaditud konfiguratsioonidest.
Kui Netsi hosti vastavuslipp on seatud väärtusele Y, laaditakse Netsi hosti või terminali haldussüsteemi teave terminali käivitamisel alla terminali. Seda vastavuslippu kasutatakse andmestikust loetavate lubatud nimekirja kantud PAN-ide määramiseks.
Lipp „Track2ECR” määrab, kas ECR-il on lubatud Track2 andmeid konkreetse väljaandja puhul käsitleda (saata/vastu võtta). Olenevalt selle lipu väärtusest määratakse, kas track2 andmeid tuleks ECR-is kuvada kohalikus režiimis.
„Prindivormingu väli” määrab, kuidas PAN-i kuvatakse. Kõigil PCI ulatusega kaartidel on printimisvorming, mis on seadistatud kuvama PAN-i kärbitud/maskeeritud kujul.
Autentimine ja juurdepääsu juhtelemendid
5.1 Juurdepääsu kontroll
Viking makserakendusel ei ole kasutajakontosid ega vastavaid paroole, mistõttu on Viking makserakendus sellest nõudest vabastatud.
- ECR integreeritud seadistus:
Nende funktsioonide väärkasutamise eest kaitsmiseks ei ole terminali menüüst võimalik juurde pääseda tehingutüüpidele, nagu tagasimakse, sissemakse ja tagasivõtmine. Need on tehingutüübid, kus raha liikumine toimub kaupmehe kontolt kaardiomaniku kontole. Kaupmees vastutab selle eest, et ECR-i kasutaksid ainult selleks volitatud kasutajad. - Iseseisev seadistus:
Kaupmehekaardi juurdepääsukontroll on vaikimisi lubatud, et pääseda terminali menüüst juurde tehingutüüpidele, nagu tagasimakse, sissemakse ja tagasivõtmine, et tagada nende funktsioonide väärkasutamine.
Vikingi terminal on vaikimisi konfigureeritud menüüvalikuid kaitsma, et vältida volitamata juurdepääsu. Menüü turvalisuse seadistamise parameetrid asuvad jaotises Kaupmehe menüü (juurdepääs kaupmehe kaardiga) -> Parameetrid -> Turvalisus
Menüü Kaitsmine – Määrake vaikimisi olekuks „Jah”.
Terminali menüünupp on kaitstud kaitsemenüü konfiguratsiooniga. Menüüsse pääseb ainult Kaupmees kaupmehe kaardiga. 
Kaitse tagasikäiku – Määrake vaikimisi olekuks „Jah”.
Tehingut saab tühistada ainult kaupmees, kes kasutab tagasipööramismenüüsse pääsemiseks kaupmehe kaarti. 
Kaitske leppimist - Määrake vaikimisi olekuks „Jah”.
Kui see kaitse on seatud väärtusele Tõene, pääseb kooskõlastamise valikule juurde ainult kaupmehe kaardiga kaupmees. 
Otsetee kaitsmine – Määrake vaikimisi olekuks „Jah”.
Kiirmenüü valikutega viewTerminali teave ja Bluetoothi parameetrite värskendamise võimalus on kaupmehele saadaval ainult siis, kui kaupmehe kaarti pühkida.
5.2 Parooli juhtelemendid
Viking makserakendusel ei ole kasutajakontosid ega vastavaid paroole; seetõttu on Vikingi taotlus sellest nõudest vabastatud.
Logimine
6.1 Kohaldatavus kaupmehele
Praegu puuduvad Nets Viking makserakendusel lõppkasutaja seadistatavad PCI logi seaded.
6.2 Logi seadete konfigureerimine
Vikingi makserakendusel pole kasutajakontosid, mistõttu PCI-ga ühilduv logimine ei ole rakendatav. Isegi kõige üksikasjalikuma tehingulogimise korral ei logi Viking makserakendus tundlikke autentimisandmeid ega kaardiomaniku andmeid.
6.3 Keskne logimine
Terminalil on üldine logimehhanism. Mehhanism hõlmab ka S/W käivitatava faili loomise ja kustutamise logimist.
S/W allalaadimistegevused logitakse ja neid saab terminali menüüvaliku kaudu käsitsi hostile üle kanda või tavalises tehinguliikluses märgistatud hosti nõudmisel. Kui S/W allalaadimise aktiveerimine nurjub vastuvõetud valede digitaalallkirjade tõttu files, intsident logitakse ja edastatakse hostile automaatselt ja kohe.
6.3.1 Luba terminalis jälgimise logimine
Jälje logimise lubamiseks toimige järgmiselt.
- Pühkige kaupmehe kaarti.
- Seejärel valige menüüst "9 Süsteemimenüü".
- Seejärel minge menüüsse "2 Süsteemi logi".
- Sisestage tehniku kood, mille saate Nets Merchant Service'i toele helistades.
- Valige "8 parameetrit".
- Seejärel lubage "Logimine" valikuks "Jah".
6.3.2 Jälgimislogide saatmine hostile
Jäljelogide saatmiseks toimige järgmiselt.
- Vajutage terminalil menüüklahvi ja seejärel pühkige kaupmehekaarti.
- Seejärel valige peamenüüs "7 Operaator menu".
- Seejärel valige jälgimislogide saatmiseks hostile "5 Send Trace Logs".
6.3.3 Kaugjälje logimine
Võrguhostis (PSP) on seatud parameeter, mis lubab/keelab terminali jälgimise logimise funktsiooni eemalt. Nets Host saadab jälgimise lubamise/keelamise logimise parameetri andmekomplektis olevale terminalile koos ajastatud ajaga, millal terminal jälgimise logid üles laadib. Kui terminal saab jälgimisparameetri lubatud kujul, alustab see jälituslogide hõivamist ja ajastatud ajal laadib kõik jälgimislogid üles ja keelab seejärel logimisfunktsiooni.
6.3.4 Kaugtõrkete logimine
Vealogid on terminalis alati lubatud. Sarnaselt jälgede logimisele on Nets Hostis seatud parameeter, mis lubab/keelab terminali vealogimise funktsiooni eemalt. Nets Host saadab jälgimise lubamise/keelamise logimise parameetri andmekomplektis olevale terminalile koos ajastatud ajaga, millal terminal vealogid üles laadib. Kui terminal saab parameetri Error logging parameetri lubatud kujul, hakkab see tõrkelogisid jäädvustama ja ajastatud ajal laadib kõik vealogid üles ja keelab seejärel logimisfunktsiooni.
Traadita võrgud
7.1 Kohaldatavus kaupmehele
Viking makseterminal – MOVE 3500 ja Link2500 on võimelised ühenduma Wi-Fi võrguga. Seetõttu tuleks traadita ühenduse turvaliseks rakendamiseks traadita võrgu installimisel ja konfigureerimisel arvestada allpool kirjeldatud viisil.
7.2 Soovitatavad traadita ühenduse konfiguratsioonid
Sisevõrguga ühendatud traadita võrkude konfigureerimisel on palju kaalutlusi ja samme.
Vähemalt peavad paigas olema järgmised sätted ja konfiguratsioonid:
- Kõik traadita võrgud peavad olema tulemüüri abil segmenteeritud; kui on vaja ühendusi traadita võrgu ja kaardiomaniku andmekeskkonna vahel, peab juurdepääsu kontrollima ja kaitsma tulemüür.
- Muutke vaike-SSID-d ja keelake SSID-edastus
- Muutke nii traadita ühenduste kui ka traadita pääsupunktide vaikeparoole, sealhulgas konsooli juurdepääsu ja SNMP kogukonna stringe
- Muutke muid tarnija pakutud või määratud turbevaikeseadeid
- Veenduge, et traadita pääsupunktid oleksid värskendatud uusimale püsivarale
- Kasutage ainult tugevate võtmetega WPA-d või WPA2-d, WEP on keelatud ja seda ei tohi kunagi kasutada
- Vahetage WPA/WPA2 võtmeid nii installimisel kui ka regulaarselt ja alati, kui võtmeid tundev inimene ettevõttest lahkub
Võrgu segmenteerimine
8.1 Kohaldatavus kaupmehele
Viking makserakendus ei ole serveripõhine makserakendus ja asub terminalis. Sel põhjusel ei vaja maksetaotlus selle nõude täitmiseks korrigeerimist.
Kaupmehele üldiselt teadaolevalt ei saa krediitkaardiandmeid salvestada otse internetti ühendatud süsteemides. Näiteksample, web servereid ja andmebaasiservereid ei tohiks installida samasse serverisse. Võrgu segmenteerimiseks tuleb seadistada demilitariseeritud tsoon (DMZ), et Internetile pääseks ligi ainult DMZ-l olevatele masinatele.
Kaugjuurdepääs
9.1 Kohaldatavus kaupmehele
Viking makserakendusele ei pääse kaugjuurdepääs. Kaugtugi toimub ainult Netsi tugitöötaja ja kaupmehe vahel telefoni teel või Netsi kaudu otse kaupmehega kohapeal.
Tundlike andmete edastamine
10.1 Tundlike andmete edastamine
Viking makserakendus kaitseb edastamisel tundlikke andmeid ja/või kaardiomanike andmeid, kasutades sõnumitasemel krüptimist, kasutades 3DES-DUKPT-d (112 bitti) kogu edastuse jaoks (sh avalikes võrkudes). Turvaprotokolle IP-suhtluseks rakendusest Viking hostile ei ole vaja, kuna sõnumitaseme krüptimist rakendatakse 3DES-DUKPT (112-bitise) abil, nagu eespool kirjeldatud. See krüpteerimisskeem tagab, et isegi tehingute pealtkuulamisel ei saa neid mingil viisil muuta ega kahjustada, kui 3DES-DUKPT (112-bitist) peetakse tugevaks krüptimiseks. DUKPT võtmehaldusskeemi kohaselt on kasutatav 3DES-võti iga tehingu puhul kordumatu.
10.2 Tundlike andmete jagamine muu tarkvaraga
Vikingi makserakendus ei paku ühtegi loogilist liidest/API-sid, mis võimaldaksid selgeteksti kontoandmete jagamist otse muu tarkvaraga. Avatud API-de kaudu ei jagata muu tarkvaraga tundlikke andmeid ega selgeteksti kontoandmeid.
10.3 E-post ja tundlikud andmed
Viking makserakendus ei toeta e-kirjade saatmist.
10.4 Konsooliväline administraatorijuurdepääs
Viking ei toeta mittekonsooli administraatorijuurdepääsu.
Kaupmehe üldteadmiseks peab aga mittekonsooli administraatorijuurdepääs kasutama SSH-d, VPN-i või TLS-i, et krüpteerida kogu konsoolivälise administraatorijuurdepääs kaardiomaniku andmekeskkonnas asuvatele serveritele. Telneti ega muid krüptimata juurdepääsumeetodeid ei tohi kasutada.
Vikingi versioonide loomise metoodika
Netsi versioonide loomise metoodika koosneb kolmeosalisest S/W versiooninumbrist: a.bb.c
kus 'a' suurendatakse, kui PCI-Secure'i tarkvarastandardi kohaselt tehakse suure mõjuga muudatusi.
a – põhiversioon (1 number)
"bb" suurendatakse, kui väikese mõjuga kavandatud muudatused tehakse vastavalt PCI-Secure'i tarkvarastandardile.
bb – väike versioon (2 numbrit)
Kui PCI-Secure'i tarkvarastandardi kohaselt tehakse väikese mõjuga plaastri muudatusi, suurendatakse 'c' väärtust.
c – väikeversioon (1 number)
Viking makserakenduse S/W versiooninumber kuvatakse terminali ekraanil terminali sisselülitamisel järgmiselt: 'abbc'
- Värskendus nt 1.00.0-lt 2.00.0-le on oluline funktsionaalne uuendus. See võib sisaldada muudatusi, mis mõjutavad turvalisust või PCI Secure Software Standardi nõudeid.
- Värskendus nt 1.00.0 versioonile 1.01.0 on väheoluline funktsionaalne värskendus. See ei tohi sisaldada muudatusi, mis mõjutavad turvalisust või PCI Secure Software Standardi nõudeid.
- Värskendus nt 1.00.0 versioonile 1.00.1 on väheoluline funktsionaalne värskendus. See ei tohi sisaldada muudatusi, mis mõjutavad turvalisust või PCI Secure Software Standardi nõudeid.
Kõik muudatused on esitatud järjestikuses numbrilises järjekorras.
Juhised paikade ja värskenduste turvalise installimise kohta.
Nets edastab turvaliselt kaugmakserakenduste värskendusi. Need värskendused toimuvad samas sidekanalis, kus turvalised maksetehingud ja kaupmees ei pea nõuete täitmiseks sellel suhtlusteel muudatusi tegema.
Kui plaaster on olemas, värskendab Nets paiga versiooni Nets Hostis. Kaupmees saaks plaastrid automaatse S/W allalaadimise päringu kaudu või saab kaupmees käivitada ka tarkvara allalaadimise terminali menüüst.
Üldteabe saamiseks peaksid kaupmehed töötama välja vastuvõetavad kasutusreeglid kriitiliste töötajatele suunatud tehnoloogiate jaoks. Vastavalt allolevatele juhistele VPN-i või muude kiirete ühenduste kohta, värskendused võetakse vastu tulemüüri või personali tulemüüri kaudu.
Netsi host on saadaval kas Interneti kaudu, kasutades turvalist juurdepääsu, või suletud võrgu kaudu. Suletud võrgu korral on võrgupakkujal otseühendus meie hostikeskkonnaga, mida pakub nende võrgupakkuja. Terminale hallatakse Netsi terminalihaldusteenuste kaudu. Terminalihaldusteenus määratleb näiteksample piirkond, kuhu terminal kuulub, ja omandaja kasutuses. Terminalihaldus vastutab ka terminalitarkvara kaugtäiendamise eest võrgu kaudu. Netid tagavad, et terminali laetud tarkvara on läbinud nõutavad sertifikaadid.
Nets soovitab kõigile oma klientidele kontrollpunkte, et tagada ohutud ja turvalised maksed, nagu allpool loetletud:
- Pidage loendit kõigist töötavatest makseterminalidest ja tehke pilte kõigist mõõtmetest, et teaksite, millised need peaksid välja nägema.
- Otsige ilmseid märke tampnt purunenud tihendid juurdepääsu katteplaatide või kruvide kohal, veider või erinev kaabeldus või uus riistvaraseade, mida te ei tunne ära.
- Kaitske oma terminale klientide käeulatusest, kui neid ei kasutata. Kontrollige igapäevaselt oma makseterminale ja muid seadmeid, mis suudavad maksekaarte lugeda.
- Kui ootate makseterminali remonti, peate kontrollima remondipersonali isikut.
- Helistage viivitamatult Netsile või oma panka, kui kahtlustate ilmset tegevust.
- Kui arvate, et teie POS-seade on varguse suhtes haavatav, saate kaubanduslikult osta teenindushälle ning turvalisi rakmeid ja lõasid. Võib-olla tasub kaaluda nende kasutamist.
Vikingi väljalaske värskendused
Tarkvara Viking antakse välja järgmiste väljalasketsüklitena (võib muutuda):
- 2 suuremat väljaannet aastas
- 2 väiksemat väljaannet aastas
- Tarkvarapaigad vastavalt vajadusele (nt mis tahes kriitilise vea/haavatavuse tõttu). Kui väljalase töötab kohapeal ja teatatakse mõnest kriitilisest probleemist, siis peaks parandusega tarkvaraplaan välja tulema ühe kuu jooksul.
Kaupmehi teavitatakse väljalasetest (suur/väike/parandus) meili teel, mis saadetakse otse nende vastavatele e-posti aadressidele. Meil sisaldab ka väljalaske peamisi esiletõstmisi ja väljalaskemärkmeid.
Kaupmehed pääsevad juurde ka väljalaskemärkmetele, mis laaditakse üles aadressil: Tarkvara väljalaskemärkmed (nets.eu)
Viking Software väljalasked allkirjastatakse Ingenico Tetra terminalide laulutööriista abil. Terminali saab laadida ainult allkirjastatud tarkvara.
Mitterakendatavad nõuded
See jaotis sisaldab PCI-Secure'i tarkvarastandardi nõuete loetelu, mis on hinnatud Vikingi makserakendusele mittekohaldatavaks, ja selle põhjendust.
| PCI Secure Software Standard CO | Tegevus | Põhjendus "mittekohaldatavaks" |
| 5.3 | Autentimismeetodid (sealhulgas seansi mandaadid) on piisavalt tugevad ja vastupidavad, et kaitsta autentimismandaate võltsimise, võltsimise, lekitamise, äraarvamise või kõrvalehiilimise eest. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmes. Viking makserakendus ei paku kohalikku, mittekonsooli- ega kaugjuurdepääsu ega privileege, seega puuduvad PTS POI-seadmes autentimismandaadid. Vikingi makserakendus ei paku seadeid kasutajatunnuste haldamiseks ega genereerimiseks ega paku kohalikku, mittekonsooli- ega kaugjuurdepääsu kriitilistele varadele (isegi silumise eesmärgil). |
| 5.4 | Vaikimisi on kogu juurdepääs kriitilistele varadele piiratud ainult nende kontode ja teenustega, mis sellist juurdepääsu vajavad. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmes. Viking makserakendus ei paku seadeid kontode või teenuste haldamiseks ega genereerimiseks. |
| 7.3 | Kõik tarkvara poolt kasutatavad juhuslikud numbrid genereeritakse ainult heakskiidetud juhuslike arvude genereerimise (RNG) algoritmide või teekide abil. Heakskiidetud RNG-algoritmid või raamatukogud on need, mis vastavad tööstusharu standarditele piisava prognoosimatuse tagamiseks (nt NIST eriväljaanne 800-22). | Viking makserakendus ei kasuta oma krüpteerimisfunktsioonide jaoks RNG-d (juhuslike numbrite generaatorit). Viking makserakendus ei genereeri ega kasuta krüptograafiliste funktsioonide jaoks juhuslikke numbreid. |
| 7.4 | Juhuslikel väärtustel on entroopia, mis vastab krüptograafiliste primitiivide ja neile tuginevate võtmete minimaalsele efektiivsele tugevuse nõuetele. | Viking makserakendus ei kasuta oma krüpteerimisfunktsioonide jaoks RNG-d (juhuslike numbrite generaatorit). Viking makserakendus ei genereeri ega kasuta krüptograafiliste funktsioonide jaoks juhuslikke numbreid. |
| 8.1 | Kõiki juurdepääsukatseid ja kriitiliste varade kasutamist jälgitakse ja need on jälgitavad unikaalse isikuni. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmetes, kus toimub kogu kriitilise tähtsusega varade käitlemine ning PTS POI püsivara tagab PTS POI seadmesse salvestatud tundlike andmete konfidentsiaalsuse ja terviklikkuse. Viking makserakenduse tundliku funktsiooni konfidentsiaalsust, terviklikkust ja vastupidavust kaitseb ja tagab PTS POI püsivara. PTS POI püsivara takistab juurdepääsu kriitilistele varadele terminalist ja tugineb anti-t-leampering funktsioone. Viking makserakendus ei paku kohalikku, mittekonsooli- ega kaugjuurdepääsu ega ka privileege, seega puudub kriitilistele varadele ligipääs isik või muud süsteemid, kriitiliste varadega saab hakkama ainult Viking makserakendus |
| 8.2 | Kõik tegevused on jäädvustatud piisava ja vajaliku üksikasjalikkusega, et täpselt kirjeldada, milliseid konkreetseid tegevusi tehti, kes neid sooritas, millal neid tehti ja milliseid olulisi varasid see mõjutas. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmetes. Viking makserakendus ei paku kohalikku, mittekonsooli- ega kaugjuurdepääsu ega privileege, seega puudub kriitilistele varadele ligipääs isik või muud süsteemid, kriitiliste varadega saab hakkama ainult Viking makserakendus. • Viking makserakendus ei paku privileegide töörežiime. • Puuduvad funktsioonid tundlike andmete krüptimise keelamiseks • Tundlike andmete dekrüpteerimiseks puuduvad funktsioonid • Puuduvad funktsioonid tundlike andmete eksportimiseks teistesse süsteemidesse või protsessidesse • Autentimisfunktsioone ei toetata Turvakontrolli ja turbefunktsioone ei saa keelata ega kustutada. |
| 8.3 | Tarkvara toetab detailide turvalist säilitamist tegevust rekordid. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmetes. Viking makserakendus ei paku kohalikku, mittekonsooli- ega kaugjuurdepääsu ega privileege, seega puudub kriitilistele varadele ligipääs isik või muud süsteemid, kriitiliste varadega saab hakkama ainult Viking makserakendus. • Viking makserakendus ei paku privileegide töörežiime. • Puuduvad funktsioonid tundlike andmete krüptimise keelamiseks • Tundlike andmete dekrüpteerimiseks puuduvad funktsioonid • Puuduvad funktsioonid tundlike andmete eksportimiseks teistesse süsteemidesse või protsessidesse • Autentimisfunktsioone ei toetata Turvakontrolli ja turbefunktsioone ei saa keelata ega kustutada. |
| 8.4 | Tarkvara käsitleb tegevuste jälgimise mehhanismide tõrkeid nii, et olemasolevate tegevuskirjete terviklikkus säilib. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmetes. Viking makserakendus ei paku lokaalset, mittekonsooli- ega kaugjuurdepääsu ega privileege, seega pole kriitilistele varadele ligipääsu isikut ega muid süsteeme, kriitiliste varadega saab hakkama ainult Viking rakendus. • Viking makserakendus ei paku privileegide töörežiime. • Puuduvad funktsioonid tundlike andmete krüptimise keelamiseks • Tundlike andmete dekrüpteerimiseks puuduvad funktsioonid | • Puuduvad funktsioonid tundlike andmete eksportimiseks teistesse süsteemidesse või protsessidesse • Autentimisfunktsioone ei toetata • Turvakontrolle ja turbefunktsioone ei saa keelata ega kustutada. |
| B.1.3 | Tarkvaramüüja haldab dokumentatsiooni mis kirjeldab kõiki konfigureeritavaid suvandeid, mida saab mõjutada tundlike andmete turvalisust. | Viking makserakendus töötab PCI heakskiidetud PTS POI seadmetes. Viking makserakendus ei paku lõppkasutajatele midagi järgmistest: • konfigureeritav võimalus juurdepääsuks tundlikele andmetele • konfigureeritav võimalus tundlike andmete kaitsmise mehhanismide muutmiseks • kaugjuurdepääs rakendusele • rakenduse kaugvärskendused • konfigureeritav suvand rakenduse vaikesätete muutmiseks |
| B.2.4 | Tarkvara kasutab ainult juhuslikku numbrit genereerimisfunktsioon(id), mis sisalduvad makses terminali PTS-seadme hindamine kogu krüptograafia jaoks toimingud, mis hõlmavad tundlikke andmeid või tundlikke funktsioone, mille puhul on vaja juhuslikke väärtusi ja mis ei rakenda oma juhuslike arvude genereerimise funktsioon(id). | Viking ei kasuta oma krüpteerimisfunktsioonide jaoks RNG-d (juhuslike numbrite generaatorit). Rakendus Viking ei genereeri ega kasuta krüptograafiliste funktsioonide jaoks juhuslikke numbreid. |
| B.2.9 | Tarkvara terviklikkus files on kaitstud vastavalt kontrollieesmärgile B.2.8. | Kõik Vikingi terminali viipade kuvad on rakenduses kodeeritud ja viipasid pole files on väljaspool rakendust olemas. Ei mingit viipa files väljaspool Viking makserakendust genereerib kogu vajalik teave rakenduse kaudu. |
| B.5.1.5 | Rakendusjuhised sisaldavad juhiseid sidusrühmadele kõigi viipade krüptograafiliseks allkirjastamiseks files. | Kõik Vikingi terminalis kuvatavad viibad on rakenduses kodeeritud ja viipasid pole files on väljaspool rakendust olemas. Ei mingit viipa files väljaspool Viking makserakendust genereerib kogu vajalik teave rakenduse kaudu |
PCI turvalise tarkvara standardnõuete viide
| Selle dokumendi peatükid | PCI turvalise tarkvara standardnõuded | PCI DSS nõuded |
| 2. Turvaline maksetaotlus | B.2.1 6.1 12.1 12.1.b | 2.2.3 |
| 3. Turvalised kaugtarkvaravärskendused | 11.1 11.2 12.1 | 1&12.3.9 2, 8 ja 10 |
| 4. Tundlike andmete turvaline kustutamine ja salvestatud kaardiomaniku andmete kaitse | 3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a | 3.2 3.2 3.1 3.3 3.4 3.5 3.6 |
| Autentimine ja juurdepääsu juhtelemendid | 5.1 5.2 5.3 5.4 | 8.1 ja 8.2 8.1 ja 8.2 |
| Logimine | 3.6 8.1 8.3 | 10.1 10.5.3 |
| Traadita võrk | 4.1 | 1.2.3 ja 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1 |
| Võrgu segmenteerimine | 4.1c | 1.3.7 |
| Kaugjuurdepääs | B.1.3 | 8.3 |
| Kaardiomaniku andmete edastamine | A.2.1 A.2.3 | 4.1 4.2 2.3 8.3 |
| Vikingi versioonide loomise metoodika | 11.2 12.1.b | |
| Juhised klientidele paikade ja värskenduste turvalise installimise kohta. | 11.1 11.2 12.1 |
Terminite sõnastik
| TERM | MÄÄRATLUS |
| Kaardiomaniku andmed | Täielik magnetriba või PAN pluss üks järgmistest: · Kaardiomaniku nimi · Aegumiskuupäev · Teeninduskood |
| DUKPT | Tehingu kohta tuletatud kordumatu võti (DUKPT) on võtmehaldusskeem, milles iga tehingu jaoks kasutatakse kordumatut võtit, mis tuletatakse fikseeritud võtmest. Seega, kui tuletatud võti on ohus, on tulevaste ja varasemate tehingute andmed endiselt kaitstud, kuna järgmist või eelnevat võtit ei ole lihtne määrata. |
| 3DES | Krüptograafias on Triple DES (3DES või TDES), ametlikult Triple Data Encryption Algorithm (TDEA või Triple DEA), sümmeetrilise võtmega plokkšifr, mis rakendab DES-i šifreerimisalgoritmi igale andmeplokile kolm korda. |
| Kaupmees | Vikingi toote lõppkasutaja ja ostja. |
| SSF | PCI Software Security Framework (SSF) on standardite ja programmide kogumik maksetarkvara turvaliseks kujundamiseks ja arendamiseks. Maksetarkvara turvalisus on maksetehingute voo oluline osa ning oluline usaldusväärsete ja täpsete maksetehingute hõlbustamiseks. |
| PA-QSA | Maksetaotluse kvalifitseeritud turvalisuse hindajad. QSA ettevõte, mis pakub teenuseid makserakenduste tarnijatele hankijate maksetaotluste kinnitamiseks. |
| KURB (Tundlikud autentimisandmed) | Turvalisusega seotud teave (kaardi valideerimiskoodid/väärtused, täielikud rajaandmed, PIN-koodid ja PIN-koodide plokid), mida kasutatakse kaardiomanike autentimiseks ja mis kuvatakse lihttekstina või muul viisil kaitsmata kujul. Selle teabe avaldamine, muutmine või hävitamine võib kahjustada krüptograafilise seadme, infosüsteemi või kaardiomaniku teabe turvalisust või seda võidakse kasutada pettuses. Tundlikke autentimisandmeid ei tohi pärast tehingu lõppemist kunagi salvestada. |
| Viiking | Tarkvaraplatvorm, mida Nets kasutab rakenduste arendamiseks Euroopa turul. |
| HSM | Riistvaraline turvamoodul |
Dokumendi kontroll
Dokumendi autor, Reviewers ja heakskiitjad
| Kirjeldus | Funktsioon | Nimi |
| PA-QSA | Reviewer | Claudio Adamic / Flavio Bonfiglio Shorans |
| Areng | Autor | Aruna sattus paanikasse |
| Vastavusjuht | Reviewee ja heakskiitja | Arno Edstrom |
| Süsteemiarhitekt | Reviewee ja heakskiitja | Shamsher Singh |
| QA | Reviewee ja heakskiitja | Varun Shukla |
| Toote omanik | Reviewee ja heakskiitja | Cecilia Jensen Tyldum / Arti Kangas |
| Tootejuht | Reviewee ja heakskiitja | May-Britt Dens ja Sanderson |
| peainsener | Juht | Tamely Vallone |
Muudatuste kokkuvõte
| Versioon Number | Versioon Kuupäev | Muutuste olemus | Muuda autorit | Reviewer | Läbivaatamine Tag | Kinnitamise kuupäev |
| 1.0 | 03-08-2022 | Esimene versioon PCI-Secure jaoks Tarkvara standard | Aruna sattus paanikasse | Shamsher Singh | 18-08-22 | |
| 1.0 | 15-09-2022 | Uuendatud 14. jaotist mittekohalduvate kontrollieesmärkidega põhjendus | Aruna sattus paanikasse | Shamsher Singh | 29-09-22 | |
| 1.1 | 20-12-2022 | Uuendatud jaotised 2.1.2 ja 2.2 Self4000-ga. Link2500 (PTS versioon 4.x) eemaldati toetatud terminalide loendist | Aruna sattus paanikasse | Shamsher Singh |
23-12-22 | |
| 1.1 | 05-01-2023 | Uuendatud jaotis 2.2 Link2500-ga (pts v4) selle toetamise jätkamiseks terminali tüüp. | Aruna sattus paanikasse | Shamsher Singh | 05-01-23 | |
| 1.2 | 20-03-2023 | Uuendatud jaotis 2.1.1 läti ja leedu keelega terminal profiles. Ja 2.1.2 BT-iOS-i suhtlustüübi toega | Aruna sattus paanikasse | Shamsher Singh |
Jaotusnimekiri
| Nimi | Funktsioon |
| Terminali osakond | Arendus, testimine, projektijuhtimine, vastavus |
| Tootehaldus | Terminali tootehaldusmeeskond, vastavusjuht – toode |
Dokumendi kinnitused
| Nimi | Funktsioon |
| Cecilia Jensen Tyldum | Toote omanik |
| Arti Kangas | Toote omanik |
Dokument Review Plaanid
See dokument on uuestiviewredigeeritakse ja vajadusel ajakohastatakse, nagu on määratletud allpool:
- Vajadusel teabe sisu parandamiseks või täiustamiseks
- Pärast mis tahes organisatsioonilisi muudatusi või ümberkorraldusi
- Pärast iga-aastast review
- Pärast haavatavuse ärakasutamist
- Uue teabe/nõuete järgimine asjakohaste haavatavuste kohta
Dokumendid / Ressursid
 | Netsi PCI turvalise tarkvara standard [pdfKasutusjuhend PCI Secure Software Standard, Secure Software Standard, Software Standard, Standard |
 | Netsi PCI turvalise tarkvara standard [pdfKasutusjuhend PCI Secure Software Standard, Secure Software Standard, Software Standard, Standard |