Standardni softver PCI-Secure
Informacije o proizvodu: Standardni dobavljač PCI-Secure softvera
Vodič za implementaciju Viking terminala 2.00
Tehnički podaci
Verzija: 2.0
1. Uvod i djelokrug
1.1 Uvod
Vodič za implementaciju standardnog dobavljača softvera PCI-Secure
daje smjernice za implementaciju softvera na Viking
Terminal 2.00.
1.2 Sigurnosni okvir softvera (SSF)
Software Security Framework (SSF) osigurava sigurno plaćanje
aplikacija na terminalu Viking 2.00.
1.3 Vodič za implementaciju dobavljača softvera – Distribucija i
Ažuriranja
Ovaj vodič uključuje informacije o distribuciji i ažuriranjima
Vodiča za implementaciju dobavljača softvera za Viking terminal
2.00.
2. Aplikacija za sigurno plaćanje
2.1 S/W aplikacije
Aplikacijski softver za sigurno plaćanje osigurava sigurnost
komunikacija s domaćinom plaćanja i ECR-om.
2.1.1 Podešavanje TCP/IP parametara komunikacije glavnog računala plaćanja
Ovaj odjeljak sadrži upute za postavljanje TCP/IP-a
parametri za komunikaciju s hostom plaćanja.
2.1.2 ECR komunikacija
Ovaj odjeljak sadrži upute za komunikaciju s
ECR (elektronička blagajna).
2.1.3 Komunikacija s hostom putem ECR-a
Ovaj odjeljak objašnjava kako uspostaviti komunikaciju s
domaćin plaćanja pomoću ECR-a.
2.2 Podržani hardver(i) terminala
Aplikacija za sigurno plaćanje podržava Viking Terminal 2.00
hardver.
2.3 Sigurnosne politike
Ovaj odjeljak opisuje sigurnosne politike koje bi trebale biti
slijedi kada koristite aplikaciju za sigurno plaćanje.
3. Sigurno udaljeno ažuriranje softvera
3.1 Primjenjivost trgovca
Ovaj odjeljak pruža informacije o primjenjivosti sigurnog
udaljena ažuriranja softvera za trgovce.
3.2 Politika prihvatljivog korištenja
Ovaj odjeljak opisuje prihvatljivu politiku korištenja za siguran
daljinsko ažuriranje softvera.
3.3 Osobni vatrozid
Upute za konfiguriranje osobnog vatrozida za dopuštanje
sigurna udaljena ažuriranja softvera nalaze se u ovom odjeljku.
3.4 Postupci daljinskog ažuriranja
Ovaj odjeljak objašnjava postupke za provođenje sigurnih
daljinsko ažuriranje softvera.
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih
Podaci o vlasniku kartice
4.1 Primjenjivost trgovca
Ovaj odjeljak pruža informacije o primjenjivosti sigurnog
brisanje osjetljivih podataka i zaštita pohranjenih podataka o vlasniku kartice
za trgovce.
4.2 Upute za sigurno brisanje
Navedene su upute za sigurno brisanje osjetljivih podataka
u ovom odjeljku.
4.3 Lokacije pohranjenih podataka o vlasniku kartice
Ovaj odjeljak navodi lokacije na kojima su pohranjeni podaci o vlasnicima kartica
i pruža smjernice za njegovu zaštitu.
Ovaj odjeljak objašnjava postupke za rukovanje odgođenim
sigurne autorizacijske transakcije.
4.5 Postupci za rješavanje problema
Upute za rješavanje problema povezanih sa sigurnim
omogućeno je brisanje i zaštita pohranjenih podataka o vlasniku kartice
ovaj odjeljak.
4.6 PAN lokacije – prikazane ili ispisane
Ovaj odjeljak identificira lokacije na kojima se PAN (primarni račun
Broj) se prikazuje ili ispisuje i pruža smjernice za osiguranje
to.
4.7 Upit files
Upute za upravljanje promptom files sigurno su osigurani
ovaj odjeljak.
4.8 Upravljanje ključem
Ovaj odjeljak objašnjava ključne postupke upravljanja za osiguranje
sigurnost pohranjenih podataka o vlasniku kartice.
4.9 Ponovno pokretanje '24 HR'
Upute za izvođenje '24 HR' ponovnog pokretanja za osiguranje sustava
sigurnost se pruža u ovom odjeljku.
4.10 Popis dopuštenih
Ovaj odjeljak pruža informacije o popisu dopuštenih i njegovim
važnost u održavanju sigurnosti sustava.
5. Autentifikacija i kontrole pristupa
Ovaj odjeljak pokriva mjere provjere autentičnosti i kontrole pristupa
kako bi se osigurala sigurnost sustava.
Često postavljana pitanja (FAQ)
P: Koja je svrha softverskog standarda PCI-Secure?
Vodič za implementaciju dobavljača?
O: Vodič pruža smjernice za implementaciju sigurnog plaćanja
aplikacijski softver na Viking terminalu 2.00.
P: Koji hardver terminala podržava sigurno plaćanje
aplikacija?
O: Aplikacija za sigurno plaćanje podržava Viking terminal
2.00 hardver.
P: Kako mogu sigurno izbrisati osjetljive podatke?
O: Upute za sigurno brisanje osjetljivih podataka su
navedeno u odjeljku 4.2 vodiča.
P: Koja je važnost stavljanja na popis dopuštenih?
O: Popis dopuštenih igra ključnu ulogu u održavanju sustava
sigurnost dopuštajući pokretanje samo odobrenih aplikacija.
Ovaj sadržaj je klasificiran kao interni
Nets Denmark A/S:
PCI-Secure softver Vodič za implementaciju standardnog dobavljača softvera za Viking terminal 2.00
Verzija 2.0
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00 1 1
Sadržaj
1. Uvod i opseg ………………………………………………………………………. 3
1.1
Uvod …………………………………………………………………………………. 3
1.2
Sigurnosni okvir softvera (SSF)……………………………………………………. 3
1.3
Vodič za implementaciju dobavljača softvera – distribucija i ažuriranja …… 3
2. Aplikacija za sigurno plaćanje……………………………………………………………… 4
2.1
S/W aplikacije ………………………………………………………………………………. 4
2.1.1 Podešavanje parametara TCP/IP komunikacije glavnog računala plaćanja …………………….. 4
2.1.2 ECR komunikacija…………………………………………………………………………. 5
2.1.3 Komunikacija s hostom putem ECR-a…………………………………………………………. 5
2.2
Podržani hardver(i) terminala ……………………………………………………….. 6
2.3
Sigurnosne politike …………………………………………………………………………………. 7
3. Sigurno udaljeno ažuriranje softvera …………………………………………………………. 8
3.1
Primjenjivost trgovca……………………………………………………………………… 8
3.2
Politika prihvatljivog korištenja …………………………………………………………………………. 8
3.3
Osobni vatrozid……………………………………………………………………………… 8
3.4
Postupci daljinskog ažuriranja ……………………………………………………………… 8
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka vlasnika kartice9
4.1
Primjenjivost trgovca……………………………………………………………………… 9
4.2
Upute za sigurno brisanje………………………………………………………………… 9
4.3
Lokacije pohranjenih podataka o vlasniku kartice……………………………………………….. 9
4.4
Transakcija s odgođenom autorizacijom …………………………………………………. 10
4.5
Postupci za rješavanje problema …………………………………………………………… 10
4.6
PAN lokacije – prikazane ili ispisane ……………………………………………… 10
4.7
Potaknuti files ………………………………………………………………………………….. 11
4.8
Upravljanje ključem ……………………………………………………………………………… 11
4.9
Ponovno pokretanje `24 HR' ………………………………………………………………………………. 12
4.10 Popis dopuštenih …………………………………………………………………………………… 12
5. Autentifikacija i kontrole pristupa ……………………………………………………. 13
5.1
Kontrola pristupa ……………………………………………………………………………. 13
5.2
Kontrole lozinke ……………………………………………………………………………. 15
6. Bilježenje ………………………………………………………………………………………….. 15
6.1
Primjenjivost trgovca……………………………………………………………………. 15
6.2
Konfigurirajte postavke dnevnika ……………………………………………………………………. 15
6.3
Centralno evidentiranje ………………………………………………………………………………… 15
6.3.1 Omogućite bilježenje praćenja na terminalu ………………………………………………………… 15
6.3.2 Slanje zapisa praćenja hostu ………………………………………………………………………… 15
6.3.3 Daljinsko bilježenje praćenja……………………………………………………………………………. 16
6.3.4 Daljinsko bilježenje pogrešaka……………………………………………………………………………. 16
7. Bežične mreže …………………………………………………………………………… 16
7.1
Primjenjivost trgovca……………………………………………………………………. 16
7.2
Preporučene bežične konfiguracije …………………………………………… 16
8. Segmentacija mreže …………………………………………………………………….. 17
8.1
Primjenjivost trgovca……………………………………………………………………. 17
9. Daljinski pristup ………………………………………………………………………………… 17
9.1
Primjenjivost trgovca……………………………………………………………………. 17
10.
Prijenos osjetljivih podataka ……………………………………………………….. 17
10.1 Prijenos osjetljivih podataka ………………………………………………………… 17
10.2 Dijeljenje osjetljivih podataka s drugim softverom ……………………………………….. 17
10.3 E-pošta i osjetljivi podaci …………………………………………………………………. 17
10.4 Administrativni pristup bez konzole …………………………………………………. 17
11.
Viking metodologija izrade verzija………………………………………………………. 18
12.
Upute o sigurnoj instalaciji zakrpa i ažuriranja. …………. 18
13.
Ažuriranja Viking izdanja …………………………………………………………………. 19
14.
Neprimjenjivi zahtjevi …………………………………………………………. 19
15.
Referenca standardnih zahtjeva za PCI Secure softver …………………… 23
16.
Rječnik pojmova ……………………………………………………………………………. 24
17.
Kontrola dokumenata …………………………………………………………………………… 25
2
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
1. Uvod i djelokrug
1.1 Uvod
Svrha ovog Vodiča za implementaciju standardnog dobavljača softvera PCI-Secure Software je pružiti zainteresiranim stranama jasne i temeljite upute o sigurnoj implementaciji, konfiguraciji i radu softvera Viking. Vodič daje upute trgovcima o tome kako implementirati Netsovu aplikaciju Viking u svoje okruženje na način usklađen s PCI Secure Software Standardom. Iako nije namijenjen da bude potpuni vodič za instalaciju. Aplikacija Viking, ako je instalirana u skladu s ovdje dokumentiranim smjernicama, trebala bi olakšati i podržati trgovčevu usklađenost s PCI standardom.
1.2 Sigurnosni okvir softvera (SSF)
PCI Software Security Framework (SSF) zbirka je standarda i programa za siguran dizajn i razvoj aplikacijskog softvera za plaćanje. SSF zamjenjuje Payment Application Data Security Standard (PA-DSS) modernim zahtjevima koji podržavaju širi niz vrsta softvera za plaćanje, tehnologija i razvojnih metodologija. Dobavljačima osigurava sigurnosne standarde kao što je PCI Secure Software Standard za razvoj i održavanje softvera za plaćanje tako da štiti transakcije plaćanja i podatke, smanjuje ranjivosti i brani od napada.
1.3 Vodič za implementaciju dobavljača softvera – distribucija i ažuriranja
Ovaj Vodič za implementaciju dobavljača standardnog softvera PCI Secure Software trebao bi se podijeliti svim relevantnim korisnicima aplikacije uključujući trgovce. Treba ga ažurirati najmanje jednom godišnje i nakon promjena u softveru. Godišnji review i ažuriranje bi trebalo uključivati nove promjene softvera kao i promjene u Standardu sigurnog softvera.
Nets objavljuje podatke o navedenima webako postoje ažuriranja u vodiču za implementaciju.
Webweb mjesto: https://support.nets.eu/
Za nprample: Vodič za implementaciju standardnog dobavljača softvera Nets PCI-Secure bit će distribuiran svim kupcima, preprodavačima i integratorima. Kupci, prodavači i integratori bit će obaviješteni od ponovnoviews i ažuriranja.
Ažuriranja Vodiča za implementaciju standardnog dobavljača softvera PCI-Secure Software također se mogu dobiti izravnim kontaktom s Netsom.
Ovaj Vodič za implementaciju dobavljača softverskog standarda PCI-Secure softvera navodi i PCI-Secure softverski standard i PCI zahtjeve. U ovom vodiču navedene su sljedeće verzije.
· PCI-Secure-Software-Standard-v1_2_1
3
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2. Aplikacija za sigurno plaćanje
2.1 S/W aplikacije
Viking aplikacije za plaćanje ne koriste nikakav vanjski softver ili hardver koji ne pripada Viking ugrađenoj aplikaciji. Sve S/W izvršne datoteke koje pripadaju Viking aplikaciji za plaćanje digitalno su potpisane Tetra kompletom za potpisivanje koji osigurava Ingenico.
· Terminal komunicira s Nets Host-om koristeći TCP/IP, bilo putem Etherneta, GPRS-a, Wi-Fi-ja ili putem PC-LAN-a koji pokreće POS aplikaciju. Također, terminal može komunicirati s hostom putem mobilnog telefona s Wi-Fi ili GPRS vezom.
Viking terminali upravljaju svom komunikacijom pomoću komponente sloja veze Ingenico. Ova komponenta je aplikacija učitana u terminal. Link Layer može upravljati s nekoliko komunikacija u isto vrijeme koristeći različite periferne uređaje (modem i serijski priključak, nprample).
Trenutno podržava sljedeće protokole:
· Fizički: RS232, interni modem, eksterni modem (preko RS232), USB, Ethernet, Wi-Fi, Bluetooth, GSM, GPRS, 3G i 4G.
· Podatkovna veza: SDLC, PPP. · Mreža: IP. · Prijevoz: TCP.
Terminal uvijek preuzima inicijativu za uspostavljanje komunikacije prema Nets Host-u. U terminalu nema softvera TCP/IP poslužitelja, a softver terminala nikada ne odgovara na dolazne pozive.
Kada je integriran s POS aplikacijom na računalu, terminal se može postaviti za komunikaciju putem PC-LAN-a koji pokreće POS aplikaciju koristeći RS232, USB ili Bluetooth. Još uvijek sve funkcije aplikacije za plaćanje rade u S/W terminala.
Aplikacijski protokol (i primijenjena enkripcija) je transparentan i neovisan o vrsti komunikacije.
2.2 Podešavanje TCP/IP parametara komunikacije glavnog računala plaćanja
4
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2.3 ECR komunikacija
· RS232 serijski · USB priključak · Postavljanje TCP/IP parametara, također poznato kao ECR preko IP-a
· Mogućnosti komunikacije s domaćinom/ECR-om u Viking aplikaciji za plaćanje
· Konfiguracija parametara Nets Cloud ECR (Connect@Cloud).
2.4 Komunikacija s hostom putem ECR-a
Napomena: Pogledajte “2.1.1- Postavljanje TCP/IP parametra komunikacije glavnog računala plaćanja” za TCP/IP priključke specifične za državu.
5
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2.5 Podržani hardver(i) terminala
Viking aplikacija za plaćanje podržana je na raznim Ingenico uređajima s validacijom PTS-a (PIN transakcije). Popis terminalnog hardvera zajedno s njihovim PTS brojem odobrenja naveden je u nastavku.
Vrste Tetra terminala
Terminalni hardver
Traka 3000
PTS
PTS odobrenje
broj verzije
5.x
4-30310
PTS verzija hardvera
LAN30EA LAN30AA
Stol 3500
5.x
4-20321
DES35BB
Pomakni 3500
5.x
4-20320
MOV35BB MOV35BC MOV35BQ MOV35BR
Link2500
Link2500 Self4000
4.x
4-30230
5.x
4-30326
5.x
4-30393
LIN25BA LIN25JA
LIN25BA LIN25JA SEL40BA
PTS verzija firmvera
820547v01.xx 820561v01.xx 820376v01.xx 820376v02.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820376v01.xx 820376v02.xx 820547v01.xx 820549v01.xx 820555v01.xx 820556v01.xx 820565v01.xx 820547v01.xx 820565v01.xx 820548v02.xx 820555v01.xx 820556v01.xx 820547v01.xx
820547v01.xx
820547v01.xx
6
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
2.6 Sigurnosne politike
Aplikacija za plaćanje Viking pridržava se svih primjenjivih sigurnosnih pravila koje je odredio Ingenico. Za opće informacije, ovo su veze na sigurnosna pravila za različite Tetra terminale:
Vrsta terminala
Link2500 (v4)
Dokument o sigurnosnoj politici Link/2500 PCI PTS sigurnosna politika (pcisecuritystandards.org)
Link2500 (v5)
PCI PTS sigurnosna politika (pcisecuritystandards.org)
Stol3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20321ICO-OPE-04972-ENV12_PCI_PTS_Security_Policy_Desk_3200_Desk_3500-1650663092.33407.pdf
Premjesti3500
https://listings.pcisecuritystandards.org/ptsdocs/4-20320ICO-OPE-04848-ENV11_PCI_PTS_Security_Policy_Move_3500-1647635765.37606.pdf
Lane3000
https://listings.pcisecuritystandards.org/ptsdocs/4-30310SP_ICO-OPE-04818-ENV16_PCI_PTS_Security_Policy_Lane_3000-1648830172.34526.pdf
Self4000
Sigurnosna politika Self/4000 PCI PTS (pcisecuritystandards.org)
7
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
3. Sigurno udaljeno ažuriranje softvera
3.1 Primjenjivost trgovca
Nets sigurno isporučuje Viking ažuriranja aplikacija za plaćanje na daljinu. Ta se ažuriranja događaju na istom komunikacijskom kanalu kao i sigurne platne transakcije, a trgovac nije dužan napraviti nikakve promjene u ovom komunikacijskom putu radi usklađenosti.
Za općenite informacije, trgovci bi trebali razviti prihvatljivu politiku korištenja za kritične tehnologije usmjerene na zaposlenike, prema smjernicama u nastavku za VPN ili druge veze velike brzine, ažuriranja se primaju putem vatrozida ili osobnog vatrozida.
3.2 Politika prihvatljivog korištenja
Trgovac bi trebao razviti pravila korištenja za kritične tehnologije namijenjene zaposlenicima, poput modema i bežičnih uređaja. Ta bi pravila korištenja trebala uključivati:
· Eksplicitno odobrenje uprave za korištenje. · Autentifikacija za korištenje. · Popis svih uređaja i osoblja s pristupom. · Označavanje uređaja s vlasnikom. · Podaci za kontakt i svrha. · Prihvatljive upotrebe tehnologije. · Prihvatljive mrežne lokacije za tehnologije. · Popis proizvoda koje je tvrtka odobrila. · Dopuštanje korištenja modema za dobavljače samo kada je potrebno i deaktivacija nakon upotrebe. · Zabrana pohranjivanja podataka vlasnika kartice na lokalni medij kada je povezan na daljinu.
3.3 Osobni vatrozid
Sve "stalno uključene" veze od računala do VPN-a ili druge veze velike brzine trebale bi biti osigurane korištenjem proizvoda osobnog vatrozida. Vatrozid konfigurira organizacija da zadovolji određene standarde i ne može ga mijenjati zaposlenik.
3.4 Postupci daljinskog ažuriranja
Postoje dva načina da pokrenete terminal da kontaktira Nets softverski centar radi ažuriranja:
1. Ili ručno putem opcije izbornika na terminalu (prijeđite trgovačkom karticom, odaberite izbornik 8 "Softver", 1 "Dohvati softver") ili pokrenut od strane domaćina.
2. Korištenje metode koju pokreće domaćin; terminal automatski prima naredbu od hosta nakon što je izvršio financijsku transakciju. Naredba govori terminalu da kontaktira Nets softverski centar kako bi provjerio ima li ažuriranja.
Nakon uspješnog ažuriranja softvera, terminal s ugrađenim printerom će ispisati račun s podacima o novoj verziji.
Integratori terminala, partneri i/ili Netsov tim za tehničku podršku bit će odgovorni za obavještavanje trgovaca o ažuriranju, uključujući poveznicu na ažurirani vodič za implementaciju i napomene o izdanju.
Osim potvrde nakon ažuriranja softvera, Viking aplikacija za plaćanje također se može potvrditi putem Terminal Info pritiskom na tipku `F3' na terminalu.
8
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o vlasniku kartice
4.1 Primjenjivost trgovca
Viking aplikacija za plaćanje ne pohranjuje nikakve podatke magnetske trake, vrijednosti ili kodove za potvrdu valjanosti kartice, PIN-ove ili podatke o blokiranju PIN-a, materijal kriptografskih ključeva ili kriptograme iz svojih prethodnih verzija.
Da bi bio usklađen s PCI standardom, trgovac mora imati politiku zadržavanja podataka koja definira koliko će se dugo podaci o vlasniku kartice čuvati. Viking aplikacija za plaćanje zadržava podatke o vlasniku kartice i/ili osjetljive podatke o autentifikaciji posljednje transakcije iu slučaju izvanmrežnih ili odgođenih autorizacijskih transakcija, a istovremeno se pridržava standarda PCI-Secure softvera, stoga može biti izuzeta od politika čuvanja podataka vlasnika kartice trgovca.
4.2 Upute za sigurno brisanje
Terminal ne pohranjuje osjetljive podatke za provjeru autentičnosti; full track2, CVC, CVV ili PIN, ni prije ni poslije autorizacije; osim za transakcije odgođene autorizacije u kojem se slučaju šifrirani osjetljivi autentifikacijski podaci (puni podaci track2) pohranjuju dok se autorizacija ne izvrši. Nakon autorizacije podaci se sigurno brišu.
Svaka instanca zabranjenih povijesnih podataka koja postoji na terminalu automatski će se sigurno izbrisati kada se aplikacija za plaćanje terminala Viking nadogradi. Brisanje zabranjenih povijesnih podataka i podataka koji su prošli pravilnik o zadržavanju dogodit će se automatski.
4.3 Lokacije pohranjenih podataka o vlasniku kartice
Podaci o vlasniku kartice pohranjuju se u Flash DFS (Data File Sustav) terminala. Trgovac nije izravno dostupan podacima.
Pohrana podataka (file, stol, itd.)
Pohranjeni elementi podataka o vlasniku kartice (PAN, istek, bilo koji elementi SAD-a)
Kako je pohrana podataka osigurana (nprampdatoteka, šifriranje, kontrole pristupa, skraćivanje itd.)
File: trans.rsd
PAN, datum isteka, šifra usluge
PAN: šifrirano 3DES-DUKPT (112 bita)
File: storefwd.rsd PAN, datum isteka, servisni kod
PAN: šifrirano 3DES-DUKPT (112 bita)
File: transoff.rsd PAN, datum isteka, servisni kod
PAN: šifrirano 3DES-DUKPT (112 bita)
File: transorr.rsd Skraćeni PAN
Skraćeno (prvih 6, zadnja 4)
File: offlrep.dat
Skraćeni PAN
Skraćeno (prvih 6, zadnja 4)
File: defauth.rsd PAN, datum isteka, servisni kod
PAN: šifrirano 3DES-DUKPT (112 bita)
File: defauth.rsd Puni podaci track2
Puni podaci Track2: unaprijed šifrirani 3DES-DUKPT (112 bita)
9
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
4.4 Transakcija s odgođenom autorizacijom
Do odgođene autorizacije dolazi kada trgovac ne može dovršiti autorizaciju u trenutku transakcije s vlasnikom kartice zbog povezivosti, problema sa sustavom ili drugih ograničenja, a zatim kasnije dovrši autorizaciju kada to može učiniti.
To znači da do odgođene autorizacije dolazi kada se izvrši online autorizacija nakon što kartica više nije dostupna. Budući da mrežna autorizacija odgođenih autorizacijskih transakcija kasni, transakcije će biti pohranjene na terminalu dok se transakcije uspješno ne autoriziraju kasnije kada mreža bude dostupna.
Transakcije se pohranjuju i kasnije šalju hostu, kao što se od danas pohranjuju izvanmrežne transakcije u Viking aplikaciji za plaćanje.
Trgovac može pokrenuti transakciju kao `Odgođenu autorizaciju' iz elektroničke blagajne (ECR) ili putem izbornika terminala.
Odgođene autorizacijske transakcije trgovac može prenijeti na Netsov host pomoću sljedećih opcija: 1. ECR – Administratorska naredba – Pošalji izvan mreže (0x3138) 2. Terminal – Trgovac ->2 EOT -> 2 poslano hostu
4.5 Postupci za rješavanje problema
Podrška za Nets neće zahtijevati osjetljivu provjeru autentičnosti ili podatke o vlasniku kartice u svrhu rješavanja problema. Viking aplikacija za plaćanje ni u kojem slučaju nije sposobna prikupljati ili rješavati probleme osjetljivih podataka.
4.6 PAN lokacije – prikazane ili ispisane
Maskirani PAN:
· Potvrde o financijskim transakcijama: maskirani PAN uvijek se ispisuje na potvrdi transakcije i za vlasnika kartice i za trgovca. Maskirani PAN u većini slučajeva je sa * gdje su prvih 6 znamenki i zadnje 4 znamenke u čistom tekstu.
· Izvješće o popisu transakcija: Izvješće o popisu transakcija prikazuje transakcije izvršene u sesiji. Pojedinosti o transakciji uključuju maskirani PAN, naziv izdavatelja kartice i iznos transakcije.
· Posljednji račun kupca: Kopija zadnjeg računa kupca može se generirati iz izbornika za kopiranje terminala. Račun kupca sadrži maskirani PAN kao izvorni račun kupca. Navedena funkcija koristi se u slučaju da terminal iz bilo kojeg razloga ne uspije generirati potvrdu kupca tijekom transakcije.
Šifrirani PAN:
· Potvrda o izvanmrežnoj transakciji: Verzija potvrde za izvanmrežnu transakciju za maloprodaju uključuje trostruke DES 112-bitne DUKPT šifrirane podatke o vlasniku kartice (PAN, datum isteka i servisni kod).
BAX: 71448400-714484 12/08/2022 10:39
Visa Contactless ************3439-0 107A47458AE773F3A84DF977 553E3D93FFFF9876543210E0 15F3 AID: A0000000031010 TVR: 0000000000 StoreID: 123461 Ref.: 000004 000000 3 KCXNUMX
10
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Odg.: Y1 Sesija: 782
KUPITI
NOK
12,00
ODOBRENO
TRGOVAČKA KOPIJA
Potvrda:
Viking aplikacija za plaćanje uvijek šifrira podatke o vlasniku kartice prema zadanim postavkama za izvanmrežno pohranjivanje transakcija, prijenos prema NETS hostu i za ispis šifriranih podataka kartice na računu trgovca za izvanmrežnu transakciju.
Također, za prikaz ili ispis PAN-a kartice, aplikacija za plaćanje Viking uvijek maskira PAN znamenke sa zvjezdicom `*' s prvih 6 + zadnje 4 znamenke koje su zadane jasne. Format ispisa broja kartice kontrolira sustav za upravljanje terminalom gdje se format ispisa može promijeniti zahtjevom putem odgovarajućeg kanala i predočenjem poslovne legitimne potrebe, međutim za Viking aplikaciju za plaćanje takav slučaj ne postoji.
Example za maskirani PAN: PAN: 957852181428133823-2
Minimum info: *************3823-2
Maximum info: 957852********3823-2
4.7 Upit files
Viking aplikacija za plaćanje ne nudi nikakve posebne upite files.
Aplikacija za plaćanje Viking traži unose vlasnika kartice putem upita na zaslonu koji su dio sustava za slanje poruka unutar potpisane aplikacije za plaćanje Viking.
Prikaz upita za PIN, iznos itd. prikazuje se na terminalu i čeka se unos vlasnika kartice. Unosi primljeni od vlasnika kartice se ne pohranjuju.
4.8 Upravljanje ključem
Za Tetra raspon modela terminala, sve sigurnosne funkcije izvode se u sigurnom području PTS uređaja zaštićenog od aplikacije za plaćanje.
Enkripcija se izvodi unutar sigurnog područja dok dešifriranje šifriranih podataka može biti izvedeno samo putem sustava Nets Host. Sva razmjena ključeva između Nets hosta, alata Key/Inject (za Tetra terminale) i PED-a obavlja se u šifriranom obliku.
Postupke za upravljanje ključem implementira Nets prema DUKPT shemi koristeći 3DES enkripciju.
Svi ključevi i ključne komponente koje koriste Nets terminali generiraju se odobrenim nasumičnim ili pseudoslučajnim procesima. Ključeve i ključne komponente koje koriste Nets terminali generira Nets sustav upravljanja ključevima, koji koristi odobrene Thales Payshield HSM jedinice za generiranje kriptografskih ključeva.
11
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Upravljanje ključem je neovisno o funkcionalnosti plaćanja. Učitavanje nove aplikacije stoga ne zahtijeva promjenu ključne funkcije. Prostor ključa terminala podržavat će oko 2,097,152 transakcije. Kada je prostor za ključeve potrošen, Viking terminal prestaje raditi i prikazuje poruku o pogrešci, a tada se terminal mora zamijeniti.
4.9 Ponovno pokretanje `24 HR'
Svi Viking terminali su PCI-PTS 4.x i noviji i stoga slijede zahtjev usklađenosti da se PCI-PTS 4.x terminal mora ponovno pokrenuti minimalno jednom svaka 24 sata kako bi se obrisao RAM i dodatno osigurao HW terminala od korištenja za preuzimanje plaćanja podatke kartice.
Još jedna prednost `24-satnog' ciklusa ponovnog pokretanja je da će curenje memorije biti ublaženo i imati manji utjecaj na trgovca (nije da bismo trebali prihvatiti probleme curenja memorije.
Trgovac može postaviti vrijeme ponovnog pokretanja iz opcije izbornika terminala na `Vrijeme ponovnog pokretanja'. Vrijeme ponovnog pokretanja je postavljeno na temelju `24h' sata i bit će u formatu HH:MM.
Mehanizam resetiranja dizajniran je da osigura resetiranje terminala barem jednom u 24 sata. Kako bi se ispunio ovaj zahtjev, definiran je vremenski odsječak, nazvan "interval resetiranja" predstavljen s Tmin i Tmax. Ovo razdoblje predstavlja vremenski interval u kojem je dopušteno resetiranje. Ovisno o poslovnom slučaju, "interval resetiranja" prilagođava se tijekom faze instalacije terminala. Prema projektu, ovo razdoblje ne može biti kraće od 30 minuta. Tijekom tog razdoblja, resetiranje se događa svaki dan 5 minuta ranije (na T3) kao što je objašnjeno dijagramom u nastavku:
4.10 Popis dopuštenih
Stavljanje na popis dopuštenih je postupak kojim se utvrđuje da se PAN-ovima navedenim kao popisu dopuštenih dopušta prikaz u jasnom tekstu. Viking koristi 3 polja za određivanje PAN-ova na bijelom popisu koji se čitaju iz konfiguracija preuzetih iz sustava upravljanja terminalima.
Kada je `Zastavica usklađenosti' u Nets hostu postavljena na Y, informacije s Nets Host ili sustava upravljanja terminalom preuzimaju se na terminal, kada se terminal pokrene. Ova oznaka sukladnosti koristi se za određivanje PAN-ova na bijelom popisu koji se čitaju iz skupa podataka.
Oznaka `Track2ECR' određuje smije li ECR obraditi (slati/primiti) podatke Track2 za određenog izdavatelja. Ovisno o vrijednosti ove zastavice, određuje se trebaju li podaci track2 biti prikazani u lokalnom načinu rada na ECR-u.
`Polje formata ispisa' određuje kako će PAN biti prikazan. Sve će kartice u PCI opsegu imati format ispisa postavljen za prikaz PAN-a u skraćenom/maskiranom obliku.
12
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
5. Autentifikacija i kontrole pristupa
5.1 Kontrola pristupa
Aplikacija za plaćanje Viking nema korisničke račune niti odgovarajuće lozinke stoga je aplikacija za plaćanje Viking izuzeta od ovog zahtjeva.
· Integrirano podešavanje ECR-a: nije moguće pristupiti vrstama transakcija kao što su povrat novca, polog i poništenje iz terminalskog izbornika kako bi se ove funkcije zaštitile od zlouporabe. Ovo su vrste transakcija kod kojih se protok novca odvija s računa trgovca na račun vlasnika kartice. Trgovac je odgovoran osigurati da ECR koriste samo ovlašteni korisnici.
· Samostalna postavka: Kontrola pristupa trgovačkoj kartici zadano je omogućena za pristup vrstama transakcija kao što su povrat novca, polog i poništavanje iz terminalskog izbornika kako bi se te funkcije zaštitile od zlouporabe. Terminal Viking konfiguriran je prema zadanim postavkama za osiguranje opcija izbornika kako bi se spriječio neovlašteni pristup. Parametri za konfiguraciju sigurnosti izbornika spadaju u izbornik Trgovac (dostupan s karticom trgovca) -> Parametri -> Sigurnost
Zaštiti izbornik Postavite na `Da' prema zadanim postavkama. Tipka izbornika na terminalu zaštićena je konfiguracijom izbornika Protect. Izborniku može pristupiti samo trgovac koristeći trgovačku karticu.
13
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Zaštiti preokret Postavite na `Da' prema zadanim postavkama. Storniranje transakcije može izvršiti samo trgovac koristeći trgovačku karticu za pristup izborniku storniranja.
Zaštitite pomirenje Postavljeno na `Da' prema zadanim postavkama. Opciji za pomirenje može pristupiti samo trgovac s karticom trgovca kada je ova zaštita postavljena na istinito.
Zaštiti prečac Postavite na `Da' prema zadanim postavkama Izbornik prečaca s opcijama za viewInformacija o terminalu i opcija za ažuriranje Bluetooth parametara bit će dostupni trgovcu samo kada se provuče kartica trgovca.
14
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
5.2 Kontrole lozinke
Viking aplikacija za plaćanje nema korisničke račune niti odgovarajuće lozinke; stoga je aplikacija Viking izuzeta od ovog zahtjeva.
6. Sječa
6.1 Primjenjivost trgovca
Trenutačno za Nets Viking aplikaciju za plaćanje ne postoje podesive postavke PCI zapisnika za krajnjeg korisnika.
6.2 Konfigurirajte postavke dnevnika
Viking aplikacija za plaćanje nema korisničke račune, tako da bilježenje usklađeno s PCI nije primjenjivo. Čak i u najopširnijem bilježenju transakcija, aplikacija za plaćanje Viking ne bilježi nikakve osjetljive podatke za autentifikaciju ili podatke o vlasniku kartice.
6.3 Centralno bilježenje
Terminal ima generički mehanizam dnevnika. Mehanizam također uključuje bilježenje stvaranja i brisanja S/W izvršne datoteke.
Aktivnosti preuzimanja S/W se bilježe i mogu se prenijeti na Host ručno putem odabira izbornika na terminalu ili na zahtjev hosta označenog u običnom transakcijskom prometu. Ako aktivacija preuzimanja S/W ne uspije zbog nevažećih digitalnih potpisa na primljenom files, incident se bilježi i automatski i odmah prenosi na Host.
6.4 6.3.1 Omogućite bilježenje praćenja na terminalu
Da biste omogućili bilježenje praćenja:
1 Provucite karticu trgovca. 2 Zatim u izborniku odaberite “9 System menu”. 3 Zatim idite na izbornik “2 Dnevnik sustava”. 4 Upišite šifru tehničara koju možete dobiti pozivom podrške Nets Merchant Service. 5 Odaberite “8 parametara”. 6 Zatim omogućite “Logging” na “Yes”.
6.5 6.3.2 Slanje zapisa praćenja hostu
Za slanje zapisa praćenja:
1 Pritisnite tipku izbornika na terminalu, a zatim prevucite karticu trgovca. 2 Zatim u glavnom izborniku odaberite “7 Operator menu”. 3 Zatim odaberite “5 Send Trace Logs” za slanje zapisa praćenja hostu.
15
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
6.6 6.3.3 Daljinsko bilježenje praćenja
Parametar je postavljen u Nets Host (PSP) koji će daljinski omogućiti/onemogućiti funkciju zapisivanja tragova terminala. Nets Host će poslati parametar za omogućavanje/onemogućavanje praćenja zapisivanja terminalu u skupu podataka zajedno s planiranim vremenom kada će terminal učitati zapisnike praćenja. Kada terminal primi parametar praćenja kao omogućen, započeo bi snimanje zapisnika praćenja i u zakazano vrijeme prenijet će sve zapisnike praćenja i nakon toga onemogućiti funkciju zapisivanja.
6.7 6.3.4 Daljinsko bilježenje pogrešaka
Zapisi pogrešaka uvijek su omogućeni na terminalu. Poput zapisivanja praćenja, parametar je postavljen u Nets Host koji će daljinski omogućiti/onemogućiti funkciju zapisivanja pogrešaka terminala. Nets Host će poslati Trace enable/disable logging parametar terminalu u skupu podataka zajedno s planiranim vremenom kada će terminal učitati zapisnike grešaka. Kada terminal primi parametar za bilježenje pogrešaka kao omogućen, počeo bi bilježiti zapisnike o pogreškama iu zakazano vrijeme prenijet će sve zapisnike o pogreškama i nakon toga onemogućiti funkciju bilježenja.
7. Bežične mreže
7.1 Primjenjivost trgovca
Viking terminal za naplatu – MOVE 3500 i Link2500 imaju mogućnost povezivanja s Wi-Fi mrežom. Stoga, da bi bežična mreža bila sigurno implementirana, potrebno je uzeti u obzir prilikom instaliranja i konfiguriranja bežične mreže kao što je opisano u nastavku.
7.2 Preporučene bežične konfiguracije
Postoje mnoga razmatranja i koraci koje treba poduzeti prilikom konfiguriranja bežičnih mreža koje su povezane s internom mrežom.
Moraju biti postavljene najmanje sljedeće postavke i konfiguracije:
· Sve bežične mreže moraju biti segmentirane pomoću vatrozida; ako su potrebne veze između bežične mreže i podatkovnog okruženja vlasnika kartice, pristup mora biti kontroliran i osiguran vatrozidom.
· Promijenite zadani SSID i onemogućite emitiranje SSID-a · Promijenite zadane lozinke za bežične veze i bežične pristupne točke, to uključuje kon-
isključivi pristup kao i nizove SNMP zajednice · Promijenite bilo koje druge sigurnosne zadane postavke koje je ponudio ili postavio dobavljač · Osigurajte da su bežične pristupne točke ažurirane na najnoviji firmware · Koristite samo WPA ili WPA2 sa jakim ključevima, WEP je zabranjen i nikada se ne smije koristiti · Promijenite WPA/WPA2 ključeve prilikom instalacije, kao i redovito i kad god osoba ima
znanje o ključevima napušta tvrtku
16
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
8. Segmentacija mreže
8.1 Primjenjivost trgovca
Viking aplikacija za plaćanje nije aplikacija za plaćanje na poslužitelju i nalazi se na terminalu. Iz tog razloga, aplikacija za plaćanje ne zahtijeva nikakve prilagodbe kako bi ispunila ovaj zahtjev. Prema općem znanju trgovca, podaci o kreditnim karticama ne mogu se pohranjivati u sustavima koji su izravno povezani s internetom. Na primjerample, web poslužitelji i poslužitelji baza podataka ne smiju biti instalirani na istom poslužitelju. Demilitarizirana zona (DMZ) mora biti postavljena za segmentiranje mreže tako da samo strojevi u DMZ-u budu dostupni Internetu.
9. Udaljeni pristup
9.1 Primjenjivost trgovca
Viking aplikaciji za plaćanje nije moguće pristupiti daljinski. Daljinska podrška javlja se samo između člana osoblja za podršku Netsa i trgovca putem telefona ili preko Netsa izravno na licu mjesta kod trgovca.
10. Prijenos osjetljivih podataka
10.1 Prijenos osjetljivih podataka
Viking aplikacija za plaćanje štiti osjetljive podatke i/ili podatke o vlasniku kartice u prijenosu korištenjem enkripcije na razini poruke koristeći 3DES-DUKPT (112 bita) za sav prijenos (uključujući javne mreže). Sigurnosni protokoli za IP komunikaciju od aplikacije Viking do hosta nisu potrebni budući da se enkripcija na razini poruke implementira pomoću 3DES-DUKPT (112-bita) kako je gore opisano. Ova shema šifriranja osigurava da se transakcije, čak i ako su presretnute, ne mogu modificirati ili kompromitirati na bilo koji način ako se 3DES-DUKPT (112-bita) i dalje smatra jakom enkripcijom. Prema DUKPT shemi upravljanja ključem, 3DES ključ koji se koristi jedinstven je za svaku transakciju.
10.2 Dijeljenje osjetljivih podataka s drugim softverom
Viking aplikacija za plaćanje ne nudi nikakva logička sučelja/API-je koji bi omogućili dijeljenje podataka računa u čistom tekstu izravno s drugim softverom. Nikakvi osjetljivi podaci ili podaci računa u čistom tekstu ne dijele se s drugim softverom putem izloženih API-ja.
10.3 E-pošta i osjetljivi podaci
Viking aplikacija za plaćanje izvorno ne podržava slanje e-pošte.
10.4 Administrativni pristup bez konzole
Viking ne podržava administrativni pristup bez konzole. Međutim, prema općem znanju trgovca, administrativni pristup bez konzole mora koristiti ili SSH, VPN ili TLS za šifriranje svih administrativnih pristupa koji nisu konzola poslužiteljima u podatkovnom okruženju vlasnika kartice. Telnet ili druge nešifrirane metode pristupa ne smiju se koristiti.
17
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
11. Metodologija izrade verzija Vikinga
Netsova metodologija izrade verzija sastoji se od dvodijelnog S/W broja verzije: a.bb
gdje će se `a' povećati kada se izvrše promjene velikog utjecaja prema PCI-Secure softverskom standardu. a – glavna verzija (1 znamenka)
`bb' će se povećati kada se izvrše planirane promjene s malim utjecajem prema PCI-Secure softverskom standardu. bb – manja verzija (2 znamenke)
Broj verzije S/W aplikacije za plaćanje Viking prikazan je ovako na zaslonu terminala kada je terminal uključen: `abb'
· Ažuriranje s npr. 1.00 na 2.00 značajno je funkcionalno ažuriranje. Može uključivati promjene koje utječu na sigurnosne zahtjeve ili zahtjeve PCI Secure Software Standarda.
· Ažuriranje s npr. 1.00 na 1.01 nije značajno funkcionalno ažuriranje. Možda neće uključivati promjene koje utječu na sigurnosne zahtjeve ili zahtjeve PCI Secure Software Standarda.
Sve promjene su prikazane redoslijedom brojeva.
12. Upute o sigurnoj instalaciji zakrpa i ažuriranja.
Nets sigurno dostavlja ažuriranja aplikacija za udaljeno plaćanje. Ta se ažuriranja događaju na istom komunikacijskom kanalu kao i sigurne platne transakcije, a trgovac nije dužan napraviti nikakve promjene u ovom komunikacijskom putu radi usklađenosti.
Kada postoji zakrpa, Nets će ažurirati verziju zakrpe na Nets Host. Trgovac bi zakrpe dobio putem automatiziranog zahtjeva za preuzimanje S/W-a ili trgovac također može pokrenuti preuzimanje softvera iz izbornika terminala.
Za općenite informacije, trgovci bi trebali razviti prihvatljivu politiku korištenja za kritične tehnologije usmjerene na zaposlenike, u skladu sa smjernicama u nastavku za VPN ili druge veze velike brzine, ažuriranja se primaju putem vatrozida ili vatrozida za osoblje.
Nets host dostupan je putem interneta koristeći siguran pristup ili putem zatvorene mreže. Uz zatvorenu mrežu, davatelj mrežnih usluga ima izravnu vezu s našim host okruženjem koje nudi njihov davatelj mrežnih usluga. Terminalima se upravlja putem usluga Nets terminal management. Usluga upravljanja terminalom definira nprample regija kojoj terminal pripada i stjecatelj koji se koristi. Upravljanje terminalom također je odgovorno za nadogradnju softvera terminala na daljinu putem mreže. Nets osigurava da je softver učitan na terminal prošao potrebne certifikate.
Nets preporuča svim svojim kupcima kontrolne točke kako bi osigurao sigurno i sigurno plaćanje kako je navedeno u nastavku: 1. Držite popis svih operativnih terminala za plaćanje i fotografirajte ih iz svih dimenzija kako biste znali kako bi trebali izgledati. 2. Potražite očite znakove tampoštećenja kao što su slomljene plombe na pristupnim pokrovnim pločama ili vijcima, čudni ili različiti kablovi ili novi hardverski uređaj koji ne možete prepoznati. 3. Zaštitite svoje terminale od dohvata kupaca kada se ne koriste. Svakodnevno provjeravajte svoje platne terminale i ostale uređaje koji mogu čitati platne kartice. 4. Morate provjeriti identitet osoblja za popravke ako očekujete popravke terminala za plaćanje. 5. Odmah nazovite Nets ili svoju banku ako sumnjate na bilo kakvu neočitu aktivnost. 6. Ako vjerujete da je vaš POS uređaj osjetljiv na krađu, tada postoje servisne postolje i sigurni pojasevi i vezice koje možete kupiti u prodaji. Možda je vrijedno razmotriti njihovu upotrebu.
18
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
13. Ažuriranja Viking izdanja
Softver Viking izlazi u sljedećim ciklusima izdanja (podložni promjenama):
· 2 velika izdanja godišnje · 2 manja izdanja godišnje · Softverske zakrpe, po potrebi (npr. zbog kritične greške/problema ranjivosti). Ako a
izdanje operativno na terenu i prijavljeni su neki kritični problemi, tada se očekuje da će softverska zakrpa s popravkom biti objavljena u roku od mjesec dana.
Trgovci bi bili obaviješteni o izdanjima (glavnim/manjim/zakrpama) putem e-poruka koje bi bile izravno poslane na njihove odgovarajuće adrese e-pošte. E-pošta će također sadržavati glavne naglaske izdanja i napomene o izdanju.
Trgovci također mogu pristupiti bilješkama o izdanju koje će biti učitane na:
Napomene o izdanju softvera (nets.eu)
Izdanja Viking Softwarea potpisuju se pomoću Ingenicovog alata za pjevanje za Tetra terminale. Na terminal se može učitati samo potpisani softver.
14. Neprimjenjivi zahtjevi
Ovaj odjeljak sadrži popis zahtjeva u PCI-Secure softverskom standardu koji je ocijenjen kao `Nije primjenjiv' na Viking aplikaciju za plaćanje i obrazloženje za to.
PCI Secure softverski standard
CO
Aktivnost
Obrazloženje za "neprimjenjivo"
5.3
Metode autentifikacije (uključujući sesiju Cre- Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI
dentals) su dovoljno čvrsti i robusni za uređaj.
zaštiti vjerodajnice za provjeru autentičnosti od postojanja
krivotvoriti, lažirati, procuriti, pretpostaviti ili zaobići - Viking aplikacija za plaćanje ne nudi lokalne, nekonzolne
odzračen.
ili daljinski pristup, niti razinu privilegija, stoga nema do-
vjerodajnice za identifikaciju u PTS POI uređaju.
Viking aplikacija za plaćanje ne pruža postavke za upravljanje ili generiranje korisničkih ID-ova i ne pruža nikakav lokalni, nekonzolni ili daljinski pristup kritičnim sredstvima (čak ni za potrebe otklanjanja pogrešaka).
5.4
Prema zadanim postavkama, sav pristup kritičnoj imovini ponovno je
Viking aplikacija za plaćanje radi na PTS POI odobrenoj od strane PCI-a
ograničeno samo na te račune i servisne uređaje.
koji zahtijevaju takav pristup.
Viking aplikacija za plaćanje ne nudi postavke za
upravljati ili generirati račune ili usluge.
7.3
Svi nasumični brojevi koje koristi softver su Viking aplikacija za plaćanje ne koristi nikakav RNG (random
generiran korištenjem samo odobrenog generatora nasumičnog broja) za svoje funkcije šifriranja.
algoritmi ili biblioteke ber generacije (RNG).
19
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Odobreni RNG algoritmi ili biblioteke su oni koji zadovoljavaju industrijske standarde za dostatnu nepredvidivost (npr. Posebna publikacija NIST-a 800-22).
Viking aplikacija za plaćanje ne generira niti koristi nasumične brojeve za kriptografske funkcije.
7.4
Slučajne vrijednosti imaju entropiju koja zadovoljava Viking aplikacija za plaćanje ne koristi nikakav RNG (random
zahtjevi minimalne efektivne snage generatora brojeva) za njegove funkcije šifriranja.
kriptografske primitive i ključeve koji se oslanjaju
na njima.
Viking aplikacija za plaćanje ne generira niti koristi
slučajni brojevi za kriptografske funkcije.
8.1
Svi pokušaji pristupa i korištenja kritičnih sredstava Viking aplikacija za plaćanje radi na PCI odobrenom PTS POI
se prati i može se pratiti do jedinstvene osobe. uređaje, gdje se odvija cjelokupno rukovanje kritičnom imovinom i
PTS POI firmware osigurava povjerljivost i cjelovitost senzora
pozitivnih podataka dok su pohranjeni unutar PTS POI uređaja.
Povjerljivost, cjelovitost i otpornost osjetljive funkcije Viking aplikacije za plaćanje zaštićeni su i osigurani PTS POI firmwareom. PTS POI firmware sprječava bilo kakav pristup kritičnim sredstvima izvan terminala i oslanja se na anti-tamping značajke.
Viking aplikacija za plaćanje ne nudi lokalni, nekonzolski ili daljinski pristup, niti razinu privilegija, stoga ne postoji osoba ili drugi sustavi s pristupom kritičnim sredstvima, samo Viking aplikacija za plaćanje može rukovati kritičnim sredstvima
8.2
Sve aktivnosti bilježe se u dovoljnoj i potrebnoj aplikaciji za plaćanje Viking radi na PTS POI odobrenom od strane PCI-a
sari pojedinosti kako bi točno opisali koje specifične uređaje.
aktivnosti su obavljene, tko je izveo
njih, vrijeme kada su izvedene i
Viking aplikacija za plaćanje ne nudi lokalne, nekonzolne
koja je kritična imovina bila pogođena.
ili udaljenog pristupa, niti razine privilegija, stoga ne postoji
samo osoba ili drugi sustavi s pristupom kritičnoj imovini
Viking aplikacija za plaćanje može rukovati kritičnom imovinom.
· Viking aplikacija za plaćanje ne nudi privilegirane načine rada.
· Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka
· Ne postoje funkcije za dešifriranje osjetljivih podataka
· Ne postoje funkcije za izvoz osjetljivih podataka u druge sustave ili procese
· Nema podržanih značajki provjere autentičnosti
Sigurnosne kontrole i sigurnosne funkcije ne mogu se onemogućiti niti izbrisati.
8.3
Softver podržava sigurno zadržavanje de- Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI
tailed records aktivnosti.
uređaja.
20
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
8.4 B.1.3
Viking aplikacija za plaćanje ne nudi lokalni, nekonzolski ili udaljeni pristup, niti razinu privilegija, stoga ne postoji osoba ili drugi sustavi s pristupom kritičnim sredstvima, samo Viking aplikacija za plaćanje može rukovati kritičnim sredstvima.
· Viking aplikacija za plaćanje ne nudi privilegirane načine rada.
· Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka
· Ne postoje funkcije za dešifriranje osjetljivih podataka
· Ne postoje funkcije za izvoz osjetljivih podataka u druge sustave ili procese
· Nema podržanih značajki provjere autentičnosti
Sigurnosne kontrole i sigurnosne funkcije ne mogu se onemogućiti niti izbrisati.
Softver rješava kvarove u mehanizmima za praćenje aktivnosti tako da se očuva integritet postojećih zapisa aktivnosti.
Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima.
Viking aplikacija za plaćanje ne nudi lokalni, nekonzolski ili udaljeni pristup, niti razinu privilegija, stoga ne postoji osoba ili drugi sustavi s pristupom kritičnim sredstvima, samo Viking aplikacija može rukovati kritičnim sredstvima.
· Viking aplikacija za plaćanje ne nudi privilegirane načine rada.
· Ne postoje funkcije za onemogućavanje šifriranja osjetljivih podataka
· Ne postoje funkcije za dešifriranje osjetljivih podataka
· Ne postoje funkcije za izvoz osjetljivih podataka u druge sustave ili procese
· Nema podržanih značajki provjere autentičnosti
· Sigurnosne kontrole i sigurnosne funkcije ne mogu se onemogućiti niti izbrisati.
Dobavljač softvera održava dokumentaciju koja opisuje sve konfigurabilne opcije koje mogu utjecati na sigurnost osjetljivih podataka.
Viking aplikacija za plaćanje radi na PCI odobrenim PTS POI uređajima.
Viking aplikacija za plaćanje krajnjim korisnicima ne pruža ništa od sljedećeg:
· konfigurabilna opcija za pristup osjetljivim podacima
21
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
B.2.4 B.2.9 B.5.1.5
· konfigurabilna opcija za izmjenu mehanizama za zaštitu osjetljivih podataka
· daljinski pristup aplikaciji
· daljinsko ažuriranje aplikacije
· konfigurabilna opcija za izmjenu zadanih postavki aplikacije
Softver koristi samo funkciju(e) generiranja slučajnih brojeva uključenu u procjenu PTS uređaja terminala za plaćanje za sve kriptografske operacije koje uključuju osjetljive podatke ili osjetljive funkcije gdje su potrebne nasumične vrijednosti i ne implementira vlastite
Viking ne koristi nikakav RNG (generator slučajnih brojeva) za svoje funkcije šifriranja.
Aplikacija Viking ne generira niti koristi nasumične brojeve za kriptografske funkcije.
funkcija(e) generiranja slučajnih brojeva.
Integritet softverskog upita files je zaštićen u skladu s Kontrolnim ciljem B.2.8.
Svi prikazi upita na terminalu Viking kodirani su u aplikaciji i nijedan upit fileprisutni su izvan aplikacije.
Bez upita fileIzvan aplikacije za plaćanje Viking postoji, sve potrebne informacije generira aplikacija.
Smjernice za implementaciju uključuju upute za dionike da kriptografski potpišu sve upite files.
Svi prikazi upita na terminalu Viking kodirani su u aplikaciji i nijedan upit fileprisutni su izvan aplikacije.
Bez upita fileIzvan aplikacije za plaćanje Viking postoji, sve potrebne informacije generira aplikacija
22
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
15. Referenca standardnih zahtjeva za PCI Secure softver
Poglavlja u ovom dokumentu 2. Aplikacija za sigurno plaćanje
Standardni zahtjevi PCI Secure softvera
B.2.1 6.1 12.1 12.1.b
PCI DSS zahtjevi
2.2.3
3. Sigurni daljinski softver
11.1
Ažuriranja
11.2
12.1
1&12.3.9 2, 8 i 10
4. Sigurno brisanje osjetljivih podataka i zaštita pohranjenih podataka o vlasniku kartice
3.2 3.4 3.5 A.2.1 A.2.3 B.1.2a
Autentifikacija i kontrola pristupa 5.1 5.2 5.3 5.4
3.2 3.2 3.1 3.3 3.4 3.5 3.6
8.1 & 8.2 8.1 & 8.2
Sječa drva
3.6
10.1
8.1
10.5.3
8.3
Bežična mreža
4.1
1.2.3 i 2.1.1 4.1.1 1.2.3, 2.1.1,4.1.1
Segmentacija mreže Prijenos podataka o vlasniku kartice na daljinu
4.1c
B.1.3
A.2.1 A.2.3
1.3.7
8.3
4.1 4.2 2.3 8.3
Viking metodologija izrade verzija
11.2 12.1.b
Upute za kupce o 11.1
sigurna instalacija zakrpa i 11.2
ažuriranja.
12.1
23
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
16. Rječnik pojmova
POJAM Podaci o nositelju kartice
DUKPT
3DES trgovac SSF
PA-QSA
DEFINICIJA
Cijela magnetska traka ili PAN plus bilo što od sljedećeg: · Ime vlasnika kartice · Datum isteka · Šifra usluge
Izvedeni jedinstveni ključ po transakciji (DUKPT) je shema upravljanja ključem u kojoj se za svaku transakciju koristi jedinstveni ključ koji je izveden iz fiksnog ključa. Stoga, ako je izvedeni ključ ugrožen, podaci o budućim i prošlim transakcijama i dalje su zaštićeni jer se sljedeći ili prethodni ključevi ne mogu lako odrediti.
U kriptografiji, Triple DES (3DES ili TDES), službeno Trostruki algoritam šifriranja podataka (TDEA ili Triple DEA), je blok šifra sa simetričnim ključem, koja primjenjuje algoritam DES šifre tri puta na svaki blok podataka.
Krajnji korisnik i kupac proizvoda Viking.
PCI Software Security Framework (SSF) zbirka je standarda i programa za siguran dizajn i razvoj softvera za plaćanje. Sigurnost softvera za plaćanje ključan je dio tijeka platnih transakcija i ključan je za omogućavanje pouzdanih i točnih platnih transakcija.
Kvalificirani procjenitelji sigurnosti aplikacije za plaćanje. QSA tvrtka koja pruža usluge dobavljačima aplikacija za plaćanje za provjeru valjanosti aplikacija za plaćanje dobavljača.
SAD (osjetljivi podaci za provjeru autentičnosti)
Informacije povezane sa sigurnošću (kodovi/vrijednosti kartice za provjeru valjanosti, potpuni podaci o tragovima, PIN-ovi i blokade PIN-a) koje se koriste za provjeru autentičnosti vlasnika kartice, pojavljuju se u otvorenom tekstu ili na drugi način nezaštićenom obliku. Otkrivanje, izmjena ili uništavanje ovih informacija moglo bi ugroziti sigurnost kriptografskog uređaja, informacijskog sustava ili podataka o vlasniku kartice ili bi se moglo koristiti u lažnoj transakciji. Osjetljivi podaci za provjeru autentičnosti nikada se ne smiju pohranjivati nakon završetka transakcije.
Viking HSM
Softverska platforma koju koristi Nets za razvoj aplikacija za europsko tržište.
Hardverski sigurnosni modul
24
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
17. Kontrola dokumenata
Autor dokumenta, Reviewers i odobravatelji
Opis SSA Development Compliance Manager System Architect QA Product Owner Product Manager Product Engineering Director
Funkcija Reviewer Autor Reviewer & Approver Reviewer & Approver Reviewer & Approver Reviewer & Approver Manager Manager
Ime Claudio Adami / Flavio Bonfiglio Sorans Aruna Panicker Arno Ekström Shamsher Singh Varun Shukla Arto Kangas Eero Kuusinen Taneli Valtonen
Sažetak promjena
Broj verzije 1.0
1.0
1.1
Datum verzije 03-08-2022
15-09-2022
20-12-2022
Priroda promjene
Prva verzija za PCI-Secure softverski standard
Ažuriran odjeljak 14 s neprimjenjivim ciljevima kontrole s njihovim obrazloženjem
Ažurirani odjeljci 2.1.2 i 2.2
sa Self4000.
Uklonjeno
Link2500 (PTS verzija 4.x) iz
popis podržanih terminala
Promjena autora Aruna Panicker Aruna Panicker
Aruna Panicker
Reviewer
Datum odobrenja
Shamsher Singh 18-08-22
Shamsher Singh 29-09-22
Shamsher Singh 23-12-22
1.1
05-01-2023 Ažuriran odjeljak 2.2 s Link2500 Aruna Panicker Shamsher Singh 05-01-23
(pts v4) za nastavak podrške
za ovu vrstu terminala.
1.2
20-03-2023 Ažuriran odjeljak 2.1.1 s Latvijcem Arunom Panickerom Shamsherom Singhom 21-04-23
i litvanski terminal profiles.
I 2.1.2 s BT-iOS komunikacijom-
podrška tipa tion
2.0
03-08-2023 Verzija izdanja ažurirana na Aruna Panicker Shamsher Singh 13-09-23
2.00 u zaglavlju/podnožju.
Ažuriran odjeljak 2.2 s novim
Move3500 hardver i firmware
verzije. Ažurirani odjeljak 11 za
`Vikingova metodologija izrade verzija'.
Ažuriran odjeljak 1.3 najnovijim
verzija zahtjeva PCI SSS
vodič. Ažurirani odjeljak 2.2 za sup-
preneseni terminali uklonjeni bez podrške
prenesene verzije hardvera iz
popis.
2.0
16-11-2023 Vizualno (CVI) ažuriranje
Lejla Avsar
Arno Ekström 16-11-23
25
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Popis distribucije
Naziv Odjel terminala Upravljanje proizvodima
Razvoj funkcija, testiranje, upravljanje projektima, tim za upravljanje terminalom usklađenosti proizvoda, proizvod upravitelja usklađenosti
Odobrenja dokumenata
Ime Arto Kangas
Funkcija Vlasnik proizvoda
Dokument Review Planovi
Ovaj dokument će biti reviewuređivati i ažurirati, ako je potrebno, kako je definirano u nastavku:
· Prema potrebi za ispravljanje ili poboljšanje sadržaja informacija · Nakon bilo kakvih organizacijskih promjena ili restrukturiranja · Nakon godišnje revizijeview · Nakon iskorištavanja ranjivosti · Nakon novih informacija / zahtjeva u vezi s relevantnim ranjivostima
26
PCI-Secure Software Standard Vendor Implementation Guide v2.0 za Viking Terminal 2.00
Dokumenti / Resursi
 |
nets PCI-Secure standardni softver [pdf] Korisnički priručnik PCI-Secure standardni softver, PCI-Secure, standardni softver, softver |
