PCI-Secure標準ソフトウェア
製品情報: PCI-Secure ソフトウェア標準ベンダー
バイキングターミナル 2.00 の実装ガイド
仕様
バージョン: 2.0
1. 概要と範囲
1.1 はじめに
PCI-Secure ソフトウェア標準ベンダー実装ガイド
バイキングにソフトウェアを実装するためのガイドラインを提供します。
ターミナル2.00。
1.2 ソフトウェア セキュリティ フレームワーク (SSF)
ソフトウェア セキュリティ フレームワーク (SSF) により、安全な支払いが保証されます。
バイキングターミナル 2.00 上のアプリケーション。
1.3 ソフトウェア ベンダー実装ガイド – 配布と
アップデート
このガイドには配布とアップデートに関する情報が含まれています
ソフトウェア ベンダーによるバイキング ターミナル実装ガイド
2.00.
2. 安全な支払いアプリケーション
2.1 アプリケーションソフトウェア
安全な支払いアプリケーション ソフトウェアにより安全性が確保されます。
支払いホストおよび ECR との通信。
2.1.1 決済ホスト通信 TCP/IPパラメータ設定
このセクションでは、TCP/IP のセットアップ手順について説明します。
支払いホストと通信するためのパラメータ。
2.1.2 ECR通信
このセクションでは、
ECR(電子キャッシュレジスター)。
2.1.3 ECR を介したホストへの通信
このセクションでは、通信を確立する方法について説明します。
ECRを使用した支払いホスト。
2.2 サポートされる端末ハードウェア
安全な支払いアプリケーションは、Viking Terminal 2.00 をサポートします。
ハードウェア。
2.3 セキュリティポリシー
このセクションでは、セキュリティ ポリシーの概要を説明します。
安全な支払いアプリケーションを使用する場合はこれに従います。
3. 安全なリモート ソフトウェア アップデート
3.1 加盟店の適用可能性
このセクションでは、安全なセキュリティの適用性に関する情報を提供します。
販売者向けのリモート ソフトウェア アップデート。
3.2 利用規約
このセクションでは、安全な使用に関するポリシーの概要を説明します。
リモートソフトウェアアップデート。
3.3 パーソナルファイアウォール
パーソナル ファイアウォールを設定して許可する手順
このセクションでは、安全なリモート ソフトウェア アップデートが提供されます。
3.4 リモートアップデート手順
ここではセキュアなセキュリティを実現するための手順について説明します。
リモートソフトウェアアップデート。
4. 機密データの安全な削除と保存されたデータの保護
カード会員データ
4.1 加盟店の適用可能性
このセクションでは、安全なセキュリティの適用性に関する情報を提供します。
機密データの削除と保存されたカード所有者データの保護
商人向け。
4.2 安全な削除手順
機密データを安全に削除するための手順が提供されます
このセクションでは。
4.3 カード所有者データの保存場所
このセクションでは、カード会員データが保存される場所をリストします。
そしてそれを保護するためのガイダンスを提供します。
ここでは、延期された場合の手順について説明します。
承認トランザクションを安全に実行します。
4.5 トラブルシューティング手順
セキュリティに関連する問題のトラブルシューティング手順
保存されているカード所有者データの削除と保護は、
このセクション。
4.6 PAN の場所 – 表示または印刷
このセクションでは、PAN (プライマリ アカウント) が接続される場所を特定します。
番号)が表示または印刷され、安全に関するガイダンスが提供されます。
それ。
4.7 プロンプト files
プロンプトの管理手順 fileは安全に提供されます
このセクション。
4.8キー管理
このセクションでは、安全性を確保するための鍵管理手順について説明します。
保存されたカード会員データのセキュリティ。
4.9 「24時間」再起動
システムを確実にするために「24 時間」再起動を実行する手順
セキュリティはこのセクションで提供されます。
4.10 ホワイトリスト登録
このセクションでは、ホワイトリストとそのホワイトリストに関する情報を提供します。
システムのセキュリティを維持する上での重要性。
5. 認証とアクセス制御
このセクションでは、認証とアクセス制御の手段について説明します。
システムのセキュリティを確保するため。
よくある質問(FAQ)
Q: PCI-Secure ソフトウェア標準の目的は何ですか?
ベンダー実装ガイド?
A: このガイドでは、安全な支払いを実装するためのガイドラインが提供されています。
バイキングターミナル 2.00 上のアプリケーション ソフトウェア。
Q: 安全な支払いに対応している端末ハードウェアはどれですか?
応用?
A: 安全な支払いアプリケーションは、Viking ターミナルをサポートしています。
2.00ハードウェア。
Q: 機密データを安全に削除するにはどうすればよいですか?
A: 機密データを安全に削除する手順は次のとおりです。
ガイドのセクション 4.2 に記載されています。
Q: ホワイトリスト登録の重要性は何ですか?
A: ホワイトリストはシステムを維持する上で重要な役割を果たします
承認されたアプリケーションのみの実行を許可することでセキュリティを強化します。
このコンテンツは内部コンテンツとして分類されています
ネッツ デンマーク A/S:
PCI-Secure ソフトウェア標準ソフトウェア ベンダーによるバイキング ターミナル 2.00 実装ガイド
バージョン 2.0
PCI セキュア ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用) 1 1
コンテンツ
1. 概要と範囲……………………………………………………………………。 3
1.1
導入 …………………………………………………………………………………。 3
1.2
ソフトウェア セキュリティ フレームワーク (SSF)…………………………………………。 3
1.3
ソフトウェア ベンダー導入ガイド – 配布とアップデート …… 3
2. 安全な支払いアプリケーション…………………………………………………………………… 4
2.1
アプリケーションS/W……………………………………………………………………。 4
2.1.1 決済ホスト通信 TCP/IP パラメータ設定 …………………….. 4
2.1.2 ECR通信……………………………………………………………………。 5
2.1.3 ECR を介したホストへの通信……………………………………………………。 5
2.2
サポートされている端末ハードウェア …………………………………………………….. 6
2.3
セキュリティポリシー……………………………………………………………………。 7
3. 安全なリモート ソフトウェア アップデート……………………………………………………。 8
3.1
加盟店の適用…………………………………………………………………… 8
3.2
利用規定………………………………………………………………。 8
3.3
パーソナルファイアウォール………………………………………………………………………… 8
3.4
リモートアップデート手順 ……………………………………………………………… 8
4. 機密データの安全な削除と保存されたカード所有者データの保護9
4.1
加盟店の適用…………………………………………………………………… 9
4.2
安全な削除手順…………………………………………………………………… 9
4.3
カード会員データの保存場所……………………………………………….. 9
4.4
遅延承認トランザクション………………………………………………。 10
4.5
トラブルシューティングの手順 ……………………………………………………………… 10
4.6
PAN の位置 – 表示または印刷 …………………………………………………… 10
4.7
プロンプト file………………………………………………………………………….. 11
4.8
キー管理…………………………………………………………………………………… 11
4.9
「24 HR」再起動……………………………………………………………………。 12
4.10 ホワイトリスト…………………………………………………………………………………… 12
5. 認証とアクセス制御………………………………………………。 13
5.1
アクセス制御 ……………………………………………………………………………。 13
5.2
パスワード管理………………………………………………………………。 15
6. ロギング ………………………………………………………………………….. 15
6.1
加盟店の適用………………………………………………………………。 15
6.2
ログ設定を構成します…………………………………………………………。 15
6.3
集中ロギング ………………………………………………………………………… 15
6.3.1 端末へのログ記録を有効にする ………………………………………………………… 15
6.3.2 トレースログをホストに送信 …………………………………………………………………… 15
6.3.3 リモートトレースログ………………………………………………………………。 16
6.3.4 リモートエラーログ………………………………………………………………。 16
7. ワイヤレスネットワーク ………………………………………………………………………… 16
7.1
加盟店の適用………………………………………………………………。 16
7.2
推奨される無線構成 …………………………………………………… 16
8. ネットワークのセグメンテーション……………………………………………………………….. 17
8.1
加盟店の適用………………………………………………………………。 17
9. リモートアクセス ………………………………………………………………………… 17
9.1
加盟店の適用………………………………………………………………。 17
10.
機密データの送信…………………………………………………….. 17
10.1 機密データの送信 ……………………………………………………………… 17
10.2 機密データを他のソフトウェアと共有する ………………………………………….. 17
10.3 電子メールと機密データ…………………………………………………………。 17
10.4 非コンソール管理アクセス………………………………………………。 17
11.
バイキングのバージョニング方法………………………………………………。 18
12.
パッチとアップデートの安全なインストールに関する手順。 …………。 18
13.
バイキング リリースの最新情報…………………………………………………………。 19
14.
適用されない要件……………………………………………………。 19
15.
PCI セキュア ソフトウェア標準要件リファレンス ………………………… 23
16.
用語集……………………………………………………………………。 24
17.
文書管理 ………………………………………………………………………… 25
2
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
1. 概要と範囲
1.1 はじめに
この PCI セキュア ソフトウェア標準ソフトウェア ベンダー実装ガイドの目的は、バイキング ソフトウェアの安全な実装、構成、操作に関する明確かつ徹底したガイダンスを関係者に提供することです。このガイドでは、PCI セキュア ソフトウェア標準に準拠した方法でネッツのバイキング アプリケーションを環境に実装する方法を販売者に説明します。ただし、完全なインストール ガイドを目的としたものではありません。ここに記載されているガイドラインに従ってバイキング アプリケーションをインストールすると、販売者の PCI コンプライアンスを促進し、サポートできるようになります。
1.2 ソフトウェア セキュリティ フレームワーク (SSF)
PCI ソフトウェア セキュリティ フレームワーク (SSF) は、支払いアプリケーション ソフトウェアの安全な設計と開発のための標準とプログラムの集合です。 SSF は、Payment Application Data Security Standard (PA-DSS) を、より幅広い種類の支払いソフトウェア、テクノロジ、開発手法をサポートする最新の要件に置き換えます。決済ソフトウェアを開発および保守するための PCI Secure Software Standard などのセキュリティ標準をベンダーに提供し、決済トランザクションとデータを保護し、脆弱性を最小限に抑え、攻撃から防御します。
1.3 ソフトウェア ベンダー実装ガイド – 配布とアップデート
この PCI セキュア ソフトウェア標準ソフトウェア ベンダー実装ガイドは、販売業者を含むすべての関連アプリケーション ユーザーに配布される必要があります。少なくとも年に一度、ソフトウェアの変更後に更新する必要があります。毎年恒例の再view 更新には、新しいソフトウェアの変更とセキュア ソフトウェア標準の変更が含まれている必要があります。
ネッツは上場企業の情報を公開しています web導入ガイドに更新がある場合は、サイトを参照してください。
Webサイト: https://support.nets.eu/
例:ampファイル: Nets PCI-Secure Software Standard ソフトウェア ベンダー実装ガイドは、すべての顧客、再販業者、およびインテグレータに配布されます。顧客、再販業者、インテグレーターには、担当者から通知されます。viewとアップデート。
PCI-Secure ソフトウェア標準ソフトウェア ベンダー実装ガイドの更新情報は、Nets に直接連絡することによっても入手できます。
この PCI-Secure ソフトウェア標準ソフトウェア ベンダー実装ガイドでは、PCI-Secure ソフトウェア標準と PCI 要件の両方について言及しています。このガイドでは次のバージョンが参照されています。
· PCI セキュア ソフトウェア標準 v1_2_1
3
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
2. 安全な支払いアプリケーション
2.1 アプリケーションソフトウェア
バイキング支払いアプリケーションは、バイキング組み込みアプリケーションに属さない外部ソフトウェアまたはハードウェアを使用しません。バイキング支払いアプリケーションに属するすべての S/W 実行可能ファイルは、Ingenico が提供する Tetra 署名キットを使用してデジタル署名されています。
· 端末は、イーサネット、GPRS、Wi-Fi、または POS アプリケーションを実行している PC-LAN 経由で、TCP/IP を使用して Nets ホストと通信します。また、端末は、Wi-Fi または GPRS 接続を備えたモバイル経由でホストと通信できます。
バイキング端末は、Ingenico リンク層コンポーネントを使用してすべての通信を管理します。このコンポーネントは端末にロードされるアプリケーションです。リンク層は、異なる周辺機器 (例: モデムとシリアル ポート) を使用して、複数の通信を同時に管理できます。ample)。
現在、次のプロトコルをサポートしています。
· 物理: RS232、内部モデム、外部モデム (RS232 経由)、USB、イーサネット、Wi-Fi、Bluetooth、GSM、GPRS、3G および 4G。
· データリンク: SDLC、PPP。 · ネットワーク: IP。 · トランスポート: TCP。
端末は常に、Nets ホストへの通信を確立する主導権を握ります。端末には TCP/IP サーバー S/W が存在せず、端末 S/W は着信に応答しません。
PC 上の POS アプリケーションと統合すると、RS232、USB、または Bluetooth を使用して POS アプリケーションを実行する PC-LAN 経由で通信するように端末をセットアップできます。それでも、支払いアプリケーションのすべての機能は端末 S/W で実行されます。
アプリケーション プロトコル (および適用される暗号化) は透過的であり、通信の種類に依存しません。
2.2 決済ホスト通信 TCP/IPパラメータ設定
4
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
2.3 ECR通信
· RS232 シリアル · USB 接続 · TCP/IP パラメータ設定 (ECR over IP とも呼ばれます)
· バイキング支払いアプリケーションのホスト/ECR 通信オプション
· Nets Cloud ECR (Connect@Cloud) パラメーターの構成
2.4 ECR を介したホストへの通信
注: 国固有の TCP/IP ポートについては、「2.1.1- 支払いホスト通信 TCP/IP パラメータの設定」を参照してください。
5
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
2.5 サポートされる端末ハードウェア
バイキング支払いアプリケーションは、さまざまな PTS (PIN トランザクション セキュリティ) 検証済みの Ingenico デバイスでサポートされています。端末ハードウェアのリストとその PTS 承認番号を以下に示します。
Tetra 端子の種類
端末ハードウェア
レーン3000
PTS
PTSの承認
バージョン番号
5.x
4-30310
PTS ハードウェア バージョン
LAN30EA LAN30AA
デスク3500
5.x
4-20321
DES35BB
3500を移動
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
リンク2500
リンク2500 セルフ4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
PTS ファームウェアのバージョン
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
2.6 セキュリティポリシー
バイキング支払いアプリケーションは、Ingenico が指定する該当するすべてのセキュリティ ポリシーに準拠しています。一般的な情報として、さまざまな Tetra 端末のセキュリティ ポリシーへのリンクを以下に示します。
端末タイプ
リンク2500 (v4)
セキュリティ ポリシー文書リンク/2500 PCI PTS セキュリティ ポリシー (pcisecuritystandards.org)
リンク2500 (v5)
PCI PTS セキュリティ ポリシー (pcisecuritystandards.org)
デスク3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
ムーブ3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
レーン3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
セルフ4000
Self/4000 PCI PTS セキュリティ ポリシー (pcisecuritystandards.org)
7
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
3. 安全なリモート ソフトウェア アップデート
3.1 加盟店の適用可能性
Nets は、Viking 支払いアプリケーションの更新をリモートで安全に配信します。これらの更新は安全な支払いトランザクションと同じ通信チャネルで行われるため、販売者はコンプライアンスのためにこの通信パスに変更を加える必要はありません。
一般的な情報として、加盟店は、VPN またはその他の高速接続に関する以下のガイドラインに従って、ファイアウォールまたはパーソナル ファイアウォール経由で更新を受信する、従業員向けの重要なテクノロジーの許容使用ポリシーを作成する必要があります。
3.2 利用規約
加盟店は、モデムやワイヤレス デバイスなど、従業員向けの重要なテクノロジの使用ポリシーを作成する必要があります。 これらの使用ポリシーには、次のものが含まれている必要があります。
· 管理者の使用に対する明示的な承認。 · 使用のための認証。 · アクセス権を持つすべてのデバイスと担当者のリスト。 · デバイスに所有者のラベルを付ける。・連絡先および目的。 · テクノロジーの許容される用途。 · テクノロジに許容されるネットワークの場所。・社内承認品リスト。 · 必要な場合にのみベンダー向けモデムの使用を許可し、使用後は非アクティブ化します。 · リモート接続時のカード会員データのローカル メディアへの保存の禁止。
3.3 パーソナルファイアウォール
コンピュータから VPN またはその他の高速接続への「常時接続」接続は、パーソナル ファイアウォール製品を使用して保護する必要があります。 ファイアウォールは、特定の基準を満たすように組織によって構成され、従業員が変更することはできません。
3.4 リモートアップデート手順
アップデートのために端末が Nets ソフトウェア センターに接続するようにトリガーするには 2 つの方法があります。
1. 端末のメニュー オプション (加盟店カードをスワイプし、メニュー 8「ソフトウェア」、1 「ソフトウェアの取得」を選択) を介して手動で実行するか、ホストによって開始されます。
2. ホスト開始方式を使用します。端末は金融取引を実行した後、ホストからコマンドを自動的に受信します。このコマンドは、Nets ソフトウェア センターに連絡してアップデートを確認するように端末に指示します。
ソフトウェアのアップデートが成功すると、プリンタ内蔵の端末から新しいバージョンの情報が記載されたレシートが印刷されます。
ターミナル インテグレータ、パートナー、および/または Nets テクニカル サポート チームは、更新された実装ガイドおよびリリース ノートへのリンクを含め、販売者に更新を通知する責任を負います。
ソフトウェア更新後の領収書に加えて、Viking 支払いアプリケーションは、端末で「F3」キーを押して端末情報を介して検証することもできます。
8
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
4. 機密データの安全な削除と保存されたカード所有者データの保護
4.1 加盟店の適用可能性
バイキング支払いアプリケーションは、磁気ストライプ データ、カード検証値またはコード、PIN または PIN ブロック データ、暗号鍵マテリアル、または以前のバージョンの暗号文を保存しません。
PCI に準拠するには、加盟店はカード所有者のデータを保持する期間を定義するデータ保持ポリシーを策定する必要があります。バイキング支払いアプリケーションは、カード所有者データおよび/または最後の取引の機密認証データを保持しており、PCI セキュア ソフトウェア標準準拠と同時にオフラインまたは延期された認証トランザクションが存在する場合に備えて、支払いアプリケーションは、加盟店のカード会員データ保持ポリシー。
4.2 安全な削除手順
端末には機密の認証データは保存されません。フルトラック 2、CVC、CVV、または PIN (認証前でも後でも)。ただし、遅延認証トランザクションの場合は、認証が完了するまで暗号化された機密認証データ (完全なトラック 2 データ) が保存されます。承認後、データは安全に削除されます。
端末内に存在する禁止された履歴データのインスタンスは、端末のバイキング支払いアプリケーションがアップグレードされると自動的に安全に削除されます。禁止されている履歴データと保持ポリシーを過ぎたデータの削除は自動的に行われます。
4.3 カード所有者データの保存場所
カード所有者のデータは Flash DFS (データ) に保存されます。 File システム)端末の。販売者はデータに直接アクセスできません。
データストア (file、テーブルなど)
保存されたカード所有者データ要素 (PAN、有効期限、SAD の任意の要素)
データ ストアのセキュリティを確保する方法 (例:ampファイル、暗号化、アクセス制御、切り捨てなど)
File: トランスRSD
PAN、有効期限、サービスコード
PAN: 暗号化された 3DES-DUKPT (112 ビット)
File:storefwd.rsd PAN、有効期限、サービスコード
PAN: 暗号化された 3DES-DUKPT (112 ビット)
File:transoff.rsd PAN、有効期限、サービスコード
PAN: 暗号化された 3DES-DUKPT (112 ビット)
File: transorr.rsd 切り捨てられた PAN
切り捨て (最初の 6 つ、最後の 4 つ)
File: offlrep.dat
切り詰められたPAN
切り捨て (最初の 6 つ、最後の 4 つ)
File:defauth.rsd PAN、有効期限、サービスコード
PAN: 暗号化された 3DES-DUKPT (112 ビット)
File:defauth.rsd 完全なトラック 2 データ
フル Track2 データ: 事前に暗号化された 3DES-DUKPT (112 ビット)
9
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
4.4 遅延認可トランザクション
遅延オーソリは、販売者が接続、システムの問題、またはその他の制限によりカード所有者との取引時にオーソリを完了できず、その後、完了できるようになったときにオーソリを完了するときに発生します。
つまり、カードが使用できなくなった後にオンライン認証が実行されると、遅延認証が発生します。遅延承認トランザクションのオンライン承認が遅れるため、後でネットワークが利用可能になってトランザクションが正常に承認されるまで、トランザクションは端末に保存されます。
トランザクションは保存され、後でホストに送信されます。これは、現在の時点でのオフライン トランザクションがバイキング支払いアプリケーションに保存されている方法と同様です。
販売者は、電子キャッシュ レジスタ (ECR) から、または端末メニューを介して、「遅延承認」として取引を開始できます。
延期承認トランザクションは、マーチャントが以下のオプションを使用して Nets ホストにアップロードできます。 1. ECR – 管理コマンド – オフラインで送信 (0x3138) 2. ターミナル – マーチャント -> 2 EOT -> 2 がホストに送信
4.5 トラブルシューティング手順
Nets サポートは、トラブルシューティングの目的で機密の認証やカード所有者のデータを要求することはありません。バイキング支払いアプリケーションは、いかなる場合でも機密データの収集やトラブルシューティングを行うことができません。
4.6 PAN の場所 – 表示または印刷
マスクされたPAN:
· 金融取引のレシート: マスクされた PAN は、カード所有者と販売者の両方の取引レシートに常に印刷されます。ほとんどの場合、マスクされた PAN には * が付き、最初の 6 桁と最後の 4 桁がクリア テキストになります。
· トランザクション リスト レポート: トランザクション リスト レポートには、セッションで実行されたトランザクションが表示されます。取引の詳細には、マスクされた PAN、カード発行会社名、取引金額が含まれます。
· 最後の顧客レシート: 最後の顧客レシートのコピーは、端末のコピー メニューから生成できます。顧客レシートには、元の顧客レシートとしてマスクされた PAN が含まれています。指定された関数は、端末が何らかの理由で取引中に顧客の領収書の生成に失敗した場合に使用されます。
暗号化されたPAN:
· オフライン トランザクション レシート: オフライン トランザクションの小売店レシート バージョンには、Triple DES 112 ビット DUKPT で暗号化されたカード所有者データ (PAN、有効期限、サービス コード) が含まれています。
BAX: 71448400-714484 12/08/2022 10:39
ビザ非接触型 ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 AID: A0000000031010 TVR: 0000000000 StoreID: 123461 Ref.: 000004 000000 KC3
10
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
回答者: Y1 セッション: 782
購入
ノルウェークローネ
12,00
承認された
小売業者のコピー
確認:
バイキング支払いアプリケーションは、オフライン トランザクションの保存、NETS ホストへの送信、およびオフライン トランザクションの小売店のレシートに暗号化されたカード データを印刷するために、デフォルトでカード所有者データを常に暗号化します。
また、カード PAN を表示または印刷するために、Viking 支払いアプリケーションは常に PAN の数字をアスタリスク `*' でマスクし、デフォルトでは最初の 6 桁と最後の 4 桁をクリアします。カード番号の印刷形式は端末管理システムによって制御されており、適切なチャネルを通じて要求し、ビジネス上の正当な必要性を提示することによって印刷形式を変更できますが、バイキング支払いアプリケーションの場合はそのようなケースはありません。
Exampマスクされた PAN のファイル: PAN: 957852181428133823-2
最小情報: **************3823-2
最大情報: 957852********3823-2
4.7 プロンプト files
バイキング支払いアプリケーションには個別のプロンプトが表示されません files.
バイキング支払いアプリケーションは、署名されたバイキング支払いアプリケーション内のメッセージング システムの一部である表示プロンプトを通じてカード所有者の入力を要求します。
端末には PIN や金額などのプロンプトが表示され、カード所有者の入力を待ちます。カード所有者から受け取った入力は保存されません。
4.8キー管理
Tetra の一連の端末モデルでは、すべてのセキュリティ機能は、支払いアプリケーションから保護された PTS デバイスの安全な領域で実行されます。
暗号化は安全な領域内で実行されますが、暗号化されたデータの復号化は Nets ホスト システムによってのみ実行できます。 Nets ホスト、キー/インジェクト ツール (Tetra 端末用)、および PED の間のすべてのキー交換は、暗号化された形式で行われます。
キー管理の手順は、3DES 暗号化を使用する DUKPT スキームに従って Nets によって実装されます。
Nets 端末で使用されるすべてのキーとキー コンポーネントは、承認されたランダムまたは疑似ランダム プロセスを使用して生成されます。 Nets 端末で使用されるキーとキー コンポーネントは、Nets キー管理システムによって生成されます。このシステムは、承認された Thales Payshield HSM ユニットを使用して暗号キーを生成します。
11
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
キー管理は支払い機能から独立しています。したがって、新しいアプリケーションをロードしても、主要な機能を変更する必要はありません。端末のキー スペースは、約 2,097,152 のトランザクションをサポートします。キーのスペースがなくなると、Viking ターミナルは動作を停止し、エラー メッセージが表示され、ターミナルを交換する必要があります。
4.9 「24 時間」の再起動
すべてのバイキング端末は PCI-PTS 4.x 以降であるため、PCI-PTS 4.x 端末は少なくとも 24 時間に XNUMX 回再起動して RAM を消去し、端末のハードウェアが支払いを取得するために使用されないようにするというコンプライアンス要件に従っています。カードデータ。
「24 時間」再起動サイクルのもう XNUMX つの利点は、メモリ リークが軽減され、販売者への影響が少なくなることです (メモリ リークの問題を受け入れるべきというわけではありません)。
販売者は、端末のメニュー オプションから再起動時間を「再起動時間」に設定できます。再起動時間は「24 時間」クロックに基づいて設定され、HH:MM の形式になります。
リセット メカニズムは、24 時間の実行ごとに少なくとも 30 回は端末がリセットされるように設計されています。この要件を満たすために、Tmin と Tmax で表される「リセット間隔」と呼ばれるタイムスロットが定義されています。この期間は、リセットが許可される時間間隔を表します。ビジネスケースに応じて、「リセット間隔」は端末のインストール段階でカスタマイズされます。設計上、この期間を 5 分より短くすることはできません。この期間中、次の図で説明されているように、リセットは毎日 3 分前 (TXNUMX) に行われます。
4.10 ホワイトリスト登録
ホワイトリスト登録は、ホワイトリストとしてリストされている PAN をクリア テキストで表示できるかどうかを決定する手順です。バイキングは、端末管理システムからダウンロードされた設定から読み取られるホワイトリストに登録された PAN を決定するために 3 つのフィールドを使用します。
Nets ホストの「準拠フラグ」が Y に設定されている場合、端末の起動時に、Nets ホストまたは端末管理システムからの情報が端末にダウンロードされます。このコンプライアンス フラグは、データセットから読み取られるホワイトリストに登録された PAN を決定するために使用されます。
「Track2ECR」フラグは、指定された発行者の ECR による Track2 データの処理 (送信/受信) が許可されているかどうかを決定します。このフラグの値に応じて、トラック 2 データを ECR 上のローカル モードで表示するかどうかが決定されます。
「印刷形式フィールド」は、PAN がどのように表示されるかを決定します。 PCI スコープ内のカードはすべて、PAN を切り捨て/マスクされた形式で表示するように設定された印刷形式を持ちます。
12
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
5. 認証とアクセス制御
5.1アクセス制御
バイキング支払いアプリケーションにはユーザー アカウントや対応するパスワードがないため、バイキング支払いアプリケーションはこの要件から免除されます。
· ECR 統合セットアップ: これらの機能が悪用されないようにするため、ターミナル メニューから返金、入金、取消などの取引タイプにアクセスすることはできません。これらは、販売者のアカウントからカード所有者のアカウントへの資金の流れが発生する取引タイプです。 ECR が許可されたユーザーのみに使用されるようにするのは販売者の責任です。
· スタンドアロン セットアップ: マーチャント カードのアクセス制御はデフォルトで有効になっており、ターミナル メニューから返金、入金、取消などの取引タイプにアクセスできるため、これらの機能が悪用されないように保護されています。バイキング ターミナルは、不正アクセスを防ぐために、メニュー オプションを保護するようにデフォルトで設定されています。メニューのセキュリティを設定するパラメータは、「加盟店メニュー」(加盟店カードでアクセス可能) -> 「パラメータ」 -> 「セキュリティ」に分類されます。
「保護」メニュー デフォルトでは「はい」に設定されています。端末のメニュー ボタンは、保護メニュー設定を使用して保護されます。メニューには、加盟店カードを使用する加盟店のみがアクセスできます。
13
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
反転保護 デフォルトでは「はい」に設定されています。取引の取り消しは、販売者カードを使用して取り消しメニューにアクセスする販売者のみが行うことができます。
調整の保護 デフォルトで「はい」に設定されます。 この保護が true に設定されている場合、調整のオプションは販売者カードを持つ販売者のみがアクセスできます。
ショートカットを保護 デフォルトで「はい」に設定 view端末情報と Bluetooth パラメータを更新するオプションは、加盟店カードがスワイプされた場合にのみ加盟店に利用可能になります。
14
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
5.2 パスワード制御
バイキング支払いアプリケーションにはユーザー アカウントや対応するパスワードがありません。したがって、Viking アプリケーションはこの要件から免除されます。
6。 ロギング
6.1 加盟店の適用可能性
現在、Netsバイキング支払いアプリケーションには、エンドユーザーが構成可能なPCIログ設定はありません。
6.2 ログ設定の構成
バイキング支払いアプリケーションにはユーザー アカウントがないため、PCI 準拠のログは適用されません。最も詳細なトランザクション ログであっても、Viking 支払いアプリケーションは機密性の高い認証データやカード所有者データをログに記録しません。
6.3 集中ログ記録
端末には汎用のログメカニズムがあります。このメカニズムには、S/W 実行可能ファイルの作成と削除のログも含まれます。
ソフトウェアのダウンロード アクティビティはログに記録され、ターミナルのメニュー選択を介して手動でホストに転送することも、通常のトランザクション トラフィックでフラグが立てられたホストからの要求に応じてホストに転送することもできます。受信したファイルのデジタル署名が無効なために S/W ダウンロードのアクティベーションが失敗した場合 files、インシデントはログに記録され、自動的かつ即時にホストに転送されます。
6.4 6.3.1 端末でのトレースログの有効化
トレースログを有効にするには:
1 販売者カードをスワイプします。 2 次に、メニューで「9 システムメニュー」を選択します。 3 次にメニュー「2 システムログ」に進みます。 4 技術者コードを入力します。このコードは、Nets Merchant Service サポートに電話することで取得できます。 5 「8パラメータ」を選択します。 6 次に、「ログ」を「はい」に設定します。
6.5 6.3.2 トレースログをホストに送信する
トレース ログを送信するには:
1 端末のメニュー キーを押してから、加盟店カードをスワイプします。 2 次に、メイン メニューで「7 オペレータ メニュー」を選択します。 3 次に、「5 トレース ログの送信」を選択して、トレース ログをホストに送信します。
15
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
6.6 6.3.3 リモートトレースログ
Nets Host (PSP) にパラメータが設定され、ターミナルのトレース ログ機能をリモートで有効/無効にします。 Nets ホストは、ターミナルがトレース ログをアップロードするスケジュールされた時刻とともに、データ セット内のトレース有効化/無効化ログ パラメータをターミナルに送信します。端末が有効な Trace パラメータを受け取ると、トレース ログのキャプチャを開始し、スケジュールされた時刻にすべてのトレース ログをアップロードし、その後ログ機能を無効にします。
6.7 6.3.4 リモートエラーログ
エラー ログは端末上で常に有効になっています。トレース ログと同様に、ターミナルのエラー ログ機能をリモートで有効/無効にするパラメーターが Nets ホストに設定されます。 Nets ホストは、ターミナルがエラー ログをアップロードするスケジュールされた時刻とともに、データ セット内のトレース有効/無効ログ パラメータをターミナルに送信します。ターミナルがエラー ログ パラメータを有効として受け取ると、エラー ログのキャプチャが開始され、スケジュールされた時刻にすべてのエラー ログがアップロードされ、その後ログ機能が無効になります。
7. ワイヤレスネットワーク
7.1 加盟店の適用可能性
バイキング決済端末 – MOVE 3500 および Link2500 は Wi-Fi ネットワークに接続する機能を備えています。したがって、ワイヤレスを安全に実装するには、ワイヤレス ネットワークのインストールと構成時に、以下で詳しく説明するように考慮する必要があります。
7.2 推奨されるワイヤレス構成
内部ネットワークに接続されているワイヤレス ネットワークを構成する場合は、多くの考慮事項と手順を実行する必要があります。
少なくとも、次の設定と構成が必要です。
· すべてのワイヤレス ネットワークは、ファイアウォールを使用してセグメント化する必要があります。ワイヤレス ネットワークとカード所有者のデータ環境の間の接続が必要な場合、アクセスはファイアウォールによって制御され、保護される必要があります。
· デフォルトの SSID を変更し、SSID ブロードキャストを無効にします。 · ワイヤレス接続とワイヤレス アクセス ポイントの両方のデフォルトのパスワードを変更します。これには、
唯一のアクセスおよび SNMP コミュニティ文字列 · ベンダーによって提供または設定されているその他のセキュリティのデフォルトを変更します · ワイヤレス アクセス ポイントが最新のファームウェアに更新されていることを確認します · 強力なキーを持つ WPA または WPA2 のみを使用します。WEP は禁止されており、決して使用してはなりません· WPA/WPA2 キーは、インストール時だけでなく、定期的に、またユーザーが使用するたびに変更してください。
鍵に関する知識があれば退職する
16
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
8. ネットワークのセグメンテーション
8.1 加盟店の適用可能性
バイキング支払いアプリケーションはサーバーベースの支払いアプリケーションではなく、端末上に常駐します。このため、支払いアプリケーションでは、この要件を満たすための調整は必要ありません。販売業者の一般的な知識として、クレジット カード データはインターネットに直接接続されたシステムには保存できません。元の場合ampル、 web サーバーとデータベース サーバーを同じサーバーにインストールしないでください。非武装地帯 (DMZ) 上のマシンのみがインターネットにアクセスできるように、ネットワークをセグメント化するためにセットアップする必要があります。
9. リモートアクセス
9.1 加盟店の適用可能性
バイキング支払いアプリケーションにはリモートからアクセスできません。リモート サポートは、ネッツのサポート スタッフ メンバーとマーチャントの間で電話で、またはネッツが直接オンサイトでマーチャントとの間でのみ行われます。
10.機密データの送信
10.1 機密データの送信
バイキング支払いアプリケーションは、すべての送信 (公衆ネットワークを含む) に 3DES-DUKPT (112 ビット) を使用したメッセージ レベルの暗号化を使用して、送信中の機密データやカード所有者データを保護します。上で説明したように、メッセージ レベルの暗号化は 3DES-DUKPT (112 ビット) を使用して実装されるため、バイキング アプリケーションからホストへの IP 通信にセキュリティ プロトコルは必要ありません。この暗号化スキームにより、トランザクションが傍受された場合でも、3DES-DUKPT (112 ビット) が強力な暗号化とみなされている限り、いかなる方法でも変更または侵害されることはありません。 DUKPT キー管理スキームに従って、使用される 3DES キーは各トランザクションに固有です。
10.2 機密データを他のソフトウェアと共有する
バイキング支払いアプリケーションは、平文のアカウント データを他のソフトウェアと直接共有できるようにするための論理インターフェイス/API を提供しません。公開された API を通じて、機密データや平文のアカウント データが他のソフトウェアと共有されることはありません。
10.3 電子メールと機密データ
バイキング支払いアプリケーションは、電子メールの送信をネイティブにサポートしていません。
10.4 非コンソール管理アクセス
バイキングは、コンソール以外の管理アクセスをサポートしていません。ただし、加盟店の一般知識として、非コンソール管理アクセスでは、カード所有者データ環境内のサーバーへのすべての非コンソール管理アクセスの暗号化に SSH、VPN、または TLS のいずれかを使用する必要があります。 Telnet またはその他の暗号化されていないアクセス方法は使用しないでください。
17
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
11. バイキングのバージョン管理方法論
Nets のバージョン管理方法は、次の 2 つの部分からなる S/W バージョン番号で構成されます: a.bb
ここで、「a」は、PCI-Secure Software Standard に従って影響の大きい変更が行われた場合に増分されます。 a – メジャー バージョン (1 桁)
「bb」は、PCI-Secure Software Standard に従って、影響の少ない計画された変更が行われると増分されます。 bb – マイナー バージョン (2 桁)
バイキング支払いアプリケーションの S/W バージョン番号は、端末の電源を入れると端末画面に次のように表示されます: `abb'
· 1.00 から 2.00 へのアップデートなどは、重要な機能アップデートです。これには、セキュリティまたは PCI セキュア ソフトウェア スタンダードの要件に影響を与える変更が含まれる場合があります。
· 1.00 から 1.01 へのアップデートなどは、重要ではない機能アップデートです。セキュリティまたは PCI セキュア ソフトウェア スタンダードの要件に影響を与える変更は含まれない場合があります。
すべての変更は連続した数値順に表されます。
12. パッチとアップデートの安全なインストールに関する手順。
Nets はリモート決済アプリケーションのアップデートを安全に配信します。これらの更新は安全な支払いトランザクションと同じ通信チャネルで行われるため、販売者はコンプライアンスのためにこの通信パスに変更を加える必要はありません。
パッチがある場合、Nets は Nets ホスト上のパッチ バージョンを更新します。販売者は、自動化された S/W ダウンロード リクエストを通じてパッチを取得するか、端末メニューからソフトウェアのダウンロードを開始することもできます。
一般的な情報として、加盟店は、VPN またはその他の高速接続に関する以下のガイドラインに従って、従業員向けの重要なテクノロジについて許容可能な使用ポリシーを作成する必要があります。更新はファイアウォールまたは人事ファイアウォールを通じて受信されます。
Nets ホストは、安全なアクセスを使用するインターネット経由、または閉じたネットワーク経由で利用できます。クローズド ネットワークでは、ネットワーク プロバイダーは、ネットワーク プロバイダーから提供されるホスト環境に直接接続します。端末はネッツ端末管理サービスを通じて管理されます。端末管理サービスは、ex に対して次のように定義します。amp端末が属する地域と使用中の取得者。端末管理は、ネットワーク経由で端末ソフトウェアをリモートでアップグレードする責任もあります。 Nets は、端末にアップロードされたソフトウェアが必要な認証を完了していることを確認します。
Nets は、安全で確実な支払いを保証するために、以下に示すチェック ポイントをすべての顧客に推奨します。 1. 稼働中のすべての支払い端末のリストを作成し、あらゆる角度から写真を撮って、それらがどのようなものであるかを把握します。 2. 明らかな兆候を探します。ampアクセス カバー プレートやネジのシールの破損、奇妙または異なるケーブル配線、または認識できない新しいハードウェア デバイスなどの異常が考えられます。 3. 使用していないときは、お客様の手の届かないところに端末を保護してください。支払い端末や、支払いカードを読み取ることができるその他のデバイスを毎日検査してください。 4. 決済端末の修理を予定している場合は、修理担当者の身元を確認する必要があります。 5. 不審な行為が疑われる場合は、直ちに Nets または銀行に電話してください。 6. POS デバイスが盗難に対して脆弱であると思われる場合は、サービス クレードル、安全なハーネス、およびテザーを市販で購入できます。それらの使用を検討する価値があるかもしれません。
18
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
13.バイキングのリリースアップデート
バイキング ソフトウェアは、次のリリース サイクルでリリースされます (変更される場合があります)。
· 年に 2 つのメジャー リリース · 年に 2 つのマイナー リリース · 必要に応じたソフトウェア パッチ (重大なバグ/脆弱性の問題などによる)。もし
リリースが現場で運用され、いくつかの重大な問題が報告された場合、修正を含むソフトウェア パッチが 1 か月以内にリリースされる予定です。
販売者は、それぞれの電子メール アドレスに直接送信される電子メールを通じてリリース (メジャー/マイナー/パッチ) について通知されます。この電子メールには、リリースとリリース ノートの主要なハイライトも含まれます。
販売者は、次の場所にアップロードされるリリース ノートにもアクセスできます。
ソフトウェア リリース ノート (nets.eu)
バイキング ソフトウェア リリースは、Tetra ターミナル用の Ingenico の歌唱ツールを使用して署名されています。署名されたソフトウェアのみを端末にロードできます。
14. 適用されない要件
このセクションには、Viking 支払いアプリケーションに「適用できない」と評価された PCI-Secure ソフトウェア標準の要件のリストと、その正当な理由が記載されています。
PCI セキュア ソフトウェア規格
CO
活動
「該当しない」ことの正当化
5.3
認証方法 (セッション作成を含む) - バイキング支払いアプリケーションは PCI 承認済み PTS POI で実行されます。
歯)は、デバイスに対して十分な強度と堅牢性を備えています。
認証資格情報が漏えいしないように保護する
偽造、なりすまし、漏洩、推測、または迂回 - バイキング支払いアプリケーションは、ローカルの非コンソールを提供しません
通気された。
リモートアクセスや特権レベルがないため、認証はありません。
PTS POI デバイスの認証資格情報。
バイキング支払いアプリケーションは、ユーザー ID を管理または生成するための設定を提供せず、重要な資産へのローカル、非コンソール、またはリモート アクセスを (デバッグ目的であっても) 提供しません。
5.4
デフォルトでは、重要な資産へのすべてのアクセスは再実行されます。
バイキング支払いアプリケーションは PCI 承認済みの PTS POI で実行されます
これらのアカウントとサービス デバイスのみに制限されます。
そのようなアクセスを必要とするもの。
バイキング支払いアプリケーションには設定がありません
アカウントまたはサービスを管理または生成します。
7.3
ソフトウェアで使用されるすべての乱数は、バイキング支払いアプリケーションでは RNG (ランダムな値) を使用しません。
暗号化機能には承認された乱数生成器のみを使用して生成されます。
ber 生成 (RNG) アルゴリズムまたはライブラリ。
19
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
承認された RNG アルゴリズムまたはライブラリは、十分な予測不可能性に関する業界標準を満たしているものです (NIST Special Publication 800-22 など)。
バイキング支払いアプリケーションは、暗号化機能のための乱数を生成したり使用したりしません。
7.4
ランダム値には、バイキング支払いアプリケーションを満たすエントロピーがあり、RNG は使用されません (ランダム
ナンバージェネレーターの暗号化機能の最小実効強度要件)。
依存する暗号化プリミティブとキー
それらについて。
バイキング支払いアプリケーションは、
暗号化関数の乱数。
8.1
重要な資産へのすべてのアクセス試行と使用方法 バイキング支払いアプリケーションは PCI 承認済みの PTS POI で実行されます
追跡され、一意の個人に到達することが可能です。すべての重要な資産の処理が行われるデバイス、および
PTS POI ファームウェアは、センシングの機密性と完全性を保証します。
PTS POI デバイス内に保存されている間の正のデータ。
バイキング支払いアプリケーションの機密機能の機密性、完全性、回復力は、PTS POI ファームウェアによって保護され、提供されます。 PTS POI ファームウェアは、端末からの重要な資産へのアクセスを防止し、アンチウイルスに依存します。amp鋭い特徴。
バイキング支払いアプリケーションは、ローカル、非コンソール、またはリモート アクセスや特権レベルを提供しないため、重要な資産にアクセスできる人や他のシステムは存在せず、バイキング支払いアプリケーションのみが重要な資産を処理できます。
8.2
すべてのアクティビティは必要に応じて十分にキャプチャされます。Viking 支払いアプリケーションは PCI 承認済みの PTS POI で実行されます。
特定のデバイスを正確に説明するための詳細。
アクティビティが実行されました、実行した人
それら、それらが演奏された時間、そして
バイキング支払いアプリケーションはローカルの非コンソールを提供していません
どの重要な資産が影響を受けたか。
リモートアクセスや特権のレベルなどはありません。
重要な資産にアクセスできる個人またはその他のシステムのみ
バイキング支払いアプリケーションは重要な資産を処理できます。
· バイキング支払いアプリケーションは、特権モードの操作を提供しません。
・機密データの暗号化を無効にする機能はありません
· 機密データを復号化する機能はありません
· 機密データを他のシステムまたはプロセスにエクスポートする機能はありません
· 認証機能はサポートされていません
セキュリティ制御とセキュリティ機能を無効にしたり、削除したりすることはできません。
8.3
このソフトウェアは、PCI 承認の PTS POI で実行されるバイキング決済アプリケーションの安全な保持をサポートします。
追跡された活動記録。
デバイス。
20
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
8.4B.1.3
バイキング支払いアプリケーションは、ローカル、非コンソール、またはリモート アクセスや特権レベルを提供しないため、重要な資産にアクセスできる人や他のシステムは存在せず、バイキング支払いアプリケーションのみが重要な資産を処理できます。
· バイキング支払いアプリケーションは、特権モードの操作を提供しません。
・機密データの暗号化を無効にする機能はありません
· 機密データを復号化する機能はありません
· 機密データを他のシステムまたはプロセスにエクスポートする機能はありません
· 認証機能はサポートされていません
セキュリティ制御とセキュリティ機能を無効にしたり、削除したりすることはできません。
このソフトウェアは、既存のアクティビティ記録の整合性が保たれるように、アクティビティ追跡メカニズムの障害を処理します。
バイキング支払いアプリケーションは、PCI 承認の PTS POI デバイス上で実行されます。
バイキング支払いアプリケーションは、ローカル、非コンソール、またはリモート アクセスや特権レベルを提供しないため、重要な資産にアクセスできる人や他のシステムは存在せず、バイキング アプリケーションだけが重要な資産を処理できます。
· バイキング支払いアプリケーションは、特権モードの操作を提供しません。
・機密データの暗号化を無効にする機能はありません
· 機密データを復号化する機能はありません
· 機密データを他のシステムまたはプロセスにエクスポートする機能はありません
· 認証機能はサポートされていません
· セキュリティ制御とセキュリティ機能を無効にしたり、削除したりすることはできません。
ソフトウェア ベンダーは、機密データのセキュリティに影響を与える可能性のあるすべての構成可能なオプションを説明したドキュメントを維持しています。
バイキング支払いアプリケーションは、PCI 承認の PTS POI デバイス上で実行されます。
バイキング支払いアプリケーションは、エンドユーザーに次のいずれも提供しません。
· 機密データにアクセスするための構成可能なオプション
21
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
B.2.4 B.2.9 B.5.1.5
· 機密データを保護するメカニズムを変更する構成可能なオプション
· アプリケーションへのリモート アクセス
· アプリケーションのリモート更新
· アプリケーションのデフォルト設定を変更する構成可能なオプション
このソフトウェアは、機密データまたは乱数値が必要な機密機能を含むすべての暗号化操作に対して、決済端末の PTS デバイス評価に含まれる乱数生成関数のみを使用し、独自の関数は実装しません。
バイキングは暗号化機能に RNG (乱数生成器) を使用しません。
バイキング アプリケーションは、暗号化機能用に乱数を生成したり使用したりしません。
乱数生成関数。
ソフトウェアの整合性を求めるプロンプト files は管理目標 B.2.8 に従って保護されます。
バイキング端末上のすべてのプロンプト表示はアプリケーションでエンコードされており、プロンプトは表示されません fileはアプリケーションの外部に存在します。
プロンプトなし file■ バイキング支払いアプリケーションの外部に存在する場合、必要な情報はすべてアプリケーションによって生成されます。
実装ガイダンスには、関係者がすべてのプロンプトに暗号署名するための手順が含まれています files.
バイキング端末に表示されるすべてのプロンプトはアプリケーションでエンコードされており、プロンプトは表示されません fileはアプリケーションの外部に存在します。
プロンプトなし fileバイキング支払いアプリケーションの外部に存在し、必要な情報はすべてアプリケーションによって生成されます
22
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
15. PCI セキュア ソフトウェア標準要件リファレンス
この文書の章 2. 安全な支払いアプリケーション
PCI セキュア ソフトウェア標準要件
B.2.1 6.1 12.1 12.1.b
PCI DSS 要件
2.2.3
3. セキュアリモートソフトウェア
11.1
アップデート
11.2
12.1
1&12.3.9 2、8、10
4. 機密データの安全な削除と保存されたカード所有者データの保護
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
認証とアクセス制御 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1&8.2 8.1&8.2
ログ記録
3.6
10.1
8.1
10.5.3
8.3
ワイヤレスネットワーク
4.1
1.2.3 & 2.1.1 4.1.1 1.2.3、2.1.1,4.1.1、XNUMX
ネットワークのセグメンテーション リモート アクセス カード所有者データの送信
4.1セント
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
バイキングのバージョン管理方法論
11.2 12.1.b
11.1に関するお客様への注意事項
パッチと 11.2 の安全なインストール
アップデート。
12.1
23
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
16. 用語集
TERM カード会員データ
デュクプト
3DES マーチャント SSF
PA-QSA
意味
完全な磁気ストライプまたは PAN に次のいずれかを加えたもの: · カード所有者名 · 有効期限 · サービス コード
Derived Unique Key Per Transaction (DUKPT) は、トランザクションごとに、固定キーから派生した一意のキーが使用されるキー管理スキームです。したがって、派生キーが侵害された場合でも、次または前のキーを簡単に決定できないため、将来および過去のトランザクション データは引き続き保護されます。
暗号化において、トリプル DES (3DES または TDES)、正式にはトリプル データ暗号化アルゴリズム (TDEA またはトリプル DEA) は、DES 暗号アルゴリズムを各データ ブロックに XNUMX 回適用する対称キー ブロック暗号です。
バイキング製品のエンドユーザーおよび購入者。
PCI ソフトウェア セキュリティ フレームワーク (SSF) は、決済ソフトウェアの安全な設計と開発のための標準とプログラムの集合です。支払いソフトウェアのセキュリティは支払い取引フローの重要な部分であり、信頼性が高く正確な支払い取引を促進するために不可欠です。
支払いアプリケーションの認定セキュリティ評価者。決済アプリケーション ベンダーに、ベンダーの決済アプリケーションを検証するサービスを提供する QSA 会社。
SAD (機密認証データ)
カード所有者の認証に使用されるセキュリティ関連情報 (カード検証コード/値、完全な追跡データ、PIN、および PIN ブロック)。平文またはその他の保護されていない形式で表示されます。この情報の開示、変更、または破壊は、暗号化デバイス、情報システム、またはカード所有者情報のセキュリティを侵害したり、不正な取引に使用される可能性があります。機密の認証データは、トランザクションの終了時に決して保存してはなりません。
バイキング HSM
Nets がヨーロッパ市場向けのアプリケーション開発に使用するソフトウェア プラットフォーム。
ハードウェアセキュリティモジュール
24
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
17. 文書管理
文書作成者、Reviewユーザーと承認者
概要 SSA 開発 コンプライアンス マネージャー システム アーキテクト QA プロダクト オーナー プロダクト マネージャー エンジニアリング ディレクター
関数リviewer 著者再view担当者および承認者view担当者および承認者view担当者および承認者view担当者および承認者 マネージャー マネージャー
名前 クラウディオ・アダミ / フラヴィオ・ボンフィリオ・ソランス アルナ・パニッカー アルノ・エクストローム・シャムシャー・シン ヴァルン・シュクラ・アルト・カンガス エーロ・クーシネン タネリ・ヴァルトーネン
変更の概要
バージョン番号 1.0
1.0
1.1
バージョン日付 03 年 08 月 2022 日
15-09-2022
20-12-2022
変化の性質
PCI-Secure ソフトウェア標準の最初のバージョン
セクション 14 を更新し、該当しない管理目標とその正当性を記載
セクション 2.1.2 および 2.2 を更新
Self4000で。
削除されました
Link2500 (PTS バージョン 4.x)
対応端末一覧
著者変更 Aruna Panicker Aruna Panicker
アルナ・パニッカー
Reviewer
承認日
シャムシャー・シン 18/08/22
シャムシャー・シン 29/09/22
シャムシャー・シン 23/12/22
1.1
05 年 01 月 2023 日 Link2.2 Aruna Panicker Shamsher Singh でセクション 2500 を更新 05-01-23
(pts v4) サポート継続のため
この端末タイプの場合。
1.2
20-03-2023 セクション 2.1.1 をラトビアの Aruna Panicker Shamsher Singh と更新しました 21-04-23
とリトアニアのターミナルプロfiles.
そしてBT-iOS通信による2.1.2-
タイプのサポート
2.0
03 年 08 月 2023 日 バージョン リリース バージョンが Aruna Panicker Shamsher Singh 13-09-23 に更新されました
ヘッダー/フッターで 2.00。
セクション 2.2 を新しい内容で更新しました
Move3500 のハードウェアとファームウェア
バージョン。セクション 11 を更新
「バイキングのバージョン管理方法論」。
セクション 1.3 を最新のものに更新しました
PCI SSS 要件のバージョン
ガイド。補足のためにセクション 2.2 を更新しました。
移植端子がサポートされずに取り外されました。
から移植されたハードウェア バージョン
リスト。
2.0
16 年 11 月 2023 日 ビジュアル (CVI) 更新
レイラ・アヴサール
アルノ・エクストローム 16-11-23
25
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
配布リスト
氏名 端末部門 製品管理
機能開発、テスト、プロジェクト管理、コンプライアンス端末製品管理チーム、コンプライアンスマネージャー製品
文書の承認
名前 アルト・カンガス
機能プロダクトオーナー
ドキュメント再view 予定
この文書は再発行されますview必要に応じて、以下に定義されているように編集および更新されます。
・情報内容の修正または強化に必要な場合 ・組織変更または再編後 ・年次更新後view · 脆弱性の悪用後 · 関連する脆弱性に関する新しい情報/要件の後
26
PCI-Secure ソフトウェア標準ベンダー実装ガイド v2.0 (Viking Terminal 2.00 用)
ドキュメント / リソース
 |
nets PCI-Secure 標準ソフトウェア [pdf] ユーザーガイド PCI-Secure 標準ソフトウェア、PCI-Secure、標準ソフトウェア、ソフトウェア |
