Standar Perangkat Lunak Aman PCI
Panduan Pengguna
Jaring Denmark A/S:
Standar Perangkat Lunak PCI-Secure
Panduan Implementasi Vendor Perangkat Lunak
untuk terminal Viking 1.02.0
Versi 1.2
Pendahuluan dan Ruang Lingkup
1.1 Pendahuluan
Tujuan dari Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure ini adalah untuk memberikan panduan yang jelas dan menyeluruh kepada pemangku kepentingan mengenai implementasi, konfigurasi, dan pengoperasian perangkat lunak Viking yang aman. Panduan ini menginstruksikan Merchant tentang cara mengimplementasikan aplikasi Nets Viking ke dalam lingkungan mereka dengan cara yang sesuai dengan Standar Perangkat Lunak Aman PCI. Meskipun demikian, ini tidak dimaksudkan sebagai panduan instalasi yang lengkap. Aplikasi Viking, jika dipasang sesuai dengan pedoman yang didokumentasikan di sini, akan memfasilitasi dan mendukung kepatuhan PCI pedagang.
1.2 Kerangka Keamanan Perangkat Lunak (SSF)
Kerangka Keamanan Perangkat Lunak PCI (SSF) adalah kumpulan standar dan program untuk desain dan pengembangan perangkat lunak aplikasi pembayaran yang aman. SSF menggantikan Standar Keamanan Data Aplikasi Pembayaran (PA-DSS) dengan persyaratan modern yang mendukung beragam jenis perangkat lunak pembayaran, teknologi, dan metodologi pengembangan. Ini memberi vendor standar keamanan seperti PCI Secure Software Standard untuk mengembangkan dan memelihara perangkat lunak pembayaran sehingga melindungi transaksi dan data pembayaran, meminimalkan kerentanan, dan bertahan dari serangan.
1.3 Panduan Implementasi Vendor Perangkat Lunak – Distribusi dan Pembaruan
Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak Aman PCI ini harus disebarluaskan ke semua pengguna aplikasi yang relevan termasuk pedagang. Ini harus diperbarui setidaknya setiap tahun dan setelah perubahan pada perangkat lunak. Laporan tahunanview dan pembaruan harus mencakup perubahan perangkat lunak baru serta perubahan dalam Standar Perangkat Lunak Aman.
Nets menerbitkan informasi yang terdaftar websitus jika ada pembaruan dalam panduan implementasi.
Weblokasi: https://support.nets.eu/
Untuk Mantanample: Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure Nets akan didistribusikan ke semua pelanggan, pengecer, dan integrator. Pelanggan, Pengecer, dan Integrator akan diberitahu dari reviewdan pembaruan. Pembaruan pada Panduan Implementasi Vendor Perangkat Lunak PCI-Secure Software Standard dapat diperoleh dengan menghubungi Nets secara langsung.
Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure ini merujuk pada Standar Perangkat Lunak PCI-Secure dan persyaratan PCI. Versi berikut direferensikan dalam panduan ini.
- Perangkat Lunak Aman PCI Standar v1_1
Aplikasi Pembayaran Aman
2.1 Aplikasi Barat Daya
Aplikasi pembayaran Viking tidak menggunakan perangkat lunak atau perangkat keras eksternal yang bukan milik aplikasi tertanam Viking. Semua perangkat lunak yang dapat dieksekusi milik aplikasi pembayaran Viking ditandatangani secara digital dengan kit penandatanganan Tetra yang disediakan oleh Ingenico.
- Terminal berkomunikasi dengan Nets Host menggunakan TCP/IP, baik melalui Ethernet, GPRS, Wi-Fi, atau melalui PC-LAN yang menjalankan aplikasi POS. Selain itu, terminal dapat berkomunikasi dengan host melalui ponsel dengan konektivitas Wi-Fi atau GPRS.
Terminal Viking mengelola semua komunikasi menggunakan komponen lapisan tautan Ingenico. Komponen ini adalah aplikasi yang dimuat di terminal. Link Layer dapat mengelola beberapa komunikasi pada saat yang sama menggunakan periferal yang berbeda (misalnya modem dan port serialampsaya).
Saat ini mendukung protokol berikut:
- Fisik: RS232, modem internal, modem eksternal (melalui RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G dan 4G.
- Tautan Data: SDLC, PPP.
- Jaringan: IP.
- Transportasi: TCP.
Terminal selalu mengambil inisiatif untuk menjalin komunikasi dengan Nets Host. Tidak ada server TCP/IP S/W di terminal, dan terminal S/W tidak pernah menanggapi panggilan masuk.
Bila diintegrasikan dengan aplikasi POS pada PC, terminal dapat diatur untuk berkomunikasi melalui PC-LAN yang menjalankan aplikasi POS menggunakan RS232, USB, atau Bluetooth. Namun, semua fungsi aplikasi pembayaran tetap berjalan di perangkat lunak terminal.
Protokol aplikasi (dan enkripsi yang diterapkan) transparan dan tidak bergantung pada jenis komunikasi.
2.1.1 Pembayaran Host komunikasi Pengaturan parameter TCP/IP 
2.1.2 Komunikasi ECR
- Seri RS232
- Koneksi USB
- Pengaturan parameter TCP/IP, juga dikenal sebagai ECR melalui IP
- Opsi komunikasi Host/ECR di Aplikasi Pembayaran Viking
Tipe Host COMM Jenis Terminal Eternet SeIf4000, Move3500, Desk3500, La n e3000 Bahasa Indonesia: BT iOS Tautan 2500, Tautan 2500i Bahasa Indonesia: BT Android Pindahkan3500, Link2500, Link2500i melalui ECR SeIf4000, Move3500, Link2500, Link2500i, Desk3500,
Jalur3000Bahasa Indonesia: GPRS Pindah3500 'Meluruskan Pindahkan3500, Tautan2500 Tipe Komunikasi ECR Jenis Terminal IP Ethernet SeIf4000, Move3500, Desk3500, Lane3000 Bahasa Indonesia: BT iOS Tautan 2500, Tautan 2500i Bahasa Indonesia: BT Android Pindahkan3500, Link2500, Link2500i USB SeIf4000, Move3500, Link2500, Link2500i, Desk3500, Lane3000 RS232 SeIf4000, Meja3500, Jalur3000 Bahasa Indonesia: GPRS Pindah3500 Hak Kekayaan Intelektual (HKI) Akan Pindahkan3500, Tautan2500 - Konfigurasi parameter Nets Cloud ECR (Connect Cloud)
Alamat IP ECR 212.226.157.243 Komunikasi TCP-IP PORT 6001
2.1.3 Komunikasi ke host melalui ECR
| Alamat IP tuan rumah | 91.102.24142 |
| Komunikasi TCP-IP PORT (NORWEGIA) | 9670 |
Catatan: Lihat “2.1.1- Pengaturan parameter TCP/IP komunikasi Host Pembayaran” untuk port TCP/IP khusus negara.
2.2 Perangkat keras terminal yang didukung
Aplikasi pembayaran Viking didukung pada berbagai perangkat Ingenico yang divalidasi PTS (keamanan transaksi PIN).
Daftar perangkat keras terminal beserta nomor persetujuan PTS diberikan di bawah ini.
Jenis Terminal Tetra
| Terminal perangkat keras | Versi PTS | Nomor persetujuan PTS | Versi Perangkat Keras PTS | Versi Firmware PTS |
| Jalur 3000 | 5.x | Nomor telepon 4-30310 | LAN30AN LAN30BA LAN30BN LAN30CA LAN30DA LAN30EA LAN30EN LAN30FA LAN30FN LAN30GA LAN30HA LAN30AA | 820547v01.xx
820561v01.xx |
| Meja 3500 | 5.x | Nomor telepon 4-20321 | DES32BB DES32BC DES32CB DES32DB DES32DC DES35AB DES35BB DES35BC DES35CB DES35DB DES35DC DES32AB | 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx |
| Pindahkan 3500 | 5.x | Nomor telepon 4-20320 | MOV35AC MOV35AQ MOV35BB MOV35BC MOV35BQ MOV35CB MOV35CC MOV35CQ MOV35DB MOV35DC MOV35DQ MOV35EB MOV35FB MOV35JB MOV35AB |
820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx |
| Tautan2500 | 4.x | Nomor telepon 4-30230 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA | 820555v01.xx 820556v01.xx 820547v01.xx |
| LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA | ||||
| Tautan2500 | 5.x | Nomor telepon 4-30326 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA LIN25BB | 820547v01.xx |
| Diri4000 | 5.x | Nomor telepon 4-30393 | SEL40BA | 820547v01.xx |
2.3 Kebijakan Keamanan
Aplikasi pembayaran Viking mematuhi semua kebijakan keamanan yang berlaku yang ditentukan oleh Ingenico. Untuk informasi umum, berikut adalah tautan ke kebijakan keamanan untuk berbagai terminal Tetra:
| Jenis Terminal | Dokumen Kebijakan Keamanan |
| Tautan2500 (v4) | Kebijakan Keamanan PCI PTS Link/2500 (pcisecuritystandards.org) |
| Tautan2500 (v5) | Kebijakan Keamanan PCI PTS (pcisecuritystandards.org) |
| Meja3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-EN- V12_PCI_PTS_Kebijakan_Keamanan_Meja_3200_Meja_3500-1650663092.33407.pdf |
| Pindah3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-EN- V11_PCI_PTS_Kebijakan_Keamanan_Pindah_3500-1647635765.37606.pdf |
| Jalur3000 | https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-EN- V16_PCI_PTS_Kebijakan_Keamanan_Jalur_3000-1648830172.34526.pdf |
| Diri4000 | Kebijakan Keamanan Self/4000 PCI PTS (pcisecuritystandards.org) |
Pembaruan Perangkat Lunak Jarak Jauh yang Aman
3.1 Penerapan Pedagang
Nets dengan aman mengirimkan pembaruan aplikasi pembayaran Viking dari jarak jauh. Pembaruan ini terjadi pada saluran komunikasi yang sama dengan transaksi pembayaran yang aman, dan pedagang tidak diharuskan melakukan perubahan apa pun pada jalur komunikasi ini untuk kepatuhan.
Sebagai informasi umum, pedagang harus mengembangkan kebijakan penggunaan yang dapat diterima untuk teknologi penting yang berhubungan dengan karyawan, sesuai pedoman di bawah ini untuk VPN, atau koneksi berkecepatan tinggi lainnya, pembaruan diterima melalui firewall atau firewall pribadi.
3.2 Kebijakan Penggunaan yang Dapat Diterima
Pedagang harus mengembangkan kebijakan penggunaan untuk teknologi penting yang dihadapi karyawan, seperti modem dan perangkat nirkabel. Kebijakan penggunaan ini harus mencakup:
- Persetujuan manajemen eksplisit untuk digunakan.
- Otentikasi untuk digunakan.
- Daftar semua perangkat dan personel yang memiliki akses.
- Memberi label perangkat dengan pemilik.
- Informasi kontak dan tujuan.
- Penggunaan teknologi yang dapat diterima.
- Lokasi jaringan yang dapat diterima untuk teknologi.
- Daftar produk yang disetujui perusahaan.
- Mengizinkan penggunaan modem untuk vendor hanya jika diperlukan dan penonaktifan setelah digunakan.
- Larangan penyimpanan data pemegang kartu ke media lokal saat terhubung dari jarak jauh.
3.3 Firewall Pribadi
Setiap koneksi “selalu aktif” dari komputer ke VPN atau koneksi berkecepatan tinggi lainnya harus diamankan dengan menggunakan produk firewall pribadi. Firewall dikonfigurasi oleh organisasi untuk memenuhi standar tertentu dan tidak dapat diubah oleh karyawan.
3.4 Prosedur Pembaruan Jarak Jauh
Ada dua cara untuk memicu terminal menghubungi pusat perangkat lunak Nets untuk mendapatkan pembaruan:
- Baik secara manual melalui pilihan menu di terminal (geser kartu pedagang, pilih menu 8 “Perangkat Lunak”, 1 “Ambil perangkat lunak”), atau Host yang memulai.
- Menggunakan metode yang diinisiasi oleh Host; terminal secara otomatis menerima perintah dari Host setelah melakukan transaksi keuangan. Perintah tersebut memberi tahu terminal untuk menghubungi pusat perangkat lunak Nets guna memeriksa pembaruan.
Setelah pembaruan perangkat lunak berhasil, terminal dengan printer internal akan mencetak tanda terima berisi informasi tentang versi baru.
Integrator terminal, mitra dan/atau tim dukungan teknis Nets akan bertanggung jawab untuk memberi tahu pedagang tentang pembaruan tersebut, termasuk tautan ke panduan penerapan yang diperbarui dan catatan rilis.
Selain tanda terima setelah pembaruan perangkat lunak, aplikasi pembayaran Viking juga dapat divalidasi melalui Info Terminal dengan menekan tombol 'F3' pada terminal.
Penghapusan Data Sensitif Secara Aman dan Perlindungan Data Pemegang Kartu yang Tersimpan
4.1 Penerapan Pedagang
Aplikasi pembayaran Viking tidak menyimpan data strip magnetik, nilai atau kode validasi kartu, PIN atau data blok PIN, materi kunci kriptografi, atau kriptogram dari versi sebelumnya.
Agar sesuai dengan PCI, pedagang harus memiliki kebijakan penyimpanan data yang menentukan berapa lama data pemegang kartu akan disimpan. Aplikasi pembayaran Viking menyimpan data pemegang kartu dan/atau data autentikasi sensitif dari transaksi terakhir dan jika ada transaksi otorisasi offline atau tertunda sambil mematuhi kepatuhan Standar Perangkat Lunak Aman PCI pada saat yang sama, maka aplikasi tersebut dapat dikecualikan dari kebijakan penyimpanan data pemegang kartu pedagang.
4.2 Instruksi Penghapusan Aman
Terminal tidak menyimpan data otentikasi sensitif; track2 lengkap, CVC, CVV atau PIN, baik sebelum maupun sesudah otorisasi; kecuali untuk transaksi Otorisasi yang Ditangguhkan di mana data otentikasi sensitif terenkripsi (data track2 lengkap) disimpan hingga otorisasi dilakukan. Pasca otorisasi, data dihapus dengan aman.
Setiap contoh data historis terlarang yang ada di terminal akan secara otomatis dihapus dengan aman ketika aplikasi pembayaran terminal Viking ditingkatkan. Penghapusan data historis yang dilarang dan data yang sudah melewati kebijakan penyimpanan akan terjadi secara otomatis.
4.3 Lokasi Data Pemegang Kartu yang Tersimpan
Data pemegang kartu disimpan di Flash DFS (Data File Sistem) terminal. Data tidak dapat diakses langsung oleh pedagang.
| Penyimpanan Data (file, meja, dll.) | Elemen Data Pemegang Kartu yang disimpan (PAN, kadaluarsa, semua elemen SAD) |
Bagaimana penyimpanan data diamankan (misalnyaample, enkripsi, kontrol akses, pemotongan, dll.) |
| File:melanggar | PAN, Tanggal Kedaluwarsa, Kode Layanan | PAN: 3DES-DUKPT terenkripsi (112 bit) |
| File: tokofwd.rsd | PAN, Tanggal Kedaluwarsa, Kode Layanan | PAN: 3DES-DUKPT terenkripsi (112 bit) |
| File:transoff.rsd | PAN, Tanggal Kedaluwarsa, Kode Layanan | PAN: 3DES-DUKPT terenkripsi (112 bit) |
| File:transorr.rsd | PAN terpotong | Terpotong (6 Pertama, 4 Terakhir) |
| File: offlrep.dat | PAN terpotong | Terpotong (6 Pertama, 4 Terakhir) |
| File: defauth.rsd | PAN, Tanggal Kedaluwarsa, Kode Layanan | PAN: 3DES-DUKPT terenkripsi (112 bit) |
| File: defauth.rsd | Data track2 lengkap | Data Track2 lengkap: 3DES-DUKPT pra-Terenkripsi (112 bit) |
4.4 Transaksi Otorisasi yang Ditangguhkan
Otorisasi yang Ditangguhkan terjadi ketika pedagang tidak dapat menyelesaikan otorisasi pada saat transaksi dengan pemegang kartu karena konektivitas, masalah sistem, atau batasan lainnya, dan kemudian menyelesaikan otorisasi ketika mampu melakukannya.
Artinya, otorisasi tertunda terjadi saat otorisasi daring dilakukan setelah kartu tidak lagi tersedia. Karena otorisasi daring transaksi otorisasi tertunda ditunda, transaksi akan disimpan di terminal hingga transaksi berhasil diotorisasi nanti saat jaringan tersedia. Transaksi disimpan dan dikirim kemudian ke host, seperti cara transaksi Offline disimpan mulai hari ini di aplikasi pembayaran Viking.
Pedagang dapat memulai transaksi sebagai 'Otorisasi Tertunda' dari Mesin Kasir Elektronik (ECR) atau melalui menu terminal.
Transaksi Otorisasi Tertunda dapat diunggah ke host Nets oleh pedagang dengan menggunakan opsi di bawah ini:
- ECR – Perintah admin – Kirim offline (0x3138)
- Terminal – Pedagang ->2 EOT -> 2 dikirim ke host
4.5 Prosedur Pemecahan Masalah
Dukungan Nets tidak akan meminta otentikasi sensitif atau data pemegang kartu untuk tujuan pemecahan masalah. Aplikasi pembayaran Viking tidak mampu mengumpulkan atau memecahkan masalah data sensitif dalam hal apa pun.
4.6 Lokasi PAN – Ditampilkan atau Dicetak
PAN bertopeng:
- Penerimaan Transaksi Keuangan:
PAN yang disamarkan selalu dicetak pada tanda terima transaksi untuk pemegang kartu dan pedagang. PAN yang disamarkan dalam sebagian besar kasus ditandai dengan * di mana 6 digit pertama dan 4 digit terakhir ditulis dalam teks biasa. - Laporan daftar transaksi:
Laporan daftar transaksi menunjukkan transaksi yang dilakukan dalam satu sesi. Rincian transaksi meliputi PAN yang disamarkan, nama penerbit kartu, dan jumlah transaksi. - Tanda terima pelanggan terakhir:
Salinan tanda terima pelanggan terakhir dapat dibuat dari menu salin terminal. Tanda terima pelanggan berisi PAN yang disamarkan sebagai tanda terima pelanggan asli. Fungsi yang diberikan digunakan jika terminal gagal membuat tanda terima pelanggan.
tanda terima selama transaksi untuk alasan apa pun.
PAN terenkripsi:
• Tanda terima transaksi offline:
Versi tanda terima pengecer dari transaksi offline meliputi data pemegang kartu terenkripsi Triple DES 112-bit DUKPT (PAN, Tanggal kedaluwarsa, dan Kode layanan).
Nomor HP: 71448400-714484
12/08/2022 10:39
Visa
Tanpa Kontak
************3439-0
107A47458AE773F3A84DF977
553E3D93FFFF9876543210E0
15F3
BANTUAN: A0000000031010
Nomor TVR: 0000000000
ID Toko: 123461
Referensi: 000004 000000 KC3
Jawaban: Y1
Sesi: 782
PEMBELIAN
Rp 12,00
DISETUJUI
SALINAN PENGECER
Konfirmasi:
Aplikasi pembayaran Viking selalu mengenkripsi data pemegang kartu secara default untuk penyimpanan transaksi offline, transmisi ke host NETS dan untuk mencetak data kartu terenkripsi pada tanda terima pengecer untuk transaksi offline.
Selain itu, untuk menampilkan atau mencetak PAN kartu, aplikasi pembayaran Viking selalu menutupi digit PAN dengan tanda bintang '*' dengan 6 digit pertama + 4 digit terakhir dalam keadaan kosong sebagai default. Format cetak nomor kartu dikontrol oleh sistem manajemen terminal di mana format cetak dapat diubah dengan meminta melalui saluran yang tepat dan dengan menunjukkan kebutuhan bisnis yang sah, namun untuk aplikasi pembayaran Viking, tidak ada kasus seperti itu.
Example untuk PAN bertopeng:
Nomor Telepon: 957852181428133823-2
Info minimal: **************3823-2
Info maksimal: 957852********3823-2
4.7 Perintah files
Aplikasi pembayaran Viking tidak menyediakan prompt terpisah files.
Permintaan aplikasi pembayaran Viking untuk masukan pemegang kartu melalui petunjuk tampilan yang merupakan bagian dari sistem pesan dalam aplikasi pembayaran Viking yang ditandatangani.
Tampilan petunjuk untuk PIN, jumlah, dll. ditampilkan di terminal, dan masukan dari pemegang kartu ditunggu. Masukan yang diterima dari pemegang kartu tidak disimpan.
4.8 Manajemen kunci
Untuk rangkaian model terminal Tetra, semua fungsi keamanan dilakukan di area aman perangkat PTS yang dilindungi dari aplikasi pembayaran.
Enkripsi dilakukan di dalam area aman sementara dekripsi data terenkripsi hanya dapat dilakukan oleh sistem Nets Host. Semua pertukaran kunci antara host Nets, alat Kunci/Injeksi (untuk terminal Tetra) dan PED dilakukan dalam bentuk terenkripsi.
Prosedur Manajemen Kunci diterapkan oleh Nets sesuai dengan skema DUKPT menggunakan enkripsi 3DES.
Semua kunci dan komponen kunci yang digunakan oleh terminal Nets dibuat menggunakan proses acak atau pseudorandom yang disetujui. Kunci dan komponen kunci yang digunakan oleh terminal Nets dibuat oleh sistem manajemen kunci Nets, yang menggunakan unit Thales Pay shield HSM yang disetujui untuk membuat kunci kriptografi.
Manajemen kunci bersifat independen dari fungsi pembayaran. Oleh karena itu, memuat aplikasi baru tidak memerlukan perubahan pada fungsi kunci. Ruang kunci terminal akan mendukung sekitar 2,097,152 transaksi.
Ketika ruang kunci habis, terminal Viking berhenti bekerja dan menampilkan pesan kesalahan, lalu terminal harus diganti.
4.9 '24 HR' Di-boot Ulang
Semua terminal Viking adalah PCI-PTS 4.x dan yang lebih baru dan karenanya mengikuti persyaratan kepatuhan bahwa terminal PCI-PTS 4.x harus di-boot ulang minimal setiap 24 jam untuk menghapus RAM dan selanjutnya mengamankan terminal HW agar tidak digunakan untuk menerima pembayaran data kartu.
Manfaat lain dari siklus boot ulang '24 jam' adalah kebocoran memori akan dikurangi dan berdampak lebih kecil bagi pedagang (bukan berarti kita harus menerima masalah kebocoran memori).
Pedagang dapat mengatur waktu reboot dari opsi Menu terminal ke 'Waktu Booting Ulang'. Waktu reboot diatur berdasarkan jam '24 jam' dan akan menggunakan format HH:MM.
Mekanisme Reset dirancang untuk memastikan terminal direset setidaknya satu kali per 24 jam berjalan. Untuk memenuhi persyaratan ini, slot waktu, yang disebut "interval reset" yang diwakili oleh Temin dan Tmax telah ditetapkan. Periode ini mewakili interval waktu saat reset diizinkan. Bergantung pada kasus bisnis, "interval reset" disesuaikan selama fase pemasangan terminal. Berdasarkan desain, periode ini tidak boleh lebih pendek dari 30 menit. Selama periode ini, reset terjadi setiap hari 5 menit lebih awal (pada T3) seperti yang dijelaskan oleh diagram di bawah ini:
4.10 Daftar Putih
Whitelisting adalah prosedur untuk menentukan bahwa PAN yang tercantum sebagai daftar putih diizinkan untuk ditampilkan dalam teks yang jelas. Viking menggunakan 3 bidang untuk menentukan PAN yang masuk daftar putih yang dibaca dari konfigurasi yang diunduh dari sistem manajemen terminal.
Bila 'Bendera Kepatuhan' di host Nets ditetapkan ke Y, informasi dari Host Nets atau sistem manajemen Terminal diunduh ke terminal, saat terminal dimulai. Bendera Kepatuhan ini digunakan untuk menentukan PAN yang masuk daftar putih yang dibaca dari kumpulan data.
Bendera 'Track2ECR' menentukan apakah data Track2 diizinkan untuk ditangani (dikirim/diterima) oleh ECR untuk penerbit tertentu. Bergantung pada nilai bendera ini, ditentukan apakah data track2 harus ditampilkan dalam mode lokal pada ECR.
'Bidang format cetak' menentukan bagaimana PAN akan ditampilkan. Semua kartu dalam cakupan PCI akan memiliki format cetak yang ditetapkan untuk menampilkan PAN dalam bentuk terpotong/tertutup.
Otentikasi dan Kontrol Akses
5.1 Kontrol Akses
Aplikasi pembayaran Viking tidak memiliki akun pengguna atau kata sandi yang sesuai, oleh karena itu, aplikasi pembayaran Viking dikecualikan dari persyaratan ini.
- Pengaturan ECR Terintegrasi:
Tidak mungkin untuk mengakses jenis transaksi seperti Pengembalian Dana, Penyetoran, dan Pembalikan dari menu terminal untuk memastikan fungsi-fungsi ini aman dari penyalahgunaan. Ini adalah jenis transaksi di mana aliran uang terjadi dari rekening pedagang ke rekening pemegang kartu. Merupakan tanggung jawab pedagang untuk memastikan bahwa ECR hanya digunakan oleh pengguna yang berwenang. - Pengaturan mandiri:
Kontrol akses kartu pedagang diaktifkan secara default untuk mengakses jenis transaksi seperti Pengembalian Dana, Penyetoran, dan Pembalikan dari menu terminal untuk memastikan fungsi-fungsi ini aman dari penyalahgunaan.
Terminal Viking dikonfigurasi secara default untuk mengamankan opsi menu, guna mencegah akses yang tidak sah. Parameter untuk mengonfigurasi keamanan menu berada di bawah Menu Merchant (dapat diakses dengan kartu Merchant) -> Parameter -> Keamanan
Lindungi menu – Diatur ke 'Ya' secara default.
Tombol menu pada terminal dilindungi menggunakan konfigurasi menu Proteksi. Menu hanya dapat diakses oleh Pedagang yang menggunakan kartu pedagang. 
Lindungi pembalikan – Diatur ke 'Ya' secara default.
Pembalikan transaksi hanya dapat dilakukan oleh pedagang dengan menggunakan kartu pedagang untuk mengakses menu pembalikan. 
Melindungi rekonsiliasi – Diatur ke 'Ya' secara default
Opsi untuk Rekonsiliasi hanya dapat diakses oleh pedagang dengan kartu pedagang ketika perlindungan ini ditetapkan ke benar. 
Lindungi Pintasan – Diatur ke 'Ya' secara default
Menu pintasan dengan opsi untuk viewInfo Terminal dan opsi untuk memperbarui parameter Bluetooth akan tersedia bagi pedagang hanya ketika kartu pedagang digesek.
5.2 Kontrol Kata Sandi
Aplikasi pembayaran Viking tidak memiliki akun pengguna atau kata sandi yang sesuai; oleh karena itu, aplikasi Viking dikecualikan dari persyaratan ini.
Penebangan
6.1 Penerapan Pedagang
Saat ini, untuk aplikasi pembayaran Nets Viking, tidak ada pengaturan log PCI yang dapat dikonfigurasi oleh pengguna akhir.
6.2 Konfigurasikan Pengaturan Log
Aplikasi pembayaran Viking tidak memiliki akun pengguna, sehingga pencatatan yang sesuai dengan PCI tidak berlaku. Bahkan dalam pencatatan transaksi yang paling bertele-tele, aplikasi pembayaran Viking tidak mencatat data otentikasi sensitif atau data pemegang kartu.
6.3 Penebangan Pusat
Terminal memiliki mekanisme log umum. Mekanisme ini juga mencakup pencatatan pembuatan dan penghapusan S/W yang dapat dieksekusi.
Aktivitas pengunduhan S/W dicatat dan dapat ditransfer ke Host secara manual melalui pilihan menu di terminal atau berdasarkan permintaan dari host yang ditandai dalam lalu lintas transaksi biasa. Jika aktivasi unduhan S/W gagal karena tanda tangan digital yang diterima tidak valid files, insiden tersebut dicatat dan ditransfer ke Host secara otomatis dan segera.
6.3.1 Mengaktifkan pencatatan jejak di terminal
Untuk mengaktifkan pencatatan pencatatan jejak:
- Gesek kartu Pedagang.
- Kemudian pada menu pilih “9 System menu”.
- Lalu masuk ke menu “2 System Log”.
- Ketikkan kode teknisi, yang bisa Anda dapatkan dengan menghubungi dukungan Layanan Pedagang Nets.
- Pilih “8 Parameter”.
- Kemudian aktifkan “Logging” ke “Yes”.
6.3.2 Kirim Log Jejak ke Host
Untuk mengirim log jejak:
- Tekan tombol Menu pada terminal lalu Geser kartu Pedagang.
- Kemudian pada menu utama pilih “7 Operator menu”.
- Kemudian pilih “5 Send Trace Logs” untuk mengirim log jejak ke host.
6.3.3 Pencatatan jejak jarak jauh
Parameter diatur di Nets Host (PSP) yang akan mengaktifkan/menonaktifkan fungsi pencatatan jejak Terminal dari jarak jauh. Nets Host akan mengirimkan parameter logging Trace aktifkan/nonaktifkan ke Terminal di Kumpulan data bersama dengan waktu yang dijadwalkan ketika Terminal akan mengunggah log Trace. Ketika terminal menerima parameter Jejak sebagai diaktifkan, terminal akan mulai menangkap log Jejak dan pada waktu yang dijadwalkan terminal akan mengunggah semua log jejak dan menonaktifkan fungsi logging setelahnya.
6.3.4 Pencatatan kesalahan jarak jauh
Log kesalahan selalu diaktifkan di terminal. Seperti logging jejak, parameter diatur di Nets Host yang akan mengaktifkan/menonaktifkan fungsi logging kesalahan Terminal dari jarak jauh. Nets Host akan mengirimkan Trace mengaktifkan/menonaktifkan parameter logging ke Terminal di Kumpulan data bersama dengan waktu yang dijadwalkan ketika Terminal akan mengunggah log Kesalahan. Ketika terminal menerima parameter Error logging sebagai diaktifkan, terminal akan mulai menangkap log Error dan pada waktu yang dijadwalkan terminal akan mengunggah semua log kesalahan dan menonaktifkan fungsi logging setelahnya.
Jaringan Nirkabel
7.1 Penerapan Pedagang
Terminal pembayaran Viking – MOVE 3500 dan Link2500 memiliki kemampuan untuk terhubung dengan jaringan Wi-Fi. Oleh karena itu, agar Nirkabel dapat diimplementasikan dengan aman, pertimbangan harus diambil saat memasang dan mengkonfigurasi jaringan nirkabel seperti yang dijelaskan di bawah ini.
7.2 Konfigurasi Nirkabel yang Direkomendasikan
Ada banyak pertimbangan dan langkah yang harus diambil ketika mengkonfigurasi jaringan nirkabel yang terhubung ke jaringan internal.
Minimal, pengaturan dan konfigurasi berikut harus ada:
- Semua jaringan nirkabel harus disegmentasi menggunakan firewall; jika koneksi antara jaringan nirkabel dan lingkungan data pemegang kartu diperlukan, akses harus dikontrol dan diamankan oleh firewall.
- Ubah SSID default dan nonaktifkan siaran SSID
- Ubah kata sandi default untuk koneksi nirkabel dan titik akses nirkabel, ini termasuk akses konsol serta string komunitas SNMP
- Ubah default keamanan lainnya yang disediakan atau ditetapkan oleh vendor
- Pastikan titik akses nirkabel diperbarui ke firmware terbaru
- Hanya gunakan WPA atau WPA2 dengan kunci yang kuat, WEP dilarang dan tidak boleh digunakan
- Ubah kunci WPA/WPA2 saat penginstalan serta secara teratur dan setiap kali seseorang yang mengetahui kunci tersebut keluar dari perusahaan
Segmentasi Jaringan
8.1 Penerapan Pedagang
Aplikasi pembayaran Viking bukanlah aplikasi pembayaran berbasis server dan berada di terminal. Oleh karena itu, aplikasi pembayaran tidak memerlukan penyesuaian apa pun untuk memenuhi persyaratan ini.
Untuk pengetahuan umum pedagang, data kartu kredit tidak dapat disimpan pada sistem yang terhubung langsung ke Internet. Misalnyaampaku, web server dan server database tidak boleh diinstal pada server yang sama. Zona demiliterisasi (DMZ) harus dibentuk untuk mensegmentasi jaringan sehingga hanya mesin di DMZ yang dapat mengakses Internet.
Akses Jarak Jauh
9.1 Penerapan Pedagang
Aplikasi pembayaran Viking tidak dapat diakses dari jarak jauh. Dukungan jarak jauh hanya terjadi antara anggota staf dukungan Nets dan pedagang melalui telepon atau melalui Nets langsung di lokasi pedagang.
Transmisi Data Sensitif
10.1 Transmisi data Sensitif
Aplikasi pembayaran Viking mengamankan data sensitif dan/atau data pemegang kartu dalam perjalanan dengan menggunakan enkripsi tingkat pesan menggunakan 3DES-DUKPT (112 bit) untuk semua transmisi (termasuk jaringan publik). Protokol Keamanan untuk komunikasi IP dari aplikasi Viking ke Host tidak diperlukan karena enkripsi tingkat pesan diimplementasikan menggunakan 3DES-DUKPT (112-bit) seperti dijelaskan di atas. Skema enkripsi ini memastikan bahwa meskipun transaksi disadap, transaksi tersebut tidak dapat diubah atau dikompromikan dengan cara apa pun jika 3DES-DUKPT (112-bit) tetap dianggap sebagai enkripsi yang kuat. Sesuai skema pengelolaan kunci DUKPT, kunci 3DES yang digunakan bersifat unik untuk setiap transaksi.
10.2 Berbagi data sensitif ke perangkat lunak lain
Aplikasi pembayaran Viking tidak menyediakan antarmuka logis/API apa pun untuk memungkinkan pembagian data akun teks biasa secara langsung dengan perangkat lunak lain. Tidak ada data sensitif atau data akun teks biasa yang dibagikan dengan perangkat lunak lain melalui API yang terbuka.
10.3 Email dan data sensitif
Aplikasi pembayaran Viking tidak mendukung pengiriman email.
10.4 Akses Administratif Non-Konsol
Viking tidak mendukung akses administratif non-Konsol.
Namun, untuk pengetahuan umum pedagang, akses administratif non-Konsol harus menggunakan SSH, VPN, atau TLS untuk enkripsi semua akses administratif non-konsol ke server di lingkungan data pemegang kartu. Telnet atau metode akses non-enkripsi lainnya tidak boleh digunakan.
Metodologi Pembuatan Versi Viking
Metodologi versi Nets terdiri dari nomor versi perangkat lunak tiga bagian: a.bb.c
di mana 'a' akan bertambah saat perubahan berdampak tinggi dilakukan sesuai Standar Perangkat Lunak Aman PCI.
a – versi utama (1 digit)
'bb' akan bertambah ketika perubahan terencana berdampak rendah dilakukan sesuai Standar Perangkat Lunak Aman PCI.
bb – versi minor (2 digit)
'c' akan bertambah saat perubahan patch berdampak rendah dilakukan sesuai Standar Perangkat Lunak Aman PCI.
c – versi minor (1 digit)
Nomor versi perangkat lunak aplikasi pembayaran Viking ditampilkan seperti ini di layar terminal saat terminal dinyalakan: 'abbc'
- Pembaruan dari misalnya 1.00.0 ke 2.00.0 merupakan pembaruan fungsional yang signifikan. Pembaruan ini dapat mencakup perubahan yang berdampak pada keamanan atau persyaratan PCI Secure Software Standard.
- Pembaruan dari misalnya, 1.00.0 ke 1.01.0 merupakan pembaruan fungsional yang tidak signifikan. Pembaruan tersebut mungkin tidak mencakup perubahan yang berdampak pada keamanan atau persyaratan PCI Secure Software Standard.
- Pembaruan dari misalnya, 1.00.0 ke 1.00.1 merupakan pembaruan fungsional yang tidak signifikan. Pembaruan tersebut mungkin tidak mencakup perubahan yang berdampak pada keamanan atau persyaratan PCI Secure Software Standard.
Semua perubahan direpresentasikan dalam urutan numerik berurutan.
Petunjuk tentang Instalasi Patch dan Pembaruan yang Aman.
Nets dengan aman mengirimkan pembaruan aplikasi pembayaran jarak jauh. Pembaruan ini terjadi pada saluran komunikasi yang sama dengan transaksi pembayaran yang aman, dan pedagang tidak diharuskan melakukan perubahan apa pun pada jalur komunikasi ini untuk kepatuhan.
Apabila ada patch, Nets akan mengupdate versi patch pada Nets Host. Merchant akan mendapatkan patch melalui permintaan download S/W otomatis, atau merchant juga dapat memulai download perangkat lunak dari menu terminal.
Untuk informasi umum, pedagang harus mengembangkan kebijakan penggunaan yang dapat diterima untuk teknologi penting yang berhadapan dengan karyawan, sesuai panduan di bawah ini untuk VPN atau koneksi berkecepatan tinggi lainnya, pembaruan diterima melalui firewall atau firewall personel.
Host Nets tersedia melalui internet menggunakan akses aman atau melalui jaringan tertutup. Dengan jaringan tertutup, penyedia jaringan memiliki koneksi langsung ke lingkungan host kami yang ditawarkan dari penyedia jaringan mereka. Terminal dikelola melalui layanan manajemen terminal Nets. Layanan manajemen terminal mendefinisikan misalnyaample wilayah tempat terminal berada dan pihak pengakuisisi sedang digunakan. Manajemen terminal juga bertanggung jawab untuk meningkatkan perangkat lunak terminal dari jarak jauh melalui jaringan. Nets memastikan bahwa perangkat lunak yang diunggah ke terminal telah menyelesaikan sertifikasi yang diperlukan.
Nets merekomendasikan titik pemeriksaan kepada semua pelanggannya untuk memastikan pembayaran aman dan terjamin seperti yang tercantum di bawah ini:
- Simpan daftar semua terminal pembayaran yang beroperasi dan ambil gambar dari semua dimensi sehingga Anda tahu seperti apa seharusnya tampilannya.
- Carilah tanda-tanda yang jelas dari tampseperti segel yang rusak pada pelat penutup akses atau sekrup, kabel yang aneh atau berbeda, atau perangkat keras baru yang tidak dapat Anda kenali.
- Lindungi terminal Anda dari jangkauan pelanggan saat tidak digunakan. Periksa terminal pembayaran Anda setiap hari dan perangkat lain yang dapat membaca kartu pembayaran.
- Anda harus memeriksa identitas petugas perbaikan jika Anda mengharapkan perbaikan terminal pembayaran.
- Hubungi Nets atau bank Anda segera jika Anda mencurigai adanya aktivitas yang tidak jelas.
- Jika Anda yakin bahwa perangkat POS Anda rentan terhadap pencurian, maka tersedia dudukan servis dan tali pengaman serta tali pengikat yang dapat dibeli secara komersial. Mungkin ada baiknya mempertimbangkan penggunaannya.
Pembaruan Rilis Viking
Perangkat lunak Viking dirilis dalam siklus rilis berikut (dapat berubah sewaktu-waktu):
- 2 rilis utama setiap tahunnya
- 2 rilisan minor setiap tahunnya
- Patch perangkat lunak, jika diperlukan, (misalnya karena masalah bug/kerentanan kritis). Jika rilis beroperasi di lapangan dan beberapa masalah kritis dilaporkan, maka patch perangkat lunak dengan perbaikan diharapkan akan dirilis dalam waktu satu bulan.
Merchant akan diberitahu tentang rilis (mayor/minor/patch) melalui email yang akan langsung dikirim ke alamat email masing-masing. Email tersebut juga akan berisi hal-hal penting dari rilis dan catatan rilis.
Para pedagang juga dapat mengakses catatan rilis yang akan diunggah di: Catatan rilis perangkat lunak (jaring.eu)
Rilisan Perangkat Lunak Viking ditandatangani menggunakan alat bernyanyi Ingenico untuk terminal Tetra. Hanya perangkat lunak yang ditandatangani yang dapat dimuat ke terminal.
Persyaratan yang Tidak Berlaku
Bagian ini berisi daftar persyaratan dalam Standar Perangkat Lunak Aman PCI yang telah dinilai sebagai 'Tidak Berlaku' untuk aplikasi pembayaran Viking dan pembenarannya.
| Standar Perangkat Lunak Aman PCI CO | Aktivitas | Pembenaran untuk 'Tidak berlaku' |
| 5.3 | Metode autentikasi (termasuk kredensial sesi) cukup kuat dan kokoh untuk melindungi kredensial autentikasi agar tidak dipalsukan, dipalsukan, dibocorkan, ditebak, atau dielakkan. | Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI. Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol atau jarak jauh, maupun tingkat hak istimewa, sehingga tidak ada kredensial autentikasi di perangkat PTS POI. Aplikasi pembayaran Viking tidak menyediakan pengaturan untuk mengelola atau membuat ID pengguna dan tidak menyediakan akses lokal, non-konsol, atau jarak jauh ke aset penting (bahkan untuk tujuan debug). |
| 5.4 | Secara default, semua akses ke aset penting dibatasi hanya pada akun dan layanan yang memerlukan akses tersebut. | Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI. Aplikasi pembayaran Viking tidak menyediakan pengaturan untuk mengelola atau membuat akun atau layanan. |
| 7.3 | Semua angka acak yang digunakan oleh perangkat lunak dihasilkan hanya menggunakan algoritma atau pustaka pembangkitan angka acak (RNG) yang disetujui. Algoritma atau pustaka RNG yang disetujui adalah algoritma atau pustaka yang memenuhi standar industri untuk ketidakpastian yang memadai (misalnya, Publikasi Khusus NIST 800-22). |
Aplikasi pembayaran Viking tidak menggunakan RNG (generator angka acak) untuk fungsi enkripsinya. Aplikasi pembayaran Viking tidak menghasilkan atau menggunakan nomor acak apa pun untuk fungsi kriptografi. |
| 7.4 | Nilai acak memiliki entropi yang memenuhi persyaratan kekuatan efektif minimum dari primitif kriptografi dan kunci yang mengandalkannya. | Aplikasi pembayaran Viking tidak menggunakan RNG (generator angka acak) untuk fungsi enkripsinya. Aplikasi pembayaran Viking tidak menghasilkan atau menggunakan nomor acak apa pun untuk fungsi kriptografi. |
| 8.1 | Semua upaya akses dan penggunaan aset penting dilacak dan dapat dilacak ke individu yang unik. | Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI, tempat semua penanganan aset penting terjadi, dan firmware PTS POI memastikan kerahasiaan dan integritas data sensitif saat disimpan dalam perangkat PTS POI. Kerahasiaan, integritas, dan ketahanan fungsi sensitif aplikasi pembayaran Viking dilindungi dan disediakan oleh firmware POI PTS. Firmware PTS POI mencegah akses apa pun ke aset penting dari terminal dan mengandalkan anti-tampfitur-fiturnya. Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol atau jarak jauh, atau tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi pembayaran Viking yang mampu menangani aset penting |
| 8.2 | Semua aktivitas dicatat secara cukup dan rinci untuk menggambarkan secara akurat aktivitas spesifik apa yang dilakukan, siapa yang melakukannya, waktu pelaksanaannya, dan aset penting mana yang terdampak. | Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI. Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol, atau jarak jauh, maupun tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi pembayaran Viking yang mampu menangani aset penting. • Aplikasi pembayaran Viking tidak menyediakan mode operasi istimewa. • Tidak ada fungsi untuk menonaktifkan enkripsi data sensitif • Tidak ada fungsi untuk mendekripsi data sensitif • Tidak ada fungsi untuk mengekspor data sensitif ke sistem atau proses lain • Tidak ada fitur autentikasi yang didukung Kontrol keamanan dan fungsi keamanan tidak dapat dinonaktifkan atau dihapus. |
| 8.3 | Perangkat lunak ini mendukung penyimpanan data yang aman dan terperinci aktivitas catatan. |
Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI. Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol, atau jarak jauh, maupun tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi pembayaran Viking yang mampu menangani aset penting. • Aplikasi pembayaran Viking tidak menyediakan mode operasi istimewa. • Tidak ada fungsi untuk menonaktifkan enkripsi data sensitif • Tidak ada fungsi untuk mendekripsi data sensitif • Tidak ada fungsi untuk mengekspor data sensitif ke sistem atau proses lain • Tidak ada fitur autentikasi yang didukung Kontrol keamanan dan fungsi keamanan tidak dapat dinonaktifkan atau dihapus. |
| 8.4 | Perangkat lunak ini menangani kegagalan dalam mekanisme pelacakan aktivitas sehingga integritas catatan aktivitas yang ada tetap terjaga. | Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI. Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol, atau jarak jauh, maupun tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi Viking yang mampu menangani aset penting. • Aplikasi pembayaran Viking tidak menyediakan mode operasi istimewa. • Tidak ada fungsi untuk menonaktifkan enkripsi data sensitif • Tidak ada fungsi untuk dekripsi data sensitif | • Tidak ada fungsi untuk mengekspor data sensitif ke sistem atau proses lain • Tidak ada fitur otentikasi yang didukung • Kontrol keamanan dan fungsi keamanan tidak dapat dinonaktifkan atau dihapus. |
| B.1.3 | Vendor perangkat lunak memelihara dokumentasi yang menjelaskan semua opsi yang dapat dikonfigurasi yang dapat memengaruhi keamanan data sensitif. |
Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI. Aplikasi pembayaran Viking tidak menyediakan hal berikut kepada pengguna akhir: • opsi yang dapat dikonfigurasi untuk mengakses data sensitif • opsi yang dapat dikonfigurasi untuk mengubah mekanisme untuk melindungi data sensitif • akses jarak jauh ke aplikasi • pembaruan aplikasi jarak jauh • opsi yang dapat dikonfigurasi untuk mengubah pengaturan default aplikasi |
| B.2.4 | Perangkat lunak hanya menggunakan angka acak fungsi pembangkitan yang termasuk dalam pembayaran evaluasi perangkat PTS terminal untuk semua kriptografi operasi yang melibatkan data sensitif atau fungsi sensitif di mana nilai acak diperlukan dan tidak menerapkannya sendiri fungsi pembangkitan bilangan acak. |
Viking tidak menggunakan RNG (generator angka acak) apa pun untuk fungsi enkripsinya. Aplikasi Viking tidak menghasilkan atau menggunakan nomor acak apa pun untuk fungsi kriptografi. |
| B.2.9 | Integritas prompt perangkat lunak files dilindungi sesuai dengan Tujuan Pengendalian B.2.8. | Semua tampilan perintah pada terminal Viking dikodekan dalam aplikasi dan tidak ada perintah files hadir di luar aplikasi. Tidak ada permintaan fileDi luar aplikasi pembayaran Viking ada, semua informasi yang diperlukan dihasilkan oleh aplikasi. |
| B.5.1.5 | Panduan implementasi mencakup instruksi bagi para pemangku kepentingan untuk menandatangani semua perintah secara kriptografis files. | Semua perintah yang ditampilkan di terminal Viking dikodekan dalam aplikasi dan tidak ada perintah files hadir di luar aplikasi. Tidak ada permintaan fileDi luar aplikasi pembayaran Viking ada, semua informasi yang diperlukan dihasilkan oleh aplikasi |
Referensi Persyaratan Standar Perangkat Lunak Aman PCI
| Bab dalam dokumen ini | Persyaratan Standar Perangkat Lunak Aman PCI | Persyaratan PCI DSS |
| 2. Aplikasi Pembayaran Aman | B.2.1 6.1 12.1 12.1.b |
2.2.3 |
| 3. Pembaruan Perangkat Lunak Jarak Jauh yang Aman | 11.1 11.2 12.1 |
1 dan 12.3.9 2, 8, dan 10 |
| 4. Penghapusan Data Sensitif yang Aman dan Perlindungan Data Pemegang Kartu yang Tersimpan | 3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a |
3.2 3.2 3.1 3.3 3.4 3.5 3.6 |
| Otentikasi dan Kontrol Akses | 5.1 5.2 5.3 5.4 |
8.1 dan 8.2 8.1 dan 8.2 |
| Penebangan | 3.6 8.1 8.3 |
10.1 10.5.3 |
| Jaringan Nirkabel | 4.1 | 1.2.3 dan 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1 |
| Segmentasi Jaringan | 4.1c | 1.3.7 |
| Akses Jarak Jauh | B.1.3 | 8.3 |
| Transmisi Data Pemegang Kartu | A.2.1 A.2.3 |
4.1 4.2 2.3 8.3 |
| Metodologi Pembuatan Versi Viking | 11.2 12.1.b |
|
| Petunjuk bagi pelanggan tentang instalasi patch dan pembaruan yang aman. | 11.1 11.2 12.1 |
Glosarium Istilah
| KETENTUAN | DEFINISI |
| Data pemegang kartu | Strip magnetik penuh atau PAN ditambah salah satu dari berikut ini: · Nama pemegang kartu · Tanggal kedaluwarsa · Kode Layanan |
| DUKPT | Derived Unique Key Per Transaction (DUKPT) adalah skema manajemen kunci di mana untuk setiap transaksi, digunakan kunci unik yang diturunkan dari kunci tetap. Oleh karena itu, jika kunci turunan dikompromikan, data transaksi mendatang dan sebelumnya masih terlindungi karena kunci berikutnya atau sebelumnya tidak dapat ditentukan dengan mudah. |
| 3DES | Dalam kriptografi, Triple DES (3DES atau TDES), secara resmi Triple Data Encryption Algorithm (TDEA atau Triple DEA), adalah sandi blok kunci simetris, yang menerapkan algoritma sandi DES tiga kali ke setiap blok data. |
| Pedagang | Pengguna akhir dan pembeli produk Viking. |
| SSF | PCI Software Security Framework (SSF) merupakan kumpulan standar dan program untuk desain dan pengembangan perangkat lunak pembayaran yang aman. Keamanan perangkat lunak pembayaran merupakan bagian penting dari alur transaksi pembayaran dan sangat penting untuk memfasilitasi transaksi pembayaran yang andal dan akurat. |
| PA-QSA | Penilai Keamanan Berkualitas Aplikasi Pembayaran. Perusahaan QSA yang memberikan layanan kepada vendor aplikasi pembayaran untuk memvalidasi aplikasi pembayaran vendor. |
| SEDIH
(Data Autentikasi Sensitif) |
Informasi terkait keamanan (Kode/Nilai Validasi Kartu, data pelacakan lengkap, PIN, dan Blok PIN) yang digunakan untuk mengautentikasi pemegang kartu, muncul dalam bentuk teks biasa atau bentuk yang tidak dilindungi. Pengungkapan, modifikasi, atau penghancuran informasi ini dapat membahayakan keamanan perangkat kriptografi, sistem informasi, atau informasi pemegang kartu atau dapat digunakan dalam transaksi penipuan. Data Autentikasi Sensitif tidak boleh disimpan saat transaksi selesai. |
| Bahasa Viking | Platform perangkat lunak yang digunakan Nets untuk pengembangan aplikasi untuk pasar Eropa. |
| HSM | Modul keamanan perangkat keras |
Kontrol berkas
Penulis Dokumen, Reviewers dan Approver
| Keterangan | Fungsi | Nama |
| PA-QSA | Reviewer | Claudio Adamic / Flavio Bonfiglio Shorans |
| Perkembangan | Pengarang | Aruna Panik |
| Manajer Kepatuhan | Reviewer & Pemberi Persetujuan | Arno Edstrom |
| Arsitek Sistem | Reviewer & Pemberi Persetujuan | Syamsher Singh |
| QA | Reviewer & Pemberi Persetujuan | Varun Shukla |
| Pemilik Produk | Reviewer & Pemberi Persetujuan | Cecilia Jensen Tyldum / Arti Kangas |
| Manajer Produk | Reviewer & Pemberi Persetujuan | May-Britt Dens tad Sanderson's |
| Engineering Manager | Manajer | Tamely Vallone |
Ringkasan Perubahan
| Versi Nomor | Versi Tanggal | Sifat Perubahan | Ubah Penulis | Reviewer | Revisi Tag | Tanggal Disetujui |
| 1.0 | Telepon: 03-08-2022 | Versi Pertama untuk PCI-Secure Standar Perangkat Lunak |
Aruna Panik | Syamsher Singh | Telepon: 18-08-22 | |
| 1.0 | Telepon: 15-09-2022 | Memperbarui bagian 14 dengan tujuan pengendalian yang tidak berlaku beserta pembenaran |
Aruna Panik | Syamsher Singh | Telepon: 29-09-22 | |
| 1.1 | Telepon: 20-12-2022 | Bagian 2.1.2 yang diperbarui dan 2.2 dengan Self4000. Menghapus Link2500 (PTS versi 4.x) dari daftar terminal yang didukung |
Aruna Panik | Syamsher Singh |
Telepon: 23-12-22 |
|
| 1.1 | Telepon: 05-01-2023 | Bagian 2.2 diperbarui dengan Link2500 (pts v4) untuk melanjutkan dukungan untuk ini
tipe terminal. |
Aruna Panik | Syamsher Singh | Telepon: 05-01-23 | |
| 1.2 | Telepon: 20-03-2023 | Bagian 2.1.1 yang diperbarui dengan bahasa Latvia dan Lithuania terminal profesionalfiles. Dan 2.1.2 dengan dukungan tipe komunikasi BT-iOS |
Aruna Panik | Syamsher Singh |
Daftar distribusi
| Nama | Fungsi |
| Departemen Terminal | Pengembangan, Pengujian, Manajemen Proyek, Kepatuhan |
| Manajemen Produk | Tim Manajemen Produk Terminal, Manajer Kepatuhan – Produk |
Persetujuan Dokumen
| Nama | Fungsi |
| Cecilia Jensen Tyldum | Pemilik Produk |
| Arti Kangas | Pemilik Produk |
Dokumen Ulangview Rencana
Dokumen ini akan dibuat ulangviewdiedit dan diperbarui, jika perlu, sebagaimana didefinisikan di bawah ini:
- Sesuai kebutuhan untuk mengoreksi atau meningkatkan konten informasi
- Mengikuti setiap perubahan organisasi atau restrukturisasi
- Mengikuti survei tahunanview
- Setelah eksploitasi kerentanan
- Mengikuti informasi / persyaratan baru mengenai kerentanan yang relevan
Dokumen / Sumber Daya
 |
Standar Perangkat Lunak Aman PCI Nets [Bahasa Indonesia:] Panduan Pengguna Standar Perangkat Lunak Aman PCI, Standar Perangkat Lunak Aman, Standar Perangkat Lunak, Standar |
 |
Standar Perangkat Lunak Aman PCI Nets [Bahasa Indonesia:] Panduan Pengguna Standar Perangkat Lunak Aman PCI, Standar Perangkat Lunak Aman, Standar Perangkat Lunak, Standar |