Software standard sicuro PCI
Informazioni sul prodotto: fornitore di standard software PCI-Secure
Guida all'implementazione per Viking Terminal 2.00
Specifiche
Versione: 2.0
1. Introduzione e ambito
1.1 Introduzione
La guida all'implementazione del fornitore dello standard software PCI-Secure
fornisce le linee guida per l'implementazione del software sul Viking
Terminale 2.00.
1.2 Quadro di sicurezza del software (SSF)
Il Software Security Framework (SSF) garantisce il pagamento sicuro
applicazione sul Viking Terminal 2.00.
1.3 Guida all'implementazione del fornitore di software – Distribuzione e
Aggiornamenti
Questa guida include informazioni sulla distribuzione e sugli aggiornamenti
della Guida all'implementazione del fornitore di software per il terminale Viking
2.00.
2. Applicazione di pagamento sicuro
2.1 Software applicativo
Il software dell'applicazione di pagamento sicuro garantisce la sicurezza
comunicazione con l'host dei pagamenti e l'ECR.
2.1.1 Configurazione dei parametri TCP/IP di comunicazione dell'Host di pagamento
Questa sezione fornisce istruzioni per la configurazione del TCP/IP
parametri per la comunicazione con l'host dei pagamenti.
2.1.2 Comunicazione ECR
Questa sezione fornisce istruzioni per la comunicazione con il
ECR (Registratore di cassa elettronico).
2.1.3 Comunicazione all'host tramite ECR
Questa sezione spiega come stabilire la comunicazione con
host di pagamento utilizzando l'ECR.
2.2 Hardware terminale supportato/i
L'applicazione di pagamento sicuro supporta Viking Terminal 2.00
hardware.
2.3 Politiche di sicurezza
Questa sezione descrive le politiche di sicurezza che dovrebbero essere adottate
seguito quando si utilizza l'applicazione di pagamento sicuro.
3. Aggiornamento software remoto sicuro
3.1 Applicabilità del Commerciante
Questa sezione fornisce informazioni sull'applicabilità di secure
aggiornamenti software remoti per i commercianti.
3.2 Politica di utilizzo accettabile
Questa sezione descrive la politica di utilizzo accettabile per secure
aggiornamenti software remoti.
3.3 Firewall personale
Istruzioni per configurare il firewall personale per consentire
In questa sezione vengono forniti aggiornamenti software remoti sicuri.
3.4 Procedure di aggiornamento remoto
Questa sezione spiega le procedure per la conduzione sicura
aggiornamenti software remoti.
4. Cancellazione sicura dei dati sensibili e protezione dei dati archiviati
Dati del titolare della carta
4.1 Applicabilità del Commerciante
Questa sezione fornisce informazioni sull'applicabilità di secure
cancellazione dei dati sensibili e protezione dei dati memorizzati dei titolari di carta
per i commercianti.
4.2 Istruzioni per l'eliminazione sicura
Vengono fornite istruzioni per eliminare in modo sicuro i dati sensibili
in questa sezione.
4.3 Posizioni dei dati dei titolari di carta archiviati
In questa sezione sono elencate le posizioni in cui vengono archiviati i dati dei titolari di carta
e fornisce indicazioni su come proteggerlo.
In questa sezione vengono illustrate le procedure per la gestione del differito
transazioni di autorizzazione in modo sicuro.
4.5 Procedure di risoluzione dei problemi
Istruzioni per la risoluzione dei problemi relativi alla sicurezza
la cancellazione e la protezione dei dati dei titolari di carta memorizzati sono fornite in
questa sezione.
4.6 Posizioni PAN – Visualizzate o stampate
Questa sezione identifica le posizioni in cui PAN (Conto Primario
Numero) viene visualizzato o stampato e fornisce indicazioni sulla protezione
Esso.
4.7 Richiesta files
Istruzioni per la gestione del prompt files sono forniti in modo sicuro
questa sezione.
4.8 Gestione delle chiavi
Questa sezione spiega le procedure di gestione chiave per garantire
la sicurezza dei dati memorizzati dei titolari di carta.
4.9 Riavvio '24 ore'
Istruzioni per eseguire un riavvio "24 ore su XNUMX" per garantire il sistema
sicurezza sono forniti in questa sezione.
4.10 Lista bianca
Questa sezione fornisce informazioni sulla whitelist e sui suoi
importanza nel mantenimento della sicurezza del sistema.
5. Autenticazione e controlli di accesso
Questa sezione riguarda le misure di autenticazione e controllo degli accessi
per garantire la sicurezza del sistema.
Domande frequenti (FAQ)
D: Qual è lo scopo dello standard software PCI-Secure
Guida all'implementazione del fornitore?
R: La guida fornisce le linee guida per l'implementazione del pagamento sicuro
software applicativo sul Viking Terminal 2.00.
D: Quale hardware terminale è supportato dal pagamento sicuro
applicazione?
R: L'applicazione di pagamento sicuro supporta il Viking Terminal
2.00 ferramenta.
D: Come posso eliminare in modo sicuro i dati sensibili?
R: Le istruzioni per eliminare in modo sicuro i dati sensibili sono
forniti nella sezione 4.2 della guida.
D: Qual è l'importanza della whitelist?
R: La whitelist svolge un ruolo cruciale nel mantenimento del sistema
sicurezza consentendo l'esecuzione solo delle applicazioni approvate.
Questo contenuto è classificato come interno
Nets Danimarca A/S:
Guida all'implementazione del fornitore di software standard PCI-Secure Software per terminale Viking 2.00
Versione 2.0
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00 1 1
Contenuto
1. Introduzione e ambito ……………………. 3
1.1
Introduzione …………………………………………………………………………………. 3
1.2
Quadro di sicurezza del software (SSF)…………………. 3
1.3
Guida all'implementazione del fornitore di software – Distribuzione e aggiornamenti …… 3
2. Applicazione di pagamento sicuro……………………………………… 4
2.1
S/W dell'applicazione ………………….. 4
2.1.1 Configurazione dei parametri TCP/IP di comunicazione dell'Host di Pagamento ………….. 4
2.1.2 Comunicazione ECR…………………..……. 5
2.1.3 Comunicazione all'host tramite ECR………………………………………. 5
2.2
Hardware del terminale supportato/i …………………………………….. 6
2.3
Politiche di sicurezza ………………….................................................................. 7
3. Aggiornamento software remoto sicuro ………………………………………. 8
3.1
Applicabilità del Commerciante………………….................................. 8
3.2
Politica di utilizzo accettabile ………………….. 8
3.3
Firewall personale…………….................................................................. 8
3.4
Procedure di aggiornamento remoto ……………………… 8
4. Cancellazione sicura dei dati sensibili e protezione dei dati memorizzati dei titolari di carta9
4.1
Applicabilità del Commerciante………………….................................. 9
4.2
Istruzioni per l'eliminazione sicura................................................................ 9
4.3
Posizioni dei dati dei titolari di carta archiviati………………….. 9
4.4
Operazione di autorizzazione differita …………………. 10
4.5
Procedure per la risoluzione dei problemi ……………………… 10
4.6
Posizioni PAN – Visualizzate o stampate ……………………… 10
4.7
Richiesta file……………………..……………….. 11
4.8
Gestione delle chiavi …………………………………………………………… 11
4.9
Riavvio "24 ore su 12" ………………….. XNUMX
4.10 Whitelist ………………….................................................................. 12
5. Autenticazione e controlli di accesso …………………. 13
5.1
Controllo di accesso ……………………………………………………………………………. 13
5.2
Controlli tramite password ………………….. 15
6. Registrazione ……………………………………………………………………….. 15
6.1
Applicabilità del commerciante………………. 15
6.2
Configurare le impostazioni del registro ………………….. 15
6.3
Registrazione centrale ………………………………………………………………………………… 15
6.3.1 Abilita traccia Logging sul terminale ………………….. 15
6.3.2 Inviare i log di traccia all'host ……………………… 15
6.3.3 Registrazione traccia remota……………..…………. 16
6.3.4 Registrazione remota degli errori…………….................................................................. 16
7. Reti wireless ………………….................................................................. 16
7.1
Applicabilità del commerciante………………. 16
7.2
Configurazioni wireless consigliate ………………….. 16
8. Segmentazione della rete ……………………………………………………………………….. 17
8.1
Applicabilità del commerciante………………. 17
9. Accesso remoto …………………..…………
9.1
Applicabilità del commerciante………………. 17
10.
Trasmissione di dati sensibili …………………………………….. 17
10.1 Trasmissione di dati sensibili ………………………………………………… 17
10.2 Condivisione di dati sensibili con altri software ………………….. 17
10.3 Email e dati sensibili ……………………………………………………………………. 17
10.4 Accesso amministrativo non da console …………………. 17
11.
Metodologia di controllo delle versioni Viking……………. 18
12.
Istruzioni sull'installazione sicura di patch e aggiornamenti. …………. 18
13.
Aggiornamenti sulla versione di Viking ……………………………………………………………………. 19
14.
Requisiti non applicabili ………………………………………. 19
15.
Riferimento ai requisiti standard del software PCI Secure ………… 23
16.
Glossario di termini ………………………………………………………………………. 24
17.
Controllo dei documenti ……………………………………………………………………… 25
2
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
1. Introduzione e ambito
1.1 Introduzione
Lo scopo di questa Guida all'implementazione del fornitore di software standard PCI-Secure Software è fornire alle parti interessate una guida chiara e completa sull'implementazione, la configurazione e il funzionamento sicuri del software Viking. La guida istruisce i commercianti su come implementare l'applicazione Viking di Nets nel loro ambiente in modo conforme allo standard PCI Secure Software. Tuttavia, non intende essere una guida all'installazione completa. L'applicazione Viking, se installata secondo le linee guida qui documentate, dovrebbe facilitare e supportare la conformità PCI del commerciante.
1.2 Quadro di sicurezza del software (SSF)
Il PCI Software Security Framework (SSF) è una raccolta di standard e programmi per la progettazione e lo sviluppo sicuri di software applicativi di pagamento. L'SSF sostituisce il PA-DSS (Payment Application Data Security Standard) con requisiti moderni che supportano una gamma più ampia di tipi di software, tecnologie e metodologie di sviluppo di pagamento. Fornisce ai fornitori standard di sicurezza come PCI Secure Software Standard per lo sviluppo e la manutenzione di software di pagamento in modo che protegga le transazioni e i dati di pagamento, riduca al minimo le vulnerabilità e difenda dagli attacchi.
1.3 Guida all'implementazione del fornitore di software – Distribuzione e aggiornamenti
La presente Guida all'implementazione del fornitore di software standard PCI Secure Software deve essere divulgata a tutti gli utenti delle applicazioni interessate, compresi i commercianti. Dovrebbe essere aggiornato almeno una volta all'anno e dopo le modifiche al software. L'annuale riview e l'aggiornamento dovrebbe includere nuove modifiche al software nonché modifiche allo standard del software sicuro.
Nets pubblica informazioni sugli elencati websito se sono presenti aggiornamenti nella guida all'implementazione.
Websito: https://support.nets.eu/
Per esempioample: La Guida all'implementazione del fornitore di software standard Nets PCI-Secure sarà distribuita a tutti i clienti, rivenditori e integratori. Clienti, rivenditori e integratori verranno informati da reviewse aggiornamenti.
Gli aggiornamenti alla Guida all'implementazione del fornitore di software standard PCI-Secure Software possono essere ottenuti anche contattando direttamente Nets.
Questa Guida all'implementazione del fornitore di software PCI-Secure Software Standard fa riferimento sia allo standard PCI-Secure Software che ai requisiti PCI. In questa guida si fa riferimento alle seguenti versioni.
· Standard software PCI-Secure-v1_2_1
3
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
2. Applicazione di pagamento sicuro
2.1 Software applicativo
Le applicazioni di pagamento Viking non utilizzano software o hardware esterni non appartenenti all'applicazione incorporata Viking. Tutti gli eseguibili S/W appartenenti all'applicazione di pagamento Viking sono firmati digitalmente con il kit di firma Tetra fornito da Ingenico.
· Il terminale comunica con Nets Host utilizzando TCP/IP, tramite Ethernet, GPRS, Wi-Fi o tramite PC-LAN su cui è in esecuzione l'applicazione POS. Inoltre, il terminale può comunicare con l'host tramite cellulare con connettività Wi-Fi o GPRS.
I terminali Viking gestiscono tutte le comunicazioni utilizzando il componente Link Layer Ingenico. Questo componente è un'applicazione caricata nel terminale. Il Link Layer può gestire più comunicazioni contemporaneamente utilizzando diverse periferiche (modem e porta seriale ad esample).
Attualmente supporta i seguenti protocolli:
· Fisico: RS232, modem interno, modem esterno (tramite RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G e 4G.
· Collegamento dati: SDLC, PPP. · Rete: IP. · Trasporti: TCP.
Il terminale prende sempre l'iniziativa per stabilire la comunicazione verso il Nets Host. Nel terminale non è presente il software del server TCP/IP e il software del terminale non risponde mai alle chiamate in entrata.
Se integrato con un'applicazione POS su un PC, il terminale può essere configurato per comunicare tramite PC-LAN che esegue l'applicazione POS utilizzando RS232, USB o Bluetooth. Tutte le funzionalità dell'applicazione di pagamento sono ancora in esecuzione nel terminale S/W.
Il protocollo applicativo (e la crittografia applicata) è trasparente e indipendente dal tipo di comunicazione.
2.2 Configurazione dei parametri TCP/IP di comunicazione dell'Host di pagamento
4
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
2.3 Comunicazione ECR
· Seriale RS232 · Connessione USB · Impostazione dei parametri TCP/IP, noto anche come ECR over IP
· Opzioni di comunicazione Host/ECR nell'applicazione di pagamento Viking
· Configurazione parametri Nets Cloud ECR (Connect@Cloud).
2.4 Comunicazione all'host tramite ECR
Nota: fare riferimento a “2.1.1- Configurazione dei parametri TCP/IP di comunicazione dell'host di pagamento” per le porte TCP/IP specifiche del paese.
5
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
2.5 Hardware terminale supportato/i
L'applicazione di pagamento Viking è supportata su una varietà di dispositivi Ingenico convalidati PTS (sicurezza delle transazioni PIN). Di seguito è riportato l'elenco dell'hardware del terminale insieme al relativo numero di approvazione PTS.
Tipi di terminali Tetra
Hardware del terminale
Corsia 3000
PTS
Approvazione PTS
numero di versione
5.x
4-30310
Versione hardware PTS
LAN30EALAN30AA
Scrivania 3500
5.x
4-20321
DES35BB
Sposta 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Collegamento2500
Link2500Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
Versione firmware PTS
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
2.6 Politiche di sicurezza
L'applicazione di pagamento Viking aderisce a tutte le politiche di sicurezza applicabili specificate da Ingenico. Per informazioni generali, questi sono i link alle politiche di sicurezza per i diversi terminali Tetra:
Tipo di terminale
Link2500 (v4)
Documento sulla politica di sicurezza Link/2500 Politica di sicurezza PCI PTS (pcisecuritystandards.org)
Link2500 (v5)
Politica di sicurezza PCI PTS (pcisecuritystandards.org)
Scrivania3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Sposta3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Corsia3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Sé4000
Politica di sicurezza Self/4000 PCI PTS (pcisecuritystandards.org)
7
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
3. Aggiornamento software remoto sicuro
3.1 Applicabilità del Commerciante
Nets fornisce in modo sicuro gli aggiornamenti delle applicazioni di pagamento Viking da remoto. Questi aggiornamenti avvengono sullo stesso canale di comunicazione delle transazioni di pagamento sicure e il commerciante non è tenuto ad apportare alcuna modifica a questo percorso di comunicazione per conformità.
Per informazioni generali, i commercianti dovrebbero sviluppare una politica di utilizzo accettabile per le tecnologie critiche rivolte ai dipendenti, secondo le linee guida riportate di seguito per VPN o altre connessioni ad alta velocità, gli aggiornamenti vengono ricevuti tramite un firewall o un firewall personale.
3.2 Politica di utilizzo accettabile
Il commerciante dovrebbe sviluppare politiche di utilizzo per le tecnologie critiche rivolte ai dipendenti, come modem e dispositivi wireless. Queste politiche di utilizzo dovrebbero includere:
· Approvazione esplicita della direzione per l'uso. · Autenticazione per l'uso. · Un elenco di tutti i dispositivi e il personale con accesso. · Etichettatura dei dispositivi con il proprietario. · Informazioni di contatto e scopo. · Usi accettabili della tecnologia. · Posizioni di rete accettabili per le tecnologie. · Un elenco di prodotti approvati dall'azienda. · Consentire l'uso dei modem ai fornitori solo quando necessario e disattivarli dopo l'uso. · Divieto di archiviazione dei dati dei titolari di carta su supporti locali in caso di connessione remota.
3.3 Firewall personale
Qualsiasi connessione "sempre attiva" da un computer a una VPN o altra connessione ad alta velocità deve essere protetta utilizzando un prodotto firewall personale. Il firewall è configurato dall'organizzazione per soddisfare standard specifici e non modificabili dal dipendente.
3.4 Procedure di aggiornamento remoto
Esistono due modi per far sì che il terminale contatti il centro software Nets per gli aggiornamenti:
1. Manualmente tramite un'opzione di menu nel terminale (passare la carta del commerciante, selezionare il menu 8 "Software", 1 "Recupera software") o avviato dall'Host.
2. Utilizzando il metodo avviato dall'Host; il terminale riceve automaticamente un comando dall'Host dopo aver eseguito una transazione finanziaria. Il comando dice al terminale di contattare il centro software Nets per verificare la presenza di aggiornamenti.
Dopo un aggiornamento software riuscito, un terminale con stampante integrata stamperà una ricevuta con le informazioni sulla nuova versione.
Gli integratori di terminali, i partner e/o il team di supporto tecnico di Nets avranno la responsabilità di informare i commercianti dell'aggiornamento, incluso il collegamento alla guida all'implementazione aggiornata e alle note di rilascio.
Oltre alla ricevuta dopo l'aggiornamento del software, l'applicazione di pagamento Viking può essere convalidata anche tramite Terminal Info premendo il tasto "F3" sul terminale.
8
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
4. Cancellazione sicura dei dati sensibili e protezione dei dati archiviati dei titolari di carta
4.1 Applicabilità del Commerciante
L'applicazione di pagamento Viking non memorizza dati di banda magnetica, valori o codici di convalida della carta, PIN o dati di blocco PIN, materiale di chiave crittografica o crittogrammi delle versioni precedenti.
Per essere conforme PCI, un commerciante deve disporre di una politica di conservazione dei dati che definisca per quanto tempo verranno conservati i dati dei titolari di carta. L'applicazione di pagamento Viking conserva i dati dei titolari della carta e/o i dati sensibili di autenticazione dell'ultima transazione e, nel caso in cui siano presenti transazioni di autorizzazione offline o differite, aderendo allo stesso tempo alla conformità allo standard software PCI-Secure, quindi può essere esente da la politica di conservazione dei dati dei titolari di carta del commerciante.
4.2 Istruzioni per l'eliminazione sicura
Il terminale non memorizza dati sensibili di autenticazione; track2 completo, CVC, CVV o PIN, né prima né dopo l'autorizzazione; ad eccezione delle transazioni di autorizzazione differita, nel qual caso i dati sensibili di autenticazione crittografati (dati track2 completi) vengono archiviati fino al completamento dell'autorizzazione. Dopo l'autorizzazione i dati vengono cancellati in modo sicuro.
Qualsiasi istanza di dati storici vietati esistente in un terminale verrà automaticamente eliminata in modo sicuro quando l'applicazione di pagamento Viking del terminale verrà aggiornata. L'eliminazione dei dati storici vietati e dei dati che rientrano nei criteri di conservazione superati avverrà automaticamente.
4.3 Posizioni dei dati dei titolari di carta archiviati
I dati dei titolari di carta vengono archiviati in Flash DFS (Data File Sistema) del terminale. I dati non sono direttamente accessibili al commerciante.
Archivio dati (file, tavolo, ecc.)
Elementi dei Dati del Titolare memorizzati (PAN, scadenza, eventuali elementi del SAD)
Come viene protetto l'archivio dati (ad esample, crittografia, controlli di accesso, troncamento, ecc.)
File: trans.rsd
PAN, Data Scadenza, Codice Servizio
PAN: 3DES-DUKPT crittografato (112 bit)
File: storefwd.rsd PAN, Data di scadenza, Codice servizio
PAN: 3DES-DUKPT crittografato (112 bit)
File: transoff.rsd PAN, Data di scadenza, Codice servizio
PAN: 3DES-DUKPT crittografato (112 bit)
File: transorr.rsd PAN troncato
Troncato (primi 6, ultimi 4)
File: offlrep.dat
PAN troncato
Troncato (primi 6, ultimi 4)
File: defauth.rsd PAN, Data di scadenza, Codice di servizio
PAN: 3DES-DUKPT crittografato (112 bit)
File: default.rsd Dati completi della traccia2
Dati completi Track2: 3DES-DUKPT pre-crittografato (112 bit)
9
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
4.4 Operazione di autorizzazione differita
L'autorizzazione differita si verifica quando un commerciante non può completare un'autorizzazione al momento della transazione con il titolare della carta a causa di connettività, problemi di sistema o altre limitazioni, e successivamente completa l'autorizzazione quando è in grado di farlo.
Ciò significa che un'autorizzazione differita avviene quando viene eseguita un'autorizzazione online dopo che la carta non è più disponibile. Poiché l'autorizzazione online delle transazioni con autorizzazione differita viene ritardata, le transazioni verranno archiviate sul terminale finché non verranno autorizzate con successo in seguito, quando la rete sarà disponibile.
Le transazioni vengono archiviate e inviate successivamente all'host, allo stesso modo in cui le transazioni offline vengono archiviate ad oggi nell'applicazione di pagamento Viking.
Il commerciante può avviare la transazione come "Autorizzazione differita" dal registratore di cassa elettronico (ECR) o tramite il menu del terminale.
Le transazioni di autorizzazione differita possono essere caricate sull'host Nets dal commerciante utilizzando le opzioni seguenti: 1. ECR – Comando amministratore – Invia offline (0x3138) 2. Terminale – Commerciante -> 2 EOT -> 2 inviati all'host
4.5 Procedure di risoluzione dei problemi
Il supporto Nets non richiederà l'autenticazione sensibile o i dati dei titolari della carta per scopi di risoluzione dei problemi. L'applicazione di pagamento Viking non è in ogni caso in grado di raccogliere o risolvere i problemi relativi ai dati sensibili.
4.6 Posizioni PAN – Visualizzate o stampate
PAN mascherato:
· Ricevute di transazioni finanziarie: il PAN mascherato viene sempre stampato sulla ricevuta di transazione sia per il titolare della carta che per l'esercente. Il PAN mascherato nella maggior parte dei casi è con * dove le prime 6 cifre e le ultime 4 cifre sono in chiaro.
· Rapporto sull'elenco delle transazioni: il rapporto sull'elenco delle transazioni mostra le transazioni eseguite in una sessione. I dettagli della transazione includono il PAN mascherato, il nome dell'emittente della carta e l'importo della transazione.
· Ultima ricevuta del cliente: la copia dell'ultima ricevuta del cliente può essere generata dal menu di copia del terminale. La ricevuta del cliente contiene il PAN mascherato come ricevuta del cliente originale. La funzione indicata viene utilizzata nel caso in cui il terminale non riesca a generare una ricevuta del cliente durante la transazione per qualsiasi motivo.
PAN crittografato:
· Ricevuta della transazione offline: la versione della ricevuta del rivenditore della transazione offline include i dati del titolare della carta crittografati DUKPT Triple DES a 112 bit (PAN, data di scadenza e codice di servizio).
BAX: 71448400-714484 12/08/2022 10:39
Visa Contactless ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 AID: A0000000031010 TVR: 0000000000 ID negozio: 123461 Rif.: 000004 000000 K C3
10
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
Resp.: Sessione Y1: 782
ACQUISTARE
NOK
12,00
APPROVATO
COPIA RIVENDITORE
Conferma:
L'applicazione di pagamento Viking crittografa sempre i dati del titolare della carta per impostazione predefinita per l'archiviazione delle transazioni offline, la trasmissione verso l'host NETS e per stampare i dati della carta crittografati sulla ricevuta del rivenditore per una transazione offline.
Inoltre, per visualizzare o stampare il PAN della carta, l'applicazione di pagamento Viking maschera sempre le cifre PAN con l'asterisco "*" con le prime 6 + ultime 4 cifre in chiaro come impostazione predefinita. Il formato di stampa del numero di carta è controllato dal sistema di gestione del terminale in cui il formato di stampa può essere modificato richiedendolo attraverso il canale appropriato e presentando un'esigenza legittima aziendale, tuttavia per l'applicazione di pagamento Viking non esiste tale caso.
Example per PAN mascherato: PAN: 957852181428133823-2
Informazioni minime: **************3823-2
Informazioni massime: 957852********3823-2
4.7 Richiesta files
L'applicazione di pagamento Viking non fornisce alcuna richiesta separata files.
L'applicazione di pagamento Viking richiede input da parte del titolare della carta tramite messaggi di visualizzazione che fanno parte del sistema di messaggistica all'interno dell'applicazione di pagamento Viking firmata.
Sul terminale vengono visualizzate le richieste di PIN, importo, ecc. e si attendono gli input del titolare della carta. Gli input ricevuti dal titolare della carta non vengono memorizzati.
4.8 Gestione delle chiavi
Per la gamma di modelli di terminali Tetra, tutte le funzionalità di sicurezza vengono eseguite in un'area sicura di un dispositivo PTS protetto dall'applicazione di pagamento.
La crittografia viene eseguita all'interno dell'area protetta mentre la decrittografia dei dati crittografati può essere eseguita solo dai sistemi Nets Host. Tutti gli scambi di chiavi tra l'host Nets, lo strumento Key/Inject (per terminali Tetra) e il PED vengono effettuati in forma crittografata.
Le procedure per il Key Management sono implementate da Nets secondo uno schema DUKPT utilizzando la crittografia 3DES.
Tutte le chiavi e i componenti chiave utilizzati dai terminali Nets vengono generati utilizzando processi casuali o pseudocasuali approvati. Le chiavi e i componenti chiave utilizzati dai terminali Nets sono generati dal sistema di gestione delle chiavi Nets, che utilizza unità HSM Thales Payshield approvate per generare chiavi crittografiche.
11
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
La gestione delle chiavi è indipendente dalla funzionalità di pagamento. Il caricamento di una nuova applicazione pertanto non richiede la modifica delle funzionalità principali. Lo spazio chiave del terminale supporterà circa 2,097,152 transazioni. Quando lo spazio della chiave è esaurito, il terminale Viking smette di funzionare e mostra un messaggio di errore, quindi è necessario sostituire il terminale.
4.9 Riavvio "24 ore su XNUMX".
Tutti i terminali Viking sono PCI-PTS 4.x e versioni successive e quindi seguono i requisiti di conformità secondo cui il terminale PCI-PTS 4.x deve riavviarsi almeno una volta ogni 24 ore per cancellare la RAM e proteggere ulteriormente l'hardware del terminale dall'utilizzo per ottenere il pagamento dati della carta.
Un altro vantaggio del ciclo di riavvio "24 ore" è che le perdite di memoria saranno mitigate e avranno un impatto minore per il commerciante (non che dovremmo accettare problemi di perdita di memoria.
Il commerciante può impostare l'ora di riavvio dall'opzione del menu del terminale su "Ora di riavvio". L'orario di riavvio è impostato in base all'orologio "24 ore" e assumerà il formato HH:MM.
Il meccanismo di ripristino è progettato per garantire un ripristino del terminale almeno una volta ogni 24 ore consecutive. Per soddisfare questa esigenza è stata definita una fascia oraria, denominata “intervallo di ripristino”, rappresentata da Tmin e Tmax. Questo periodo rappresenta l'intervallo di tempo in cui è consentito il ripristino. A seconda del caso aziendale, l'”intervallo di ripristino” viene personalizzato durante la fase di installazione del terminale. In base alla progettazione, questo periodo non può essere inferiore a 30 minuti. Durante questo periodo il reset avviene ogni giorno 5 minuti prima (su T3) come spiegato nello schema seguente:
4.10 Lista bianca
La whitelist è una procedura per determinare se i PAN elencati come whitelist possono essere visualizzati in testo non crittografato. Viking utilizza 3 campi per determinare i PAN inseriti nella whitelist che vengono letti dalle configurazioni scaricate dal sistema di gestione del terminale.
Quando un `flag di conformità' nell'host Nets è impostato su Y, le informazioni dal sistema di gestione Nets Host o Terminal vengono scaricate sul terminale, all'avvio del terminale. Questo flag di conformità viene utilizzato per determinare i PAN autorizzati che vengono letti dal set di dati.
Il flag "Track2ECR" determina se i dati Track2 possono essere gestiti (inviati/ricevuti) dall'ECR per un emittente specificato. A seconda del valore di questo flag, si determina se i dati della traccia2 devono essere visualizzati in modalità locale su ECR.
Il `campo formato stampa' determina come verrà visualizzato il PAN. Le schede in ambito PCI avranno tutte il formato di stampa impostato per visualizzare il PAN in forma troncata/mascherata.
12
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
5. Autenticazione e controlli di accesso
5.1 Controllo degli accessi
L'applicazione di pagamento Viking non dispone di account utente o password corrispondenti, pertanto l'applicazione di pagamento Viking è esente da questo requisito.
· Configurazione integrata ECR: non è possibile accedere a tipi di transazione come Rimborso, Deposito e Storno dal menu del terminale per proteggere queste funzioni dall'uso improprio. Questi sono i tipi di transazione in cui avviene il flusso di denaro dal conto del commerciante al conto del titolare della carta. È responsabilità del commerciante garantire che ECR venga utilizzato solo da utenti autorizzati.
· Configurazione autonoma: il controllo dell'accesso alla carta commerciante è abilitato per impostazione predefinita per accedere a tipi di transazione come rimborso, deposito e storno dal menu del terminale per rendere queste funzioni sicure da eventuali abusi. Il terminale Viking è configurato per impostazione predefinita per proteggere le opzioni del menu, per impedire l'accesso non autorizzato. I parametri per configurare il menu Sicurezza rientrano nel Menu Commerciante (accessibile con una carta Commerciante) -> Parametri -> Sicurezza
Menu Proteggi Impostato su "Sì" per impostazione predefinita. Il pulsante Menu sul terminale è protetto utilizzando la configurazione del menu Proteggi. L'accesso al menu è consentito solo al Commerciante che utilizza la carta commerciante.
13
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
Proteggi inversione Impostato su "Sì" per impostazione predefinita. Lo storno di una transazione può essere effettuato solo dal commerciante utilizzando la carta commerciante per accedere al menu di storno.
Proteggi riconciliazione Impostato su "Sì" per impostazione predefinita L'opzione per la riconciliazione è accessibile solo dal commerciante con la carta commerciante quando questa protezione è impostata su true.
Proteggi collegamento Impostato su "Sì" per impostazione predefinita Menu di scelta rapida con le opzioni per viewLe informazioni sul terminale e l'opzione per l'aggiornamento dei parametri Bluetooth saranno disponibili per il commerciante solo quando viene strisciata la carta del commerciante.
14
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
5.2 Controlli tramite password
L'applicazione di pagamento Viking non dispone di account utente o password corrispondenti; pertanto, l'applicazione Viking è esente da questo requisito.
6. Registrazione
6.1 Applicabilità del Commerciante
Attualmente, per l'applicazione di pagamento Nets Viking, non esistono impostazioni di registro PCI configurabili dall'utente finale.
6.2 Configurare le impostazioni del registro
L'applicazione di pagamento Viking non dispone di account utente, quindi la registrazione conforme PCI non è applicabile. Anche nella registrazione delle transazioni più dettagliata, l'applicazione di pagamento Viking non registra alcun dato sensibile di autenticazione o dato del titolare della carta.
6.3 Registrazione centrale
Il terminale ha un meccanismo di registro generico. Il meccanismo include anche la registrazione della creazione e dell'eliminazione degli eseguibili S/W.
Le attività di download del software vengono registrate e possono essere trasferite all'host manualmente tramite una scelta dal menu nel terminale o su richiesta dall'host contrassegnato nel traffico delle transazioni ordinarie. Se l'attivazione del download del software non riesce a causa di firme digitali non valide sul documento ricevuto files, l'incidente viene registrato e trasferito all'Host automaticamente e immediatamente.
6.4 6.3.1 Abilita traccia Accesso al terminale
Per abilitare la registrazione della traccia:
1 carta Commerciante magnetica. 2 Quindi nel menu selezionare “9 Menu di sistema”. 3 Andare quindi al menu “2 Registro di sistema”. 4 Digitare il codice tecnico, che è possibile ottenere chiamando il supporto Nets Merchant Service. 5 Selezionare “8 Parametri”. 6 Quindi abilitare “Registrazione” su “Sì”.
6.5 6.3.2 Inviare i log di traccia all'host
Per inviare i log di traccia:
1 Premere il tasto Menu sul terminale e poi Swipe Merchant card. 2 Quindi nel menu principale selezionare “7 Menu operatore”. 3 Selezionare quindi “5 Invia registri di traccia” per inviare i registri di traccia all'host.
15
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
6.6 6.3.3 Registrazione traccia remota
Nel Nets Host (PSP) viene impostato un parametro che abiliterà/disabiliterà la funzionalità di registrazione della traccia del terminale in remoto. Nets Host invierà il parametro di abilitazione/disabilitazione della traccia al terminale nel set di dati insieme all'orario pianificato in cui il terminale caricherà i registri di traccia. Quando il terminale riceve il parametro Trace come abilitato, inizierà ad acquisire i registri di traccia e all'orario pianificato caricherà tutti i registri di traccia e successivamente disabiliterà la funzionalità di registrazione.
6.7 6.3.4 Registrazione remota degli errori
I log degli errori sono sempre abilitati sul terminale. Come la registrazione della traccia, nell'host Nets viene impostato un parametro che abiliterà/disabiliterà la funzionalità di registrazione degli errori del terminale in remoto. Nets Host invierà il parametro di abilitazione/disabilitazione della traccia al terminale nel set di dati insieme all'orario pianificato in cui il terminale caricherà i log degli errori. Quando il terminale riceve il parametro di registrazione degli errori come abilitato, inizierà ad acquisire i registri degli errori e all'orario pianificato caricherà tutti i registri degli errori e successivamente disabiliterà la funzionalità di registrazione.
7. Reti senza fili
7.1 Applicabilità del Commerciante
Terminale di pagamento Viking – MOVE 3500 e Link2500 hanno la capacità di connettersi alla rete Wi-Fi. Pertanto, affinché il wireless venga implementato in modo sicuro, è necessario prendere in considerazione l'installazione e la configurazione della rete wireless come descritto di seguito.
7.2 Configurazioni wireless consigliate
Sono numerose le considerazioni e i passaggi da eseguire durante la configurazione delle reti wireless connesse alla rete interna.
Come minimo, devono essere presenti le seguenti impostazioni e configurazioni:
· Tutte le reti wireless devono essere segmentate utilizzando un firewall; se sono necessarie connessioni tra la rete wireless e l'ambiente dei dati dei titolari di carta, l'accesso deve essere controllato e protetto dal firewall.
· Modificare l'SSID predefinito e disabilitare la trasmissione dell'SSID · Modificare le password predefinite sia per le connessioni wireless che per i punti di accesso wireless, ciò include
accesso esclusivo e stringhe comunità SNMP · Modificare eventuali altre impostazioni predefinite di sicurezza fornite o impostate dal fornitore · Assicurarsi che i punti di accesso wireless siano aggiornati al firmware più recente · Utilizzare solo WPA o WPA2 con chiavi complesse, WEP è vietato e non deve mai essere utilizzato · Modificare le chiavi WPA/WPA2 al momento dell'installazione, nonché regolarmente e ogni volta che una persona con
la conoscenza delle chiavi lascia l’azienda
16
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
8. Segmentazione della rete
8.1 Applicabilità del Commerciante
L'applicazione di pagamento Viking non è un'applicazione di pagamento basata su server e risiede su un terminale. Per questo motivo la richiesta di pagamento non necessita di alcun aggiustamento per soddisfare questo requisito. Per conoscenza generale dell'esercente, i dati delle carte di credito non possono essere memorizzati su sistemi collegati direttamente ad Internet. Per esampLui, web i server e i server di database non devono essere installati sullo stesso server. È necessario impostare una zona demilitarizzata (DMZ) per segmentare la rete in modo che solo le macchine sulla DMZ siano accessibili a Internet.
9. Accesso remoto
9.1 Applicabilità del Commerciante
Non è possibile accedere all'applicazione di pagamento Viking da remoto. Il supporto remoto avviene solo tra un membro del personale di supporto Nets e il commerciante tramite telefono o da Nets direttamente in loco con il commerciante.
10.Trasmissione di dati sensibili
10.1 Trasmissione di dati sensibili
L'applicazione di pagamento Viking protegge i dati sensibili e/o i dati dei titolari di carta in transito utilizzando la crittografia a livello di messaggio utilizzando 3DES-DUKPT (112 bit) per tutte le trasmissioni (comprese le reti pubbliche). Non sono richiesti protocolli di sicurezza per le comunicazioni IP dall'applicazione Viking all'host poiché la crittografia a livello di messaggio viene implementata utilizzando 3DES-DUKPT (112 bit) come descritto sopra. Questo schema di crittografia garantisce che, anche se le transazioni vengono intercettate, non possono essere modificate o compromesse in alcun modo se 3DES-DUKPT (112 bit) rimane considerata una crittografia forte. Secondo lo schema di gestione delle chiavi DUKPT, la chiave 3DES utilizzata è unica per ogni transazione.
10.2 Condivisione di dati sensibili con altri software
L'applicazione di pagamento Viking non fornisce alcuna interfaccia/API/interfaccia logica per consentire la condivisione dei dati del conto in chiaro direttamente con altri software. Nessun dato sensibile o dato dell'account in testo non crittografato viene condiviso con altri software tramite API esposte.
10.3 Email e dati sensibili
L'applicazione di pagamento Viking non supporta nativamente l'invio di email.
10.4 Accesso amministrativo non da console
Viking non supporta l'accesso amministrativo non da console. Tuttavia, per conoscenza generale dell'esercente, l'accesso amministrativo non da console deve utilizzare SSH, VPN o TLS per la crittografia di tutti gli accessi amministrativi non da console ai server nell'ambiente dei dati dei titolari di carta. Non è consentito utilizzare Telnet o altri metodi di accesso non crittografati.
17
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
11. Metodologia di controllo delle versioni Viking
La metodologia di controllo delle versioni di Nets consiste in un numero di versione S/W in due parti: a.bb
dove "a" verrà incrementato quando vengono apportate modifiche ad alto impatto secondo lo standard software PCI-Secure. a – versione principale (1 cifra)
Il valore "bb" verrà incrementato quando verranno apportate modifiche pianificate a basso impatto secondo lo standard software PCI-Secure. bb – versione minore (2 cifre)
Il numero di versione S/W dell'applicazione di pagamento Viking viene visualizzato in questo modo sullo schermo del terminale quando il terminale è acceso: "abb"
· Un aggiornamento, ad esempio, da 1.00 a 2.00 è un aggiornamento funzionale significativo. Potrebbe includere modifiche con impatto sulla sicurezza o sui requisiti PCI Secure Software Standard.
· Un aggiornamento ad esempio da 1.00 a 1.01 è un aggiornamento funzionale non significativo. Potrebbe non includere modifiche con impatto sulla sicurezza o sui requisiti PCI Secure Software Standard.
Tutte le modifiche sono rappresentate in ordine numerico sequenziale.
12. Istruzioni sull'installazione sicura di patch e aggiornamenti.
Nets fornisce in modo sicuro aggiornamenti delle applicazioni di pagamento remoto. Questi aggiornamenti avvengono sullo stesso canale di comunicazione delle transazioni di pagamento sicure e il commerciante non è tenuto ad apportare alcuna modifica a questo percorso di comunicazione per conformità.
Quando è disponibile una patch, Nets aggiornerà la versione della patch su Nets Host. Il commerciante riceverà le patch tramite una richiesta automatizzata di download del software oppure il commerciante può anche avviare il download del software dal menu del terminale.
Per informazioni generali, i commercianti dovrebbero sviluppare una politica di utilizzo accettabile per le tecnologie critiche rivolte ai dipendenti, secondo le linee guida riportate di seguito per VPN o altre connessioni ad alta velocità, gli aggiornamenti vengono ricevuti tramite un firewall o un firewall personale.
L'host Nets è disponibile via Internet utilizzando un accesso sicuro o tramite una rete chiusa. Con la rete chiusa, il fornitore di rete ha una connessione diretta al nostro ambiente host offerto dal proprio fornitore di rete. I terminali sono gestiti tramite i servizi di gestione dei terminali Nets. Il servizio di gestione del terminale definisce ad esample la regione di appartenenza del terminale e l'acquirente in uso. La gestione del terminale è anche responsabile dell'aggiornamento del software del terminale in remoto sulla rete. Nets garantisce che il software caricato sul terminale abbia completato le certificazioni richieste.
Nets consiglia punti di controllo a tutti i suoi clienti per garantire pagamenti sicuri come elencato di seguito: 1. Tieni un elenco di tutti i terminali di pagamento operativi e scatta foto da tutte le dimensioni in modo da sapere come dovrebbero essere. 2. Cerca segni evidenti di tampproblemi quali sigilli rotti sulle piastre o sulle viti del coperchio di accesso, cavi strani o diversi o un nuovo dispositivo hardware che non è possibile riconoscere. 3. Proteggi i tuoi terminali dalla portata dei clienti quando non sono in uso. Ispeziona quotidianamente i tuoi terminali di pagamento e altri dispositivi in grado di leggere le carte di pagamento. 4. È necessario verificare l'identità del personale addetto alle riparazioni se si prevedono riparazioni del terminale di pagamento. 5. Chiama immediatamente Nets o la tua banca se sospetti qualsiasi attività non ovvia. 6. Se ritieni che il tuo dispositivo POS sia vulnerabile al furto, allora sono disponibili per l'acquisto in commercio supporti di servizio, imbracature e attacchi di sicurezza. Potrebbe valere la pena considerare il loro utilizzo.
18
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
13.Aggiornamenti sulla versione di Viking
Il software Viking viene rilasciato nei seguenti cicli di rilascio (soggetto a modifiche):
· 2 versioni principali all'anno · 2 versioni minori all'anno · Patch software, come e quando richiesto (ad esempio a causa di problemi critici di bug/vulnerabilità). Se un
Il rilascio è operativo sul campo e vengono segnalati alcuni problemi critici, si prevede che entro un mese verrà rilasciata una patch software con la correzione.
I commercianti verrebbero informati delle versioni (principali/minori/patch) tramite e-mail inviate direttamente ai rispettivi indirizzi e-mail. L'e-mail conterrà anche i principali punti salienti del rilascio e le note di rilascio.
I commercianti possono anche accedere alle note di rilascio che verranno caricate su:
Note sulla versione del software (nets.eu)
Le versioni di Viking Software vengono firmate utilizzando lo strumento di canto di Ingenico per terminali Tetra. Sul terminale è possibile caricare solo software firmato.
14. Requisiti non applicabili
Questa sezione contiene un elenco di requisiti dello standard software PCI-Secure che è stato valutato come "Non applicabile" all'applicazione di pagamento Viking e la relativa giustificazione.
Standard software sicuro PCI
CO
Attività
Giustificazione per essere "Non applicabile"
5.3
Metodi di autenticazione (inclusa la creazione di sessioni) L'applicazione di pagamento Viking viene eseguita su POI PTS approvati PCI
dentials) sono sufficientemente forti e robusti per il dispositivo.
proteggere le credenziali di autenticazione dall'essere
l'applicazione di pagamento contraffatta, contraffatta, trapelata, indovinata o aggirata non offre servizi locali, non console
ventilato.
o accesso remoto, né livello di privilegi, quindi non esiste alcuna autorizzazione
credenziali di identificazione nel dispositivo POI PTS.
L'applicazione di pagamento Viking non fornisce impostazioni per gestire o generare ID utente e non fornisce alcun accesso locale, non da console o remoto alle risorse critiche (anche a scopo di debug).
5.4
Per impostazione predefinita, tutti gli accessi alle risorse critiche vengono ripristinati.
L'applicazione di pagamento Viking viene eseguita su POI PTS approvati PCI
limitato solo agli account e ai servizi del dispositivo.
che richiedono tale accesso.
L'applicazione di pagamento Viking non fornisce impostazioni per
gestire o generare account o servizi.
7.3
Tutti i numeri casuali utilizzati dal software sono l'applicazione di pagamento Viking che non utilizza alcun RNG (random
generato utilizzando solo generatori di numeri casuali approvati) per le sue funzioni di crittografia.
algoritmi o librerie di generazione di fibre (RNG).
19
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
Gli algoritmi o le librerie RNG approvati sono quelli che soddisfano gli standard di settore per un'imprevedibilità sufficiente (ad esempio, pubblicazione speciale NIST 800-22).
L'applicazione di pagamento Viking non genera né utilizza numeri casuali per le funzioni crittografiche.
7.4
I valori casuali hanno un'entropia che soddisfa l'applicazione di pagamento Viking che non utilizza alcun RNG (random
requisiti minimi di resistenza effettiva del generatore di numeri) per le sue funzioni di crittografia.
le primitive crittografiche e le chiavi su cui si basano
su di loro.
L'applicazione di pagamento Viking non ne genera né utilizza alcuno
numeri casuali per funzioni crittografiche.
8.1
Tutti i tentativi di accesso e l'utilizzo di risorse critiche. L'applicazione di pagamento Viking viene eseguita su POI PTS approvati da PCI
è tracciato e riconducibile a un individuo unico. dispositivi, dove avviene tutta la gestione delle risorse critiche, e il
Il firmware POI PTS garantisce la riservatezza e l'integrità dei dati inviati
dati positivi mentre sono memorizzati nel dispositivo PTS POI.
La riservatezza, l'integrità e la resilienza delle funzioni sensibili dell'applicazione di pagamento Viking sono protette e fornite dal firmware PTS POI. Il firmware PTS POI impedisce qualsiasi accesso alle risorse critiche al di fuori del terminale e si affida alla tecnologia anti-tampcaratteristiche interessanti.
L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non vi sono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione di pagamento Viking è in grado di gestire risorse critiche
8.2
Tutta l'attività viene acquisita in modo sufficiente e necessario. L'applicazione di pagamento Viking viene eseguita su POI PTS approvati PCI
sary dettaglio per descrivere accuratamente quali dispositivi specifici.
sono state eseguite le attività, chi le ha eseguite
loro, l'ora in cui sono stati eseguiti e
L'applicazione di pagamento Viking non offre servizi locali, non console
quali asset critici sono stati colpiti.
o accesso remoto, né livello di privilegi, quindi non esiste
persona o altri sistemi con accesso esclusivo a risorse critiche
L'applicazione di pagamento Viking è in grado di gestire risorse critiche.
· L'applicazione di pagamento Viking non fornisce modalità operative privilegiate.
· Non sono presenti funzioni per disattivare la crittografia dei dati sensibili
· Non sono presenti funzioni per la decrittazione dei dati sensibili
· Non esistono funzioni per esportare dati sensibili verso altri sistemi o processi
· Non sono supportate funzionalità di autenticazione
I controlli e le funzionalità di sicurezza non possono essere disabilitati né eliminati.
8.3
Il software supporta la conservazione sicura delle applicazioni di pagamento de-Viking eseguite su POI PTS approvati PCI
registrazioni delle attività in coda.
dispositivi.
20
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
8.4 miliardi di euro
L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non esistono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione di pagamento Viking è in grado di gestire risorse critiche.
· L'applicazione di pagamento Viking non fornisce modalità operative privilegiate.
· Non sono presenti funzioni per disattivare la crittografia dei dati sensibili
· Non sono presenti funzioni per la decrittazione dei dati sensibili
· Non esistono funzioni per esportare dati sensibili verso altri sistemi o processi
· Non sono supportate funzionalità di autenticazione
I controlli e le funzionalità di sicurezza non possono essere disabilitati né eliminati.
Il software gestisce gli errori nei meccanismi di tracciamento delle attività in modo tale da preservare l'integrità dei record delle attività esistenti.
L'applicazione di pagamento Viking funziona su dispositivi POI PTS approvati PCI.
L'applicazione di pagamento Viking non offre accesso locale, non da console o remoto, né livello di privilegi, quindi non esistono persone o altri sistemi con accesso a risorse critiche, solo l'applicazione Viking è in grado di gestire risorse critiche.
· L'applicazione di pagamento Viking non fornisce modalità operative privilegiate.
· Non sono presenti funzioni per disattivare la crittografia dei dati sensibili
· Non sono presenti funzioni per la decrittazione dei dati sensibili
· Non esistono funzioni per esportare dati sensibili verso altri sistemi o processi
· Non sono supportate funzionalità di autenticazione
· I controlli e le funzionalità di sicurezza non possono essere disattivati né eliminati.
Il fornitore del software conserva la documentazione che descrive tutte le opzioni configurabili che possono influire sulla sicurezza dei dati sensibili.
L'applicazione di pagamento Viking funziona su dispositivi POI PTS approvati PCI.
L'applicazione di pagamento Viking non fornisce agli utenti finali quanto segue:
· opzione configurabile per l'accesso ai dati sensibili
21
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· opzione configurabile per modificare i meccanismi di protezione dei dati sensibili
· accesso remoto all'applicazione
· aggiornamenti remoti dell'applicazione
· opzione configurabile per modificare le impostazioni predefinite dell'applicazione
Il software utilizza solo le funzioni di generazione di numeri casuali incluse nella valutazione del dispositivo PTS del terminale di pagamento per tutte le operazioni crittografiche che coinvolgono dati sensibili o funzioni sensibili in cui sono richiesti valori casuali e non implementa le proprie
Viking non utilizza alcun RNG (generatore di numeri casuali) per le sue funzioni di crittografia.
L'applicazione Viking non genera né utilizza numeri casuali per le funzioni crittografiche.
funzioni di generazione di numeri casuali.
L'integrità del prompt del software files è protetto in conformità con l'Obiettivo di Controllo B.2.8.
Tutti i prompt visualizzati sul terminale Viking sono codificati nell'applicazione e nessun prompt filesono presenti all'esterno dell'applicazione.
Nessun prompt fileSe esistono elementi esterni all'applicazione di pagamento Viking, tutte le informazioni necessarie vengono generate dall'applicazione.
La guida all'implementazione include istruzioni per le parti interessate su come firmare crittograficamente tutti i prompt files.
Tutti i prompt visualizzati sul terminale Viking sono codificati nell'applicazione e nessun prompt filesono presenti all'esterno dell'applicazione.
Nessun prompt fileSe esistono elementi esterni all'applicazione di pagamento Viking, tutte le informazioni necessarie vengono generate dall'applicazione
22
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
15. Riferimento ai requisiti standard del software PCI Secure
Capitoli in questo documento 2. Applicazione di pagamento sicuro
Requisiti standard del software PCI Secure
B.2.1 6.1 12.1 12.1.b
Requisiti PCI DSS
2.2.3
3. Software remoto sicuro
11.1
Aggiornamenti
11.2
12.1
1&12.3.9 2, 8 e 10
4. Cancellazione sicura dei dati sensibili e protezione dei dati archiviati dei titolari di carta
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Autenticazione e controlli di accesso 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 e 8.2 8.1 e 8.2
Registrazione
3.6
10.1
8.1
10.5.3
8.3
Rete senza fili
4.1
1.2.3 e 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1
Segmentazione della rete Trasmissione ad accesso remoto dei dati dei titolari di carta
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Metodologia di controllo delle versioni Viking
11.2 12.1.b
Istruzioni per i clienti su 11.1
installazione sicura delle patch e 11.2
aggiornamenti.
12.1
23
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
16. Glossario dei termini
Dati del titolare della carta TERM
DUKPT
Commerciante 3DES SSF
PA-QSA
DEFINIZIONE
Banda magnetica completa o PAN più uno dei seguenti: · Nome del titolare della carta · Data di scadenza · Codice di servizio
Derived Unique Key Per Transaction (DUKPT) è uno schema di gestione delle chiavi in cui per ogni transazione viene utilizzata una chiave univoca derivata da una chiave fissa. Pertanto, se una chiave derivata viene compromessa, i dati delle transazioni future e passate sono comunque protetti poiché le chiavi successive o precedenti non possono essere determinate facilmente.
In crittografia, Triple DES (3DES o TDES), ufficialmente Triple Data Encryption Algorithm (TDEA o Triple DEA), è un codice a blocchi a chiave simmetrica, che applica l'algoritmo di crittografia DES tre volte a ciascun blocco di dati.
L'utente finale e acquirente del prodotto Viking.
Il PCI Software Security Framework (SSF) è una raccolta di standard e programmi per la progettazione e lo sviluppo sicuri di software di pagamento. La sicurezza dei software di pagamento è una parte cruciale del flusso delle transazioni di pagamento ed è essenziale per facilitare operazioni di pagamento affidabili e accurate.
Valutatori di sicurezza qualificati per applicazioni di pagamento. Società QSA che fornisce servizi ai fornitori di applicazioni di pagamento per convalidare le applicazioni di pagamento dei fornitori.
SAD (dati sensibili di autenticazione)
Informazioni relative alla sicurezza (codici/valori di convalida della carta, dati di tracciamento completi, PIN e blocchi PIN) utilizzate per autenticare i titolari della carta, visualizzati in formato testo normale o altrimenti non protetto. La divulgazione, la modifica o la distruzione di queste informazioni potrebbe compromettere la sicurezza di un dispositivo crittografico, di un sistema informativo o delle informazioni del titolare della carta o potrebbe essere utilizzata in una transazione fraudolenta. I dati sensibili di autenticazione non devono mai essere archiviati al termine di una transazione.
Vichingo HSM
La piattaforma software utilizzata da Nets per lo sviluppo di applicazioni per il mercato europeo.
Modulo di sicurezza hardware
24
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
17. Controllo dei documenti
Autore del documento, Reviewe approvatori
Descrizione Responsabile della conformità allo sviluppo SSA Architetto di sistema Proprietario del prodotto QA Responsabile del prodotto Direttore tecnico
Funzione Riviewer Autore Reviewer e approvatore Reviewer e approvatore Reviewer e approvatore Reviewresponsabile er e responsabile approvazione
Nome Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Riepilogo delle modifiche
Numero versione 1.0
1.0
1.1
Data della versione 03-08-2022
Numero di telefono: 15-09-2022
Numero di telefono: 20-12-2022
Natura del cambiamento
Prima versione per lo standard software PCI-Secure
Aggiornata sezione 14 con gli obiettivi di controllo non applicabili con la loro giustificazione
Aggiornate le sezioni 2.1.2 e 2.2
con Self4000.
RIMOSSO
Link2500 (versione PTS 4.x) da
elenco dei terminali supportati
Cambia autore Aruna Panicker Aruna Panicker
Aruna Panicker
Reviewer
Data di approvazione
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Sezione 2.2 aggiornata con Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) per aver continuato il supporto
per questo tipo di terminale.
1.2
20-03-2023 Aggiornata sezione 2.1.1 con la lettone Aruna Panicker Shamsher Singh 21-04-23
e Terminal Pro lituanofiles.
E 2.1.2 con comunicazione BT-iOS-
supporto del tipo di zione
2.0
03-08-2023 Versione di rilascio versione aggiornata ad Aruna Panicker Shamsher Singh 13-09-23
2.00 nell'intestazione/piè di pagina.
Sezione 2.2 aggiornata con novità
Hardware e firmware del Move3500
versioni. Sezione 11 aggiornata per
"Metodologia di controllo delle versioni Viking".
Sezione 1.3 aggiornata con le ultime novità
versione dei requisiti PCI SSS
guida. Sezione 2.2 aggiornata per il sup-
terminali portati rimossi non supportati
versioni hardware portate da
lista.
2.0
16-11-2023 Aggiornamento visivo (CVI).
Leyla Avsar
Arno Ekstrom 16-11-23
25
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
Lista di distribuzione
Nome Dipartimento Terminale Gestione Prodotto
Sviluppo delle funzioni, test, gestione dei progetti, team di gestione del prodotto del terminale di conformità, prodotto del responsabile della conformità
Approvazioni di documenti
Nome Arto Kangas
Proprietario del prodotto della funzione
Documento Review Piani
Questo documento sarà riviewredatto ed aggiornato, se necessario, come di seguito definito:
· Secondo necessità di correzione o arricchimento dei contenuti informativi · A seguito di eventuali cambiamenti organizzativi o ristrutturazioni · A seguito di una revisione annualeview · A seguito dello sfruttamento di una vulnerabilità · A seguito di nuove informazioni/requisiti riguardanti le vulnerabilità rilevanti
26
Guida all'implementazione del fornitore dello standard software PCI-Secure v2.0 per Viking Terminal 2.00
Documenti / Risorse
 |
reti il software standard PCI-Secure [pdf] Guida utente Software standard PCI sicuro, PCI sicuro, software standard, software |
