Standardna programska oprema PCI-Secure
Informacije o izdelku: Standardni prodajalec programske opreme PCI-Secure
Vodič za implementacijo za Viking Terminal 2.00
Specifikacije
Različica: 2.0
1. Uvod in področje uporabe
1.1 Uvod
Priročnik za implementacijo proizvajalca standardne programske opreme PCI-Secure
ponuja smernice za implementacijo programske opreme na Viking
Terminal 2.00.
1.2 Varnostni okvir programske opreme (SSF)
Za varno plačilo skrbi Software Security Framework (SSF).
aplikacijo na terminalu Viking 2.00.
1.3 Vodnik za implementacijo ponudnika programske opreme – distribucija in
Posodobitve
Ta priročnik vključuje informacije o distribuciji in posodobitvah
Vodnika za implementacijo ponudnika programske opreme za terminal Viking
2.00.
2. Aplikacija za varno plačevanje
2.1 Programska oprema aplikacije
Programska oprema za varno plačevanje zagotavlja varno
komunikacija z gostiteljem plačil in ECR.
2.1.1 Nastavitev parametrov TCP/IP komunikacije gostitelja plačil
V tem razdelku so navodila za nastavitev TCP/IP
parametre za komunikacijo z gostiteljem plačil.
2.1.2 ECR komunikacija
V tem razdelku so navodila za komunikacijo z
ECR (elektronska blagajna).
2.1.3 Komunikacija z gostiteljem prek ECR
V tem razdelku je razloženo, kako vzpostaviti komunikacijo z
gostitelj plačila z ECR.
2.2 Podprta terminalska strojna oprema
Aplikacija za varno plačevanje podpira Viking Terminal 2.00
strojna oprema.
2.3 Varnostne politike
Ta razdelek opisuje varnostne politike, ki bi morale biti
sledite pri uporabi aplikacije za varno plačevanje.
3. Varna oddaljena posodobitev programske opreme
3.1 Uporabnost trgovca
V tem razdelku so informacije o uporabi varnega
oddaljene posodobitve programske opreme za trgovce.
3.2 Politika sprejemljive uporabe
Ta razdelek opisuje politiko sprejemljive uporabe za varno
oddaljene posodobitve programske opreme.
3.3 Osebni požarni zid
Navodila za konfiguracijo osebnega požarnega zidu, ki omogoča
varne oddaljene posodobitve programske opreme so na voljo v tem razdelku.
3.4 Postopki posodabljanja na daljavo
V tem razdelku so razloženi postopki za izvajanje varnega
oddaljene posodobitve programske opreme.
4. Varno brisanje občutljivih podatkov in zaščita shranjenih
Podatki imetnika kartice
4.1 Uporabnost trgovca
V tem razdelku so informacije o uporabi varnega
brisanje občutljivih podatkov in zaščita shranjenih podatkov imetnika kartice
za trgovce.
4.2 Navodila za varno brisanje
Na voljo so navodila za varno brisanje občutljivih podatkov
v tem razdelku.
4.3 Lokacije shranjenih podatkov imetnika kartice
V tem razdelku so navedene lokacije, kjer so shranjeni podatki imetnika kartice
in nudi navodila za njegovo zaščito.
V tem razdelku so razloženi postopki za ravnanje z odloženim
varne avtorizacijske transakcije.
4.5 Postopki za odpravljanje težav
Navodila za odpravljanje težav v zvezi z varnim
brisanje in zaščita shranjenih podatkov imetnika kartice sta zagotovljena v
ta del.
4.6 Lokacije PAN – prikazane ali natisnjene
V tem razdelku so navedene lokacije, kjer je PAN (primarni račun
Številka) je prikazana ali natisnjena in zagotavlja navodila za zavarovanje
to.
4.7 Poziv files
Navodila za upravljanje poziva fileso varno na voljo
ta del.
4.8 Upravljanje ključev
V tem razdelku so razloženi ključni postopki upravljanja za zagotavljanje
varnost shranjenih podatkov imetnika kartice.
4.9 Ponovni zagon '24 HR'
Navodila za izvedbo "24-urnega" ponovnega zagona za zagotovitev sistema
v tem razdelku je zagotovljena varnost.
4.10 Seznam dovoljenih
Ta razdelek vsebuje informacije o seznamu dovoljenih in njegovih
pomen pri ohranjanju varnosti sistema.
5. Preverjanje pristnosti in nadzor dostopa
Ta razdelek zajema ukrepe za preverjanje pristnosti in nadzor dostopa
za zagotovitev varnosti sistema.
Pogosto zastavljena vprašanja (FAQ)
V: Kaj je namen standarda programske opreme PCI-Secure?
Vodnik za implementacijo dobavitelja?
O: Vodnik ponuja smernice za izvajanje varnega plačevanja
aplikacijsko programsko opremo na terminalu Viking 2.00.
V: Katero terminalsko strojno opremo podpira varno plačevanje
aplikacija?
O: Aplikacija za varno plačevanje podpira terminal Viking
2.00 strojna oprema.
V: Kako lahko varno izbrišem občutljive podatke?
O: Navodila za varno brisanje občutljivih podatkov so
v razdelku 4.2 vodnika.
V: Kakšen je pomen seznama dovoljenih?
O: Seznam dovoljenih ima ključno vlogo pri vzdrževanju sistema
varnost tako, da dovoli zagon samo odobrenih aplikacij.
Ta vsebina je razvrščena kot interna
Nets Denmark A/S:
PCI-Secure Software Standard Software Vendor Implementation Guide for Viking terminal 2.00
Različica 2.0
PCI-Secure Software Standard Vendor Implementation Guide v2.0 for Viking Terminal 2.00 1 1
Vsebina
1. Uvod in področje uporabe ……………………………………………………………………. 3
1.1
Uvod ………………………………………………………………………………………. 3
1.2
Varnostni okvir programske opreme (SSF)……………………………………………………. 3
1.3
Vodnik za implementacijo ponudnika programske opreme – distribucija in posodobitve …… 3
2. Aplikacija za varno plačevanje……………………………………………………………… 4
2.1
Programska oprema aplikacije ………………………………………………………………………………. 4
2.1.1 Nastavitev parametrov TCP/IP komunikacije gostitelja plačil …………………….. 4
2.1.2 ECR komunikacija…………………………………………………………………………. 5
2.1.3 Komunikacija z gostiteljem prek ECR…………………………………………………………. 5
2.2
Podprta strojna(-e) terminala ……………………………………………………….. 6
2.3
Varnostne politike …………………………………………………………………………………. 7
3. Varna oddaljena posodobitev programske opreme …………………………………………………………. 8
3.1
Uporabnost trgovca……………………………………………………………………… 8
3.2
Politika sprejemljive uporabe ………………………………………………………………………. 8
3.3
Osebni požarni zid…………………………………………………………………………… 8
3.4
Postopki oddaljene posodobitve ……………………………………………………………… 8
4. Varno brisanje občutljivih podatkov in zaščita shranjenih podatkov imetnika kartice9
4.1
Uporabnost trgovca……………………………………………………………………… 9
4.2
Navodila za varno brisanje………………………………………………………………… 9
4.3
Lokacije shranjenih podatkov imetnika kartice……………………………………………….. 9
4.4
Transakcija z odloženo avtorizacijo …………………………………………………. 10
4.5
Postopki za odpravljanje težav …………………………………………………………… 10
4.6
Lokacije PAN – prikazane ali natisnjene ……………………………………………… 10
4.7
Poziv files ………………………………………………………………………………….. 11
4.8
Upravljanje ključev …………………………………………………………………………… 11
4.9
Ponovni zagon 24 HR ……………………………………………………………………………. 12
4.10 Seznam dovoljenih ………………………………………………………………………………… 12
5. Preverjanje pristnosti in nadzor dostopa ……………………………………………………. 13
5.1
Nadzor dostopa ……………………………………………………………………………. 13
5.2
Nadzor gesla ……………………………………………………………………………. 15
6. Beleženje ……………………………………………………………………………………….. 15
6.1
Uporabnost trgovca……………………………………………………………………. 15
6.2
Konfigurirajte nastavitve dnevnika ……………………………………………………………………. 15
6.3
Centralno beleženje ……………………………………………………………………………… 15
6.3.1 Omogočanje beleženja sledenja na terminalu …………………………………………………………… 15
6.3.2 Pošiljanje dnevnikov sledenja gostitelju ………………………………………………………………………… 15
6.3.3 Beleženje sledenja na daljavo……………………………………………………………………………. 16
6.3.4 Beleženje napak na daljavo……………………………………………………………………………. 16
7. Brezžična omrežja …………………………………………………………………………… 16
7.1
Uporabnost trgovca……………………………………………………………………. 16
7.2
Priporočene brezžične konfiguracije ………………………………………… 16
8. Segmentacija omrežja ………………………………………………………………….. 17
8.1
Uporabnost trgovca……………………………………………………………………. 17
9. Oddaljeni dostop ……………………………………………………………………………… 17
9.1
Uporabnost trgovca……………………………………………………………………. 17
10.
Prenos občutljivih podatkov ……………………………………………………….. 17
10.1 Prenos občutljivih podatkov ……………………………………………………… 17
10.2 Deljenje občutljivih podatkov z drugo programsko opremo ……………………………………….. 17
10.3 E-pošta in občutljivi podatki …………………………………………………………………. 17
10.4 Skrbniški dostop brez konzole …………………………………………………. 17
11.
Metodologija Viking Versioning………………………………………………………. 18
12.
Navodila za varno namestitev popravkov in posodobitev. …………. 18
13.
Posodobitve izdaje Viking …………………………………………………………………. 19
14.
Zahteve, ki se ne uporabljajo …………………………………………………………. 19
15.
Referenca standardnih zahtev za programsko opremo PCI Secure …………………… 23
16.
Glosar izrazov ……………………………………………………………………………. 24
17.
Nadzor dokumentov ………………………………………………………………………… 25
2
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
1. Uvod in področje uporabe
1.1 Uvod
Namen tega vodnika za implementacijo standardnega ponudnika programske opreme PCI-Secure je zainteresiranim stranem zagotoviti jasne in temeljite smernice o varni implementaciji, konfiguraciji in delovanju programske opreme Viking. Priročnik daje navodila trgovcem, kako implementirati Netsovo aplikacijo Viking v svoje okolje na način, ki je združljiv s standardom PCI Secure Software Standard. Čeprav ni mišljen kot popoln vodnik za namestitev. Aplikacija Viking, če je nameščena v skladu s tukaj dokumentiranimi smernicami, bi morala olajšati in podpirati skladnost trgovca s PCI.
1.2 Varnostni okvir programske opreme (SSF)
PCI Software Security Framework (SSF) je zbirka standardov in programov za varno načrtovanje in razvoj aplikacijske programske opreme za plačevanje. SSF nadomešča standard za varnost podatkov plačilnih aplikacij (PA-DSS) s sodobnimi zahtevami, ki podpirajo širši nabor vrst plačilne programske opreme, tehnologij in razvojnih metodologij. Ponudnikom zagotavlja varnostne standarde, kot je PCI Secure Software Standard za razvoj in vzdrževanje programske opreme za plačevanje, tako da ščiti plačilne transakcije in podatke, zmanjšuje ranljivosti in ščiti pred napadi.
1.3 Vodnik za implementacijo ponudnika programske opreme – distribucija in posodobitve
Ta priročnik za uporabo standardne programske opreme PCI Secure Software Vendor je treba razdeliti vsem ustreznim uporabnikom aplikacije, vključno s trgovci. Posodobiti ga je treba vsaj enkrat letno in po spremembah v programski opremi. Letni review in posodobitev mora vključevati nove spremembe programske opreme ter spremembe v standardu varne programske opreme.
Nets objavlja podatke o naštetih webmestu, če so v priročniku za implementacijo kakršne koli posodobitve.
Webspletno mesto: https://support.nets.eu/
Za nprample: Priročnik za implementacijo standardnega ponudnika programske opreme Nets PCI-Secure bo razdeljen vsem strankam, preprodajalcem in integratorjem. Stranke, prodajni posredniki in integratorji bodo obveščeni od ponovnoviews in posodobitve.
Posodobitve priročnika za implementacijo standardnega ponudnika programske opreme PCI-Secure lahko dobite tudi tako, da se neposredno obrnete na Nets.
Ta Vodič za implementacijo ponudnika programske opreme, standarda programske opreme PCI-Secure, se sklicuje na standard programske opreme PCI-Secure in zahteve PCI. V tem priročniku so navedene naslednje različice.
· PCI-Secure-Software-Standard-v1_2_1
3
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2. Aplikacija za varno plačevanje
2.1 Programska oprema aplikacije
Plačilne aplikacije Viking ne uporabljajo zunanje programske ali strojne opreme, ki ne pripada vgrajeni aplikaciji Viking. Vse izvršljive datoteke S/W, ki pripadajo plačilni aplikaciji Viking, so digitalno podpisane s kompletom za podpisovanje Tetra, ki ga zagotavlja Ingenico.
· Terminal komunicira z Nets Host prek TCP/IP, bodisi prek Etherneta, GPRS, Wi-Fi ali prek PC-LAN, ki izvaja aplikacijo POS. Prav tako lahko terminal komunicira z gostiteljem prek mobilnega telefona z Wi-Fi ali GPRS povezljivostjo.
Terminali Viking upravljajo vso komunikacijo s komponento povezovalnega sloja Ingenico. Ta komponenta je aplikacija, naložena v terminalu. Povezovalni sloj lahko upravlja več komunikacij hkrati z uporabo različnih zunanjih naprav (modem in serijska vrata, nprample).
Trenutno podpira naslednje protokole:
· Fizični: RS232, notranji modem, zunanji modem (prek RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G in 4G.
· Podatkovna povezava: SDLC, PPP. · Omrežje: IP. · Transport: TCP.
Terminal vedno prevzame pobudo za vzpostavitev komunikacije proti Nets Host. V terminalu ni programske opreme strežnika TCP/IP in programska oprema terminala se nikoli ne odziva na dohodne klice.
Pri integraciji s POS aplikacijo na osebnem računalniku lahko terminal nastavite za komunikacijo prek PC-LAN, ki izvaja POS aplikacijo z uporabo RS232, USB ali Bluetooth. Vse funkcije plačilne aplikacije še vedno delujejo v programski opremi terminala.
Protokol aplikacije (in uporabljeno šifriranje) je pregleden in neodvisen od vrste komunikacije.
2.2 Nastavitev parametrov TCP/IP komunikacije gostitelja plačil
4
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2.3 ECR komunikacija
· Serijska RS232 · Povezava USB · Nastavitev parametrov TCP/IP, znana tudi kot ECR prek IP
· Možnosti komunikacije gostitelj/ECR v plačilni aplikaciji Viking
· Konfiguracija parametrov Nets Cloud ECR (Connect@Cloud).
2.4 Komunikacija z gostiteljem prek ECR
Opomba: Glejte »2.1.1 – Nastavitev parametrov TCP/IP komunikacije gostitelja plačil« za vrata TCP/IP, specifična za državo.
5
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2.5 Podprta terminalska strojna oprema
Plačilna aplikacija Viking je podprta na različnih PTS (PIN transakcijska varnost), potrjenih napravah Ingenico. Spodaj je naveden seznam terminalske strojne opreme skupaj s številko odobritve PTS.
Vrste terminalov Tetra
Strojna oprema terminala
pas 3000
PTS
PTS odobritev
številka različice
5.x
4-30310
Različica strojne opreme PTS
LAN30EA LAN30AA
Pisalna miza 3500
5.x
4-20321
DES35BB
Premakni 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Povezava2500
Link2500 Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
Različica vdelane programske opreme PTS
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2.6 Varnostne politike
Plačilna aplikacija Viking upošteva vse veljavne varnostne politike, ki jih določa Ingenico. Za splošne informacije so to povezave do varnostnih pravilnikov za različne terminale Tetra:
Tip terminala
Link2500 (v4)
Dokument varnostne politike Link/2500 PCI PTS Varnostna politika (pcisecuritystandards.org)
Link2500 (v5)
Varnostna politika PCI PTS (pcisecuritystandards.org)
Desk3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Premakni 3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Lane3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self4000
Varnostna politika Self/4000 PCI PTS (pcisecuritystandards.org)
7
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
3. Varna oddaljena posodobitev programske opreme
3.1 Uporabnost trgovca
Nets varno na daljavo dostavlja posodobitve plačilnih aplikacij Viking. Te posodobitve se izvajajo na istem komunikacijskem kanalu kot varne plačilne transakcije in trgovcu zaradi skladnosti ni treba spreminjati te komunikacijske poti.
Za splošne informacije bi morali trgovci razviti politiko sprejemljive uporabe za kritične tehnologije, namenjene zaposlenim, v skladu s spodnjimi smernicami za VPN ali druge hitre povezave, posodobitve se prejemajo prek požarnega zidu ali osebnega požarnega zidu.
3.2 Politika sprejemljive uporabe
Trgovec bi moral razviti politike uporabe kritičnih tehnologij, namenjenih zaposlenim, kot so modemi in brezžične naprave. Ti pravilniki o uporabi morajo vključevati:
· Izrecna odobritev vodstva za uporabo. · Preverjanje pristnosti za uporabo. · Seznam vseh naprav in osebja z dostopom. · Označevanje naprav z lastnikom. · Kontaktni podatki in namen. · Sprejemljive uporabe tehnologije. · Sprejemljive omrežne lokacije za tehnologije. · Seznam odobrenih izdelkov podjetja. · Dovolitev uporabe modemov za prodajalce samo, ko so potrebni, in deaktivacija po uporabi. · Prepoved shranjevanja podatkov imetnika kartice na lokalni medij ob oddaljeni povezavi.
3.3 Osebni požarni zid
Vse »vedno vključene« povezave iz računalnika v VPN ali drugo hitro povezavo je treba zavarovati z osebnim požarnim zidom. Požarni zid konfigurira organizacija tako, da ustreza posebnim standardom in ga zaposleni ne morejo spremeniti.
3.4 Postopki posodabljanja na daljavo
Obstajata dva načina za sprožitev terminala, da se obrne na programsko središče Nets za posodobitve:
1. Bodisi ročno prek možnosti menija v terminalu (povlecite kartico trgovca, izberite meni 8 »Programska oprema«, 1 »Pridobi programsko opremo«) ali na pobudo gostitelja.
2. Uporaba metode, ki jo sproži gostitelj; terminal samodejno prejme ukaz od gostitelja, potem ko je izvedel finančno transakcijo. Ukaz sporoči terminalu, naj stopi v stik s programskim centrom Nets, da preveri posodobitve.
Po uspešni posodobitvi programske opreme terminal z vgrajenim tiskalnikom natisne potrdilo s podatki o novi različici.
Integratorji terminalov, partnerji in/ali ekipa za tehnično podporo Nets bodo odgovorni za obveščanje trgovcev o posodobitvi, vključno s povezavo do posodobljenega vodnika za implementacijo in opomb ob izdaji.
Poleg potrdila po posodobitvi programske opreme je mogoče plačilno aplikacijo Viking potrditi tudi prek Terminal Info s pritiskom tipke `F3' na terminalu.
8
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
4. Varno brisanje občutljivih podatkov in zaščita shranjenih podatkov imetnika kartice
4.1 Uporabnost trgovca
Plačilna aplikacija Viking ne shranjuje nobenih podatkov o magnetnem traku, vrednosti ali kod za preverjanje veljavnosti kartice, kod PIN ali podatkov o bloku PIN, materiala kriptografskih ključev ali kriptogramov iz prejšnjih različic.
Da bi bil trgovec skladen s PCI, mora imeti pravilnik o hrambi podatkov, ki določa, kako dolgo se hranijo podatki imetnika kartice. Plačilna aplikacija Viking ohrani podatke o imetniku kartice in/ali občutljive podatke za preverjanje pristnosti zadnje transakcije in v primeru transakcij brez povezave ali odložene avtorizacije, medtem ko hkrati upošteva skladnost s standardom programske opreme PCI-Secure, zato je lahko izvzeta iz trgovčeva politika hrambe podatkov imetnika kartice.
4.2 Navodila za varno brisanje
Terminal ne shranjuje občutljivih podatkov za preverjanje pristnosti; full track2, CVC, CVV ali PIN, niti pred avtorizacijo niti po njej; razen za transakcije z odloženo avtorizacijo, v tem primeru so šifrirani občutljivi podatki za preverjanje pristnosti (polni podatki track2) shranjeni, dokler avtorizacija ni opravljena. Po avtorizaciji se podatki varno izbrišejo.
Vsak primerek prepovedanih zgodovinskih podatkov, ki obstaja v terminalu, bo samodejno varno izbrisan, ko bo plačilna aplikacija terminala Viking nadgrajena. Izbris prepovedanih zgodovinskih podatkov in podatkov, za katere velja politika hrambe, se bo zgodil samodejno.
4.3 Lokacije shranjenih podatkov imetnika kartice
Podatki o imetniku kartice so shranjeni v Flash DFS (Data File sistem) terminala. Podatki niso neposredno dostopni trgovcu.
Shramba podatkov (file, miza itd.)
Shranjeni podatki o imetniku kartice (PAN, potek veljavnosti, kateri koli elementi EUL)
Kako je shramba podatkov zavarovana (nprampdatoteke, šifriranje, nadzor dostopa, obrezovanje itd.)
File: trans.rsd
PAN, datum poteka, koda storitve
PAN: šifrirano 3DES-DUKPT (112 bitov)
File: storefwd.rsd PAN, datum poteka, koda storitve
PAN: šifrirano 3DES-DUKPT (112 bitov)
File: transoff.rsd PAN, datum poteka, koda storitve
PAN: šifrirano 3DES-DUKPT (112 bitov)
File: transorr.rsd Okrajšan PAN
Okrajšano (prvih 6, zadnjih 4)
File: offlrep.dat
Okrajšan PAN
Okrajšano (prvih 6, zadnjih 4)
File: defauth.rsd PAN, datum poteka, koda storitve
PAN: šifrirano 3DES-DUKPT (112 bitov)
File: defauth.rsd Celotni podatki track2
Celotni podatki Track2: vnaprej šifrirani 3DES-DUKPT (112 bitov)
9
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
4.4 Transakcija z odloženo avtorizacijo
Do odložene avtorizacije pride, ko trgovec ne more dokončati avtorizacije v času transakcije z imetnikom kartice zaradi povezljivosti, sistemskih težav ali drugih omejitev, nato pa avtorizacijo dokonča pozneje, ko to lahko stori.
To pomeni, da do odložene avtorizacije pride, ko se spletna avtorizacija izvede po tem, ko kartica ni več na voljo. Ker je spletna avtorizacija transakcij z odloženo avtorizacijo zakasnjena, bodo transakcije shranjene na terminalu, dokler transakcije ne bodo uspešno avtorizirane kasneje, ko bo omrežje na voljo.
Transakcije se shranijo in pozneje pošljejo gostitelju, tako kot so od danes shranjene transakcije brez povezave v plačilni aplikaciji Viking.
Trgovec lahko sproži transakcijo kot `Odloženo avtorizacijo' iz elektronske blagajne (ECR) ali prek menija terminala.
Odložene avtorizacijske transakcije lahko trgovec naloži v gostitelja Nets z uporabo spodnjih možnosti: 1. ECR – skrbniški ukaz – pošlji brez povezave (0x3138) 2. Terminal – trgovec ->2 EOT -> 2 poslano gostitelju
4.5 Postopki za odpravljanje težav
Podpora Nets ne bo zahtevala občutljive avtentikacije ali podatkov imetnika kartice za namene odpravljanja težav. Plačilna aplikacija Viking v nobenem primeru ne more zbirati občutljivih podatkov ali jih odpraviti.
4.6 Lokacije PAN – prikazane ali natisnjene
Maskiran PAN:
· Potrdila o finančnih transakcijah: maskirana številka PAN je vedno natisnjena na potrdilu o transakciji tako za imetnika kartice kot za trgovca. Zamaskiran PAN je v večini primerov z *, kjer je prvih 6 števk in zadnjih 4 števk v čistem besedilu.
· Poročilo o seznamu transakcij: poročilo o seznamu transakcij prikazuje transakcije, izvedene v seji. Podrobnosti o transakciji vključujejo prikrito številko PAN, ime izdajatelja kartice in znesek transakcije.
· Račun zadnjega kupca: Kopijo zadnjega potrdila stranke lahko ustvarite iz menija za kopiranje terminala. Potrdilo stranke vsebuje prikrito številko PAN kot izvirno potrdilo stranke. Navedena funkcija se uporablja v primeru, če terminal iz kakršnega koli razloga med transakcijo ne uspe ustvariti potrdila stranke.
Šifrirano PAN:
· Potrdilo o transakciji brez povezave: Različica potrdila o transakciji za trgovca na drobno za transakcijo brez povezave vključuje trojne DES 112-bitne DUKPT šifrirane podatke imetnika kartice (PAN, datum poteka in kodo storitve).
BAX: 71448400-714484 12/08/2022 10:39
Visa Contactless ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 AID: A0000000031010 TVR: 0000000000 StoreID: 123461 Ref.: 000004 000000 3 KCXNUMX
10
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Odg.: Y1 Seja: 782
NAKUP
NOK
12,00
ODOBRENA
IZVOD ZA PRODAJALCA
Potrditev:
Plačilna aplikacija Viking vedno privzeto šifrira podatke imetnika kartice za shranjevanje transakcij brez povezave, prenos do gostitelja NETS in za tiskanje šifriranih podatkov kartice na potrdilu trgovca za transakcijo brez povezave.
Poleg tega za prikaz ali tiskanje PAN kartice plačilna aplikacija Viking številke PAN vedno prikrije z zvezdico `*', pri čemer je prvih 6 + zadnjih 4 števk privzeto jasno. Format tiska številke kartice nadzira sistem za upravljanje terminalov, kjer je format tiskanja mogoče spremeniti z zahtevo prek ustreznega kanala in s predstavitvijo poslovne legitimne potrebe, vendar za aplikacijo Viking za plačevanje ni takega primera.
Exampda za maskiran PAN: PAN: 957852181428133823-2
Minimalne informacije: *************3823-2
Največ info: 957852********3823-2
4.7 Poziv files
Plačilna aplikacija Viking ne zagotavlja nobenega ločenega poziva files.
Plačilna aplikacija Viking zahteva vnose imetnika kartice prek pozivov na zaslonu, ki so del sistema za sporočanje znotraj podpisane plačilne aplikacije Viking.
Na terminalu so prikazani pozivi za PIN, znesek itd., čaka pa se na vnose imetnika kartice. Vnosi, prejeti od imetnika kartice, se ne shranijo.
4.8 Upravljanje ključev
Za serijo modelov terminalov Tetra se vse varnostne funkcije izvajajo v varnem območju naprave PTS, ki je zaščitena pred plačilno aplikacijo.
Šifriranje se izvaja znotraj varnega območja, medtem ko lahko dešifriranje šifriranih podatkov izvajajo samo sistemi Nets Host. Vsa izmenjava ključev med gostiteljem Nets, orodjem Key/Inject (za terminale Tetra) in PED poteka v šifrirani obliki.
Postopke za upravljanje ključev izvaja Nets v skladu s shemo DUKPT z uporabo šifriranja 3DES.
Vsi ključi in ključne komponente, ki jih uporabljajo terminali Nets, so generirani z odobrenimi naključnimi ali psevdonaključnimi procesi. Ključe in ključne komponente, ki jih uporabljajo terminali Nets, generira sistem za upravljanje ključev Nets, ki uporablja odobrene enote Thales Payshield HSM za generiranje kriptografskih ključev.
11
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Upravljanje ključev je neodvisno od plačilne funkcije. Nalaganje nove aplikacije torej ne zahteva spremembe ključne funkcionalnosti. Prostor za ključe terminala bo podpiral približno 2,097,152 transakcij. Ko je prostor za ključe izčrpan, terminal Viking preneha delovati in prikaže sporočilo o napaki, nato pa je treba terminal zamenjati.
4.9 Ponovni zagon 24 HR
Vsi terminali Viking so PCI-PTS 4.x in novejši, zato upoštevajo zahtevo glede skladnosti, da se mora terminal PCI-PTS 4.x znova zagnati najmanj enkrat vsakih 24 ur, da izbriše RAM in dodatno zavaruje HW terminala pred uporabo za prevzem plačila podatke kartice.
Druga prednost 24-urnega cikla ponovnega zagona je, da bo uhajanje pomnilnika zmanjšano in bo imelo manjši vpliv na trgovca (ne da bi morali sprejeti težave z uhajanjem pomnilnika.
Trgovec lahko nastavi čas ponovnega zagona z možnostjo menija terminala na `Čas ponovnega zagona'. Čas ponovnega zagona je nastavljen glede na 24-urno uro in bo v obliki HH:MM.
Mehanizem ponastavitve je zasnovan tako, da zagotovi ponastavitev terminala vsaj enkrat na 24 ur delovanja. Za izpolnitev te zahteve je bil definiran časovni interval, imenovan "interval ponastavitve", ki ga predstavljata Tmin in Tmax. To obdobje predstavlja časovni interval, v katerem je ponastavitev dovoljena. Odvisno od poslovnega primera se "interval ponastavitve" prilagodi med fazo namestitve terminala. To obdobje po zasnovi ne sme biti krajše od 30 minut. V tem obdobju se ponastavitev izvede vsak dan 5 minut prej (na T3), kot je razloženo v spodnjem diagramu:
4.10 Seznam dovoljenih
Seznam dovoljenih je postopek za ugotavljanje, ali so PAN-ji, navedeni na seznamu dovoljenih, prikazani v čistem besedilu. Viking uporablja 3 polja za določanje dovoljenih številk PAN, ki se berejo iz konfiguracij, prenesenih iz sistema za upravljanje terminalov.
Ko je `zastavica skladnosti' v gostitelju Nets nastavljena na Y, se informacije iz sistema za upravljanje gostitelja Nets ali terminala prenesejo v terminal, ko se terminal zažene. Ta zastavica skladnosti se uporablja za določanje dovoljenih številk PAN, ki se berejo iz nabora podatkov.
Zastavica `Track2ECR' določa, ali lahko ECR obravnava (pošilja/prejema) podatke Track2 za določenega izdajatelja. Odvisno od vrednosti te zastavice je določeno, ali naj bodo podatki track2 prikazani v lokalnem načinu na ECR.
`Polje formata tiskanja' določa, kako bo prikazan PAN. Vse kartice v obsegu PCI bodo imele format tiskanja, nastavljen za prikaz PAN v okrnjeni/zamaskirani obliki.
12
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
5. Preverjanje pristnosti in nadzor dostopa
5.1 Nadzor dostopa
Plačilna aplikacija Viking nima uporabniških računov ali ustreznih gesel, zato je plačilna aplikacija Viking izvzeta iz te zahteve.
· Vgrajena nastavitev ECR: iz terminalskega menija ni mogoče dostopati do vrst transakcij, kot so vračilo, polog in razveljavitev, da bi te funkcije zaščitili pred zlorabo. To so vrste transakcij, pri katerih poteka denarni tok z računa trgovca na račun imetnika kartice. Trgovec je dolžan zagotoviti, da ECR uporabljajo samo pooblaščeni uporabniki.
· Samostojna nastavitev: Nadzor dostopa do kartice trgovca je privzeto omogočen za dostop do vrst transakcij, kot so vračilo, polog in razveljavitev iz menija terminala, da so te funkcije zaščitene pred zlorabo. Terminal Viking je privzeto konfiguriran tako, da zavaruje možnosti menija in preprečuje nepooblaščen dostop. Parametri za konfiguracijo varnosti menija spadajo v trgovski meni (dostopen s trgovsko kartico) -> Parametri -> Varnost
Zaščiti meni Privzeto nastavite na `Da'. Gumb Menu na terminalu je zaščiten s konfiguracijo menija Protect. Do menija lahko dostopa le trgovec s trgovsko kartico.
13
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Zaščiti razveljavitev Privzeto nastavite na `Da'. Razveljavitev transakcije lahko izvede le trgovec s kartico trgovca za dostop do menija za razveljavitev.
Zaščiti usklajevanje Privzeto nastavljeno na `Da'. Možnosti za usklajevanje lahko dostopa le trgovec s trgovsko kartico, ko je ta zaščita nastavljena na true.
Zaščiti bližnjico Privzeto nastavite na `Da' Meni bližnjic z možnostmi za viewPodatki o terminalu in možnost za posodabljanje parametrov Bluetooth bodo trgovcu na voljo le, ko bo potegnil kartico trgovca.
14
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
5.2 Nadzor gesla
Plačilna aplikacija Viking nima uporabniških računov ali ustreznih gesel; zato je aplikacija Viking izvzeta iz te zahteve.
6. Sečnja
6.1 Uporabnost trgovca
Trenutno za plačilno aplikacijo Nets Viking ni nastavljivih nastavitev dnevnika PCI za končnega uporabnika.
6.2 Konfigurirajte nastavitve dnevnika
Plačilna aplikacija Viking nima uporabniških računov, zato beleženje, skladno s PCI, ni uporabno. Tudi pri najbolj podrobnem beleženju transakcij plačilna aplikacija Viking ne beleži nobenih občutljivih podatkov za preverjanje pristnosti ali podatkov imetnika kartice.
6.3 Centralno beleženje
Terminal ima generičen mehanizem dnevnika. Mehanizem vključuje tudi beleženje ustvarjanja in brisanja izvršljive datoteke S/W.
Dejavnosti prenosa S/W se beležijo in jih je mogoče ročno prenesti na gostitelja z izbiro menija v terminalu ali na zahtevo gostitelja, označenega z zastavico v običajnem transakcijskem prometu. Če aktiviranje prenosa S/W ne uspe zaradi neveljavnih digitalnih podpisov na prejetem files, se incident samodejno in takoj prenese v Host.
6.4 6.3.1 Omogoči beleženje sledenja na terminalu
Če želite omogočiti beleženje sledenja:
1 Povlecite kartico Merchant. 2 Nato v meniju izberite “9 Sistemski meni”. 3 Nato pojdite v meni “2 Sistemski dnevnik”. 4 Vnesite kodo tehnika, ki jo lahko dobite tako, da pokličete podporo Nets Merchant Service. 5 Izberite “8 parametrov”. 6 Nato omogočite »Beleženje« na »Da«.
6.5 6.3.2 Pošiljanje dnevnikov sledenja gostitelju
Če želite poslati dnevnike sledenja:
1 Pritisnite tipko Meni na terminalu in nato Swipe Merchant Card. 2 Nato v glavnem meniju izberite “7 Operater menu”. 3 Nato izberite »5 Send Trace Logs«, da pošljete dnevnike sledenja gostitelju.
15
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
6.6 6.3.3 Beleženje oddaljenega sledenja
V Nets Host (PSP) je nastavljen parameter, ki bo na daljavo omogočil/onemogočil funkcijo zapisovanja sledenja terminalu. Nets Host bo terminalu v naboru podatkov poslal parameter za omogočanje/onemogočanje beleženja sledenja skupaj z načrtovanim časom, ko bo terminal naložil dnevnike sledenja. Ko terminal prejme parameter sledenja kot omogočen, bo začel zajemati dnevnike sledenja in ob načrtovanem času naložil vse dnevnike sledenja in nato onemogočil funkcijo beleženja.
6.7 6.3.4 Beleženje napak na daljavo
Dnevniki napak so vedno omogočeni na terminalu. Tako kot beleženje sledenja je v Nets Host nastavljen parameter, ki bo na daljavo omogočil/onemogočil funkcijo beleženja napak terminala. Nets Host bo terminalu v naboru podatkov poslal parameter za omogočanje/onemogočanje beleženja sledenja skupaj z načrtovanim časom, ko bo terminal naložil dnevnike napak. Ko terminal prejme parameter beleženja napak kot omogočen, bo začel zajemati dnevnike napak in ob načrtovanem času naložil vse dnevnike napak in nato onemogočil funkcijo beleženja.
7. Brezžična omrežja
7.1 Uporabnost trgovca
Plačilni terminal Viking – MOVE 3500 in Link2500 imata možnost povezave z Wi-Fi omrežjem. Zato je za varno implementacijo brezžičnega omrežja treba razmisliti o namestitvi in konfiguraciji brezžičnega omrežja, kot je opisano spodaj.
7.2 Priporočene brezžične konfiguracije
Pri konfiguriranju brezžičnih omrežij, ki so povezana z notranjim omrežjem, je treba upoštevati številne premisleke in korake.
Vzpostavljene morajo biti vsaj naslednje nastavitve in konfiguracije:
· Vsa brezžična omrežja morajo biti segmentirana s požarnim zidom; če so potrebne povezave med brezžičnim omrežjem in podatkovnim okoljem imetnika kartice, mora biti dostop nadzorovan in zavarovan s požarnim zidom.
· Spremenite privzeti SSID in onemogočite oddajanje SSID · Spremenite privzeta gesla za brezžične povezave in brezžične dostopne točke, to vključuje
edini dostop kot tudi nizi skupnosti SNMP · Spremenite morebitne druge privzete varnostne nastavitve, ki jih je zagotovil ali nastavil prodajalec · Zagotovite, da so brezžične dostopne točke posodobljene na najnovejšo vdelano programsko opremo · Uporabljajte samo WPA ali WPA2 z močnimi ključi, WEP je prepovedan in se ga nikoli ne sme uporabljati · Spremenite ključe WPA/WPA2 ob namestitvi, pa tudi redno in kadar koli oseba z
poznavanje ključev zapusti podjetje
16
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
8. Segmentacija omrežja
8.1 Uporabnost trgovca
Plačilna aplikacija Viking ni strežniška plačilna aplikacija in se nahaja na terminalu. Zaradi tega plačilna aplikacija ne zahteva nobenih prilagoditev, da bi izpolnila to zahtevo. Po splošnem znanju trgovca podatkov o kreditnih karticah ni mogoče shranjevati v sistemih, ki so neposredno povezani z internetom. Na primerample, web strežniki in strežniki baz podatkov ne smejo biti nameščeni na istem strežniku. Demilitarizirano območje (DMZ) mora biti nastavljeno za segmentacijo omrežja, tako da so internetno dostopni samo stroji v DMZ.
9. Oddaljeni dostop
9.1 Uporabnost trgovca
Do plačilne aplikacije Viking ni mogoče dostopati na daljavo. Podpora na daljavo poteka le med članom podpornega osebja Nets in trgovcem po telefonu ali prek Netsa neposredno na kraju samem pri trgovcu.
10. Prenos občutljivih podatkov
10.1 Prenos občutljivih podatkov
Plačilna aplikacija Viking varuje občutljive podatke in/ali podatke imetnika kartice med prenosom z uporabo šifriranja na ravni sporočila z uporabo 3DES-DUKPT (112 bitov) za vse prenose (vključno z javnimi omrežji). Varnostni protokoli za komunikacijo IP od aplikacije Viking do gostitelja niso potrebni, saj je šifriranje na ravni sporočila izvedeno z uporabo 3DES-DUKPT (112-bitov), kot je opisano zgoraj. Ta šifrirna shema zagotavlja, da tudi če so transakcije prestrežene, jih ni mogoče kakor koli spremeniti ali ogroziti, če 3DES-DUKPT (112-bitov) še naprej velja za močno šifriranje. V skladu s shemo upravljanja ključev DUKPT je uporabljeni ključ 3DES edinstven za vsako transakcijo.
10.2 Deljenje občutljivih podatkov z drugo programsko opremo
Plačilna aplikacija Viking ne ponuja nobenega logičnega(-ih) vmesnika(-ov)/API-jev, ki bi omogočili skupno rabo podatkov računa z jasnim besedilom neposredno z drugo programsko opremo. Nobeni občutljivi podatki ali podatki o računu z jasnim besedilom se ne delijo z drugo programsko opremo prek izpostavljenih API-jev.
10.3 E-pošta in občutljivi podatki
Plačilna aplikacija Viking izvorno ne podpira pošiljanja e-pošte.
10.4 Skrbniški dostop brez konzole
Viking ne podpira skrbniškega dostopa brez konzole. Vendar pa mora trgovec na splošno vedeti, da mora skrbniški dostop brez konzole uporabljati SSH, VPN ali TLS za šifriranje vseh skrbniških dostopov brez konzole do strežnikov v podatkovnem okolju imetnika kartice. Telnet ali druge nešifrirane metode dostopa se ne smejo uporabljati.
17
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
11. Metodologija oblikovanja različic Viking
Metodologija za ustvarjanje različic Nets je sestavljena iz dvodelne številke različice S/W: a.bb
kjer se bo `a' povečal, ko bodo izvedene spremembe z velikim vplivom v skladu s standardom programske opreme PCI-Secure. a – glavna različica (1 številka)
`bb' se bo povečal, ko bodo izvedene načrtovane spremembe z majhnim vplivom v skladu s standardom programske opreme PCI-Secure. bb – manjša različica (2 števki)
Številka različice programske opreme plačilne aplikacije Viking je prikazana takole na zaslonu terminala, ko je terminal vklopljen: `abb'
· Posodobitev z npr. 1.00 na 2.00 je pomembna funkcionalna posodobitev. Vključuje lahko spremembe, ki vplivajo na zahteve varnosti ali standarda PCI Secure Software Standard.
· Posodobitev z npr. 1.00 na 1.01 je nepomembna funkcionalna posodobitev. Morda ne vključuje sprememb, ki bi vplivale na varnost ali zahteve PCI Secure Software Standard.
Vse spremembe so predstavljene v zaporednem številčnem vrstnem redu.
12. Navodila za varno namestitev popravkov in posodobitev.
Nets varno dostavlja posodobitve aplikacij za oddaljeno plačevanje. Te posodobitve se izvajajo na istem komunikacijskem kanalu kot varne plačilne transakcije in trgovcu zaradi skladnosti ni treba spreminjati te komunikacijske poti.
Ko je na voljo popravek, bo Nets posodobil različico popravka na Nets Host. Trgovec bi popravke dobil prek avtomatizirane zahteve za prenos S/W ali pa lahko trgovec sproži tudi prenos programske opreme iz menija terminala.
Za splošne informacije bi morali trgovci razviti politiko sprejemljive uporabe za kritične tehnologije, namenjene zaposlenim, v skladu s spodnjimi smernicami za VPN ali druge hitre povezave, posodobitve se prejemajo prek požarnega zidu ali požarnega zidu za osebje.
Gostitelj Nets je na voljo prek interneta z varnim dostopom ali prek zaprtega omrežja. Z zaprtim omrežjem ima ponudnik omrežja neposredno povezavo z našim gostiteljskim okoljem, ki ga ponuja njihov ponudnik omrežja. Terminali se upravljajo prek storitev Nets terminal management. Storitev upravljanja terminala definira nprample regijo, ki ji terminal pripada, in pridobitelja v uporabi. Upravljanje terminala je odgovorno tudi za nadgradnjo terminalske programske opreme na daljavo prek omrežja. Nets zagotavlja, da je programska oprema, naložena na terminal, opravila zahtevane certifikate.
Nets vsem svojim strankam priporoča kontrolne točke, da zagotovi varna in varna plačila, kot je navedeno spodaj: 1. Hranite seznam vseh delujočih plačilnih terminalov in fotografirajte iz vseh dimenzij, da boste vedeli, kako naj bi izgledali. 2. Poiščite očitne znake tamppoškodbe, kot so zlomljena tesnila na pokrivnih ploščah ali vijakih za dostop, nenavadni ali drugačni kabli ali nova strojna naprava, ki je ne morete prepoznati. 3. Zaščitite svoje terminale pred dosegom strank, ko jih ne uporabljate. Dnevno pregledujte svoje plačilne terminale in druge naprave, ki lahko berejo plačilne kartice. 4. Če pričakujete kakršna koli popravila plačilnega terminala, morate preveriti identiteto serviserja. 5. Takoj pokličite Nets ali svojo banko, če sumite na kakršno koli neočitno dejavnost. 6. Če menite, da je vaša POS naprava ranljiva za krajo, potem so na voljo servisni nosilci ter varni pasovi in privezi, ki jih lahko kupite komercialno. Morda je vredno razmisliti o njihovi uporabi.
18
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
13. Posodobitve izdaje Viking
Programska oprema Viking je izdana v naslednjih ciklih izdaje (pridržane so spremembe):
· 2 večji izdaji letno · 2 manjši izdaji letno · Popravki programske opreme, kot in kadar je to potrebno (npr. zaradi kritične težave z napako/ranljivostjo). Če
izdaja deluje na terenu in poročajo o nekaterih kritičnih težavah, potem se pričakuje, da bo programski popravek s popravkom izdan v enem mesecu.
Trgovci bi bili obveščeni o izdajah (večjih/manjših/popravkih) prek e-poštnih sporočil, ki bi bila neposredno poslana na njihove ustrezne e-poštne naslove. E-poštno sporočilo bo vsebovalo tudi glavne poudarke izdaje in opombe ob izdaji.
Trgovci lahko dostopajo tudi do opomb ob izdaji, ki bodo naložene na:
Opombe ob izdaji programske opreme (nets.eu)
Izdaje programske opreme Viking so podpisane z orodjem za petje Ingenico za terminale Tetra. Na terminal je mogoče naložiti samo podpisano programsko opremo.
14. Zahteve, ki se ne uporabljajo
Ta razdelek vsebuje seznam zahtev v standardu programske opreme PCI-Secure, ki so bile ocenjene kot `neuporabne' za plačilno aplikacijo Viking, in utemeljitev za to.
PCI Secure Software Standard
CO
dejavnost
Utemeljitev, zakaj se „ne uporablja“
5.3
Metode avtentikacije (vključno s sejo cre- Plačilna aplikacija Viking deluje na PCI POI, ki ga je odobril PTS
dentali) so dovolj močni in robustni za napravo.
zaščitite poverilnice za preverjanje pristnosti
ponarejeno, ponarejeno, razkrito, ugibano ali zaokroženo – Vikingova plačilna aplikacija ne ponuja lokalnih, nekonzolnih
prezračevati.
oddaljenega dostopa, niti ravni privilegijev, zato ni
poverilnice za identifikacijo v napravi PTS POI.
Plačilna aplikacija Viking ne zagotavlja nastavitev za upravljanje ali ustvarjanje uporabniških ID-jev in ne omogoča lokalnega, nekonzolnega ali oddaljenega dostopa do kritičnih sredstev (tudi za namene odpravljanja napak).
5.4
Privzeto je ves dostop do kritičnih sredstev ponovno
Plačilna aplikacija Viking deluje na PTS POI, ki ga je odobril PCI
omejeno samo na te račune in storitvene naprave.
ki zahtevajo tak dostop.
Plačilna aplikacija Viking ne omogoča nastavitev za
upravljanje ali ustvarjanje računov ali storitev.
7.3
Vsa naključna števila, ki jih uporablja programska oprema, so plačilna aplikacija Viking, ki ne uporablja nobenega RNG (naključnega
ustvarjen samo z odobrenim generatorjem naključnih števil) za svoje funkcije šifriranja.
algoritmi ali knjižnice za generiranje ber (RNG).
19
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Odobreni algoritmi ali knjižnice RNG so tisti, ki ustrezajo industrijskim standardom za zadostno nepredvidljivost (npr. Posebna publikacija NIST 800-22).
Plačilna aplikacija Viking ne ustvarja in ne uporablja nobenih naključnih števil za kriptografske funkcije.
7.4
Naključne vrednosti imajo entropijo, ki ustreza plačilni aplikaciji Viking, ki ne uporablja nobenega RNG (naključnega
minimalne zahteve glede efektivne moči generatorja števil) za njegove funkcije šifriranja.
kriptografske primitive in ključe, ki se zanašajo
na njih.
Plačilna aplikacija Viking jih ne ustvarja in ne uporablja
naključna števila za kriptografske funkcije.
8.1
Vsi poskusi dostopa in uporaba kritičnih sredstev Plačilna aplikacija Viking deluje na PCI POI, ki ga je odobril PCI
je sledljiv in sledljiv do edinstvenega posameznika. naprave, kjer se dogaja vse kritično ravnanje s sredstvi, in
Vdelana programska oprema PTS POI zagotavlja zaupnost in celovitost zaznav
shranjene v napravi PTS POI.
Zaupnost, celovitost in odpornost občutljive funkcije plačilne aplikacije Viking so zaščitene in zagotovljene z vdelano programsko opremo PTS POI. Vdelana programska oprema PTS POI preprečuje kakršen koli dostop do kritičnih sredstev iz terminala in se zanaša na anti-tampfunkcije.
Plačilna aplikacija Viking ne ponuja lokalnega, nekonzolnega ali oddaljenega dostopa niti ravni privilegijev, zato ni nobene osebe ali drugih sistemov z dostopom do kritičnih sredstev, samo plačilna aplikacija Viking lahko obravnava kritična sredstva
8.2
Vse dejavnosti so zajete v zadostni in potrebni obliki. Plačilna aplikacija Viking deluje na PCI POI, ki ga je odobril PCI
s podrobnostmi za natančen opis posameznih naprav.
aktivnosti izvajale, kdo je izvajal
njih, čas njihove izvedbe in
Plačilna aplikacija Viking ne ponuja lokalnih, nekonzolnih
katera kritična sredstva so bila prizadeta.
ali oddaljenega dostopa, niti ravni privilegijev, torej ni
oseba ali drugi sistemi z dostopom do kritičnih sredstev
Plačilna aplikacija Viking lahko obravnava kritična sredstva.
· Plačilna aplikacija Viking ne omogoča privilegiranih načinov delovanja.
· Ni funkcij za onemogočanje šifriranja občutljivih podatkov
· Ni funkcij za dešifriranje občutljivih podatkov
· Ni funkcij za izvoz občutljivih podatkov v druge sisteme ali procese
· Ni podprtih funkcij za preverjanje pristnosti
Varnostnih kontrol in varnostnih funkcij ni mogoče onemogočiti ali izbrisati.
8.3
Programska oprema podpira varno hrambo de-Vikingova plačilna aplikacija teče na PCI POI, ki jih je odobril PCI
zapise dejavnosti z repom.
naprave.
20
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
8.4 B.1.3
Plačilna aplikacija Viking ne ponuja lokalnega, nekonzolnega ali oddaljenega dostopa, niti ravni privilegijev, zato ni osebe ali drugih sistemov z dostopom do kritičnih sredstev, samo plačilna aplikacija Viking lahko obravnava kritična sredstva.
· Plačilna aplikacija Viking ne omogoča privilegiranih načinov delovanja.
· Ni funkcij za onemogočanje šifriranja občutljivih podatkov
· Ni funkcij za dešifriranje občutljivih podatkov
· Ni funkcij za izvoz občutljivih podatkov v druge sisteme ali procese
· Ni podprtih funkcij za preverjanje pristnosti
Varnostnih kontrol in varnostnih funkcij ni mogoče onemogočiti ali izbrisati.
Programska oprema obravnava napake v mehanizmih za sledenje dejavnosti, tako da se ohrani celovitost obstoječih zapisov dejavnosti.
Plačilna aplikacija Viking deluje na napravah PTS POI, ki jih je odobril PCI.
Plačilna aplikacija Viking ne ponuja lokalnega, nekonzolnega ali oddaljenega dostopa, niti ravni privilegijev, zato ni osebe ali drugih sistemov z dostopom do kritičnih sredstev, samo aplikacija Viking lahko obravnava kritična sredstva.
· Plačilna aplikacija Viking ne omogoča privilegiranih načinov delovanja.
· Ni funkcij za onemogočanje šifriranja občutljivih podatkov
· Ni funkcij za dešifriranje občutljivih podatkov
· Ni funkcij za izvoz občutljivih podatkov v druge sisteme ali procese
· Ni podprtih funkcij za preverjanje pristnosti
· Varnostnih kontrol in varnostnih funkcij ni mogoče onemogočiti ali izbrisati.
Prodajalec programske opreme vzdržuje dokumentacijo, ki opisuje vse nastavljive možnosti, ki lahko vplivajo na varnost občutljivih podatkov.
Plačilna aplikacija Viking deluje na napravah PTS POI, ki jih je odobril PCI.
Plačilna aplikacija Viking končnim uporabnikom ne zagotavlja ničesar od naslednjega:
· nastavljiva možnost dostopa do občutljivih podatkov
21
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· nastavljiva možnost za spreminjanje mehanizmov za zaščito občutljivih podatkov
· oddaljeni dostop do aplikacije
· oddaljene posodobitve aplikacije
· nastavljiva možnost za spreminjanje privzetih nastavitev aplikacije
Programska oprema uporablja samo funkcijo(-e) generiranja naključnih števil, vključeno(-e) v vrednotenje naprave PTS plačilnega terminala za vse kriptografske operacije, ki vključujejo občutljive podatke ali občutljive funkcije, kjer so zahtevane naključne vrednosti, in ne izvaja lastne
Viking ne uporablja nobenega RNG (generatorja naključnih števil) za svoje funkcije šifriranja.
Aplikacija Viking ne ustvarja in ne uporablja naključnih števil za kriptografske funkcije.
funkcija(e) generiranja naključnih števil.
Poziv za celovitost programske opreme files je zaščiten v skladu s ciljem nadzora B.2.8.
Vsi prikazi pozivov na terminalu Viking so kodirani v aplikaciji in noben poziv files so prisotni zunaj aplikacije.
Brez poziva fileČe obstaja zunaj plačilne aplikacije Viking, vse potrebne informacije ustvari aplikacija.
Navodila za implementacijo vključujejo navodila za zainteresirane strani za kriptografsko podpisovanje vseh pozivov files.
Vsi pozivi, prikazani na terminalu Viking, so kodirani v aplikaciji in noben poziv files so prisotni zunaj aplikacije.
Brez poziva fileČe obstaja zunaj plačilne aplikacije Viking, vse potrebne informacije ustvari aplikacija
22
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
15. Referenca standardnih zahtev za programsko opremo PCI Secure
Poglavja v tem dokumentu 2. Aplikacija za varno plačevanje
Standardne zahteve za programsko opremo PCI Secure
B.2.1 6.1 12.1 12.1.b
zahteve PCI DSS
2.2.3
3. Varna oddaljena programska oprema
11.1
Posodobitve
11.2
12.1
1&12.3.9 2, 8 in 10
4. Varno brisanje občutljivih podatkov in zaščita shranjenih podatkov imetnika kartice
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Avtentikacija in nadzor dostopa 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 & 8.2 8.1 & 8.2
Sečnja
3.6
10.1
8.1
10.5.3
8.3
Brezžično omrežje
4.1
1.2.3 in 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1
Segmentacija omrežja Oddaljeni dostop Prenos podatkov imetnika kartice
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Metodologija oblikovanja različic Viking
11.2 12.1.b
Navodila za stranke o 11.1
varna namestitev popravkov in 11.2
posodobitve.
12.1
23
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
16. Glosar izrazov
TERM Podatki o imetniku kartice
DUKPT
3DES Merchant SSF
PA-QSA
OPREDELITEV
Celoten magnetni trak ali PAN plus kar koli od naslednjega: · Ime imetnika kartice · Datum poteka veljavnosti · Koda storitve
Izpeljani edinstveni ključ na transakcijo (DUKPT) je shema upravljanja ključev, v kateri se za vsako transakcijo uporabi edinstven ključ, ki izhaja iz fiksnega ključa. Če je torej izpeljani ključ ogrožen, so prihodnji in pretekli podatki o transakcijah še vedno zaščiteni, saj naslednjega ali prejšnjega ključa ni mogoče preprosto določiti.
V kriptografiji je trojni DES (3DES ali TDES), uradno algoritem trojnega šifriranja podatkov (TDEA ali trojni DEA), bločna šifra s simetričnim ključem, ki šifrirni algoritem DES trikrat uporabi za vsak podatkovni blok.
Končni uporabnik in kupec izdelka Viking.
PCI Software Security Framework (SSF) je zbirka standardov in programov za varno načrtovanje in razvoj programske opreme za plačevanje. Varnost programske opreme za plačila je ključni del toka plačilnih transakcij in je ključnega pomena za omogočanje zanesljivih in natančnih plačilnih transakcij.
Kvalificirani varnostni ocenjevalci aplikacij za plačilo. Podjetje QSA, ki ponuja storitve prodajalcem plačilnih aplikacij za potrjevanje plačilnih aplikacij prodajalcev.
SAD (občutljivi podatki za preverjanje pristnosti)
Podatki, povezani z varnostjo (kode/vrednosti potrditve kartice, popolni podatki o sledi, kode PIN in bloki PIN), ki se uporabljajo za preverjanje pristnosti imetnikov kartic in so prikazani v navadnem besedilu ali drugače nezaščiteni obliki. Razkritje, spreminjanje ali uničenje teh informacij bi lahko ogrozilo varnost kriptografske naprave, informacijskega sistema ali podatkov o imetniku kartice ali pa bi jih lahko uporabili v goljufivi transakciji. Občutljivih podatkov za preverjanje pristnosti nikoli ne smete shraniti, ko je transakcija končana.
Viking HSM
Programska platforma, ki jo Nets uporablja za razvoj aplikacij za evropski trg.
Varnostni modul strojne opreme
24
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
17. Nadzor dokumentov
Avtor dokumenta, Reviewers in odobritelji
Opis SSA Development Manager skladnosti System Architect QA Product Owner Product Manager Engineering Director
Funkcija Reviewer Avtor Reviewer & Approver Reviewer & Approver Reviewer & Approver Reviewer & Approver Manager Manager
Ime Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Povzetek sprememb
Številka različice 1.0
1.0
1.1
Datum različice 03-08-2022
15-09-2022
20-12-2022
Narava sprememb
Prva različica za standard programske opreme PCI-Secure
Posodobljen razdelek 14 z neuporabnimi cilji nadzora z njihovo utemeljitvijo
Posodobljena razdelka 2.1.2 in 2.2
s Self4000.
Odstranjeno
Link2500 (PTS različica 4.x) iz
seznam podprtih terminalov
Spremeni avtorja Aruna Panicker Aruna Panicker
Aruna Panicker
Reviewer
Datum odobritve
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Posodobljen razdelek 2.2 s Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) za nadaljnjo podporo
za to vrsto terminala.
1.2
20-03-2023 Posodobljen razdelek 2.1.1 z Latvijcem Aruno Panicker Shamsher Singh 21-04-23
in litovski terminal profiles.
In 2.1.2 s komunikacijo BT-iOS-
podporo tipa tion
2.0
03-08-2023 Različica za izdajo različice posodobljena na Aruna Panicker Shamsher Singh 13-09-23
2.00 v glavi/nogi.
Razdelek 2.2 posodobljen z novimi
Strojna in vdelana programska oprema Move3500
različice. Posodobljen oddelek 11 za
`Metodologija oblikovanja različic Viking'.
Razdelek 1.3 posodobljen z najnovejšim
različico zahteve PCI SSS
vodnik. Posodobljen oddelek 2.2 za podporo
preneseni terminali odstranjeni brez podpore
prenesene različice strojne opreme iz
seznam.
2.0
16-11-2023 Vizualna (CVI) posodobitev
Lejla Avsar
Arno Ekström 16-11-23
25
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Distribucijski seznam
Ime Terminal Department Product Management
Razvoj funkcij, testiranje, vodenje projektov, ekipa za upravljanje izdelkov terminalov skladnosti, izdelek upravitelja skladnosti
Odobritve dokumentov
Ime Arto Kangas
Funkcija Product Owner
Dokument Review Načrti
Ta dokument bo ponovnoviewurediti in po potrebi posodobiti, kot je opredeljeno spodaj:
· Po potrebi za popravek ali izboljšanje informacijske vsebine · Po kakršnih koli organizacijskih spremembah ali prestrukturiranju · Po letnem review · Po izkoriščanju ranljivosti · Po novih informacijah / zahtevah v zvezi z ustreznimi ranljivostmi
26
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Dokumenti / Viri
 |
nets standardna programska oprema PCI-Secure [pdf] Uporabniški priročnik Standardna programska oprema PCI-Secure, PCI-Secure, standardna programska oprema, programska oprema |
