PCI-Secure стандарден софтвер
Информации за производот: Стандарден продавач на софтвер PCI-Secure
Водич за имплементација за Викинг терминал 2.00
Спецификации
Верзија: 2.0
1. Вовед и опсег
1.1 Вовед
Водич за имплементација на стандарден добавувач на софтвер PCI-Secure
дава упатства за имплементација на софтверот на Викинг
Терминал 2.00.
1.2 Софтверска безбедносна рамка (SSF)
Софтверската безбедносна рамка (SSF) обезбедува безбедно плаќање
апликација на Viking Terminal 2.00.
1.3 Водич за имплементација на продавачот на софтвер – Дистрибуција и
Ажурирања
Овој водич вклучува информации за дистрибуцијата и ажурирањата
на Водичот за имплементација на продавачот на софтвер за терминалот Викинг
2.00.
2. Апликација за безбедно плаќање
2.1 Апликација S/W
Апликацискиот софтвер за безбедно плаќање обезбедува сигурност
комуникација со домаќинот за плаќање и ECR.
2.1.1
Овој дел дава упатства за поставување на TCP/IP
параметри за комуникација со домаќинот за плаќање.
2.1.2 ECR комуникација
Овој дел дава упатства за комуникација со
ECR (Електронска каса).
2.1.3 Комуникација со домаќинот преку ECR
Овој дел објаснува како да воспоставите комуникација со
домаќин на плаќање користејќи ECR.
2.2 Поддржан терминален хардвер(и)
Апликацијата за безбедно плаќање го поддржува Viking Terminal 2.00
хардвер.
2.3 Безбедносни политики
Овој дел ги прикажува безбедносните политики што треба да бидат
следи при користење на апликацијата за безбедно плаќање.
3. Безбедно далечинско ажурирање на софтверот
3.1 Применливост на трговецот
Овој дел дава информации за применливоста на безбедно
далечински ажурирања на софтвер за трговци.
3.2 Политика за прифатлива употреба
Овој дел ја прикажува политиката за прифатлива употреба за безбедно
далечински ажурирања на софтвер.
3.3 Личен заштитен ѕид
Инструкции за конфигурирање на личниот заштитен ѕид за да се дозволи
безбедни далечински ажурирања на софтвер се дадени во овој дел.
3.4 Процедури за далечинско ажурирање
Овој дел ги објаснува процедурите за спроведување безбедна
далечински ажурирања на софтвер.
4. Безбедно бришење на чувствителни податоци и заштита на складираните
Податоци за сопственикот на картичката
4.1 Применливост на трговецот
Овој дел дава информации за применливоста на безбедно
бришење на чувствителни податоци и заштита на зачуваните податоци на сопственикот на картичката
за трговци.
4.2 Инструкции за безбедно бришење
Обезбедени се инструкции за безбедно бришење чувствителни податоци
во овој дел.
4.3 Локации на зачувани податоци на сопственикот на картичката
Овој дел ги наведува локациите каде што се чуваат податоците на сопственикот на картичката
и дава насоки за негова заштита.
Овој дел ги објаснува процедурите за ракување со одложено
безбедни трансакции со авторизација.
4.5 Процедури за решавање проблеми
Инструкции за решавање проблеми поврзани со безбедно
бришењето и заштитата на зачуваните податоци на сопственикот на картичката се обезбедени во
овој дел.
4.6 Локации на PAN – Прикажани или печатени
Овој дел ги идентификува локациите каде PAN (Примарна сметка
Број) се прикажува или печати и дава насоки за обезбедување
тоа.
4.7 Прашање files
Инструкции за управување со промпт files безбедно се обезбедени во
овој дел.
4.8 Управување со клучеви
Овој дел ги објаснува клучните процедури за управување за обезбедување
безбедноста на зачуваните податоци на сопственикот на картичката.
4.9 Рестартирање на '24 HR'
Инструкции за рестартирање „24 HR“ за да се обезбеди системот
безбедноста се обезбедени во овој дел.
4.10 Внесување на бела листа
Овој дел дава информации за белата листа и нејзиното
важност во одржувањето на безбедноста на системот.
5. Контроли за автентикација и пристап
Овој дел опфаќа мерки за автентикација и контрола на пристап
за да се обезбеди сигурност на системот.
Најчесто поставувани прашања (ЧПП)
П: Која е целта на стандардот за софтвер PCI-Secure
Водич за имплементација на продавачот?
О: Водичот дава упатства за спроведување на безбедно плаќање
апликативен софтвер на Viking Terminal 2.00.
П: Кој терминален хардвер е поддржан со безбедно плаќање
апликација?
О: Апликацијата за безбедно плаќање го поддржува Викинг терминалот
2.00 хардвер.
П: Како можам безбедно да избришам чувствителни податоци?
О: Инструкции за безбедно бришење чувствителни податоци се
предвидено во делот 4.2 од водичот.
П: Која е важноста на белата листа?
О: Белата листа игра клучна улога во одржувањето на системот
безбедност со тоа што ќе дозволите да работат само одобрени апликации.
Оваа содржина е класифицирана како Внатрешна
Нетс Данска А/С:
Водич за имплементација на стандарден софтвер за продавач на софтвер PCI-Secure за Викинг терминал 2.00
Верзија 2.0
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00 1 1
Содржини
1. Вовед и опсег …………………………………………………………………………… 3
1.1
Вовед ……………………………………………………………………………………. 3
1.2
Софтверска безбедносна рамка (SSF)………………………………………………………. 3
1.3
Водич за имплементација на добавувач на софтвер – дистрибуција и ажурирања …… 3
2. Апликација за сигурна исплата……………………………………………………………………… 4
2.1
Апликација S/W …………………………………………………………………………………. 4
2.1.1 Поставување параметар за TCP/IP комуникација на домаќинот за плаќање ………………………….. 4
2.1.2 Комуникација за ECR…………………………………………………………………………. 5
2.1.3 Комуникација со домаќинот преку ECR……………………………………………………………. 5
2.2
Поддржан терминален хардвер……………………………………………………….. 6
2.3
Безбедносни политики……………………………………………………………………………… 7
3. Безбедно далечинско ажурирање на софтверот ……………………………………………………………. 8
3.1
Применливост на трговец………………………………………………………………………… 8
3.2
Политика за прифатлива употреба …………………………………………………………………………… 8
3.3
Личен заштитен ѕид………………………………………………………………………………… 8
3.4
Процедури за далечинско ажурирање …………………………………………………………………… 8
4. Безбедно бришење на чувствителни податоци и заштита на зачуваните податоци на сопственикот на картичката9
4.1
Применливост на трговец………………………………………………………………………… 9
4.2
Инструкции за безбедно бришење…………………………………………………………………… 9
4.3
Локации на зачуваните податоци на сопственикот на картичката……………………………………………………………………
4.4
Трансакција со одложено овластување …………………………………………………. 10
4.5
Процедури за решавање проблеми ………………………………………………………………………………………………………………………………………………
4.6
Локации на PAN – Прикажани или отпечатени …………………………………………………………… 10
4.7
Прашај fileс ………………………………………………………………………………….. 11
4.8
Управување со клучеви ……………………………………………………………………………… 11
4.9
„24 HR“ Рестартирање …………………………………………………………………………………… 12
4.10 Белата листа …………………………………………………………………………………………………………………………………………………………………………………………………… 12
5. Контроли за автентикација и пристап ……………………………………………………. 13
5.1
Контрола на пристап ………………………………………………………………………………. 13
5.2
Контроли на лозинка……………………………………………………………………… 15
6. Сеча ……………………………………………………………………………………….. 15
6.1
Применливост на трговецот……………………………………………………………………… 15
6.2
Конфигурирајте ги поставките за дневник ……………………………………………………………………… 15
6.3
Централна евиденција ………………………………………………………………………………… 15
6.3.1 Овозможи пријавување трага на терминалот …………………………………………………………………… 15
6.3.2 Испрати логови за трага до домаќинот ………………………………………………………………………………………………………………………………………………………………………………………………
6.3.3 Далечинско евидентирање на траги…………………………………………………………………………………………. 16
6.3.4 Далечинско евидентирање на грешки………………………………………………………………………………. 16
7. Безжични мрежи ………………………………………………………………………………… 16
7.1
Применливост на трговецот……………………………………………………………………… 16
7.2
Препорачани безжични конфигурации ………………………………………………… 16
8. Сегментација на мрежа …………………………………………………………………….. 17
8.1
Применливост на трговецот……………………………………………………………………… 17
9. Далечински пристап ……………………………………………………………………………………… 17
9.1
Применливост на трговецот……………………………………………………………………… 17
10.
Пренос на чувствителни податоци ……………………………………………………………….. 17
10.1.
10.2 Споделување чувствителни податоци на друг софтвер ……………………………………………….. 17
10.3 Е-пошта и чувствителни податоци ……………………………………………………………………. 17
10.4 Административен пристап без конзола ……………………………………………………. 17
11.
Методологија на верзии на Викинзите……………………………………………………. 18
12.
Инструкции за сигурна инсталација на закрпи и ажурирања. …………. 18
13.
Ажурирања за изданието на Викинг ………………………………………………………………… 19
14.
Не-применливи барања ………………………………………………………………. 19
15.
Референца за стандардни барања за безбеден софтвер за PCI ……………………… 23
16.
Речник на термини ………………………………………………………………………… 24
17.
Контрола на документи …………………………………………………………………………… 25
2
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
1. Вовед и опсег
1.1 Вовед
Целта на овој прирачник за имплементација на софтверски стандарден софтвер PCI-Secure е да им обезбеди на засегнатите страни јасни и темелни насоки за безбедна имплементација, конфигурација и работа на софтверот Викинг. Водичот им дава инструкции на трговците како да ја имплементираат Viking апликацијата на Нетс во нивната околина на начин усогласен со PCI Secure Software Standard. Иако, не е наменет да биде целосен водич за инсталација. Апликацијата Viking, доколку е инсталирана според упатствата документирани овде, треба да го олесни и поддржи усогласеноста со PCI на трговецот.
1.2 Софтверска безбедносна рамка (SSF)
PCI Software Security Framework (SSF) е збирка на стандарди и програми за безбедно дизајнирање и развој на апликативен софтвер за плаќање. SSF го заменува Стандардот за безбедност на податоци за апликациите за плаќање (PA-DSS) со современи барања кои поддржуваат поширок спектар на типови на софтвери за плаќање, технологии и развојни методологии. Тој им обезбедува на продавачите безбедносни стандарди како PCI Secure Software Standard за развој и одржување на софтвер за плаќање, така што ги штити платежните трансакции и податоците, ги минимизира ранливостите и се брани од напади.
1.3 Водич за имплементација на продавачот на софтвер – дистрибуција и ажурирања
Овој водич за имплементација на стандарден софтвер за безбеден софтвер PCI треба да се дистрибуира до сите релевантни корисници на апликации, вклучувајќи ги и трговците. Треба да се ажурира најмалку еднаш годишно и по промените во софтверот. Годишниот реview и ажурирањето треба да вклучува нови промени во софтверот, како и промени во Стандардот за безбеден софтвер.
Нетс објавува информации за наведените webсајт ако има некакви ажурирања во водичот за имплементација.
Webсајт: https://support.nets.eu/
За Прampле: Водич за имплементација на стандарден софтвер за добавувачи на Nets PCI-Secure ќе биде дистрибуиран до сите клиенти, препродавачи и интегратори. Клиентите, препродавачите и интеграторите ќе бидат известени од реviewи ажурирања.
Ажурирањата на Водичот за имплементација на стандарден софтвер за продавач на софтвер PCI-Secure може да се добијат со директно контактирање со Нетс.
Овој Водич за имплементација на продавачот на стандарден софтвер PCI-Secure ги упатува и барањата за PCI-Secure Software Standard и PCI. Во ова упатство беа наведени следните верзии.
· PCI-Secure-Software-Standard-v1_2_1
3
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
2. Апликација за безбедно плаќање
2.1 Апликација S/W
Апликациите за плаќање Viking не користат надворешен софтвер или хардвер што не припаѓа на вградената апликација Viking. Сите S/W извршни датотеки што припаѓаат на апликацијата за плаќање Viking се дигитално потпишани со комплетот за потпишување Tetra обезбеден од Ingenico.
· Терминалот комуницира со Nets Host користејќи TCP/IP, или преку Ethernet, GPRS, Wi-Fi или преку PC-LAN што ја извршува апликацијата POS. Исто така, терминалот може да комуницира со домаќинот преку мобилен со Wi-Fi или GPRS конекција.
Терминалите Викинг управуваат со целата комуникација користејќи ја компонентата на слојот за поврзување Ingenico. Оваа компонента е апликација вчитана во терминалот. Слојот за врски може да управува со неколку комуникации во исто време користејќи различни периферни уреди (модем и сериска порта за пр.ampле).
Во моментов ги поддржува следниве протоколи:
· Физички: RS232, внатрешен модем, надворешен модем (преку RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G и 4G.
· Врска со податоци: SDLC, PPP. · Мрежа: IP. · Транспорт: TCP.
Терминалот секогаш презема иницијатива за воспоставување на комуникацијата кон Нетс Хост. Во терминалот нема TCP/IP сервер S/W, а терминалот S/W никогаш не одговара на дојдовните повици.
Кога е интегриран со POS апликација на компјутер, терминалот може да се постави да комуницира преку PC-LAN што ја извршува апликацијата POS користејќи RS232, USB или Bluetooth. Сè уште целата функционалност на апликацијата за плаќање работи во терминалот S/W.
Протоколот за апликација (и применетата шифрирање) е транспарентен и независен од типот на комуникација.
2.2
4
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
2.3 ECR комуникација
· Сериски RS232 · USB конекција · Поставување параметар TCP/IP, исто така познато како ECR преку IP
· Опции за комуникација на домаќин/ECR во апликацијата за плаќање Viking
· Конфигурација на параметрите на Net Cloud ECR (Connect@Cloud).
2.4 Комуникација со домаќинот преку ECR
Забелешка: Видете „2.1.1- Поставување на параметарот TCP/IP за комуникација на домаќинот за плаќање“ за TCP/IP порти специфични за земјата.
5
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
2.5 Поддржан терминален хардвер(и)
Апликацијата за плаќање Viking е поддржана на различни уреди Ingenico потврдени со PTS (безбедност на трансакцијата PIN). Списокот на терминалниот хардвер заедно со нивниот број одобрување PTS е даден подолу.
Типови на тетра терминали
Терминален хардвер
Патека 3000
ПТС
PTS одобрение
број на верзија
5.x
4-30310
Верзија на хардвер PTS
LAN30EA LAN30AA
Биро 3500
5.x
4-20321
DES35BB
Премести 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Врска 2500
Link2500 Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
ЛИН25БА ЛИН25ЈА
LIN25BA LIN25JA SEL40BA
PTS верзија на фирмверот
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
2.6 Безбедносни политики
Апликацијата за плаќање Viking се придржува до сите важечки безбедносни политики наведени од Ingenico. За општи информации, ова се линковите до безбедносните политики за различни Тетра терминали:
Тип на терминал
Link2500 (v4)
Документ за безбедносна политика Link/2500 PCI PTS Безбедносна политика (pcisecuritystandards.org)
Link2500 (v5)
Безбедносна политика на PCI PTS (pcisecuritystandards.org)
Биро 3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Премести3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Лејн 3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self4000
Self/4000 PCI PTS безбедносна политика (pcisecuritystandards.org)
7
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
3. Безбедно далечинско ажурирање на софтверот
3.1 Применливост на трговецот
Нетс безбедно доставува ажурирања на апликацијата за плаќање Викинг од далечина. Овие ажурирања се случуваат на истиот комуникациски канал како и безбедните трансакции за плаќање и од трговецот не се бара да прави никакви промени на оваа патека за комуникација за усогласеност.
За општи информации, трговците треба да развијат прифатлива политика за користење на критичните технологии со кои се соочуваат вработените, според упатствата подолу за VPN или други брзи врски, ажурирањата се добиваат преку заштитен ѕид или личен заштитен ѕид.
3.2 Политика за прифатлива употреба
Трговецот треба да развие политики за користење за критични технологии со кои се соочуваат вработените, како модеми и безжични уреди. Овие политики за користење треба да вклучуваат:
· Експлицитно одобрение од управувањето за употреба. · Автентикација за употреба. · Список на сите уреди и персонал со пристап. · Означување на уредите со сопственикот. · Контакт информации и цел. · Прифатливи употреби на технологијата. · Прифатливи мрежни локации за технологиите. · Список на производи одобрени од компанијата. · Дозволување употреба на модеми за продавачите само кога е потребно и деактивирање по употреба. · Забрана за складирање на податоци на сопственикот на картичката на локални медиуми кога се поврзани од далечина.
3.3 Личен заштитен ѕид
Сите „секогаш вклучени“ врски од компјутер до VPN или друга конекција со голема брзина треба да се обезбедат со користење на личен производ за заштитен ѕид. Заштитниот ѕид е конфигуриран од организацијата да исполнува специфични стандарди и не може да се менува од страна на вработениот.
3.4 Процедури за далечинско ажурирање
Постојат два начини да го активирате терминалот за да контактирате со софтверскиот центар на Нетс за ажурирања:
1. Или рачно преку опција од менито во терминалот (повлечете ја трговската картичка, изберете мени 8 „Софтвер“, 1 „Преземи софтвер“) или Иницирање на домаќинот.
2. Користење на методот инициран од домаќинот; терминалот автоматски добива команда од Домаќинот откако ќе изврши финансиска трансакција. Командата му кажува на терминалот да контактира со софтверскиот центар Нетс за да провери дали има ажурирања.
По успешно ажурирање на софтверот, терминал со вграден печатач ќе отпечати сметка со информации за новата верзија.
Терминалните интегратори, партнерите и/или тимот за техничка поддршка на Нетс ќе имаат одговорност да ги информираат трговците за ажурирањето, вклучувајќи ја врската до ажурираниот водич за имплементација и белешките за објавување.
Покрај приемот по ажурирањето на софтверот, апликацијата за плаќање Викинг може да се потврди и преку терминал инфо со притискање на копчето „F3“ на терминалот.
8
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
4. Безбедно бришење на чувствителни податоци и заштита на зачуваните податоци на сопственикот на картичката
4.1 Применливост на трговецот
Апликацијата за плаќање Viking не складира податоци за магнетни ленти, вредности или шифри за валидација на картичката, PIN-кодови или податоци за блок PIN, материјал за криптографски клуч или криптограми од претходните верзии.
За да биде усогласен со PCI, трговецот мора да има политика за задржување податоци која дефинира колку долго ќе се чуваат податоците на сопственикот на картичката. Апликацијата за плаќање Viking ги задржува податоците на сопственикот на картичката и/или чувствителните податоци за автентикација на последната трансакција и во случај ако има офлајн или одложени трансакции со овластување додека истовремено се придржува до усогласеноста со PCI-Secure Software Standard, затоа може да биде изземена од политиката за задржување на податоците на сопственикот на картичката на трговецот.
4.2 Инструкции за безбедно бришење
Терминалот не складира чувствителни податоци за автентикација; full track2, CVC, CVV или PIN, ниту пред ниту по авторизацијата; освен за трансакциите со одложено овластување во кој случај шифрираните чувствителни податоци за автентикација (целосни податоци за track2) се складираат додека не се изврши овластувањето. По овластувањето податоците се бришат безбедно.
Секој пример на забранети историски податоци што постои во терминалот автоматски ќе се избрише безбедно кога ќе се надгради апликацијата за плаќање на терминалот Викинг. Бришењето на забранети историски податоци и податоци што се минато правило за задржување ќе се случи автоматски.
4.3 Локации на зачувани податоци на сопственикот на картичката
Податоците за сопственикот на картичката се зачувуваат во Flash DFS (податоци File систем) на терминалот. Податоците не се директно достапни за трговецот.
Продавница за податоци (file, маса, итн.)
Елементи на податоци за сопственикот на картичката зачувани (PAN, истекување, какви било елементи од ЕЦД)
Како е заштитена складиштето на податоци (на прample, шифрирање, контроли за пристап, скратување, итн.)
File: транс.rsd
PAN, датум на истекување, шифра на услуга
PAN: шифриран 3DES-DUKPT (112 бита)
File: storefwd.rsd PAN, датум на истекување, шифра на услуга
PAN: шифриран 3DES-DUKPT (112 бита)
File: transoff.rsd PAN, Датум на истекување, шифра на услуга
PAN: шифриран 3DES-DUKPT (112 бита)
File: transorr.rsd Скратен PAN
Скратено (први 6, последни 4)
File: offflrep.dat
Скратена ПАН
Скратено (први 6, последни 4)
File: defauth.rsd PAN, Датум на истекување, Сервисна шифра
PAN: шифриран 3DES-DUKPT (112 бита)
File: defauth.rsd Целосни податоци за track2
Целосни податоци за Track2: однапред шифриран 3DES-DUKPT (112 бита)
9
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
4.4 Трансакција со одложено овластување
Одложеното овластување се јавува кога трговецот не може да заврши овластување во моментот на трансакцијата со сопственикот на картичката поради поврзаноста, системските проблеми или други ограничувања, а потоа подоцна го комплетира овластувањето кога ќе може да го стори тоа.
Тоа значи дека се случува одложено овластување кога ќе се изврши онлајн овластување откако картичката веќе не е достапна. Бидејќи онлајн овластувањето на трансакциите со одложени овластувања е одложено, трансакциите ќе се чуваат на терминал додека трансакциите не бидат успешно одобрени подоцна кога мрежата е достапна.
Трансакциите се зачувуваат и се испраќаат подоцна до домаќинот, како на пример како офлајн трансакциите се складираат од денес во апликацијата за плаќање Viking.
Трговецот може да ја иницира трансакцијата како „Одложено овластување“ од Електронската каса (ECR) или преку терминалното мени.
Трансакциите со одложено овластување може да се прикачат на домаќинот на Нетс од страна на трговецот користејќи ги следниве опции: 1. ECR – команда за администратор – Испрати офлајн (0x3138) 2. Терминал – Трговец ->2 EOT -> 2 испратени до домаќинот
4.5 Процедури за решавање проблеми
Поддршката на Нетс нема да бара чувствителна автентикација или податоци на сопственикот на картичката за целите на решавање проблеми. Апликацијата за плаќање Viking не е способна во никој случај да собира или решава проблеми со чувствителните податоци.
4.6 Локации на PAN – Прикажани или печатени
Маскиран ПАН:
· Потврди за финансиски трансакции: Маскиран PAN секогаш се печати на потврдата за трансакција и за сопственикот на картичката и за трговецот. Маскираната PAN во повеќето случаи е со * каде првите 6 цифри и последните 4 цифри се во јасен текст.
· Извештај од списокот на трансакции: Извештајот од списокот на трансакции ги прикажува трансакциите извршени во сесија. Деталите за трансакцијата вклучуваат маскиран PAN, име на издавачот на картичката и износот на трансакцијата.
· Последна потврда од клиент: Копијата од последната потврда од клиентот може да се генерира од менито за копирање на терминалот. Потврдата од клиентот го содржи маскираниот PAN како оригинална потврда од клиентите. Дадената функција се користи во случај ако терминалот не успее да генерира потврда од клиент за време на трансакцијата поради која било причина.
Шифрирана ПАН:
· Офлајн потврда за трансакција: Верзијата за прием на трговецот на мало на офлајн трансакција вклучува троен DES 112-битен DUKPT шифрирани податоци за сопственикот на картичката (PAN, датум на истекување и код за услуга).
BAX: 71448400-714484 12/08/2022 10:39
Виза бесконтактна ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 ПОМОШ: A0000000031010 TVR: 0000000000 Re: 123461 000004 KC000000
10
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Одговор: Y1 Сесија: 782
КУПУВАЊЕ
NOK
12,00
ОДОБРЕНО
КОПИЈА НА ПРОДАВНИЦА
Потврда:
Апликацијата за плаќање Viking секогаш стандардно ги шифрира податоците на сопственикот на картичката за офлајн складирање трансакции, пренос кон NETS домаќин и за печатење шифрирани податоци од картичката на потврдата на продавачот за офлајн трансакција.
Исто така, за прикажување или печатење на PAN-от на картичката, апликацијата за плаќање Viking секогаш ги маскира цифрите на PAN со ѕвездичка „*“ со првите 6 + последни 4 цифри јасно како стандардни. Форматот за печатење на бројот на картичката е контролиран од системот за управување со терминали, каде форматот на печатење може да се промени со барање преку соодветен канал и со претставување на деловна легитимна потреба, но за апликацијата за плаќање Viking нема таков случај.
Exampле за маскиран ПАН: ПАН: 957852181428133823-2
Минимум инфо: **************3823-2
Максимално инфо: 957852********3823-2
4.7 Прашање files
Апликацијата за плаќање Викинг не дава посебно известување files.
Апликацијата за плаќање Викинг бара влезови од сопственикот на картичката преку сигнали за прикажување кои се дел од системот за пораки во рамките на потпишаната апликација за плаќање Викинг.
На терминалот се прикажани предупредувањата за PIN, износ, итн., а се чекаат внесувања на сопственикот на картичката. Влезовите добиени од сопственикот на картичката не се складираат.
4.8 Управување со клучеви
За асортиманот на терминални модели Tetra, целата безбедносна функционалност се изведува во безбедна област на PTS уред заштитен од апликацијата за плаќање.
Шифрирањето се врши во безбедната област, додека дешифрирањето на шифрираните податоци може да се врши само од системите Нетс Хост. Целата размена на клучеви помеѓу Nets host, Key/Inject алатка (за Тетра терминали) и PED се врши во шифрирана форма.
Процедурите за управување со клучеви се имплементирани од Нетс според шемата DUKPT користејќи шифрирање 3DES.
Сите клучеви и клучни компоненти што ги користат терминалите на Нетс се генерирани со користење одобрени случајни или псевдослучајни процеси. Клучевите и клучните компоненти што ги користат терминалите на Нетс се генерирани од системот за управување со клучеви Нетс, кој користи одобрени HSM единици на Thales Payshield за генерирање криптографски клучеви.
11
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Управувањето со клучеви е независно од функционалноста на плаќањето. Затоа, вчитувањето нова апликација не бара промена на функционалноста на клучот. Терминалниот клучен простор ќе поддржува околу 2,097,152 трансакции. Кога ќе се исцрпи просторот за клучеви, терминалот Викинг престанува да работи и покажува порака за грешка, а потоа терминалот мора да се замени.
4.9 Рестартирање на „24 HR“.
Сите терминали на Викинг се PCI-PTS 4.x и погоре и оттука го следи барањето за усогласеност дека терминалот PCI-PTS 4.x ќе се рестартира најмалку еднаш на секои 24 часа за да се избрише RAM-от и дополнително безбедниот терминал HW за да се задржи плаќањето податоци за картичката.
Друга придобивка од циклусот на повторно подигање „24 часа“ е тоа што протекувањето на меморијата ќе се намали и ќе има помало влијание за трговецот (не дека треба да прифатиме проблеми со протекувањето на меморијата.
Трговецот може да го постави времето за рестартирање од опцијата мени на терминалот на „Време за рестартирање“. Времето за рестартирање е поставено врз основа на часовникот „24 часа“ и ќе има формат HH:MM.
Механизмот за ресетирање е дизајниран да обезбеди ресетирање на терминалот најмалку еднаш на 24 часа работа. За да се исполни ова барање, дефиниран е временски простор, наречен „интервал на ресетирање“ претставен со Tmin и Tmax. Овој период го претставува временскиот интервал каде е дозволено ресетирањето. Во зависност од деловниот случај, „интервалот за ресетирање“ се прилагодува за време на фазата на инсталација на терминалот. Според дизајнот, овој период не може да биде пократок од 30 минути. Во овој период, ресетирањето се случува секој ден 5 минути порано (на Т3) како што е објаснето на дијаграмот подолу:
4.10 Внесување на бела листа
Поставувањето на белата листа е постапка за да се утврди дали на PAN-те наведени како бела листа им е дозволено да се прикажуваат во јасен текст. Викинг користи 3 полиња за одредување на PAN-ите на белата листа кои се читаат од конфигурациите преземени од системот за управување со терминали.
Кога „Знамето за усогласеност“ во домаќинот на Нетс е поставено на Y, информациите од системот за управување со Нетс или терминалот се преземаат на терминалот, кога терминалот ќе стартува. Ова знаменце за усогласеност се користи за одредување на PAN-овите на белата листа кои се читаат од базата на податоци.
Знамето „Track2ECR“ одредува дали е дозволено да се ракува со податоците од Track2 (испраќа/прима) ECR за одреден издавач. Во зависност од вредноста на ова знаменце, се одредува дали податоците од track2 треба да се прикажат во локален режим на ECR.
„Полето за формат за печатење“ одредува како ќе се прикаже PAN-от. Сите картички во опсегот на PCI ќе имаат формат за печатење поставен за прикажување на PAN во скратена/маскирана форма.
12
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
5. Контроли за автентикација и пристап
5.1 Контрола на пристап
Апликацијата за плаќање Viking нема кориснички сметки или соодветни лозинки затоа, апликацијата за плаќање Viking е изземена од ова барање.
· Интегрирано поставување на ECR: Не е возможно да се пристапи до типовите на трансакции како што се Враќање средства, Депозити и Враќање од менито на терминалот за да се направат овие функции безбедни од злоупотреба. Ова се типовите на трансакции каде парите се движат од сметката на трговецот до сметката на сопственикот на картичката. Одговорност на трговецот е да обезбеди ECR да се користи само од овластени корисници.
· Самостојно поставување: Контролата за пристап на трговската картичка е стандардно овозможена за пристап до видовите трансакции како што се Поврат на средства, депозит и отповикување од менито на терминалот за да се направат овие функции безбедни од злоупотреба. Терминалот Викинг е стандардно конфигуриран да ги обезбедува опциите на менито, за да спречи неовластен пристап. Параметрите за конфигурирање на безбедноста на менито спаѓаат под Merchant Menu (достапно со Merchant card) -> Parameters -> Security
Менито за заштита Стандардно поставете го на „Да“. Копчето за мени на терминалот е заштитено со конфигурацијата на менито Protect. До менито може да пристапи само трговецот со помош на трговска картичка.
13
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Заштитете го пресвртот Стандардно поставете го на „Да“. Превртувањето на трансакцијата може да го направи само трговецот со помош на трговската картичка за да пристапи до менито за превртување.
Заштитете го помирувањето Стандардно поставено на „Да“ До опцијата за помирување може да пристапи само трговецот со трговската картичка кога оваа заштита е поставена на вистинита.
Заштита на кратенка Поставете стандардно мени за кратенки на „Да“ со опциите за viewИнформациите за терминалот и опцијата за ажурирање на параметрите на Bluetooth ќе му бидат достапни на трговецот само кога трговската картичка е повлечена.
14
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
5.2 Контроли на лозинка
Апликацијата за плаќање Viking нема кориснички сметки или соодветни лозинки; затоа, апликацијата Викинг е изземена од ова барање.
6. Сеча
6.1 Применливост на трговецот
Во моментов, за апликацијата за плаќање Нетс Викинг, нема поставки за евиденција за PCI за крајниот корисник, што може да се конфигурира.
6.2 Конфигурирајте ги поставките за дневник
Апликацијата за плаќање Viking нема кориснички сметки, така што евиденцијата во согласност со PCI не е применлива. Дури и при најобемното евидентирање на трансакции, апликацијата за плаќање Викинг не евидентира никакви чувствителни податоци за автентикација или податоци за сопственикот на картичката.
6.3 Централна сеча
Терминалот има генерички механизам за дневници. Механизмот вклучува и евиденција на креирање и бришење на S/W извршна датотека.
Активностите за преземање S/W се евидентирани и може да се пренесат на Host рачно преку избор на мени во терминалот или на барање од домаќинот означен во обичниот сообраќај на трансакции. Ако активирањето S/W преземање не успее поради неважечки дигитални потписи на примениот files, инцидентот е евидентиран и префрлен во Host автоматски и веднаш.
6.4 6.3.1 Овозможи евиденција за трага на терминалот
За да овозможите евидентирање на траги:
1 Повлечете ја картичката Merchant. 2 Потоа во менито изберете „9 Системско мени“. 3 Потоа одете во менито „2 Системски дневник“. 4 Внесете ја шифрата на техничарот, која можете да ја добиете со повикување на поддршката на Nets Merchant Service. 5 Изберете „8 параметри“. 6 Потоа овозможете „Logging“ на „Yes“.
6.5 6.3.2 Испрати евиденција за трага до домаќинот
За да испратите дневници за траги:
1 Притиснете го копчето Мени на терминалот и потоа повлечете ја картичката за трговец. 2 Потоа во главното мени изберете „7 Операторско мени“. 3 Потоа изберете „5 Испрати евиденција за трага“ за да испратите дневници за трага до домаќинот.
15
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
6.6 6.3.3 Далечинско евидентирање на траги
Во Net Host (PSP) е поставен параметар кој ќе ја овозможи/оневозможи функцијата за евиденција на траги на терминалот од далечина. Нетс хост ќе го испрати параметарот за вклучување/оневозможување на Trace до Терминал во сет на податоци заедно со закажаното време кога Терминалот ќе ги прикачува евиденциите за трага. Кога терминалот ќе го прими параметарот Trace како што е овозможен, ќе започне да ги фаќа дневниците за трага и во закажаното време ќе ги постави сите дневници за трага и потоа ќе ја оневозможи функционалноста за евиденција.
6.7 6.3.4 Далечинско евидентирање на грешки
Дневниците на грешки секогаш се овозможени на терминалот. Како и евидентирање на траги, параметарот е поставен во Нетс хост кој ќе ја овозможи/оневозможи функционалноста за евиденција на грешки на терминалот од далечина. Нетс хост ќе го испрати параметарот за овозможување/оневозможување на евиденција на Trace до Терминал во множеството податоци заедно со закажаното време кога Терминалот ќе ги прикачува дневниците за грешки. Кога терминалот ќе го прими параметарот за евиденција на грешки како што е овозможен, ќе започне да ги фаќа дневниците за грешки и во закажаното време ќе ги прикачи сите дневници за грешки и потоа ќе ја оневозможи функционалноста за евиденција.
7. Безжични мрежи
7.1 Применливост на трговецот
Терминалот за плаќање Viking – MOVE 3500 и Link2500 имаат можност за поврзување со Wi-Fi мрежа. Затоа, за безбедно да се имплементира Wireless, треба да се земе предвид при инсталирање и конфигурирање на безжичната мрежа како што е опишано подолу.
7.2 Препорачани безжични конфигурации
Има многу размислувања и чекори што треба да се преземат при конфигурирање на безжични мрежи кои се поврзани на внатрешната мрежа.
Во најмала рака, следните поставки и конфигурации мора да бидат поставени:
· Сите безжични мрежи мора да бидат сегментирани со помош на заштитен ѕид; ако се потребни врски помеѓу безжичната мрежа и податочната околина на сопственикот на картичката, пристапот мора да биде контролиран и обезбеден со заштитниот ѕид.
· Променете го стандардниот SSID и оневозможете SSID емитување · Променете ги стандардните лозинки и за безжични врски и за безжичните пристапни точки, ова вклучува кон-
единствен пристап, како и стрингови на заедницата SNMP · Променете ги сите други безбедносни поставки обезбедени или поставени од продавачот · Осигурете се дека безжичните пристапни точки се ажурирани на најновиот фирмвер · Користете само WPA или WPA2 со силни клучеви, WEP е забранет и никогаш не смее да се користи · Променете ги клучевите WPA/WPA2 при инсталацијата, како и на редовна основа и секогаш кога некој со
познавање на клучевите ја напушта компанијата
16
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
8. Мрежна сегментација
8.1 Применливост на трговецот
Апликацијата за плаќање Viking не е апликација за плаќање базирана на сервер и се наоѓа на терминал. Поради оваа причина, апликацијата за плаќање не бара никакво прилагодување за да се исполни ова барање. За општо знаење на трговецот, податоците за кредитните картички не можат да се складираат на системи директно поврзани на Интернет. За прampле, web серверите и серверите за бази на податоци не треба да се инсталираат на истиот сервер. Мора да се постави демилитаризирана зона (DMZ) за да се сегментира мрежата така што само машините на DMZ се достапни на Интернет.
9. Далечински пристап
9.1 Применливост на трговецот
Апликацијата за плаќање Викинг не може да се пристапи од далечина. Далечинската поддршка се јавува само помеѓу член на персоналот за поддршка на Nets и трговецот преку телефон или преку Nets директно на лице место со трговецот.
10. Пренос на чувствителни податоци
10.1 Пренос на чувствителни податоци
Апликацијата за плаќање Viking обезбедува чувствителни податоци и/или податоци на сопственикот на картичката во транзит со користење на шифрирање на ниво на пораки користејќи 3DES-DUKPT (112 бита) за сите преноси (вклучувајќи ги и јавните мрежи). Безбедносните протоколи за IP комуникации од апликацијата Викинг до домаќинот не се потребни бидејќи шифрирањето на ниво на пораки се спроведува со помош на 3DES-DUKPT (112-бита) како што е опишано погоре. Оваа шема за шифрирање осигурува дека дури и ако трансакциите се пресретнати, тие не можат да бидат модифицирани или компромитирани на кој било начин ако 3DES-DUKPT (112-бита) се смета за силна шифрирање. Според шемата за управување со клучеви DUKPT, користениот клуч 3DES е единствен за секоја трансакција.
10.2 Споделување чувствителни податоци со друг софтвер
Апликацијата за плаќање Viking не обезбедува никаков логичен интерфејс/АПИ за да овозможи споделување на податоците од сметката за чист текст директно со друг софтвер. Не се споделуваат чувствителни податоци или податоци за сметката со чист текст со друг софтвер преку изложени API.
10.3 Е-пошта и чувствителни податоци
Апликацијата за плаќање Викинг природно не поддржува испраќање е-пошта.
10.4 Административен пристап без конзола
Viking не поддржува административен пристап што не е од конзолата. Сепак, за општо знаење на трговецот, административниот пристап што не е конзола мора да користи или SSH, VPN или TLS за шифрирање на целиот административен пристап што не е конзола до серверите во околината за податоци на сопственикот на картичката. Телнет или други нешифрирани методи за пристап не смеат да се користат.
17
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
11. Методологија на верзии на Викинг
Методологијата за верзии на Нетс се состои од дводелна S/W верзија број: a.bb
каде што „a“ ќе се зголемува кога ќе се направат промени со големо влијание според PCI-Secure Software Standard. a – главната верзија (1 цифра)
„bb“ ќе се зголемува кога планираните промени со мал ефект ќе се направат според стандардот за софтвер PCI-Secure. bb – мала верзија (2 цифри)
Бројот на верзијата на апликацијата за плаќање Викинг S/W се прикажува вака на екранот на терминалот кога терминалот е вклучен: „abb“
· Ажурирање од пр., 1.00 до 2.00 е значително функционално ажурирање. Тоа може да вклучува промени со влијание врз безбедноста или барањата за стандардниот стандард за безбеден софтвер PCI.
· Ажурирање од пр., 1.00 до 1.01 е незначајно функционално ажурирање. Може да не вклучува промени со влијание врз безбедноста или барањата за стандардниот стандард за безбеден софтвер PCI.
Сите промени се претставени по секвенцијален нумерички редослед.
12. Инструкции за сигурна инсталација на закрпи и ажурирања.
Нетс безбедно доставува ажурирања за апликациите за плаќање од далечина. Овие ажурирања се случуваат на истиот комуникациски канал како и безбедните трансакции за плаќање и од трговецот не се бара да прави никакви промени на оваа патека за комуникација за усогласеност.
Кога има лепенка, Нетс ќе ја ажурира верзијата на закрпи на Нетс хост. Трговецот би ги добил закрпите преку автоматско барање за преземање S/W, или трговецот може исто така да иницира преземање софтвер од менито на терминалот.
За општи информации, трговците треба да развијат прифатлива политика за употреба за критичните технологии со кои се соочуваат вработените, според упатствата подолу за VPN или други брзи врски, ажурирањата се добиваат преку заштитен ѕид или персонален заштитен ѕид.
Домаќинот на Нетс е достапен или преку интернет користејќи безбеден пристап или преку затворена мрежа. Со затворена мрежа, мрежниот провајдер има директна врска со нашата домаќинска околина понудена од нивниот мрежен провајдер. Терминалите се управуваат преку услугите за управување со терминали на Нетс. Услугата за управување со терминали дефинира на прampрегионот на кој припаѓа терминалот и стекнувачот во употреба. Управувањето со терминалите е исто така одговорно за надградба на терминалниот софтвер од далечина преку мрежата. Нетс обезбедуваат дека софтверот поставен на терминалот ги има завршено потребните сертификати.
Нетс им препорачува контролни точки на сите свои клиенти за да обезбедат сигурни и сигурни плаќања како што е наведено подолу: 1. Чувајте список со сите оперативни терминали за плаќање и фотографирајте од сите димензии за да знаете како тие би требало да изгледаат. 2. Побарајте очигледни знаци на тampпроблеми како што се скршени заптивки на пристапните капаци или завртки, чудни или различни кабли или нов хардверски уред што не можете да го препознаете. 3. Заштитете ги вашите терминали од дофат на клиентите кога не се во употреба. Проверувајте ги вашите терминали за плаќање на дневна основа и другите уреди што можат да читаат платежни картички. 4. Мора да го проверите идентитетот на персоналот за поправка ако очекувате поправки на терминалот за плаќање. 5. Веднаш јавете се на Нетс или на вашата банка доколку се сомневате во каква било неочигледна активност. 6. Ако мислите дека вашиот POS уред е ранлив на кражба, тогаш има сервисни лулки и безбедни прицврстувачи и врзувачи достапни за комерцијално купување. Можеби вреди да се размисли за нивната употреба.
18
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
13. Ажурирања за издавање на Викинг
Софтверот Викинг се издава во следните циклуси на издавање (предмет на промени):
· 2 главни изданија годишно · 2 помали изданија годишно · Софтверски закрпи, како и кога е потребно, (на пр. поради кој било критичен проблем со баг/ранливост). Ако
објавувањето е оперативно на терен и се пријавени некои критични проблеми, а потоа се очекува софтверска закрпа со поправка да биде објавена во рок од еден месец.
Трговците ќе бидат известени за изданијата (главни/помали/лепенки) преку е-пошта кои директно ќе бидат испратени на нивните соодветни адреси на е-пошта. Е-поштата, исто така, ќе ги содржи главните моменти на белешките за објавувањето и објавувањето.
Трговците можат да пристапат и до белешките за ослободување кои ќе бидат поставени на:
Белешки за издавање софтвер (nets.eu)
Изданијата на софтверот Викинг се потпишани со помош на алатката за пеење на Ингенико за терминалите Тетра. На терминалот може да се вчита само потпишан софтвер.
14. Неприменливи барања
Овој дел содржи список на барања во стандардот за софтвер PCI-Secure што е оценет како „Неприменлив“ за апликацијата за плаќање Viking и оправдувањето за тоа.
Стандард за безбеден софтвер PCI
CO
Активност
Оправдување дека е „неприменливо“
5.3
Методи за автентикација (вклучувајќи креирање на сесија - апликацијата за плаќање Викинг работи на PTS POI одобрен PCI
ознаки) се доволно силни и робусни за уредот.
заштитете ги ингеренциите за автентикација од постоење
фалсификувани, измамени, протечени, погодени или обиколени - апликацијата за плаќање Viking не нуди локални, неконзолни
проветрени.
или далечински пристап, ниту ниво на привилегии, така што нема ав-
акредитиви за потоа проверка во уредот PTS POI.
Апликацијата за плаќање Viking не обезбедува поставки за управување или генерирање кориснички ID и не обезбедува локален, неконзолен или далечински пристап до критичните средства (дури и за цели на отстранување грешки).
5.4
Стандардно, целиот пристап до критичните средства е повторно
Апликацијата за плаќање Viking работи на PCI одобрена PTS POI
строги само на оние сметки и уреди за услуги.
кои бараат таков пристап.
Апликацијата за плаќање Viking не обезбедува поставки за
управуваат или генерираат сметки или услуги.
7.3
Сите случајни броеви што ги користи софтверот се Viking апликацијата за плаќање не користи никаков RNG (случајно
генериран користејќи само одобрен генератор на случаен број) за неговите функции за шифрирање.
бер генерирање (RNG) алгоритми или библиотеки.
19
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Одобрени RNG алгоритми или библиотеки се оние кои ги исполнуваат индустриските стандарди за доволна непредвидливост (на пр. NIST Special Publication 800-22).
Апликацијата за плаќање Viking не генерира ниту користи случајни броеви за криптографски функции.
7.4
Случајните вредности имаат ентропија што одговара на апликацијата за плаќање Викинг не користи никаков RNG (случајно
минимални барања за ефективна сила на генератор на броеви) за неговите функции за шифрирање.
криптографските примитиви и клучеви кои се потпираат
на нив.
Апликацијата за плаќање Викинг не генерира ниту користи
случајни броеви за криптографски функции.
8.1
Сите обиди за пристап и користење на критични средства Апликацијата за плаќање Викинг работи на PCI одобрена PTS POI
се следи и може да се следи до единствена индивидуа. уреди, каде што се случува управувањето со сите критични средства, и
Фирмверот PTS POI обезбедува доверливост и интегритет на сен-
Sitive податоци додека се складирани во PTS POI уредот.
Доверливоста, интегритетот и еластичноста на осетливата функција на апликацијата за плаќање Viking се заштитени и обезбедени од фирмверот PTS POI. Фирмверот PTS POI спречува каков било пристап до критичните средства надвор од терминалот и се потпира на анти-тampеринг карактеристики.
Апликацијата за плаќање Viking не нуди локален, неконзолен или далечински пристап, ниту ниво на привилегии, затоа нема лице или други системи со пристап до критичните средства, само апликацијата за плаќање Viking може да се справи со критичните средства
8.2
Целата активност е снимена во доволна и неопходна- апликацијата за плаќање Викинг работи на PCI одобрена PTS POI
sary детали за точно да се опише кои конкретни уреди.
биле извршени активности, кој извршил
нив, времето кога биле изведени и
Апликацијата за плаќање Viking не нуди локална, не-конзола
кои критични средства беа погодени.
или далечински пристап, ниту ниво на привилегии, затоа нема
само лице или други системи со пристап до критични средства
Апликацијата за плаќање Викинг може да се справи со критичните средства.
· Апликацијата за плаќање Viking не обезбедува привилегирани начини на работа.
· Нема функции за оневозможување на шифрирање на чувствителни податоци
· Нема функции за дешифрирање на чувствителни податоци
· Нема функции за извоз на чувствителни податоци во други системи или процеси
· Нема поддржани функции за автентикација
Безбедносните контроли и безбедносната функционалност не може да се оневозможат ниту да се избришат.
8.3
Софтверот поддржува безбедно задржување на апликацијата за плаќање De-Viking работи на PCI одобрена PTS POI
опашка евиденција на активности.
уреди.
20
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
8.4 Б.1.3
Апликацијата за плаќање Viking не нуди локален, неконзолен или далечински пристап, ниту ниво на привилегии, така што нема лице или други системи со пристап до критичните средства, само апликацијата за плаќање Viking може да се справи со критичните средства.
· Апликацијата за плаќање Viking не обезбедува привилегирани начини на работа.
· Нема функции за оневозможување на шифрирање на чувствителни податоци
· Нема функции за дешифрирање на чувствителни податоци
· Нема функции за извоз на чувствителни податоци во други системи или процеси
· Нема поддржани функции за автентикација
Безбедносните контроли и безбедносната функционалност не може да се оневозможат ниту да се избришат.
Софтверот се справува со неуспеси во механизмите за следење активности, така што интегритетот на постојните записи за активности е зачуван.
Апликацијата за плаќање Viking работи на уреди PTS POI одобрени за PCI.
Апликацијата за плаќање Viking не нуди локален, неконзолен или далечински пристап, ниту ниво на привилегии, така што нема лице или други системи со пристап до критичните средства, само апликацијата Viking може да се справи со критичните средства.
· Апликацијата за плаќање Viking не обезбедува привилегирани начини на работа.
· Нема функции за оневозможување на шифрирање на чувствителни податоци
· Нема функции за дешифрирање на чувствителни податоци
· Нема функции за извоз на чувствителни податоци во други системи или процеси
· Нема поддржани функции за автентикација
· Безбедносните контроли и безбедносната функционалност не може да се оневозможат ниту да се избришат.
Продавачот на софтвер одржува документација која ги опишува сите опции што може да се конфигурираат што можат да влијаат на безбедноста на чувствителните податоци.
Апликацијата за плаќање Viking работи на уреди PTS POI одобрени за PCI.
Апликацијата за плаќање Viking не обезбедува ништо од следново на крајните корисници:
· Конфигурабилна опција за пристап до чувствителни податоци
21
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Б.2.4 Б.2.9 Б.5.1.5
· Конфигурабилна опција за менување механизми за заштита на чувствителни податоци
· далечински пристап до апликацијата
· далечински ажурирања на апликацијата
· Конфигурабилна опција за менување на стандардните поставки на апликацијата
Софтверот користи само функција(и) за генерирање на случаен број вклучени во евалуацијата на PTS уредот на терминалот за плаќање за сите криптографски операции кои вклучуваат чувствителни податоци или чувствителни функции каде што се потребни случајни вредности и не ги имплементира своите сопствени
Викинг не користи никаков RNG (генератор на случаен број) за своите функции за шифрирање.
Апликацијата Викинг не генерира ниту користи случајни броеви за криптографски функции.
Функција(и) за генерирање на случаен број.
Интегритетот на софтверот брзо files е заштитен во согласност со контролната цел Б.2.8.
Сите промптни прикази на терминалот Викинг се кодирани во апликацијата и нема известување fileсе присутни надвор од апликацијата.
Нема брзање fileНадвор од апликацијата за плаќање Викинг постојат, сите потребни информации ги генерира апликацијата.
Упатството за имплементација вклучува инструкции за засегнатите страни криптографски да ги потпишат сите барања files.
Сите сигнали кои се прикажуваат на терминалот Викинг се кодирани во апликацијата и нема известување fileсе присутни надвор од апликацијата.
Нема брзање fileНадвор од апликацијата за плаќање Викинг постојат, сите потребни информации ги генерира апликацијата
22
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
15. Референца за стандардни барања за безбеден софтвер за PCI
Поглавја во овој документ 2. Апликација за безбедно плаќање
Стандардни барања за безбеден софтвер за PCI
Б.2.1 6.1 12.1 12.1.б
Барања за PCI DSS
2.2.3
3. Безбеден софтвер за далечински управувач
11.1
Ажурирања
11.2
12.1
1&12.3.9 2, 8 и 10
4. Безбедно бришење на чувствителни податоци и заштита на зачуваните податоци на сопственикот на картичката
3.2 3.4 3.5 А.2.1 А.2.3 Б.1.2а
Контроли за автентикација и пристап 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 и 8.2 8.1 и 8.2
Сеча
3.6
10.1
8.1
10.5.3
8.3
Безжична мрежа
4.1
1.2.3 и 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1, XNUMX
Сегментација на мрежа Далечински пристап Пренос на податоци за сопственикот на картичката
4.1в
Б.1.3
А.2.1 А.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Методологија на верзии на Викинг
11.2 12.1.б
Инструкции за клиентите за 11.1
сигурна инсталација на закрпи и 11.2
ажурирања.
12.1
23
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
16. Речник на термини
TERM Податоци за сопственикот на картичката
ДУКПТ
3DES трговец SSF
PA-QSA
ДЕФИНИЦИЈА
Целосна магнетна лента или PAN плус било кое од следново: · Име на сопственикот на картичката · Датум на истекување · Код на услуга
Изведен единствен клуч по трансакција (DUKPT) е шема за управување со клучеви во која за секоја трансакција се користи единствен клуч кој е изведен од фиксен клуч. Затоа, ако изведен клуч е компромитиран, податоците за идните и минатите трансакции сè уште се заштитени бидејќи следниот или претходниот клуч не може лесно да се одредат.
Во криптографијата, Triple DES (3DES или TDES), официјално Алгоритам за шифрирање на тројни податоци (TDEA или Triple DEA), е блок шифра со симетричен клуч, која го применува алгоритмот за шифрирање DES три пати на секој блок на податоци.
Крајниот корисник и купувач на производот Викинг.
PCI Software Security Framework (SSF) е збирка на стандарди и програми за безбедно дизајнирање и развој на софтвер за плаќање. Безбедноста на софтверот за плаќање е клучен дел од протокот на платежни трансакции и е од суштинско значење за да се олеснат сигурни и точни платежни трансакции.
Квалификувани безбедносни проценувачи на апликација за плаќање. Компанија QSA која обезбедува услуги на продавачите на апликации за плаќање за да ги потврди апликациите за плаќање на продавачите.
SAD (Сензитивни податоци за автентикација)
Информации поврзани со безбедноста (шифри/вредности за валидација на картички, целосни податоци за песната, PIN-кодови и PIN блокови) кои се користат за автентикација на сопствениците на картички, кои се појавуваат во обичен текст или на друг начин незаштитена форма. Откривањето, изменувањето или уништувањето на овие информации може да ја загрози безбедноста на криптографскиот уред, информацискиот систем или информациите за сопственикот на картичката или може да се користи во лажна трансакција. Чувствителните податоци за автентикација никогаш не смеат да се складираат кога трансакцијата е завршена.
Викинг ХСМ
Софтверската платформа што ја користи Нетс за развој на апликации за европскиот пазар.
Хардверски безбедносен модул
24
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
17. Контрола на документи
Автор на документот, Реviewмери и одобрувачи
Опис SSA Development Compliance Manager System Architect QA Сопственик на производ Менаџер на производи Директор за инженерство
Функција Reviewer Автор Реviewer & Одобрувач Реviewer & Одобрувач Реviewer & Одобрувач Реviewer & Одобрувач менаџер менаџер
Име Клаудио Адами / Флавио Бонфиљо Соранс Аруна Паникер Арно Екстром Шамшер Синг Варун Шукла Арто Кангас Еро Куусинен Танели Валтонен
Резиме на промените
Верзија број 1.0
1.0
1.1
Датум на верзија 03-08-2022
15-09-2022
20-12-2022
Природата на промената
Прва верзија за PCI-Secure Software Standard
Ажуриран дел 14 со неприменливите контролни цели со нивно оправдување
Ажурирани делови 2.1.2 и 2.2
со Self4000.
Отстранет
Link2500 (PTS верзија 4.x) од
поддржан список со терминали
Промена на авторот Aruna Panicker Aruna Panicker
Аруна паничар
Reviewer
Датум на одобрение
Шамшер Синг 18-08-22
Шамшер Синг 29-09-22
Шамшер Синг 23-12-22
1.1
05 година Ажуриран дел 01 со Link2023 Aruna Panicker Shamsher Singh 2.2
(pts v4) за продолжување на поддршката
за овој тип на терминал.
1.2
20-03-2023 Ажуриран дел 2.1.1 со латвиски Aruna Panicker Shamsher Singh 21-04-23
и литвански терминал проfiles.
И 2.1.2 со BT-iOS комуникација-
поддршка за тип на ција
2.0
03-08-2023 Верзијата за ослободување на верзијата ажурирана на Aruna Panicker Shamsher Singh 13-09-23
2.00 во заглавие/футери.
Ажуриран дел 2.2 со нов
Хардвер и фирмвер Move3500
верзии. Ажуриран дел 11 за
„Методологија на верзии на Викинг“.
Ажуриран дел 1.3 со најновото
верзија на барањето PCI SSS
водич. Ажуриран дел 2.2 за суп-
пренесените терминали се отстранети неподдржан
пренесени хардверски верзии од
листа.
2.0
16-11-2023 Visual (CVI) ажурирање
Лејла Авсар
Арно Екстром 16-11-23
25
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Список за дистрибуција
Име Терминал Оддел за управување со производи
Развој на функции, тест, проектен менаџмент, тим за управување со производ на терминал за усогласеност, производ на менаџер за усогласеност
Одобрувања на документи
Името Арто Кангас
Функција сопственик на производ
Документ Review Планови
Овој документ ќе биде реviewизменето и ажурирано, доколку е потребно, како што е дефинирано подолу:
· Како што се бара за корекција или подобрување на информациската содржина · По какви било организациски промени или реструктуирање · По годишна ревизијаview · По искористување на ранливост · Следење нови информации/барања во врска со релевантните ранливости
26
Водич за имплементација на стандарден софтвер PCI-Secure v2.0 за Viking Terminal 2.00
Документи / ресурси
 |
мрежи PCI-Secure стандарден софтвер [pdf] Упатство за корисникот PCI-Secure стандарден софтвер, PCI-Secure, стандарден софтвер, софтвер |
