Perangkat Lunak Standar PCI-Secure
Informasi Produk: Vendor Standar Perangkat Lunak PCI-Secure
Panduan Implementasi Viking Terminal 2.00
Spesifikasi
Versi: 2.0
1. Pendahuluan dan Ruang Lingkup
1.1 Pendahuluan
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure
memberikan pedoman untuk mengimplementasikan perangkat lunak pada Viking
Terminal 2.00.
1.2 Kerangka Keamanan Perangkat Lunak (SSF)
Kerangka Keamanan Perangkat Lunak (SSF) memastikan pembayaran yang aman
aplikasi di Viking Terminal 2.00.
1.3 Panduan Implementasi Vendor Perangkat Lunak – Distribusi dan
Pembaruan
Panduan ini mencakup informasi tentang distribusi dan pembaruan
Panduan Implementasi Vendor Perangkat Lunak untuk Terminal Viking
2.00.
2. Aplikasi Pembayaran Aman
2.1 Aplikasi Barat Daya
Perangkat lunak aplikasi pembayaran yang aman memastikan keamanan
komunikasi dengan host pembayaran dan ECR.
2.1.1 Pembayaran Host komunikasi Pengaturan parameter TCP/IP
Bagian ini memberikan instruksi untuk mengatur TCP/IP
parameter untuk komunikasi dengan host pembayaran.
2.1.2 Komunikasi ECR
Bagian ini memberikan petunjuk untuk berkomunikasi dengan
ECR (Mesin Kasir Elektronik).
2.1.3 Komunikasi ke host melalui ECR
Bagian ini menjelaskan cara menjalin komunikasi dengan
host pembayaran menggunakan ECR.
2.2 Perangkat keras terminal yang didukung
Aplikasi pembayaran aman mendukung Viking Terminal 2.00
perangkat keras.
2.3 Kebijakan Keamanan
Bagian ini menguraikan kebijakan keamanan yang seharusnya
diikuti saat menggunakan aplikasi pembayaran yang aman.
3. Pembaruan Perangkat Lunak Jarak Jauh yang Aman
3.1 Penerapan Pedagang
Bagian ini memberikan informasi tentang penerapan secure
pembaruan perangkat lunak jarak jauh untuk pedagang.
3.2 Kebijakan Penggunaan yang Dapat Diterima
Bagian ini menguraikan kebijakan penggunaan yang dapat diterima untuk keamanan
pembaruan perangkat lunak jarak jauh.
3.3 Firewall Pribadi
Petunjuk untuk mengkonfigurasi firewall pribadi untuk mengizinkan
pembaruan perangkat lunak jarak jauh yang aman disediakan di bagian ini.
3.4 Prosedur Pembaruan Jarak Jauh
Bagian ini menjelaskan tata cara pelaksanaan pengamanan
pembaruan perangkat lunak jarak jauh.
4. Penghapusan Data Sensitif yang Aman dan Perlindungan yang Tersimpan
Data Pemegang Kartu
4.1 Penerapan Pedagang
Bagian ini memberikan informasi tentang penerapan secure
penghapusan data sensitif dan perlindungan data pemegang kartu yang disimpan
untuk para pedagang.
4.2 Instruksi Penghapusan Aman
Petunjuk untuk menghapus data sensitif dengan aman disediakan
di bagian ini.
4.3 Lokasi Data Pemegang Kartu yang Tersimpan
Bagian ini mencantumkan lokasi penyimpanan data pemegang kartu
dan memberikan panduan untuk melindunginya.
Bagian ini menjelaskan tata cara penanganan penundaan
transaksi otorisasi dengan aman.
4.5 Prosedur Pemecahan Masalah
Petunjuk untuk memecahkan masalah terkait keamanan
penghapusan dan perlindungan data pemegang kartu yang disimpan disediakan di
bagian ini.
4.6 Lokasi PAN – Ditampilkan atau Dicetak
Bagian ini mengidentifikasi lokasi di mana PAN (Akun Utama
Nomor) ditampilkan atau dicetak dan memberikan panduan tentang pengamanan
dia.
4.7 Perintah files
Petunjuk untuk mengelola prompt files dengan aman disediakan di
bagian ini.
4.8 Manajemen kunci
Bagian ini menjelaskan prosedur manajemen utama untuk memastikan
keamanan data pemegang kartu yang disimpan.
4.9 '24 JAM' Reboot
Petunjuk untuk melakukan reboot '24 HR' untuk memastikan sistem
keamanan disediakan di bagian ini.
4.10 Daftar Putih
Bagian ini memberikan informasi tentang daftar putih dan itu
penting dalam menjaga keamanan sistem.
5. Otentikasi dan Kontrol Akses
Bagian ini mencakup tindakan otentikasi dan kontrol akses
untuk menjamin keamanan sistem.
Pertanyaan yang Sering Diajukan (FAQ)
T: Apa tujuan dari Standar Perangkat Lunak PCI-Secure
Panduan Penerapan Vendor?
J: Panduan ini memberikan pedoman untuk menerapkan pembayaran yang aman
perangkat lunak aplikasi pada Viking Terminal 2.00.
T: Perangkat keras terminal mana yang didukung oleh pembayaran aman
aplikasi?
A: Aplikasi pembayaran aman mendukung Terminal Viking
2.00 perangkat keras.
T: Bagaimana cara menghapus data sensitif dengan aman?
J: Petunjuk untuk menghapus data sensitif dengan aman adalah
disediakan di bagian 4.2 panduan ini.
T: Apa pentingnya memasukkan ke dalam daftar putih?
J: Daftar putih memainkan peran penting dalam menjaga sistem
keamanan dengan hanya mengizinkan aplikasi yang disetujui untuk dijalankan.
Konten ini tergolong Internal
Jaring Denmark A/S:
Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure untuk terminal Viking 2.00
Versi 2.0
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00 1 1
Isi
1. Pendahuluan dan Ruang Lingkup …………………………………………………………………. 3
1.1
Perkenalan …………………………………………………………………………………. 3
1.2
Kerangka Keamanan Perangkat Lunak (SSF)…………………………………………………. 3
1.3
Panduan Implementasi Vendor Perangkat Lunak – Distribusi dan Pembaruan…… 3
2. Aplikasi Pembayaran yang Aman…………………………………………………………… 4
2.1
Aplikasi S/W ……………………………………………………………………………. 4
2.1.1 Komunikasi Host Pembayaran Pengaturan parameter TCP/IP …………………….. 4
2.1.2 Komunikasi ECR………………………………………………………………………. 5
2.1.3 Komunikasi ke host melalui ECR…………………………………………………. 5
2.2
Perangkat keras terminal yang didukung .................................................................................. 6
2.3
Kebijakan Keamanan ……………………………………………………………………………. 7
3. Pembaruan Perangkat Lunak Jarak Jauh yang Aman ………………………………………………………. 8
3.1
Penerapan Pedagang……………………………………………………………………… 8
3.2
Kebijakan Penggunaan yang Dapat Diterima .................................................................................................. 8
3.3
Firewall Pribadi…………………………………………………………………………… 8
3.4
Prosedur Pembaruan Jarak Jauh ............................................................................................ 8
4. Penghapusan Data Sensitif yang Aman dan Perlindungan Data Pemegang Kartu yang Tersimpan9
4.1
Penerapan Pedagang……………………………………………………………………… 9
4.2
Instruksi Penghapusan Aman................................................................................................ 9
4.3
Lokasi Data Pemegang Kartu yang Tersimpan……………………………………………….. 9
4.4
Transaksi Otorisasi yang Ditangguhkan ……………………………………………. 10
4.5
Prosedur Pemecahan Masalah ……………………………………………………… 10
4.6
Lokasi PAN – Ditampilkan atau Dicetak …………………………………………… 10
4.7
Mengingatkan files .................................................................................................................. 11
4.8
Manajemen kunci ............................................................................................................ 11
4.9
Reboot `24 Jam' ……………………………………………………………………………. 12
4.10 Memasukkan ke dalam Daftar Putih .................................................................................................................. 12
5. Otentikasi dan Kontrol Akses…………………………………………………. 13
5.1
Kontrol akses ……………………………………………………………………………. 13
5.2
Kontrol Kata Sandi .................................................................................................. 15
6. Pencatatan ……………………………………………………………………………………….. 15
6.1
Penerapan Pedagang……………………………………………………………. 15
6.2
Konfigurasikan Pengaturan Log …………………………………………………………………. 15
6.3
Pusat Penebangan …………………………………………………………………………… 15
6.3.1 Mengaktifkan Trace Logging di terminal ……………………………………………………… 15
6.3.2 Mengirim Log jejak ke host ................................................................................................ 15
6.3.3 Pencatatan jejak jarak jauh.................................................................................................. 16
6.3.4 Pencatatan kesalahan jarak jauh.................................................................................................. 16
7. Jaringan Nirkabel ............................................................................................................ 16
7.1
Penerapan Pedagang……………………………………………………………. 16
7.2
Konfigurasi Nirkabel yang Direkomendasikan ………………………………………… 16
8. Segmentasi Jaringan ………………………………………………………………….. 17
8.1
Penerapan Pedagang……………………………………………………………. 17
9. Akses Jarak Jauh …………………………………………………………………………… 17
9.1
Penerapan Pedagang……………………………………………………………. 17
10.
Transmisi data Sensitif .................................................................................. 17
10.1 Transmisi data Sensitif ……………………………………………………… 17
10.2 Berbagi data sensitif ke perangkat lunak lain……………………………………….. 17
10.3 Email dan Data Sensitif .................................................................................. 17
10.4 Akses Administratif Non-Konsol ……………………………………………. 17
11.
Metodologi Pembuatan Versi Viking.................................................................. 18
12.
Petunjuk tentang Instalasi Patch dan Pembaruan yang Aman. ............. 18
13.
Pembaruan Rilis Viking .................................................................................. 19
14.
Persyaratan yang Tidak Berlaku ………………………………………………………. 19
15.
Referensi Persyaratan Standar Perangkat Lunak PCI Secure …………………… 23
16.
Daftar Istilah ………………………………………………………………………. 24
17.
Pengendalian Dokumen……………………………………………………………………… 25
2
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
1. Pendahuluan dan Ruang Lingkup
1.1 Pendahuluan
Tujuan dari Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure ini adalah untuk memberikan panduan yang jelas dan menyeluruh kepada pemangku kepentingan mengenai implementasi, konfigurasi, dan pengoperasian perangkat lunak Viking yang aman. Panduan ini menginstruksikan Merchant tentang cara mengimplementasikan aplikasi Nets Viking ke dalam lingkungan mereka dengan cara yang sesuai dengan Standar Perangkat Lunak Aman PCI. Meskipun demikian, ini tidak dimaksudkan sebagai panduan instalasi yang lengkap. Aplikasi Viking, jika dipasang sesuai dengan pedoman yang didokumentasikan di sini, akan memfasilitasi dan mendukung kepatuhan PCI pedagang.
1.2 Kerangka Keamanan Perangkat Lunak (SSF)
Kerangka Keamanan Perangkat Lunak PCI (SSF) adalah kumpulan standar dan program untuk desain dan pengembangan perangkat lunak aplikasi pembayaran yang aman. SSF menggantikan Standar Keamanan Data Aplikasi Pembayaran (PA-DSS) dengan persyaratan modern yang mendukung beragam jenis perangkat lunak pembayaran, teknologi, dan metodologi pengembangan. Ini memberi vendor standar keamanan seperti PCI Secure Software Standard untuk mengembangkan dan memelihara perangkat lunak pembayaran sehingga melindungi transaksi dan data pembayaran, meminimalkan kerentanan, dan bertahan dari serangan.
1.3 Panduan Implementasi Vendor Perangkat Lunak – Distribusi dan Pembaruan
Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak Aman PCI ini harus disebarluaskan ke semua pengguna aplikasi yang relevan termasuk pedagang. Ini harus diperbarui setidaknya setiap tahun dan setelah perubahan pada perangkat lunak. Laporan tahunanview dan pembaruan harus mencakup perubahan perangkat lunak baru serta perubahan dalam Standar Perangkat Lunak Aman.
Nets menerbitkan informasi yang terdaftar websitus jika ada pembaruan dalam panduan implementasi.
Websitus: https://support.nets.eu/
Untuk Mantanample: Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure Nets akan didistribusikan ke semua pelanggan, pengecer, dan integrator. Pelanggan, Pengecer, dan Integrator akan diberitahu dari reviews dan pembaruan.
Pembaruan pada Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure juga dapat diperoleh dengan menghubungi Nets secara langsung.
Panduan Implementasi Vendor Perangkat Lunak Standar Perangkat Lunak PCI-Secure ini merujuk pada Standar Perangkat Lunak PCI-Secure dan persyaratan PCI. Versi berikut direferensikan dalam panduan ini.
· PCI-Aman-Perangkat Lunak-Standar-v1_2_1
3
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
2. Aplikasi Pembayaran Aman
2.1 Aplikasi Barat Daya
Aplikasi pembayaran Viking tidak menggunakan perangkat lunak atau perangkat keras eksternal apa pun yang bukan milik aplikasi tertanam Viking. Semua executable S/W milik aplikasi pembayaran Viking ditandatangani secara digital dengan kit penandatanganan Tetra yang disediakan oleh Ingenico.
· Terminal berkomunikasi dengan Nets Host menggunakan TCP/IP, baik melalui Ethernet, GPRS, Wi-Fi, atau melalui PC-LAN yang menjalankan aplikasi POS. Selain itu, terminal dapat berkomunikasi dengan host melalui ponsel dengan konektivitas Wi-Fi atau GPRS.
Terminal Viking mengelola semua komunikasi menggunakan komponen lapisan tautan Ingenico. Komponen ini adalah aplikasi yang dimuat di terminal. Link Layer dapat mengelola beberapa komunikasi pada saat yang sama menggunakan periferal yang berbeda (misalnya modem dan port serialampsaya).
Saat ini mendukung protokol berikut:
· Fisik: RS232, modem internal, modem eksternal (melalui RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G dan 4G.
· Tautan Data: SDLC, PPP. · Jaringan: IP. · Transportasi: TCP.
Terminal selalu mengambil inisiatif untuk menjalin komunikasi dengan Nets Host. Tidak ada server TCP/IP S/W di terminal, dan terminal S/W tidak pernah menanggapi panggilan masuk.
Ketika terintegrasi dengan aplikasi POS pada PC, terminal dapat diatur untuk berkomunikasi melalui PC-LAN yang menjalankan aplikasi POS menggunakan RS232, USB, atau Bluetooth. Masih semua fungsionalitas aplikasi pembayaran berjalan di terminal S/W.
Protokol aplikasi (dan enkripsi yang diterapkan) transparan dan tidak bergantung pada jenis komunikasi.
2.2 Pembayaran Host komunikasi Pengaturan parameter TCP/IP
4
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
2.3 Komunikasi ECR
· Serial RS232 · Koneksi USB · Pengaturan parameter TCP/IP, juga dikenal sebagai ECR over IP
· Opsi komunikasi Host/ECR di Aplikasi Pembayaran Viking
· Konfigurasi parameter Nets Cloud ECR (Connect@Cloud).
2.4 Komunikasi ke host melalui ECR
Catatan: Lihat “2.1.1- Pengaturan parameter TCP/IP komunikasi Host Pembayaran” untuk port TCP/IP khusus negara.
5
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
2.5 Perangkat keras terminal yang didukung
Aplikasi pembayaran Viking didukung pada berbagai perangkat Ingenico yang divalidasi PTS (keamanan transaksi PIN). Daftar perangkat keras terminal beserta nomor persetujuan PTSnya diberikan di bawah ini.
Jenis Terminal Tetra
Perangkat keras terminal
Jalur 3000
PTS
persetujuan PTS
nomor versi
5.x
Nomor telepon 4-30310
Versi Perangkat Keras PTS
LAN30EA LAN30AA
Meja 3500
5.x
Nomor telepon 4-20321
DES35BB
Pindahkan 3500
5.x
Nomor telepon 4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Tautan2500
Link2500 Mandiri4000
4.x
Nomor telepon 4-30230
5.x
Nomor telepon 4-30326
5.x
Nomor telepon 4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
Versi Firmware PTS
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
2.6 Kebijakan Keamanan
Aplikasi pembayaran Viking mematuhi semua kebijakan keamanan yang berlaku yang ditentukan oleh Ingenico. Untuk informasi umum, berikut adalah tautan ke kebijakan keamanan untuk berbagai terminal Tetra:
Jenis Terminal
Tautan2500 (v4)
Dokumen Kebijakan Keamanan Link/2500 Kebijakan Keamanan PCI PTS (pcisecuritystandards.org)
Tautan2500 (v5)
Kebijakan Keamanan PCI PTS (pcisecuritystandards.org)
Meja3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Pindah3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Jalur3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Diri4000
Kebijakan Keamanan Self/4000 PCI PTS (pcisecuritystandards.org)
7
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
3. Pembaruan Perangkat Lunak Jarak Jauh yang Aman
3.1 Penerapan Pedagang
Nets dengan aman mengirimkan pembaruan aplikasi pembayaran Viking dari jarak jauh. Pembaruan ini terjadi pada saluran komunikasi yang sama dengan transaksi pembayaran yang aman, dan pedagang tidak diharuskan melakukan perubahan apa pun pada jalur komunikasi ini untuk kepatuhan.
Sebagai informasi umum, pedagang harus mengembangkan kebijakan penggunaan yang dapat diterima untuk teknologi penting yang berhubungan dengan karyawan, sesuai pedoman di bawah ini untuk VPN, atau koneksi berkecepatan tinggi lainnya, pembaruan diterima melalui firewall atau firewall pribadi.
3.2 Kebijakan Penggunaan yang Dapat Diterima
Pedagang harus mengembangkan kebijakan penggunaan untuk teknologi penting yang dihadapi karyawan, seperti modem dan perangkat nirkabel. Kebijakan penggunaan ini harus mencakup:
· Persetujuan manajemen eksplisit untuk digunakan. · Otentikasi untuk digunakan. · Daftar semua perangkat dan personel yang memiliki akses. · Memberi label pada perangkat dengan pemiliknya. · Informasi kontak dan tujuan. · Penggunaan teknologi yang dapat diterima. · Lokasi jaringan yang dapat diterima untuk teknologi. · Daftar produk yang disetujui perusahaan. · Mengizinkan penggunaan modem untuk vendor hanya bila diperlukan dan penonaktifan setelah digunakan. · Larangan penyimpanan data pemegang kartu ke media lokal saat terhubung dari jarak jauh.
3.3 Firewall Pribadi
Setiap koneksi “selalu aktif” dari komputer ke VPN atau koneksi berkecepatan tinggi lainnya harus diamankan dengan menggunakan produk firewall pribadi. Firewall dikonfigurasi oleh organisasi untuk memenuhi standar tertentu dan tidak dapat diubah oleh karyawan.
3.4 Prosedur Pembaruan Jarak Jauh
Ada dua cara untuk memicu terminal menghubungi pusat perangkat lunak Nets untuk mendapatkan pembaruan:
1. Baik secara manual melalui opsi menu di terminal (gesek kartu pedagang, pilih menu 8 “Perangkat Lunak”, 1 “Ambil perangkat lunak”), atau Host dimulai.
2. Menggunakan metode yang diinisiasi Host; terminal secara otomatis menerima perintah dari Host setelah melakukan transaksi keuangan. Perintah tersebut memberitahu terminal untuk menghubungi pusat perangkat lunak Nets untuk memeriksa pembaruan.
Setelah pembaruan perangkat lunak berhasil, terminal dengan printer internal akan mencetak tanda terima berisi informasi tentang versi baru.
Integrator terminal, mitra dan/atau tim dukungan teknis Nets akan bertanggung jawab untuk memberi tahu pedagang tentang pembaruan tersebut, termasuk tautan ke panduan penerapan yang diperbarui dan catatan rilis.
Selain penerimaan setelah pembaruan perangkat lunak, aplikasi pembayaran Viking juga dapat divalidasi melalui Info Terminal dengan menekan tombol `F3′ di terminal.
8
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
4. Penghapusan Data Sensitif yang Aman dan Perlindungan Data Pemegang Kartu yang Tersimpan
4.1 Penerapan Pedagang
Aplikasi pembayaran Viking tidak menyimpan data strip magnetik, nilai atau kode validasi kartu, PIN atau data blok PIN, materi kunci kriptografi, atau kriptogram dari versi sebelumnya.
Agar mematuhi PCI, pedagang harus memiliki kebijakan penyimpanan data yang menentukan berapa lama data pemegang kartu akan disimpan. Aplikasi pembayaran Viking menyimpan data pemegang kartu dan/atau data autentikasi sensitif dari transaksi terakhir dan jika ada transaksi otorisasi offline atau yang ditangguhkan sambil tetap mematuhi kepatuhan Standar Perangkat Lunak PCI-Secure, maka aplikasi tersebut dapat dikecualikan dari kebijakan penyimpanan data pemegang kartu pedagang.
4.2 Instruksi Penghapusan Aman
Terminal tidak menyimpan data otentikasi sensitif; track2 lengkap, CVC, CVV atau PIN, baik sebelum maupun sesudah otorisasi; kecuali untuk transaksi Otorisasi yang Ditangguhkan di mana data otentikasi sensitif terenkripsi (data track2 lengkap) disimpan hingga otorisasi dilakukan. Pasca otorisasi, data dihapus dengan aman.
Setiap contoh data historis terlarang yang ada di terminal akan secara otomatis dihapus dengan aman ketika aplikasi pembayaran terminal Viking ditingkatkan. Penghapusan data historis yang dilarang dan data yang sudah melewati kebijakan penyimpanan akan terjadi secara otomatis.
4.3 Lokasi Data Pemegang Kartu yang Tersimpan
Data pemegang kartu disimpan di Flash DFS (Data File Sistem) terminal. Data tidak dapat diakses langsung oleh pedagang.
Penyimpanan data (file, meja, dll.)
Elemen Data Pemegang Kartu yang disimpan (PAN, kadaluwarsa, elemen SAD apa saja)
Bagaimana penyimpanan data diamankan (misalnyaample, enkripsi, kontrol akses, pemotongan, dll.)
File: trans.rsd
PAN, Tanggal Kedaluwarsa, Kode Layanan
PAN: 3DES-DUKPT terenkripsi (112 bit)
File: storefwd.rsd PAN, Tanggal Kedaluwarsa, Kode Layanan
PAN: 3DES-DUKPT terenkripsi (112 bit)
File: transoff.rsd PAN, Tanggal Kedaluwarsa, Kode Layanan
PAN: 3DES-DUKPT terenkripsi (112 bit)
File: transorr.rsd PAN terpotong
Terpotong (6 Pertama, 4 Terakhir)
File: offlrep.dat
PAN terpotong
Terpotong (6 Pertama, 4 Terakhir)
File: defauth.rsd PAN, Tanggal Kedaluwarsa, Kode Layanan
PAN: 3DES-DUKPT terenkripsi (112 bit)
File: defauth.rsd Data track2 lengkap
Data Track2 lengkap: 3DES-DUKPT pra-Terenkripsi (112 bit)
9
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
4.4 Transaksi Otorisasi yang Ditangguhkan
Otorisasi yang Ditangguhkan terjadi ketika pedagang tidak dapat menyelesaikan otorisasi pada saat transaksi dengan pemegang kartu karena konektivitas, masalah sistem, atau batasan lainnya, dan kemudian menyelesaikan otorisasi ketika mampu melakukannya.
Artinya, otorisasi yang ditangguhkan terjadi ketika otorisasi online dilakukan setelah kartu tidak lagi tersedia. Karena otorisasi online dari transaksi otorisasi yang ditangguhkan tertunda, transaksi akan disimpan di terminal hingga transaksi berhasil diotorisasi nanti ketika jaringan tersedia.
Transaksi disimpan dan kemudian dikirim ke host, seperti transaksi Offline disimpan pada hari ini di aplikasi pembayaran Viking.
Merchant dapat memulai transaksi sebagai `Otorisasi yang Ditangguhkan' dari Mesin Kasir Elektronik (ECR) atau melalui menu terminal.
Transaksi Otorisasi yang Ditangguhkan dapat diunggah ke host Nets oleh merchant menggunakan opsi di bawah ini: 1. ECR – Perintah Admin – Kirim offline (0x3138) 2. Terminal – Merchant ->2 EOT -> 2 dikirim ke host
4.5 Prosedur Pemecahan Masalah
Dukungan Nets tidak akan meminta otentikasi sensitif atau data pemegang kartu untuk tujuan pemecahan masalah. Aplikasi pembayaran Viking tidak mampu mengumpulkan atau memecahkan masalah data sensitif dalam hal apa pun.
4.6 Lokasi PAN – Ditampilkan atau Dicetak
PAN bertopeng:
· Struk Transaksi Finansial: Masked PAN selalu tercetak pada struk transaksi baik pemegang kartu maupun merchant. PAN bertopeng dalam sebagian besar kasus adalah dengan * di mana 6 digit pertama dan 4 digit terakhir berada dalam teks yang jelas.
· Laporan daftar transaksi: Laporan daftar transaksi menunjukkan transaksi yang dilakukan dalam suatu sesi. Detail transaksi meliputi Masked PAN, nama penerbit Kartu, dan jumlah transaksi.
· Tanda terima pelanggan terakhir: Salinan tanda terima pelanggan terakhir dapat dihasilkan dari menu salinan terminal. Kwitansi pelanggan berisi PAN yang disamarkan sebagai kwitansi pelanggan asli. Fungsi yang diberikan digunakan jika terminal gagal menghasilkan tanda terima pelanggan selama transaksi karena alasan apa pun.
PAN terenkripsi:
· Tanda terima transaksi offline: Versi tanda terima pengecer dari transaksi offline mencakup data pemegang kartu terenkripsi DUKPT Triple DES 112-bit (PAN, tanggal kedaluwarsa, dan kode Layanan).
BAX: 71448400-714484 12/08/2022 10:39
Visa Tanpa Kontak ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 BANTUAN: A0000000031010 TVR: 0000000000 StoreID: 123461 Ref.: 000004 000000 K C3
10
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
Resp.: Sesi Y1: 782
PEMBELIAN
Bahasa Indonesia: NOK
12,00
DISETUJUI
SALINAN PENGECER
Konfirmasi:
Aplikasi pembayaran Viking selalu mengenkripsi data pemegang kartu secara default untuk penyimpanan transaksi offline, transmisi ke host NETS dan untuk mencetak data kartu terenkripsi pada tanda terima pengecer untuk transaksi offline.
Selain itu, untuk menampilkan atau mencetak kartu PAN, aplikasi pembayaran Viking selalu menutupi digit PAN dengan tanda bintang `*' dengan 6 digit pertama + 4 digit terakhir jelas sebagai default. Format pencetakan nomor kartu dikendalikan oleh sistem manajemen terminal di mana format pencetakan dapat diubah dengan meminta melalui saluran yang tepat dan dengan menyajikan kebutuhan bisnis yang sah, namun untuk aplikasi pembayaran Viking, tidak ada kasus seperti itu.
Example untuk PAN bertopeng: PAN: 957852181428133823-2
Info minimal: **************3823-2
Info maksimal: 957852********3823-2
4.7 Perintah files
Aplikasi pembayaran Viking tidak menyediakan prompt terpisah files.
Permintaan aplikasi pembayaran Viking untuk masukan pemegang kartu melalui petunjuk tampilan yang merupakan bagian dari sistem pesan dalam aplikasi pembayaran Viking yang ditandatangani.
Tampilan petunjuk untuk PIN, jumlah, dll. ditampilkan di terminal, dan masukan dari pemegang kartu ditunggu. Masukan yang diterima dari pemegang kartu tidak disimpan.
4.8 Manajemen kunci
Untuk rangkaian model terminal Tetra, semua fungsi keamanan dilakukan di area aman perangkat PTS yang dilindungi dari aplikasi pembayaran.
Enkripsi dilakukan di dalam area aman sementara dekripsi data terenkripsi hanya dapat dilakukan oleh sistem Nets Host. Semua pertukaran kunci antara host Nets, alat Kunci/Injeksi (untuk terminal Tetra) dan PED dilakukan dalam bentuk terenkripsi.
Prosedur Manajemen Kunci diterapkan oleh Nets sesuai dengan skema DUKPT menggunakan enkripsi 3DES.
Semua kunci dan komponen kunci yang digunakan oleh terminal Nets dihasilkan menggunakan proses acak atau pseudorandom yang disetujui. Kunci dan komponen utama yang digunakan oleh terminal Nets dihasilkan oleh sistem manajemen kunci Nets, yang menggunakan unit HSM Thales Payshield yang disetujui untuk menghasilkan kunci kriptografi.
11
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
Manajemen kunci tidak bergantung pada fungsi pembayaran. Oleh karena itu, memuat aplikasi baru tidak memerlukan perubahan pada fungsionalitas utama. Ruang kunci terminal akan mendukung sekitar 2,097,152 transaksi. Ketika ruang kunci habis, terminal Viking berhenti bekerja dan menampilkan pesan kesalahan, dan kemudian terminal harus diganti.
4.9 `24 Jam' Reboot
Semua terminal Viking adalah PCI-PTS 4.x dan yang lebih baru dan karenanya mengikuti persyaratan kepatuhan bahwa terminal PCI-PTS 4.x harus di-boot ulang minimal setiap 24 jam untuk menghapus RAM dan selanjutnya mengamankan terminal HW agar tidak digunakan untuk menerima pembayaran data kartu.
Manfaat lain dari siklus boot ulang `24 jam' adalah kebocoran memori akan dikurangi dan dampaknya lebih kecil bagi pedagang (bukan berarti kami harus menerima masalah kebocoran memori.
Merchant dapat mengatur waktu reboot dari opsi Menu terminal ke `Waktu Reboot'. Waktu reboot diatur berdasarkan jam `24 jam' dan akan mengambil format HH:MM.
Mekanisme Reset dirancang untuk memastikan terminal direset setidaknya satu kali setiap 24 jam berjalan. Untuk memenuhi persyaratan ini, slot waktu, yang disebut “interval reset” yang diwakili oleh Tmin dan Tmax telah ditentukan. Periode ini mewakili interval waktu di mana pengaturan ulang diperbolehkan. Tergantung pada kasus bisnis, “interval reset” disesuaikan selama tahap instalasi terminal. Sesuai desain, periode ini tidak boleh lebih pendek dari 30 menit. Selama periode ini, reset terjadi setiap hari 5 menit lebih awal (pada T3) seperti yang dijelaskan pada diagram di bawah ini:
4.10 Daftar Putih
Daftar putih adalah prosedur untuk menentukan bahwa PAN yang terdaftar sebagai daftar putih diperbolehkan untuk ditampilkan dalam teks yang jelas. Viking menggunakan 3 bidang untuk menentukan PAN yang masuk daftar putih yang dibaca dari konfigurasi yang diunduh dari sistem manajemen terminal.
Ketika `Bendera kepatuhan' di host Nets diatur ke Y, informasi dari sistem manajemen Host Nets atau Terminal diunduh ke terminal, ketika terminal dimulai. Tanda Kepatuhan ini digunakan untuk menentukan PAN yang masuk daftar putih dan dibaca dari kumpulan data.
Bendera `Track2ECR' menentukan apakah data Track2 diizinkan untuk ditangani (dikirim/diterima) oleh ECR untuk penerbit tertentu. Bergantung pada nilai tanda ini, ditentukan apakah data track2 harus ditampilkan dalam mode lokal di ECR.
`Bidang format cetak' menentukan bagaimana PAN akan ditampilkan. Semua kartu dalam lingkup PCI akan memiliki format cetak yang diatur untuk menampilkan PAN dalam bentuk terpotong/tertutup.
12
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
5. Otentikasi dan Kontrol Akses
5.1 Kontrol Akses
Aplikasi pembayaran Viking tidak memiliki akun pengguna atau kata sandi yang sesuai, oleh karena itu, aplikasi pembayaran Viking dikecualikan dari persyaratan ini.
· Pengaturan Terintegrasi ECR: Tidak dimungkinkan untuk mengakses jenis transaksi seperti Pengembalian Dana, Deposit dan Pembalikan dari menu terminal untuk mengamankan fungsi-fungsi ini dari penyalahgunaan. Ini adalah jenis transaksi dimana aliran uang terjadi dari rekening pedagang ke rekening pemegang kartu. Merchant bertanggung jawab untuk memastikan bahwa ECR hanya digunakan oleh pengguna yang berwenang.
· Pengaturan mandiri: Kontrol akses kartu pedagang diaktifkan secara default untuk mengakses jenis transaksi seperti Pengembalian Dana, Deposit dan Pembalikan dari menu terminal untuk membuat fungsi-fungsi ini aman dari penyalahgunaan. Terminal Viking dikonfigurasikan secara default untuk mengamankan opsi menu, untuk mencegah akses tidak sah. Parameter untuk mengonfigurasi keamanan menu berada di Menu Merchant (dapat diakses dengan kartu Merchant) -> Parameter -> Keamanan
Menu proteksi Diatur ke `Ya' secara default. Tombol menu pada terminal dilindungi menggunakan konfigurasi menu Proteksi. Menu hanya dapat diakses oleh Merchant dengan menggunakan kartu merchant.
13
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
Lindungi pembalikan Diatur ke `Ya' secara default. Pembalikan transaksi hanya dapat dilakukan oleh merchant yang menggunakan kartu merchant untuk mengakses menu pembalikan.
Lindungi rekonsiliasi Ditetapkan ke `Ya' secara default Opsi Rekonsiliasi hanya dapat diakses oleh pedagang dengan kartu pedagang ketika perlindungan ini diatur ke benar.
Lindungi Pintasan Atur ke `Ya' secara default Menu pintasan dengan opsi untuk viewInfo Terminal dan opsi untuk memperbarui parameter Bluetooth akan tersedia bagi pedagang hanya ketika kartu pedagang digesek.
14
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
5.2 Kontrol Kata Sandi
Aplikasi pembayaran Viking tidak memiliki akun pengguna atau kata sandi yang sesuai; oleh karena itu, aplikasi Viking dikecualikan dari persyaratan ini.
6. Pencatatan
6.1 Penerapan Pedagang
Saat ini, untuk aplikasi pembayaran Nets Viking, tidak ada pengaturan log PCI yang dapat dikonfigurasi oleh pengguna akhir.
6.2 Konfigurasikan Pengaturan Log
Aplikasi pembayaran Viking tidak memiliki akun pengguna, sehingga pencatatan yang sesuai dengan PCI tidak berlaku. Bahkan dalam pencatatan transaksi yang paling bertele-tele, aplikasi pembayaran Viking tidak mencatat data otentikasi sensitif atau data pemegang kartu.
6.3 Penebangan Pusat
Terminal memiliki mekanisme log umum. Mekanisme ini juga mencakup pencatatan pembuatan dan penghapusan S/W yang dapat dieksekusi.
Aktivitas pengunduhan S/W dicatat dan dapat ditransfer ke Host secara manual melalui pilihan menu di terminal atau berdasarkan permintaan dari host yang ditandai dalam lalu lintas transaksi biasa. Jika aktivasi unduhan S/W gagal karena tanda tangan digital yang diterima tidak valid files, insiden tersebut dicatat dan ditransfer ke Host secara otomatis dan segera.
6.4 6.3.1 Mengaktifkan pelacakan Logging pada terminal
Untuk mengaktifkan pencatatan pencatatan jejak:
1 Gesek kartu Merchant. 2 Kemudian pada menu pilih “9 Menu sistem”. 3 Lalu masuk ke menu “2 Log Sistem”. 4 Ketikkan kode teknisi, yang bisa Anda peroleh dengan menghubungi dukungan Nets Merchant Service. 5 Pilih “8 Parameter”. 6 Kemudian aktifkan “Logging” ke “Yes”.
6.5 6.3.2 Mengirim Log jejak ke host
Untuk mengirim log jejak:
1 Tekan tombol Menu di terminal lalu Gesek kartu Merchant. 2 Kemudian pada menu utama pilih “Menu 7 Operator”. 3 Kemudian pilih “5 Kirim Log Jejak” untuk mengirim log jejak ke host.
15
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
6.6 6.3.3 Pencatatan jejak jarak jauh
Parameter diatur di Nets Host (PSP) yang akan mengaktifkan/menonaktifkan fungsi pencatatan jejak Terminal dari jarak jauh. Nets Host akan mengirimkan parameter logging Trace aktifkan/nonaktifkan ke Terminal di Kumpulan data bersama dengan waktu yang dijadwalkan ketika Terminal akan mengunggah log Trace. Ketika terminal menerima parameter Jejak sebagai diaktifkan, terminal akan mulai menangkap log Jejak dan pada waktu yang dijadwalkan terminal akan mengunggah semua log jejak dan menonaktifkan fungsi logging setelahnya.
6.7 6.3.4 Pencatatan kesalahan jarak jauh
Log kesalahan selalu diaktifkan di terminal. Seperti logging jejak, parameter diatur di Nets Host yang akan mengaktifkan/menonaktifkan fungsi logging kesalahan Terminal dari jarak jauh. Nets Host akan mengirimkan Trace mengaktifkan/menonaktifkan parameter logging ke Terminal di Kumpulan data bersama dengan waktu yang dijadwalkan ketika Terminal akan mengunggah log Kesalahan. Ketika terminal menerima parameter Error logging sebagai diaktifkan, terminal akan mulai menangkap log Error dan pada waktu yang dijadwalkan terminal akan mengunggah semua log kesalahan dan menonaktifkan fungsi logging setelahnya.
7. Jaringan Nirkabel
7.1 Penerapan Pedagang
Terminal pembayaran Viking – MOVE 3500 dan Link2500 memiliki kemampuan untuk terhubung dengan jaringan Wi-Fi. Oleh karena itu, agar Nirkabel dapat diimplementasikan dengan aman, pertimbangan harus diambil saat memasang dan mengkonfigurasi jaringan nirkabel seperti yang dijelaskan di bawah ini.
7.2 Konfigurasi Nirkabel yang Direkomendasikan
Ada banyak pertimbangan dan langkah yang harus diambil ketika mengkonfigurasi jaringan nirkabel yang terhubung ke jaringan internal.
Minimal, pengaturan dan konfigurasi berikut harus ada:
· Semua jaringan nirkabel harus disegmentasi menggunakan firewall; jika koneksi antara jaringan nirkabel dan lingkungan data pemegang kartu diperlukan, akses harus dikontrol dan diamankan oleh firewall.
· Mengubah SSID default dan menonaktifkan siaran SSID · Mengubah kata sandi default untuk koneksi nirkabel dan titik akses nirkabel, ini termasuk konfigurasi
akses tunggal serta string komunitas SNMP · Ubah default keamanan lainnya yang disediakan atau ditetapkan oleh vendor · Pastikan titik akses nirkabel diperbarui ke firmware terbaru · Hanya gunakan WPA atau WPA2 dengan kunci yang kuat, WEP dilarang dan tidak boleh digunakan · Ubah kunci WPA/WPA2 pada saat instalasi serta secara teratur dan kapan pun seseorang menggunakannya
pengetahuan tentang kunci meninggalkan perusahaan
16
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
8. Segmentasi Jaringan
8.1 Penerapan Pedagang
Aplikasi pembayaran Viking bukanlah aplikasi pembayaran berbasis server dan berada di terminal. Oleh karena itu, aplikasi pembayaran tidak memerlukan penyesuaian apa pun untuk memenuhi persyaratan ini. Sepengetahuan umum merchant, data kartu kredit tidak dapat disimpan pada sistem yang terhubung langsung ke Internet. Misalnyaampaku, web server dan server database tidak boleh diinstal pada server yang sama. Zona demiliterisasi (DMZ) harus dibentuk untuk mensegmentasi jaringan sehingga hanya mesin di DMZ yang dapat mengakses Internet.
9. Akses Jarak Jauh
9.1 Penerapan Pedagang
Aplikasi pembayaran Viking tidak dapat diakses dari jarak jauh. Dukungan jarak jauh hanya terjadi antara anggota staf dukungan Nets dan pedagang melalui telepon atau melalui Nets langsung di lokasi pedagang.
10.Transmisi data Sensitif
10.1 Transmisi data Sensitif
Aplikasi pembayaran Viking mengamankan data sensitif dan/atau data pemegang kartu dalam perjalanan dengan menggunakan enkripsi tingkat pesan menggunakan 3DES-DUKPT (112 bit) untuk semua transmisi (termasuk jaringan publik). Protokol Keamanan untuk komunikasi IP dari aplikasi Viking ke Host tidak diperlukan karena enkripsi tingkat pesan diimplementasikan menggunakan 3DES-DUKPT (112-bit) seperti dijelaskan di atas. Skema enkripsi ini memastikan bahwa meskipun transaksi disadap, transaksi tersebut tidak dapat diubah atau dikompromikan dengan cara apa pun jika 3DES-DUKPT (112-bit) tetap dianggap sebagai enkripsi yang kuat. Sesuai skema pengelolaan kunci DUKPT, kunci 3DES yang digunakan bersifat unik untuk setiap transaksi.
10.2 Berbagi data sensitif ke perangkat lunak lain
Aplikasi pembayaran Viking tidak menyediakan antarmuka/API logis apa pun untuk memungkinkan berbagi data akun teks jelas secara langsung dengan perangkat lunak lain. Tidak ada data sensitif atau data akun cleartext yang dibagikan dengan perangkat lunak lain melalui API yang terekspos.
10.3 Email dan data sensitif
Aplikasi pembayaran Viking tidak mendukung pengiriman email.
10.4 Akses Administratif Non-Konsol
Viking tidak mendukung akses administratif non-Konsol. Namun, sebagai pengetahuan umum pedagang, akses administratif non-Konsol harus menggunakan SSH, VPN, atau TLS untuk enkripsi semua akses administratif non-Konsol ke server di lingkungan data pemegang kartu. Telnet atau metode akses tidak terenkripsi lainnya tidak boleh digunakan.
17
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
11. Metodologi Pembuatan Versi Viking
Metodologi pembuatan versi Nets terdiri dari dua bagian nomor versi S/W: a.bb
di mana `a' akan bertambah ketika perubahan berdampak besar dilakukan sesuai Standar Perangkat Lunak PCI-Secure. a – versi mayor (1 digit)
`bb' akan bertambah ketika perubahan terencana berdampak rendah dilakukan sesuai Standar Perangkat Lunak PCI-Secure. bb – versi minor (2 digit)
Nomor versi S/W aplikasi pembayaran Viking ditampilkan seperti ini di layar terminal ketika terminal dihidupkan: `abb'
· Pembaruan dari misalnya 1.00 hingga 2.00 merupakan pembaruan fungsional yang signifikan. Ini mungkin mencakup perubahan yang berdampak pada keamanan atau persyaratan Standar Perangkat Lunak Aman PCI.
· Pembaruan dari misalnya 1.00 ke 1.01 adalah pembaruan fungsional yang tidak signifikan. Ini mungkin tidak mencakup perubahan yang berdampak pada keamanan atau persyaratan Standar Perangkat Lunak Aman PCI.
Semua perubahan direpresentasikan dalam urutan numerik berurutan.
12. Petunjuk tentang Instalasi Patch dan Pembaruan yang Aman.
Nets dengan aman mengirimkan pembaruan aplikasi pembayaran jarak jauh. Pembaruan ini terjadi pada saluran komunikasi yang sama dengan transaksi pembayaran yang aman, dan pedagang tidak diharuskan melakukan perubahan apa pun pada jalur komunikasi ini untuk kepatuhan.
Apabila ada patch, Nets akan mengupdate versi patch pada Nets Host. Merchant akan mendapatkan patch melalui permintaan download S/W otomatis, atau merchant juga dapat memulai download perangkat lunak dari menu terminal.
Sebagai informasi umum, pedagang harus mengembangkan kebijakan penggunaan yang dapat diterima untuk teknologi penting yang berhubungan dengan karyawan, sesuai pedoman di bawah ini untuk VPN atau koneksi berkecepatan tinggi lainnya, pembaruan diterima melalui firewall atau firewall personel.
Host Nets tersedia melalui internet menggunakan akses aman atau melalui jaringan tertutup. Dengan jaringan tertutup, penyedia jaringan memiliki koneksi langsung ke lingkungan host kami yang ditawarkan dari penyedia jaringan mereka. Terminal dikelola melalui layanan manajemen terminal Nets. Layanan manajemen terminal mendefinisikan misalnyaample wilayah tempat terminal berada dan pihak pengakuisisi sedang digunakan. Manajemen terminal juga bertanggung jawab untuk meningkatkan perangkat lunak terminal dari jarak jauh melalui jaringan. Nets memastikan bahwa perangkat lunak yang diunggah ke terminal telah menyelesaikan sertifikasi yang diperlukan.
Nets merekomendasikan titik pemeriksaan kepada semua pelanggannya untuk memastikan pembayaran yang aman dan terjamin seperti yang tercantum di bawah ini: 1. Simpan daftar semua terminal pembayaran yang beroperasi dan ambil gambar dari semua dimensi sehingga Anda tahu seperti apa tampilannya. 2. Carilah tanda-tanda yang jelas dari tampkerusakan seperti segel yang rusak pada pelat atau sekrup penutup akses, pemasangan kabel yang aneh atau berbeda, atau perangkat keras baru yang tidak dapat Anda kenali. 3. Lindungi terminal Anda dari jangkauan pelanggan saat tidak digunakan. Periksa terminal pembayaran Anda setiap hari dan perangkat lain yang dapat membaca kartu pembayaran. 4. Anda harus memeriksa identitas personel perbaikan jika Anda mengharapkan adanya perbaikan terminal pembayaran. 5. Segera hubungi Nets atau bank Anda jika Anda mencurigai adanya aktivitas yang tidak jelas. 6. Jika Anda yakin bahwa perangkat POS Anda rentan terhadap pencurian, maka terdapat dudukan layanan serta tali pengaman dan tambatan yang tersedia untuk dibeli secara komersial. Mungkin ada baiknya mempertimbangkan penggunaannya.
18
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
13.Pembaruan Rilis Viking
Perangkat lunak Viking dirilis dalam siklus rilis berikut (dapat berubah sewaktu-waktu):
· 2 rilis besar setiap tahun · 2 rilis kecil setiap tahun · Patch perangkat lunak, jika diperlukan, (misalnya karena masalah bug/kerentanan kritis). Jika sebuah
rilis operasional di lapangan dan beberapa masalah kritis dilaporkan, kemudian patch perangkat lunak dengan perbaikan diharapkan akan dirilis dalam waktu satu bulan.
Merchant akan diberitahu tentang rilis (mayor/minor/patch) melalui email yang akan langsung dikirim ke alamat email masing-masing. Email tersebut juga akan berisi hal-hal penting dari rilis dan catatan rilis.
Merchant juga dapat mengakses catatan rilis yang akan diunggah di:
Catatan rilis perangkat lunak (nets.eu)
Rilisan Perangkat Lunak Viking ditandatangani menggunakan alat bernyanyi Ingenico untuk terminal Tetra. Hanya perangkat lunak yang ditandatangani yang dapat dimuat ke terminal.
14. Persyaratan yang Tidak Berlaku
Bagian ini memuat daftar persyaratan dalam Standar Perangkat Lunak PCI-Secure yang telah dinilai `Tidak Berlaku' untuk aplikasi pembayaran Viking dan alasannya.
Standar Perangkat Lunak Aman PCI
CO
Aktivitas
Pembenaran untuk menjadi `Tidak dapat diterapkan'
5.3
Metode otentikasi (termasuk aplikasi pembayaran sesi cre-Viking berjalan pada PTS POI yang disetujui PCI
densial) cukup kuat dan kokoh untuk perangkat.
melindungi kredensial otentikasi dari keberadaan
dipalsukan, dipalsukan, dibocorkan, ditebak, atau dikelilingi- Aplikasi pembayaran Viking tidak menawarkan lokal, non-konsol
berventilasi.
atau akses jarak jauh, atau tingkat hak istimewa, sehingga tidak ada au-
kredensial pengesahan di perangkat POI PTS.
Aplikasi pembayaran Viking tidak menyediakan pengaturan untuk mengelola atau menghasilkan ID pengguna dan tidak menyediakan akses lokal, non-konsol, atau jarak jauh ke aset penting (bahkan untuk tujuan debug).
5.4
Secara default, semua akses ke aset penting diatur ulang.
Aplikasi pembayaran Viking berjalan pada PTS POI yang disetujui PCI
dibatasi hanya untuk akun dan perangkat layanan tersebut.
yang memerlukan akses tersebut.
Aplikasi pembayaran Viking tidak menyediakan pengaturan untuk
mengelola atau menghasilkan akun atau layanan.
7.3
Semua nomor acak yang digunakan oleh perangkat lunak ini adalah aplikasi pembayaran Viking yang tidak menggunakan RNG apa pun (random
dihasilkan hanya menggunakan generator nomor acak yang disetujui) untuk fungsi enkripsinya.
algoritma atau perpustakaan ber generasi (RNG).
19
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
Algoritme atau pustaka RNG yang disetujui adalah yang memenuhi standar industri untuk tingkat ketidakpastian yang memadai (misalnya, NIST Special Publication 800-22).
Aplikasi pembayaran Viking tidak menghasilkan atau menggunakan nomor acak apa pun untuk fungsi kriptografi.
7.4
Nilai acak memiliki entropi yang memenuhi aplikasi pembayaran Viking tidak menggunakan RNG apa pun (random
persyaratan kekuatan efektif minimum generator angka) untuk fungsi enkripsinya.
primitif kriptografi dan kunci yang diandalkan
pada mereka.
Aplikasi pembayaran Viking tidak menghasilkan atau menggunakan apa pun
nomor acak untuk fungsi kriptografi.
8.1
Semua upaya akses dan penggunaan aset penting Aplikasi pembayaran Viking berjalan pada PTS POI yang disetujui PCI
dilacak dan dilacak ke individu unik. perangkat, tempat semua penanganan aset penting dilakukan, dan
Firmware PTS POI memastikan kerahasiaan dan integritas sen-
data positif saat disimpan dalam perangkat POI PTS.
Kerahasiaan, integritas, dan ketahanan fungsi sensitif aplikasi pembayaran Viking dilindungi dan disediakan oleh firmware POI PTS. Firmware PTS POI mencegah akses apa pun ke aset penting dari terminal dan mengandalkan anti-tampfitur-fiturnya.
Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol atau jarak jauh, atau tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi pembayaran Viking yang mampu menangani aset penting
8.2
Semua aktivitas ditangkap dalam aplikasi pembayaran Viking yang memadai dan berjalan pada POI PTS yang disetujui PCI
sangat detail untuk menjelaskan secara akurat perangkat spesifik apa.
kegiatan yang dilakukan, siapa yang melakukan
mereka, waktu pertunjukannya, dan
Aplikasi pembayaran Viking tidak menawarkan lokal, non-konsol
aset penting mana yang terkena dampak.
atau akses jarak jauh, atau tingkat hak istimewa, sehingga tidak ada
orang atau sistem lain yang memiliki akses ke aset penting saja
Aplikasi pembayaran Viking mampu menangani aset penting.
· Aplikasi pembayaran Viking tidak menyediakan mode operasi istimewa.
· Tidak ada fungsi untuk menonaktifkan enkripsi data sensitif
· Tidak ada fungsi untuk mendekripsi data sensitif
· Tidak ada fungsi untuk mengekspor data sensitif ke sistem atau proses lain
· Tidak ada fitur otentikasi yang didukung
Kontrol keamanan dan fungsi keamanan tidak dapat dinonaktifkan atau dihapus.
8.3
Perangkat lunak ini mendukung penyimpanan aman aplikasi pembayaran de-Viking yang berjalan pada PTS POI yang disetujui PCI
catatan aktivitas berekor.
perangkat.
20
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
8.4 Miliar
Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol atau jarak jauh, atau tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi pembayaran Viking yang mampu menangani aset penting.
· Aplikasi pembayaran Viking tidak menyediakan mode operasi istimewa.
· Tidak ada fungsi untuk menonaktifkan enkripsi data sensitif
· Tidak ada fungsi untuk mendekripsi data sensitif
· Tidak ada fungsi untuk mengekspor data sensitif ke sistem atau proses lain
· Tidak ada fitur otentikasi yang didukung
Kontrol keamanan dan fungsi keamanan tidak dapat dinonaktifkan atau dihapus.
Perangkat lunak ini menangani kegagalan dalam mekanisme pelacakan aktivitas sehingga integritas catatan aktivitas yang ada tetap terjaga.
Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI.
Aplikasi pembayaran Viking tidak menawarkan akses lokal, non-konsol atau jarak jauh, atau tingkat hak istimewa, sehingga tidak ada orang atau sistem lain yang memiliki akses ke aset penting, hanya aplikasi Viking yang mampu menangani aset penting.
· Aplikasi pembayaran Viking tidak menyediakan mode operasi istimewa.
· Tidak ada fungsi untuk menonaktifkan enkripsi data sensitif
· Tidak ada fungsi untuk mendekripsi data sensitif
· Tidak ada fungsi untuk mengekspor data sensitif ke sistem atau proses lain
· Tidak ada fitur otentikasi yang didukung
· Kontrol keamanan dan fungsi keamanan tidak dapat dinonaktifkan atau dihapus.
Vendor perangkat lunak menyimpan dokumentasi yang menjelaskan semua opsi yang dapat dikonfigurasi yang dapat memengaruhi keamanan data sensitif.
Aplikasi pembayaran Viking berjalan pada perangkat PTS POI yang disetujui PCI.
Aplikasi pembayaran Viking tidak memberikan hal-hal berikut kepada pengguna akhir:
· opsi yang dapat dikonfigurasi untuk mengakses data sensitif
21
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· opsi yang dapat dikonfigurasi untuk mengubah mekanisme untuk melindungi data sensitif
· akses jarak jauh ke aplikasi
· pembaruan jarak jauh aplikasi
· opsi yang dapat dikonfigurasi untuk mengubah pengaturan default aplikasi
Perangkat lunak ini hanya menggunakan fungsi pembuatan angka acak yang disertakan dalam evaluasi perangkat PTS terminal pembayaran untuk semua operasi kriptografi yang melibatkan data sensitif atau fungsi sensitif yang memerlukan nilai acak dan tidak mengimplementasikannya sendiri.
Viking tidak menggunakan RNG (generator angka acak) apa pun untuk fungsi enkripsinya.
Aplikasi Viking tidak menghasilkan atau menggunakan nomor acak apa pun untuk fungsi kriptografi.
fungsi pembangkitan bilangan acak.
Integritas prompt perangkat lunak files dilindungi sesuai dengan Tujuan Pengendalian B.2.8.
Semua tampilan prompt di terminal Viking dikodekan dalam aplikasi dan tidak ada prompt files hadir di luar aplikasi.
Tidak ada permintaan fileDi luar aplikasi pembayaran Viking ada, semua informasi yang diperlukan dihasilkan oleh aplikasi.
Panduan implementasi mencakup instruksi bagi pemangku kepentingan untuk menandatangani semua perintah secara kriptografis files.
Semua petunjuk yang ditampilkan di terminal Viking dikodekan dalam aplikasi dan tidak ada perintah files hadir di luar aplikasi.
Tidak ada permintaan fileDi luar aplikasi pembayaran Viking ada, semua informasi yang diperlukan dihasilkan oleh aplikasi
22
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
15. Referensi Persyaratan Standar Perangkat Lunak Aman PCI
Bab dalam dokumen ini 2. Aplikasi Pembayaran Aman
Persyaratan Standar Perangkat Lunak Aman PCI
B.2.1 6.1 12.1 12.1.b
Persyaratan PCI DSS
2.2.3
3. Perangkat Lunak Jarak Jauh yang Aman
11.1
Pembaruan
11.2
12.1
1&12.3.9 2, 8, & 10
4. Penghapusan Data Sensitif yang Aman dan Perlindungan Data Pemegang Kartu yang Tersimpan
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Otentikasi dan Kontrol Akses 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 & 8.2 8.1 & 8.2
Penebangan
3.6
10.1
8.1
10.5.3
8.3
Jaringan Nirkabel
4.1
1.2.3 & 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1
Segmentasi Jaringan Transmisi Akses Jarak Jauh Data Pemegang Kartu
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
Telepon: 4.1 4.2 2.3 8.3
Metodologi Pembuatan Versi Viking
11.2 12.1.b
Petunjuk untuk pelanggan tentang 11.1
instalasi patch yang aman dan 11.2
pembaruan.
12.1
23
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
16. Glosarium Istilah
Data Pemegang Kartu JANGKA
DUKPT
SSF Pedagang 3DES
PA-QSA
DEFINISI
Strip magnetik penuh atau PAN ditambah salah satu dari berikut ini: · Nama pemegang kartu · Tanggal kedaluwarsa · Kode Layanan
Derived Unique Key Per Transaction (DUKPT) merupakan skema pengelolaan kunci dimana setiap transaksi digunakan kunci unik yang berasal dari kunci tetap. Oleh karena itu, jika kunci turunan disusupi, data transaksi masa depan dan masa lalu masih terlindungi karena kunci berikutnya atau sebelumnya tidak dapat ditentukan dengan mudah.
Dalam kriptografi, Triple DES (3DES atau TDES), secara resmi Triple Data Encryption Algorithm (TDEA atau Triple DEA), adalah cipher blok kunci simetris, yang menerapkan algoritma cipher DES tiga kali untuk setiap blok data.
Pengguna akhir dan pembeli produk Viking.
Kerangka Keamanan Perangkat Lunak PCI (SSF) adalah kumpulan standar dan program untuk desain dan pengembangan perangkat lunak pembayaran yang aman. Keamanan perangkat lunak pembayaran adalah bagian penting dari alur transaksi pembayaran dan penting untuk memfasilitasi transaksi pembayaran yang andal dan akurat.
Penilai Keamanan Berkualitas Aplikasi Pembayaran. Perusahaan QSA yang memberikan layanan kepada vendor aplikasi pembayaran untuk memvalidasi aplikasi pembayaran vendor.
SAD (Data Otentikasi Sensitif)
Informasi terkait keamanan (Kode/Nilai Validasi Kartu, data pelacakan lengkap, PIN, dan Blok PIN) yang digunakan untuk mengautentikasi pemegang kartu, muncul dalam bentuk teks biasa atau tanpa perlindungan. Pengungkapan, modifikasi, atau penghancuran informasi ini dapat membahayakan keamanan perangkat kriptografi, sistem informasi, atau informasi pemegang kartu atau dapat digunakan dalam transaksi penipuan. Data Otentikasi Sensitif tidak boleh disimpan saat transaksi selesai.
VikingHSM
Platform perangkat lunak yang digunakan Nets untuk pengembangan aplikasi untuk pasar Eropa.
Modul keamanan perangkat keras
24
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
17. Pengendalian Dokumen
Penulis Dokumen, Reviewers dan Approver
Deskripsi Manajer Kepatuhan Pengembangan SSA Arsitek Sistem Pemilik Produk QA Direktur Teknik Manajer Produk
Fungsi Kembalivieweh Penulis Reviewer & Penyetuju Reviewer & Penyetuju Reviewer & Penyetuju Reviewer & Manajer Manajer Penyetuju
Nama Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Ringkasan Perubahan
Nomor Versi 1.0
1.0
1.1
Tanggal Versi 03-08-2022
Telepon: 15-09-2022
Telepon: 20-12-2022
Sifat Perubahan
Versi Pertama untuk Standar Perangkat Lunak PCI-Secure
Memperbarui bagian 14 dengan tujuan pengendalian yang tidak dapat diterapkan beserta justifikasinya
Bagian 2.1.2 dan 2.2 diperbarui
dengan Self4000.
DIHAPUS
Link2500 (PTS versi 4.x) dari
daftar terminal yang didukung
Ganti Penulis Aruna Panicker Aruna Panicker
Aruna panik
Reviewer
Tanggal Disetujui
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Diperbarui bagian 2.2 dengan Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) untuk melanjutkan dukungan
untuk tipe terminal ini.
1.2
20-03-2023 Diperbarui bagian 2.1.1 dengan Aruna Panicker Shamsher Singh dari Latvia 21-04-23
dan terminal pro Lituaniafiles.
Dan 2.1.2 dengan komunikasi BT-iOS
dukungan tipe tion
2.0
Versi rilis 03-08-2023 diperbarui ke Aruna Panicker Shamsher Singh 13-09-23
2.00 di header/footer.
Diperbarui bagian 2.2 dengan yang baru
Perangkat keras dan firmware Move3500
versi. Diperbarui bagian 11 untuk
`Metodologi Pembuatan Versi Viking'.
Diperbarui bagian 1.3 dengan yang terbaru
versi persyaratan PCI SSS
memandu. Memperbarui bagian 2.2 untuk dukungan
terminal porting dilepas tanpa dukungan
versi perangkat keras porting dari
daftar.
2.0
Pembaruan Visual (CVI) 16-11-2023
Leyla Avsar
Arno Ekström 16-11-23
25
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
Daftar distribusi
Nama Manajemen Produk Departemen Terminal
Pengembangan Fungsi, Pengujian, Manajemen Proyek, Tim Manajemen Produk Terminal Kepatuhan, Produk Manajer Kepatuhan
Persetujuan Dokumen
Namanya Arto Kangas
Fungsi Pemilik Produk
Dokumen Ulangview Rencana
Dokumen ini akan dibuat ulangviewdiedit dan diperbarui, jika perlu, sebagaimana didefinisikan di bawah ini:
· Sebagaimana diperlukan untuk memperbaiki atau meningkatkan konten informasi · Mengikuti perubahan atau restrukturisasi organisasi · Mengikuti laporan tahunanview · Mengikuti eksploitasi kerentanan · Mengikuti informasi/persyaratan baru mengenai kerentanan yang relevan
26
Panduan Implementasi Vendor Standar Perangkat Lunak PCI-Secure v2.0 untuk Viking Terminal 2.00
Dokumen / Sumber Daya
 |
Perangkat Lunak Standar PCI-Secure nets [Bahasa Indonesia:] Panduan Pengguna Perangkat Lunak Standar PCI-Secure, PCI-Secure, Perangkat Lunak Standar, Perangkat Lunak |
