Standard software sicuro PCI
Guida per l'utente
Nets Danimarca A/S:
Standard software sicuro PCI
Guida all'implementazione del fornitore di software
per terminale Viking 1.02.0
Versione 1.2
Introduzione e ambito
1.1 Introduzione
Lo scopo di questa Guida all'implementazione del fornitore di software standard PCI-Secure Software è fornire alle parti interessate una guida chiara e completa sull'implementazione, la configurazione e il funzionamento sicuri del software Viking. La guida istruisce i commercianti su come implementare l'applicazione Viking di Nets nel loro ambiente in modo conforme allo standard PCI Secure Software. Tuttavia, non intende essere una guida all'installazione completa. L'applicazione Viking, se installata secondo le linee guida qui documentate, dovrebbe facilitare e supportare la conformità PCI del commerciante.
1.2 Quadro di sicurezza del software (SSF)
Il PCI Software Security Framework (SSF) è una raccolta di standard e programmi per la progettazione e lo sviluppo sicuri di software applicativi di pagamento. L'SSF sostituisce il PA-DSS (Payment Application Data Security Standard) con requisiti moderni che supportano una gamma più ampia di tipi di software, tecnologie e metodologie di sviluppo di pagamento. Fornisce ai fornitori standard di sicurezza come PCI Secure Software Standard per lo sviluppo e la manutenzione di software di pagamento in modo che protegga le transazioni e i dati di pagamento, riduca al minimo le vulnerabilità e difenda dagli attacchi.
1.3 Guida all'implementazione del fornitore di software – Distribuzione e aggiornamenti
La presente Guida all'implementazione del fornitore di software standard PCI Secure Software deve essere divulgata a tutti gli utenti delle applicazioni interessate, compresi i commercianti. Dovrebbe essere aggiornato almeno una volta all'anno e dopo le modifiche al software. L'annuale riview e l'aggiornamento dovrebbe includere nuove modifiche al software nonché modifiche allo standard del software sicuro.
Nets pubblica informazioni sugli elencati websito se sono presenti aggiornamenti nella guida all'implementazione.
Websito: https://support.nets.eu/
Per esempioample: La Guida all'implementazione del fornitore di software standard Nets PCI-Secure sarà distribuita a tutti i clienti, rivenditori e integratori. Clienti, rivenditori e integratori verranno informati da reviewse aggiornamenti. Gli aggiornamenti alla Guida all'implementazione del fornitore di software standard PCI-Secure Software possono essere ottenuti anche contattando direttamente Nets.
Questa Guida all'implementazione del fornitore di software PCI-Secure Software Standard fa riferimento sia allo standard PCI-Secure Software che ai requisiti PCI. In questa guida si fa riferimento alle seguenti versioni.
- Standard software PCI-Secure-v1_1
Applicazione di pagamento sicuro
2.1 Software applicativo
Le applicazioni di pagamento Viking non utilizzano software o hardware esterni non appartenenti all'applicazione incorporata Viking. Tutti gli eseguibili S/W appartenenti all'applicazione di pagamento Viking sono firmati digitalmente con il kit di firma Tetra fornito da Ingenico.
- Il terminale comunica con Nets Host utilizzando TCP/IP, tramite Ethernet, GPRS, Wi-Fi o tramite PC-LAN su cui è in esecuzione l'applicazione POS. Inoltre, il terminale può comunicare con l'host tramite cellulare con connettività Wi-Fi o GPRS.
I terminali Viking gestiscono tutte le comunicazioni utilizzando il componente Link Layer Ingenico. Questo componente è un'applicazione caricata nel terminale. Il Link Layer può gestire più comunicazioni contemporaneamente utilizzando diverse periferiche (modem e porta seriale ad esample).
Attualmente supporta i seguenti protocolli:
- Fisico: RS232, modem interno, modem esterno (tramite RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G e 4G.
- Collegamento dati: SDLC, PPP.
- Rete: IP.
- Trasporti: TCP.
Il terminale prende sempre l'iniziativa per stabilire la comunicazione verso il Nets Host. Nel terminale non è presente il software del server TCP/IP e il software del terminale non risponde mai alle chiamate in entrata.
Se integrato con un'applicazione POS su un PC, il terminale può essere configurato per comunicare tramite PC-LAN che esegue l'applicazione POS utilizzando RS232, USB o Bluetooth. Tutte le funzionalità dell'applicazione di pagamento sono comunque in esecuzione nel terminale S/W.
Il protocollo applicativo (e la crittografia applicata) è trasparente e indipendente dal tipo di comunicazione.
2.1.1 Configurazione dei parametri TCP/IP di comunicazione dell'Host di pagamento 
2.1.2 Comunicazione ECR
- Seriale RS232
- Connessione USB
- Impostazione dei parametri TCP/IP, nota anche come ECR su IP
- Opzioni di comunicazione Host/ECR nell'applicazione di pagamento Viking
Tipo COMM host Tipo di terminale Etereo SeIf4000, Move3500, Desk3500, Lan e3000 Bluetooth iOS Collegamento2500, Collegamento2500i BTAndroid Sposta3500, Link2500, Link2500i tramite ECR SeIf4000, Move3500, Link2500, Link2500i, Desk3500,
Corsia3000GPRS Sposta3500 'Allineare Sposta3500, Link2500 Tipo COMM.ECR Tipo di terminale Ethernet IP SeIf4000, Sposta3500, Desk3500, Corsia3000 Bluetooth iOS Collegamento2500, Collegamento2500i BTAndroid Sposta3500, Link2500, Link2500i USB SeIf4000, Move3500, Link2500, Link2500i, Desk3500, Lane3000 RS232 SeIf4000, Scrivania3500, Corsia3000 GPRS Sposta3500 IP Volontà Sposta3500, Link2500 - Configurazione dei parametri Nets Cloud ECR (Connect Cloud).
Indirizzo IP dell'ECR 212.226.157.243 PORTA TCP-IP di comunicazione 6001
2.1.3 Comunicazione all'host tramite ECR
| Indirizzo IP dell'host | 91.102.24142 |
| Comunicazione PORTA TCP-IP (NORVEGIA) | 9670 |
Nota: fare riferimento a “2.1.1- Configurazione dei parametri TCP/IP di comunicazione dell'host di pagamento” per le porte TCP/IP specifiche del paese.
2.2 Hardware terminale supportato/i
L'applicazione di pagamento Viking è supportata su una varietà di dispositivi Ingenico convalidati PTS (sicurezza delle transazioni PIN).
Di seguito è riportato l'elenco dell'hardware del terminale insieme al relativo numero di approvazione PTS.
Tipi di terminali Tetra
| terminale hardware | Versione PTS | Numero di approvazione PTS | Versione hardware PTS | Versione firmware PTS |
| Corsia 3000 | 5.x | 4-30310 | LAN30AN LAN30BA LAN30BN LAN30CA LAN30DA LAN30EA LAN30EN LAN30FA LAN30FN LAN30GA LAN30HA LAN30AA | 820547v01.xx
820561v01.xx |
| Scrivania 3500 | 5.x | 4-20321 | Il codice sorgente è DES32BB, DES32BC, DES32CB, DES32DB, DES32DC, DES35AB, DES35BB, DES35BC, DES35CB, DES35DB, DES35DC, DES32AB. | 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx |
| Sposta 3500 | 5.x | 4-20320 | Italiano: Modello MOV35AB |
820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx |
| Collegamento2500 | 4.x | 4-30230 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA | 820555v01.xx 820556v01.xx 820547v01.xx |
| LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA | ||||
| Collegamento2500 | 5.x | 4-30326 | LIN25BA LIN25BB LIN25CA LIN25DA LIN25DB LIN25EA LIN25FA LIN25FB LIN25GA LIN25HA LIN25HB LIN25IA LIN25JA LIN25JB LIN25KA LIN25LA LIN25MA LIN25NA LIN25AA LIN25BB | 820547v01.xx |
| Sé4000 | 5.x | 4-30393 | SEL40BA | 820547v01.xx |
2.3 Politiche di sicurezza
L'applicazione di pagamento Viking aderisce a tutte le politiche di sicurezza applicabili specificate da Ingenico. Per informazioni generali, questi sono i link alle politiche di sicurezza per i diversi terminali Tetra:
| Tipo di terminale | Documento di politica di sicurezza |
| Link2500 (v4) | Link/2500 Politica di sicurezza PCI PTS (pcisecuritystandards.org) |
| Link2500 (v5) | Politica di sicurezza PCI PTS (pcisecuritystandards.org) |
| Scrivania3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-EN- V12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf |
| Sposta3500 | https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-EN- V11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf |
| Corsia3000 | https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-EN- V16_PCI_PTS_Policy_di_sicurezza_corsia_3000-1648830172.34526.pdf |
| Sé4000 | Politica di sicurezza Self/4000 PCI PTS (pcisecuritystandards.org) |
Aggiornamento software remoto sicuro
3.1 Applicabilità del Commerciante
Nets fornisce in modo sicuro gli aggiornamenti delle applicazioni di pagamento Viking da remoto. Questi aggiornamenti avvengono sullo stesso canale di comunicazione delle transazioni di pagamento sicure e il commerciante non è tenuto ad apportare alcuna modifica a questo percorso di comunicazione per conformità.
Per informazioni generali, i commercianti dovrebbero sviluppare una politica di utilizzo accettabile per le tecnologie critiche rivolte ai dipendenti, secondo le linee guida riportate di seguito per VPN o altre connessioni ad alta velocità, gli aggiornamenti vengono ricevuti tramite un firewall o un firewall personale.
3.2 Politica di utilizzo accettabile
Il commerciante dovrebbe sviluppare politiche di utilizzo per le tecnologie critiche rivolte ai dipendenti, come modem e dispositivi wireless. Queste politiche di utilizzo dovrebbero includere:
- Approvazione esplicita della direzione per l'uso.
- Autenticazione per l'uso.
- Un elenco di tutti i dispositivi e il personale con accesso.
- Etichettatura dei dispositivi con il proprietario.
- Informazioni di contatto e finalità.
- Usi accettabili della tecnologia.
- Percorsi di rete accettabili per le tecnologie.
- Un elenco di prodotti approvati dall'azienda.
- Consentire l'uso di modem per i fornitori solo quando necessario e la disattivazione dopo l'uso.
- Divieto di memorizzazione dei dati dei titolari di carta su supporti locali durante la connessione remota.
3.3 Firewall personale
Qualsiasi connessione "sempre attiva" da un computer a una VPN o altra connessione ad alta velocità deve essere protetta utilizzando un prodotto firewall personale. Il firewall è configurato dall'organizzazione per soddisfare standard specifici e non modificabili dal dipendente.
3.4 Procedure di aggiornamento remoto
Esistono due modi per far sì che il terminale contatti il centro software Nets per gli aggiornamenti:
- O manualmente tramite un'opzione di menu nel terminale (passare la carta commerciante, selezionare il menu 8 "Software", 1 "Recupera software") o avviato dall'Host.
- Utilizzando il metodo avviato dall'host; il terminale riceve automaticamente un comando dall'Host dopo aver eseguito una transazione finanziaria. Il comando dice al terminale di contattare il centro software Nets per verificare la presenza di aggiornamenti.
Dopo un aggiornamento software riuscito, un terminale con stampante integrata stamperà una ricevuta con le informazioni sulla nuova versione.
Gli integratori di terminali, i partner e/o il team di supporto tecnico di Nets avranno la responsabilità di informare i commercianti dell'aggiornamento, incluso il collegamento alla guida all'implementazione aggiornata e alle note di rilascio.
Oltre alla ricevuta dopo l'aggiornamento del software, l'applicazione di pagamento Viking può essere convalidata anche tramite Terminal Info premendo il tasto "F3" sul terminale.
Cancellazione sicura dei dati sensibili e protezione dei dati dei titolari di carta archiviati
4.1 Applicabilità del Commerciante
L'applicazione di pagamento Viking non memorizza dati di banda magnetica, valori o codici di convalida della carta, PIN o dati di blocco PIN, materiale di chiave crittografica o crittogrammi delle versioni precedenti.
Per essere conforme PCI, un commerciante deve disporre di una politica di conservazione dei dati che definisca per quanto tempo verranno conservati i dati dei titolari di carta. L'applicazione di pagamento Viking conserva i dati dei titolari della carta e/o i dati sensibili di autenticazione dell'ultima transazione e, nel caso in cui siano presenti transazioni di autorizzazione offline o differite, aderendo allo stesso tempo alla conformità allo standard software PCI-Secure, quindi può essere esente da la politica di conservazione dei dati dei titolari di carta del commerciante.
4.2 Istruzioni per l'eliminazione sicura
Il terminale non memorizza dati sensibili di autenticazione; track2 completo, CVC, CVV o PIN, né prima né dopo l'autorizzazione; ad eccezione delle transazioni di autorizzazione differita, nel qual caso i dati sensibili di autenticazione crittografati (dati track2 completi) vengono archiviati fino al completamento dell'autorizzazione. Dopo l'autorizzazione i dati vengono cancellati in modo sicuro.
Qualsiasi istanza di dati storici vietati esistente in un terminale verrà automaticamente eliminata in modo sicuro quando l'applicazione di pagamento Viking del terminale verrà aggiornata. L'eliminazione dei dati storici vietati e dei dati che rientrano nei criteri di conservazione superati avverrà automaticamente.
4.3 Posizioni dei dati dei titolari di carta archiviati
I dati dei titolari di carta vengono archiviati in Flash DFS (Data File Sistema) del terminale. I dati non sono direttamente accessibili al commerciante.
| Archivio dati (file, tavolo, ecc.) | Elementi dei dati del titolare della carta memorizzati (PAN, scadenza, eventuali elementi del SAD) |
Come viene protetto l'archivio dati (per esempioample, crittografia, controlli di accesso, troncamento, ecc.) |
| File: trasgredire | PAN, Data Scadenza, Codice Servizio | PAN: 3DES-DUKPT crittografato (112 bit) |
| File: storefwd.rsd | PAN, Data Scadenza, Codice Servizio | PAN: 3DES-DUKPT crittografato (112 bit) |
| File: transoff.rsd | PAN, Data Scadenza, Codice Servizio | PAN: 3DES-DUKPT crittografato (112 bit) |
| File:trasferimento.rsd | PAN troncato | Troncato (primi 6, ultimi 4) |
| File: offlrep.dat | PAN troncato | Troncato (primi 6, ultimi 4) |
| File: default.rsd | PAN, Data Scadenza, Codice Servizio | PAN: 3DES-DUKPT crittografato (112 bit) |
| File: default.rsd | Dati completi della traccia2 | Dati completi Track2: 3DES-DUKPT pre-crittografato (112 bit) |
4.4 Operazione di autorizzazione differita
L'autorizzazione differita si verifica quando un commerciante non può completare un'autorizzazione al momento della transazione con il titolare della carta a causa di connettività, problemi di sistema o altre limitazioni, e successivamente completa l'autorizzazione quando è in grado di farlo.
Ciò significa che un'autorizzazione differita avviene quando viene eseguita un'autorizzazione online dopo che la carta non è più disponibile. Poiché l'autorizzazione online delle transazioni con autorizzazione differita subisce ritardi, le transazioni verranno archiviate sul terminale finché non verranno autorizzate con successo in un secondo momento, quando la rete sarà disponibile. Le transazioni vengono archiviate e inviate successivamente all'host, allo stesso modo in cui le transazioni offline vengono archiviate oggi nell'applicazione di pagamento Viking.
Il commerciante può avviare la transazione come "Autorizzazione differita" dal registratore di cassa elettronico (ECR) o tramite il menu del terminale.
Le transazioni di autorizzazione differita possono essere caricate sull'host Nets dal commerciante utilizzando le opzioni seguenti:
- ECR – Comando amministratore – Invia offline (0x3138)
- Terminale – Commerciante ->2 EOT -> 2 inviati all'host
4.5 Procedure di risoluzione dei problemi
Il supporto Nets non richiederà l'autenticazione sensibile o i dati dei titolari della carta per scopi di risoluzione dei problemi. L'applicazione di pagamento Viking non è in ogni caso in grado di raccogliere o risolvere i problemi relativi ai dati sensibili.
4.6 Posizioni PAN – Visualizzate o stampate
PAN mascherato:
- Ricevute di transazioni finanziarie:
Il PAN mascherato viene sempre stampato sulla ricevuta della transazione sia per il titolare della carta che per l'esercente. Il PAN mascherato nella maggior parte dei casi è con * dove le prime 6 cifre e le ultime 4 cifre sono in chiaro. - Rapporto sull'elenco delle transazioni:
Il report dell'elenco delle transazioni mostra le transazioni eseguite in una sessione. I dettagli della transazione includono il PAN mascherato, il nome dell'emittente della carta e l'importo della transazione. - Ultima ricevuta del cliente:
La copia dell'ultima ricevuta del cliente può essere generata dal menu di copia del terminale. La ricevuta del cliente contiene il PAN mascherato come ricevuta del cliente originale. La funzione specificata viene utilizzata nel caso in cui il terminale non riesca a generare un cliente
ricevuta durante la transazione per qualsiasi motivo.
PAN crittografato:
• Ricevuta della transazione offline:
La versione della ricevuta del rivenditore della transazione offline include i dati del titolare della carta crittografati DUKPT Triple DES a 112 bit (PAN, data di scadenza e codice di servizio).
BAX:71448400-714484
12/08/2022 10:39
Visa
Senza contatto
************3439-0
107A47458AE773F3A84DF977
553E3D93FFFF9876543210E0
15F3
AIUTO: A0000000031010
Numero di serie: 0000000000
ID negozio: 123461
Rif.: 000004 000000 KC3
Risp.: Y1
Sessione: 782
ACQUISTARE
12,00 NOK
APPROVATO
COPIA RIVENDITORE
Conferma:
L'applicazione di pagamento Viking crittografa sempre i dati del titolare della carta per impostazione predefinita per l'archiviazione delle transazioni offline, la trasmissione verso l'host NETS e per stampare i dati della carta crittografati sulla ricevuta del rivenditore per una transazione offline.
Inoltre, per visualizzare o stampare il PAN della carta, l'applicazione di pagamento Viking maschera sempre le cifre PAN con l'asterisco "*" con le prime 6 + ultime 4 cifre in chiaro come impostazione predefinita. Il formato di stampa del numero di carta è controllato dal sistema di gestione del terminale in cui il formato di stampa può essere modificato richiedendolo attraverso il canale appropriato e presentando un'esigenza legittima aziendale, tuttavia per l'applicazione di pagamento Viking non esiste alcun caso del genere.
Example per PAN mascherato:
NUMERO VERDE: 957852181428133823-2
Informazioni minime: **************3823-2
Informazioni massime: 957852********3823-2
4.7 Richiesta files
L'applicazione di pagamento Viking non fornisce alcuna richiesta separata files.
L'applicazione di pagamento Viking richiede input da parte del titolare della carta tramite messaggi di visualizzazione che fanno parte del sistema di messaggistica all'interno dell'applicazione di pagamento Viking firmata.
Sul terminale vengono visualizzate le richieste di PIN, importo, ecc. e si attendono gli input del titolare della carta. Gli input ricevuti dal titolare della carta non vengono memorizzati.
4.8 Gestione delle chiavi
Per la gamma di modelli di terminali Tetra, tutte le funzionalità di sicurezza vengono eseguite in un'area sicura di un dispositivo PTS protetto dall'applicazione di pagamento.
La crittografia viene eseguita all'interno dell'area protetta mentre la decrittografia dei dati crittografati può essere eseguita solo dai sistemi Nets Host. Tutti gli scambi di chiavi tra l'host Nets, lo strumento Key/Inject (per terminali Tetra) e il PED vengono effettuati in forma crittografata.
Le procedure per il Key Management sono implementate da Nets secondo uno schema DUKPT utilizzando la crittografia 3DES.
Tutte le chiavi e i componenti chiave utilizzati dai terminali Nets vengono generati utilizzando processi casuali o pseudocasuali approvati. Le chiavi e i componenti chiave utilizzati dai terminali Nets sono generati dal sistema di gestione delle chiavi Nets, che utilizza unità HSM di scudo Thales Pay approvate per generare chiavi crittografiche.
La gestione delle chiavi è indipendente dalla funzionalità di pagamento. Il caricamento di una nuova applicazione pertanto non richiede la modifica delle funzionalità principali. Lo spazio chiave del terminale supporterà circa 2,097,152 transazioni.
Quando lo spazio della chiave è esaurito, il terminale Viking smette di funzionare e mostra un messaggio di errore, quindi è necessario sostituire il terminale.
4.9 Riavvio "24 ore su XNUMX".
Tutti i terminali Viking sono PCI-PTS 4.x e versioni successive e quindi seguono i requisiti di conformità secondo cui il terminale PCI-PTS 4.x deve riavviarsi almeno una volta ogni 24 ore per cancellare la RAM e proteggere ulteriormente l'hardware del terminale dall'utilizzo per ottenere il pagamento dati della carta.
Un altro vantaggio del ciclo di riavvio "24 ore" è che le perdite di memoria verranno mitigate e avranno un impatto minore per il commerciante (non che dovremmo accettare problemi di perdita di memoria.
Il commerciante può impostare l'ora di riavvio dall'opzione del menu del terminale su "Ora di riavvio". L'orario di riavvio è impostato in base all'orologio "24 ore" e assumerà il formato HH:MM.
Il meccanismo di ripristino è progettato per garantire un ripristino del terminale almeno una volta ogni 24 ore consecutive. Per soddisfare questo requisito è stata definita una fascia oraria, denominata “intervallo di reset”, rappresentata da Temin e Tmax. Questo periodo rappresenta l'intervallo di tempo in cui è consentito il ripristino. A seconda del caso aziendale, l'”intervallo di ripristino” viene personalizzato durante la fase di installazione del terminale. In base alla progettazione, questo periodo non può essere inferiore a 30 minuti. Durante questo periodo il reset avviene ogni giorno 5 minuti prima (su T3) come spiegato nello schema seguente:
4.10 Lista bianca
La whitelist è una procedura per determinare se i PAN elencati come whitelist possono essere visualizzati in testo non crittografato. Viking utilizza 3 campi per determinare i PAN autorizzati che vengono letti dalle configurazioni scaricate dal sistema di gestione del terminale.
Quando un "flag di conformità" nell'host Nets è impostato su Y, le informazioni dal sistema di gestione Nets Host o Terminal vengono scaricate sul terminale, all'avvio del terminale. Questo flag di conformità viene utilizzato per determinare i PAN autorizzati che vengono letti dal set di dati.
Il flag "Track2ECR" determina se i dati Track2 possono essere gestiti (inviati/ricevuti) dall'ECR per un emittente specificato. A seconda del valore di questo flag, si determina se i dati della traccia2 devono essere visualizzati in modalità locale su ECR.
Il ‘campo formato stampa’ determina come verrà visualizzato il PAN. Le schede in ambito PCI avranno tutte il formato di stampa impostato per visualizzare il PAN in forma troncata/mascherata.
Autenticazione e controlli di accesso
5.1 Controllo degli accessi
L'applicazione di pagamento Viking non dispone di account utente o password corrispondenti, pertanto l'applicazione di pagamento Viking è esente da questo requisito.
- Configurazione integrata ECR:
Non è possibile accedere a tipi di transazione come Rimborso, Deposito e Storno dal menu del terminale per proteggere queste funzioni dall'uso improprio. Questi sono i tipi di transazione in cui avviene il flusso di denaro dal conto del commerciante al conto del titolare della carta. È responsabilità del commerciante garantire che ECR venga utilizzato solo da utenti autorizzati. - Configurazione autonoma:
Il controllo dell'accesso alla carta commerciante è abilitato per impostazione predefinita per accedere a tipi di transazione come Rimborso, Deposito e Storno dal menu del terminale per proteggere queste funzioni dall'uso improprio.
Il terminale Viking è configurato per impostazione predefinita per proteggere le opzioni del menu, per impedire l'accesso non autorizzato. I parametri per configurare il menu Sicurezza rientrano nel Menu Commerciante (accessibile con una carta Commerciante) -> Parametri -> Sicurezza
Menù Proteggi – Impostato su "Sì" per impostazione predefinita.
Il pulsante Menu sul terminale è protetto utilizzando la configurazione del menu Proteggi. L'accesso al menu è consentito solo al Commerciante che utilizza la carta commerciante. 
Proteggi l'inversione – Impostato su "Sì" per impostazione predefinita.
Lo storno di una transazione può essere effettuato solo dal commerciante utilizzando la carta commerciante per accedere al menu di storno. 
Proteggi la riconciliazione – Impostato su "Sì" per impostazione predefinita
L'opzione di riconciliazione è accessibile solo al commerciante con la carta commerciante quando questa protezione è impostata su true. 
Proteggi collegamento – Impostato su "Sì" per impostazione predefinita
Menu di scelta rapida con le opzioni per viewLe informazioni sul terminale e l'opzione per l'aggiornamento dei parametri Bluetooth saranno disponibili per il commerciante solo quando viene strisciata la carta del commerciante.
5.2 Controlli tramite password
L'applicazione di pagamento Viking non dispone di account utente o password corrispondenti; pertanto, l'applicazione Viking è esente da questo requisito.
Registrazione
6.1 Applicabilità del Commerciante
Attualmente, per l'applicazione di pagamento Nets Viking, non esistono impostazioni di registro PCI configurabili dall'utente finale.
6.2 Configurare le impostazioni del registro
L'applicazione di pagamento Viking non dispone di account utente, quindi la registrazione conforme PCI non è applicabile. Anche nella registrazione delle transazioni più dettagliata, l'applicazione di pagamento Viking non registra alcun dato sensibile di autenticazione o dato del titolare della carta.
6.3 Registrazione centrale
Il terminale ha un meccanismo di registro generico. Il meccanismo include anche la registrazione della creazione e dell'eliminazione degli eseguibili S/W.
Le attività di download del software vengono registrate e possono essere trasferite all'host manualmente tramite una scelta dal menu nel terminale o su richiesta dall'host contrassegnato nel traffico delle transazioni ordinarie. Se l'attivazione del download del software non riesce a causa di firme digitali non valide sul documento ricevuto files, l'incidente viene registrato e trasferito all'Host automaticamente e immediatamente.
6.3.1 Abilita traccia Accesso al terminale
Per abilitare la registrazione della traccia:
- Scorri la carta Commerciante.
- Quindi nel menu selezionare "9 Menu di sistema".
- Andare quindi al menu “2 Log di sistema”.
- Digita il codice tecnico, che puoi ottenere chiamando il supporto Nets Merchant Service.
- Selezionare "8 parametri".
- Quindi abilitare "Registrazione" su "Sì".
6.3.2 Inviare i log di traccia all'host
Per inviare i log di traccia:
- Premi il tasto Menu sul terminale, quindi fai scorrere la carta commerciante.
- Quindi nel menu principale selezionare “7 Menu operatore”.
- Quindi selezionare "5 Invia registri di traccia" per inviare i registri di traccia all'host.
6.3.3 Registrazione della traccia remota
Nel Nets Host (PSP) viene impostato un parametro che abiliterà/disabiliterà la funzionalità di registrazione della traccia del terminale in remoto. Nets Host invierà il parametro di abilitazione/disabilitazione della traccia al terminale nel set di dati insieme all'orario pianificato in cui il terminale caricherà i registri di traccia. Quando il terminale riceve il parametro Trace come abilitato, inizierà ad acquisire i registri di traccia e all'orario pianificato caricherà tutti i registri di traccia e successivamente disabiliterà la funzionalità di registrazione.
6.3.4 Registrazione remota degli errori
I log degli errori sono sempre abilitati sul terminale. Come la registrazione della traccia, nell'host Nets viene impostato un parametro che abiliterà/disabiliterà la funzionalità di registrazione degli errori del terminale in remoto. Nets Host invierà il parametro di abilitazione/disabilitazione della traccia al terminale nel set di dati insieme all'orario pianificato in cui il terminale caricherà i log degli errori. Quando il terminale riceve il parametro di registrazione degli errori come abilitato, inizierà ad acquisire i registri degli errori e all'orario pianificato caricherà tutti i registri degli errori e successivamente disabiliterà la funzionalità di registrazione.
Reti senza fili
7.1 Applicabilità del Commerciante
Terminale di pagamento Viking – MOVE 3500 e Link2500 hanno la capacità di connettersi alla rete Wi-Fi. Pertanto, affinché il wireless venga implementato in modo sicuro, è necessario prendere in considerazione l'installazione e la configurazione della rete wireless come descritto di seguito.
7.2 Configurazioni wireless consigliate
Sono numerose le considerazioni e i passaggi da eseguire durante la configurazione delle reti wireless connesse alla rete interna.
Come minimo, devono essere presenti le seguenti impostazioni e configurazioni:
- Tutte le reti wireless devono essere segmentate utilizzando un firewall; se sono necessarie connessioni tra la rete wireless e l'ambiente dei dati dei titolari di carta, l'accesso deve essere controllato e protetto dal firewall.
- Modificare l'SSID predefinito e disabilitare la trasmissione SSID
- Modifica le password predefinite sia per le connessioni wireless che per i punti di accesso wireless, questo include l'accesso alla console e le stringhe della comunità SNMP
- Modificare qualsiasi altra impostazione predefinita di sicurezza fornita o impostata dal fornitore
- Assicurarsi che i punti di accesso wireless siano aggiornati al firmware più recente
- Utilizzare solo WPA o WPA2 con chiavi complesse, WEP è proibito e non deve mai essere utilizzato
- Modificare le chiavi WPA/WPA2 durante l'installazione, regolarmente e ogni volta che una persona a conoscenza delle chiavi lascia l'azienda
Segmentazione della rete
8.1 Applicabilità del Commerciante
L'applicazione di pagamento Viking non è un'applicazione di pagamento basata su server e risiede su un terminale. Per questo motivo la richiesta di pagamento non necessita di alcun aggiustamento per soddisfare questo requisito.
Per conoscenza generale dell’esercente, i dati delle carte di credito non possono essere memorizzati su sistemi collegati direttamente ad Internet. Per esampLui, web i server e i server di database non devono essere installati sullo stesso server. È necessario impostare una zona demilitarizzata (DMZ) per segmentare la rete in modo che solo le macchine sulla DMZ siano accessibili a Internet.
Accesso remoto
9.1 Applicabilità del Commerciante
Non è possibile accedere all'applicazione di pagamento Viking da remoto. Il supporto remoto avviene solo tra un membro del personale di supporto Nets e il commerciante tramite telefono o da Nets direttamente in loco con il commerciante.
Trasmissione di dati sensibili
10.1 Trasmissione di dati sensibili
L'applicazione di pagamento Viking protegge i dati sensibili e/o i dati dei titolari di carta in transito utilizzando la crittografia a livello di messaggio utilizzando 3DES-DUKPT (112 bit) per tutte le trasmissioni (comprese le reti pubbliche). Non sono richiesti protocolli di sicurezza per le comunicazioni IP dall'applicazione Viking all'host poiché la crittografia a livello di messaggio viene implementata utilizzando 3DES-DUKPT (112 bit) come descritto sopra. Questo schema di crittografia garantisce che, anche se le transazioni vengono intercettate, non possono essere modificate o compromesse in alcun modo se 3DES-DUKPT (112 bit) rimane considerata una crittografia forte. Secondo lo schema di gestione delle chiavi DUKPT, la chiave 3DES utilizzata è unica per ogni transazione.
10.2 Condivisione di dati sensibili con altri software
L'applicazione di pagamento Viking non fornisce alcuna interfaccia/API/interfaccia logica per consentire la condivisione dei dati del conto in chiaro direttamente con altri software. Nessun dato sensibile o dato dell'account in testo non crittografato viene condiviso con altri software tramite API esposte.
10.3 Email e dati sensibili
L'applicazione di pagamento Viking non supporta nativamente l'invio di email.
10.4 Accesso amministrativo non da console
Viking non supporta l'accesso amministrativo non da console.
Tuttavia, per conoscenza generale dell'esercente, l'accesso amministrativo non da console deve utilizzare SSH, VPN o TLS per la crittografia di tutti gli accessi amministrativi non da console ai server nell'ambiente dei dati dei titolari di carta. Non è consentito utilizzare Telnet o altri metodi di accesso non crittografati.
Metodologia di controllo delle versioni Viking
La metodologia di controllo delle versioni di Nets consiste in un numero di versione S/W in tre parti: a.bb.c
dove "a" verrà incrementato quando vengono apportate modifiche ad alto impatto secondo lo standard software PCI-Secure.
a – versione principale (1 cifra)
Il valore "bb" verrà incrementato quando verranno apportate modifiche pianificate a basso impatto secondo lo standard software PCI-Secure.
bb – versione minore (2 cifre)
Il valore "c" verrà incrementato quando verranno apportate modifiche alle patch a basso impatto secondo lo standard software PCI-Secure.
c – versione minore (1 cifra)
Il numero di versione S/W dell'applicazione di pagamento Viking viene visualizzato in questo modo sullo schermo del terminale quando il terminale è acceso: "abbc"
- Un aggiornamento, ad esempio, da 1.00.0 a 2.00.0 è un aggiornamento funzionale significativo. Potrebbe includere modifiche con impatto sulla sicurezza o sui requisiti PCI Secure Software Standard.
- Un aggiornamento, ad esempio, da 1.00.0 a 1.01.0 è un aggiornamento funzionale non significativo. Potrebbe non includere modifiche con impatto sulla sicurezza o sui requisiti PCI Secure Software Standard.
- Un aggiornamento, ad esempio, da 1.00.0 a 1.00.1 è un aggiornamento funzionale non significativo. Potrebbe non includere modifiche con impatto sulla sicurezza o sui requisiti PCI Secure Software Standard.
Tutte le modifiche sono rappresentate in ordine numerico sequenziale.
Istruzioni sull'installazione sicura di patch e aggiornamenti.
Nets fornisce in modo sicuro aggiornamenti delle applicazioni di pagamento remoto. Questi aggiornamenti avvengono sullo stesso canale di comunicazione delle transazioni di pagamento sicure e il commerciante non è tenuto ad apportare alcuna modifica a questo percorso di comunicazione per conformità.
Quando è disponibile una patch, Nets aggiornerà la versione della patch su Nets Host. Il commerciante riceverà le patch tramite una richiesta automatizzata di download del software oppure il commerciante può anche avviare il download del software dal menu del terminale.
Per informazioni generali, i commercianti dovrebbero sviluppare una politica di utilizzo accettabile per le tecnologie critiche rivolte ai dipendenti, secondo le linee guida riportate di seguito per VPN o altre connessioni ad alta velocità, gli aggiornamenti vengono ricevuti tramite un firewall o un firewall personale.
L'host Nets è disponibile via Internet utilizzando un accesso sicuro o tramite una rete chiusa. Con la rete chiusa, il fornitore di rete ha una connessione diretta al nostro ambiente host offerto dal proprio fornitore di rete. I terminali sono gestiti tramite i servizi di gestione dei terminali Nets. Il servizio di gestione del terminale definisce ad esample la regione di appartenenza del terminale e l'acquirente in uso. La gestione del terminale è anche responsabile dell'aggiornamento del software del terminale in remoto sulla rete. Nets garantisce che il software caricato sul terminale abbia completato le certificazioni richieste.
Nets consiglia i punti di controllo a tutti i suoi clienti per garantire pagamenti sicuri e protetti come elencato di seguito:
- Tieni un elenco di tutti i terminali di pagamento operativi e scatta foto da tutte le dimensioni in modo da sapere come dovrebbero essere.
- Cerca segni evidenti di tampproblemi quali sigilli rotti sulle piastre o sulle viti del coperchio di accesso, cavi strani o diversi o un nuovo dispositivo hardware che non è possibile riconoscere.
- Proteggi i tuoi terminali dalla portata dei clienti quando non sono in uso. Ispeziona quotidianamente i tuoi terminali di pagamento e altri dispositivi in grado di leggere le carte di pagamento.
- È necessario verificare l'identità del personale addetto alle riparazioni se si prevedono riparazioni del terminale di pagamento.
- Chiama immediatamente Nets o la tua banca se sospetti un'attività non evidente.
- Se ritieni che il tuo dispositivo POS sia vulnerabile al furto, allora sono disponibili supporti di servizio, imbracature e attacchi di sicurezza per l'acquisto in commercio. Potrebbe valere la pena considerare il loro utilizzo.
Aggiornamenti sulla versione di Viking
Il software Viking viene rilasciato nei seguenti cicli di rilascio (soggetto a modifiche):
- 2 versioni principali all'anno
- 2 versioni minori all'anno
- Patch software, come e quando richiesto (ad esempio a causa di qualsiasi problema critico di bug/vulnerabilità). Se una versione è operativa sul campo e vengono segnalati alcuni problemi critici, è previsto il rilascio di una patch software con la correzione entro un mese.
I commercianti verrebbero informati delle versioni (principali/minori/patch) tramite e-mail inviate direttamente ai rispettivi indirizzi e-mail. L'e-mail conterrà anche i principali punti salienti del rilascio e le note di rilascio.
I commercianti possono anche accedere alle note di rilascio che verranno caricate su: Note di rilascio del software (nets.eu)
Le versioni di Viking Software vengono firmate utilizzando lo strumento di canto di Ingenico per terminali Tetra. Sul terminale è possibile caricare solo software firmato.
Requisiti non applicabili
Questa sezione contiene un elenco di requisiti dello standard software PCI-Secure che è stato valutato come "Non applicabile" all'applicazione di pagamento Viking e la giustificazione di ciò.
| Standard software sicuro PCI CO | Attività | Giustificazione per essere "Non applicabile" |
| 5.3 | I metodi di autenticazione (comprese le credenziali di sessione) sono sufficientemente forti e robusti da proteggere le credenziali di autenticazione da contraffazioni, spoofing, trapelazioni, indovinamenti o elusioni. | L'applicazione di pagamento Viking viene eseguita su un dispositivo POI PTS approvato PCI. L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, pertanto non sono presenti credenziali di autenticazione nel dispositivo POI PTS. L'applicazione di pagamento Viking non fornisce impostazioni per gestire o generare ID utente e non fornisce alcun accesso locale, non da console o remoto alle risorse critiche (anche a scopo di debug). |
| 5.4 | Per impostazione predefinita, l'accesso alle risorse critiche è limitato solo agli account e ai servizi che richiedono tale accesso. | L'applicazione di pagamento Viking viene eseguita su un dispositivo POI PTS approvato PCI. L'applicazione di pagamento Viking non fornisce impostazioni per gestire o generare account o servizi. |
| 7.3 | Tutti i numeri casuali utilizzati dal software vengono generati utilizzando solo algoritmi o librerie approvati per la generazione di numeri casuali (RNG). Gli algoritmi o le librerie RNG approvati sono quelli che soddisfano gli standard di settore per una sufficiente imprevedibilità (ad esempio, pubblicazione speciale NIST 800-22). |
L'applicazione di pagamento Viking non utilizza alcun RNG (generatore di numeri casuali) per le sue funzioni di crittografia. L'applicazione di pagamento Viking non genera né utilizza numeri casuali per le funzioni crittografiche. |
| 7.4 | I valori casuali hanno un'entropia che soddisfa i requisiti minimi di forza effettiva delle primitive crittografiche e delle chiavi che si basano su di essi. | L'applicazione di pagamento Viking non utilizza alcun RNG (generatore di numeri casuali) per le sue funzioni di crittografia. L'applicazione di pagamento Viking non genera né utilizza numeri casuali per le funzioni crittografiche. |
| 8.1 | Tutti i tentativi di accesso e l'utilizzo delle risorse critiche vengono tracciati e riconducibili a un individuo unico. | L'applicazione di pagamento Viking viene eseguita su dispositivi POI PTS approvati PCI, dove avviene tutta la gestione delle risorse critiche, e il firmware POI PTS garantisce la riservatezza e l'integrità dei dati sensibili mentre sono archiviati nel dispositivo POI PTS. La riservatezza, l'integrità e la resilienza delle funzioni sensibili dell'applicazione di pagamento Viking sono protette e fornite dal firmware PTS POI. Il firmware PTS POI impedisce qualsiasi accesso alle risorse critiche al di fuori del terminale e si affida alla tecnologia anti-tampcaratteristiche interessanti. L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non vi sono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione di pagamento Viking è in grado di gestire risorse critiche |
| 8.2 | Tutte le attività vengono catturate con dettagli sufficienti e necessari per descrivere accuratamente quali attività specifiche sono state eseguite, chi le ha eseguite, l'ora in cui sono state eseguite e quali risorse critiche sono state interessate. | L'applicazione di pagamento Viking funziona su dispositivi POI PTS approvati PCI. L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non esistono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione di pagamento Viking è in grado di gestire risorse critiche. • L'applicazione di pagamento Viking non fornisce modalità operative privilegiate. • Non sono presenti funzioni per disattivare la crittografia dei dati sensibili • Non sono presenti funzioni per la decrittazione dei dati sensibili • Non esistono funzioni per esportare dati sensibili verso altri sistemi o processi • Non sono supportate funzionalità di autenticazione. I controlli di sicurezza e le funzionalità di sicurezza non possono essere disabilitati né eliminati. |
| 8.3 | Il software supporta la conservazione sicura dei dettagli attività registrazioni. |
L'applicazione di pagamento Viking funziona su dispositivi POI PTS approvati PCI. L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non esistono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione di pagamento Viking è in grado di gestire risorse critiche. • L'applicazione di pagamento Viking non fornisce modalità operative privilegiate. • Non sono presenti funzioni per disattivare la crittografia dei dati sensibili • Non sono presenti funzioni per la decrittazione dei dati sensibili • Non esistono funzioni per esportare dati sensibili verso altri sistemi o processi • Non sono supportate funzionalità di autenticazione. I controlli di sicurezza e le funzionalità di sicurezza non possono essere disabilitati né eliminati. |
| 8.4 | Il software gestisce gli errori nei meccanismi di tracciamento delle attività in modo tale da preservare l'integrità dei record delle attività esistenti. | L'applicazione di pagamento Viking funziona su dispositivi POI PTS approvati PCI. L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non esistono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione Viking è in grado di gestire risorse critiche. • L'applicazione di pagamento Viking non fornisce modalità operative privilegiate. • Non sono presenti funzioni per disattivare la crittografia dei dati sensibili • Non sono presenti funzioni per la decrittazione dei dati sensibili | • Non esistono funzioni per esportare dati sensibili verso altri sistemi o processi • Non sono supportate funzionalità di autenticazione • I controlli e le funzionalità di sicurezza non possono essere disabilitati né eliminati. |
| B.1.3 | Il fornitore del software conserva la documentazione che descrive tutte le opzioni configurabili che possono incidere sulla sicurezza dei dati sensibili. |
L'applicazione di pagamento Viking funziona su dispositivi POI PTS approvati PCI. L'applicazione di pagamento Viking non fornisce agli utenti finali quanto segue: • opzione configurabile per l'accesso ai dati sensibili • opzione configurabile per modificare i meccanismi di protezione dei dati sensibili • accesso remoto all'applicazione • aggiornamenti remoti dell'applicazione • opzione configurabile per modificare le impostazioni predefinite dell'applicazione |
| B.2.4 | Il software utilizza solo il numero casuale funzione/i di generazione inclusa/e nel pagamento valutazione del dispositivo PTS del terminale per tutta la crittografia operazioni che coinvolgono dati sensibili o funzioni sensibili in cui sono richiesti valori casuali e non ne implementa di propri funzioni di generazione di numeri casuali. |
Viking non utilizza alcun RNG (generatore di numeri casuali) per le sue funzioni di crittografia. L'applicazione Viking non genera né utilizza numeri casuali per le funzioni crittografiche. |
| B.2.9 | L'integrità del prompt del software files è protetto in conformità con l'Obiettivo di controllo B.2.8. | Tutti i prompt visualizzati sul terminale Viking sono codificati nell'applicazione e nessun prompt filesono presenti all'esterno dell'applicazione. Nessun prompt fileSe esistono elementi esterni all'applicazione di pagamento Viking, tutte le informazioni necessarie vengono generate dall'applicazione. |
| B.5.1.5 | Le linee guida per l'implementazione includono istruzioni per le parti interessate su come firmare crittograficamente tutte le richieste files. | Tutti i messaggi visualizzati sul terminale Viking sono codificati nell'applicazione e non sono presenti messaggi filesono presenti all'esterno dell'applicazione. Nessun prompt fileSe esistono elementi esterni all'applicazione di pagamento Viking, tutte le informazioni necessarie vengono generate dall'applicazione |
Riferimento ai requisiti standard del software PCI Secure
| Capitoli in questo documento | Requisiti standard del software PCI Secure | Requisiti PCI DSS |
| 2. Applicazione di pagamento sicuro | B.2.1 6.1 12.1 12.1.b |
2.2.3 |
| 3. Aggiornamenti software remoti sicuri | 11.1 11.2 12.1 |
1&12.3.9 2, 8 e 10 |
| 4. Cancellazione sicura dei dati sensibili e protezione dei dati archiviati dei titolari di carta | 3.2 3.4 3.5 A.2.1 A.2.3 B.1.2 bis |
3.2 3.2 3.1 3.3 3.4 3.5 3.6 |
| Autenticazione e controlli di accesso | 5.1 5.2 5.3 5.4 |
8.1 e 8.2 8.1 e 8.2 |
| Registrazione | 3.6 8.1 8.3 |
10.1 10.5.3 |
| Rete senza fili | 4.1 | 1.2.3 e 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1 |
| Segmentazione della rete | 4.1c | 1.3.7 |
| Accesso remoto | B.1.3 | 8.3 |
| Trasmissione dei dati del titolare della carta | A.2.1 A.2.3 |
4.1 4.2 2.3 8.3 |
| Metodologia di controllo delle versioni Viking | 11.2 12.1.b |
|
| Istruzioni per i clienti sull'installazione sicura di patch e aggiornamenti. | 11.1 11.2 12.1 |
Glossario dei termini
| TERMINE | DEFINIZIONE |
| Dati del titolare della carta | Banda magnetica completa o PAN più uno dei seguenti: · Nome del titolare · Data di scadenza · Codice di servizio |
| DUKPT | Derived Unique Key Per Transaction (DUKPT) è uno schema di gestione delle chiavi in cui per ogni transazione viene utilizzata una chiave univoca derivata da una chiave fissa. Pertanto, se una chiave derivata viene compromessa, i dati delle transazioni passate e future sono comunque protetti poiché le chiavi successive o precedenti non possono essere determinate facilmente. |
| 3DES | In crittografia, Triple DES (3DES o TDES), ufficialmente Triple Data Encryption Algorithm (TDEA o Triple DEA), è un codice a blocchi a chiave simmetrica, che applica l'algoritmo di crittografia DES tre volte a ciascun blocco di dati. |
| commerciante | L'utente finale e acquirente del prodotto Viking. |
| SSF | Il PCI Software Security Framework (SSF) è una raccolta di standard e programmi per la progettazione e lo sviluppo sicuri di software di pagamento. La sicurezza dei software di pagamento è una parte cruciale del flusso delle transazioni di pagamento ed è essenziale per facilitare operazioni di pagamento affidabili e accurate. |
| PA-QSA | Valutatori di sicurezza qualificati per applicazioni di pagamento. Società QSA che fornisce servizi ai fornitori di applicazioni di pagamento per convalidare le applicazioni di pagamento dei fornitori. |
| TRISTE
(Dati sensibili di autenticazione) |
Informazioni relative alla sicurezza (codici/valori di convalida della carta, dati di tracciamento completi, PIN e blocchi PIN) utilizzate per autenticare i titolari della carta, visualizzati in formato testo normale o altrimenti non protetto. La divulgazione, modifica o distruzione di queste informazioni potrebbe compromettere la sicurezza di un dispositivo crittografico, di un sistema informativo o delle informazioni del titolare della carta o potrebbe essere utilizzata in una transazione fraudolenta. I dati sensibili di autenticazione non devono mai essere archiviati al termine di una transazione. |
| vichingo | La piattaforma software utilizzata da Nets per lo sviluppo di applicazioni per il mercato europeo. |
| HSMC | Modulo di sicurezza hardware |
Controllo documenti
Autore del documento, Reviewe approvatori
| Descrizione | Funzione | Nome |
| PA-QSA | Reviewer | Claudio Adamic / Flavio Bonfiglio Shorans |
| Sviluppo | Autore | Aruna fu presa dal panico |
| Responsabile della conformità | Reviewer e approvatore | Arno Edström |
| Architetto di sistema | Reviewer e approvatore | Shamsher Singh |
| QA | Reviewer e approvatore | Varun Shukla |
| Proprietario del prodotto | Reviewer e approvatore | Cecilia Jensen Tyldum / Arti Kangas |
| Responsabile del prodotto | Reviewer e approvatore | May-Britt Dens tad Sanderson's |
| Engineering Manager | Manager | Docile Vallone |
Riepilogo delle modifiche
| Versione Numero | Versione Data | Natura del cambiamento | Cambia autore | Reviewer | Revisione Tag | Data di approvazione |
| 1.0 | Numero di telefono: 03-08-2022 | Prima versione per PCI-Secure Norma software |
Aruna fu presa dal panico | Shamsher Singh | Numero di telefono: 18-08-22 | |
| 1.0 | Numero di telefono: 15-09-2022 | Aggiornata la sezione 14 con gli obiettivi di controllo non applicabili con i relativi giustificazione |
Aruna fu presa dal panico | Shamsher Singh | Numero di telefono: 29-09-22 | |
| 1.1 | Numero di telefono: 20-12-2022 | Aggiornate le sezioni 2.1.2 e 2.2 con Self4000. Rimosso Link2500 (PTS versione 4.x) dall'elenco dei terminali supportati |
Aruna fu presa dal panico | Shamsher Singh |
Numero di telefono: 23-12-22 |
|
| 1.1 | Numero di telefono: 05-01-2023 | Sezione 2.2 aggiornata con Link2500 (pts v4) per continuare il supporto per questo
tipo di terminale. |
Aruna fu presa dal panico | Shamsher Singh | Numero di telefono: 05-01-23 | |
| 1.2 | Numero di telefono: 20-03-2023 | Sezione 2.1.1 aggiornata con lettone e lituano terminale professionistafileS. E 2.1.2 con supporto del tipo di comunicazione BT-iOS |
Aruna fu presa dal panico | Shamsher Singh |
Lista di distribuzione
| Nome | Funzione |
| Dipartimento Terminale | Sviluppo, test, gestione dei progetti, conformità |
| Gestione del prodotto | Team di gestione dei prodotti terminali, Responsabile della conformità - Prodotto |
Approvazioni di documenti
| Nome | Funzione |
| Cecilia Jensen Tyldum | Proprietario del prodotto |
| Arti Kangas | Proprietario del prodotto |
Documento Review Piani
Questo documento sarà riviewredatto ed aggiornato, se necessario, come di seguito definito:
- Come richiesto per correggere o migliorare il contenuto informativo
- A seguito di eventuali cambiamenti organizzativi o ristrutturazioni
- A seguito di una riview
- In seguito allo sfruttamento di una vulnerabilità
- A seguito di nuove informazioni/requisiti riguardanti le vulnerabilità rilevanti
Documenti / Risorse
 |
Standard software sicuro Nets PCI [pdf] Guida utente Software di sicurezza PCI standard, software di sicurezza standard, software standard, standard |
 |
Standard software sicuro Nets PCI [pdf] Guida utente Software di sicurezza PCI standard, software di sicurezza standard, software standard, standard |