nets Podręcznik użytkownika rdzenia karty płatniczej
Przewodnik wdrażania zabezpieczeń oprogramowania
Payment Card Core 4.1.0 Aplikacja terminala płatniczego Npay Nexi Digital Finland Software Security Implementation Guide Wersja dokumentu: v4.1.0/ 2023-09-06 Nexi
HISTORIA WERSJI
| Wersja | Data | Autor | Opis |
| 1.4 | 2015-07-29 | DFo | Aktualizacje powiązane z PA-DSS v3.1: – Wyraźne wskazówki dotyczące rozwiązywania problemów – Wyjaśnienie zasad przechowywania dla sprzedawców – Wyraźnie TLS 1.2- Przejrzyste scentralizowane logowanie 5.6 – Zaktualizowany dodatek A- Przejrzysta dystrybucja tego dokumentu- Zaktualizowano zarządzanie kluczami w wersji 5.5 — Usunięto wersje bibliotek oprogramowania SW- Usunięto wersje bibliotek oprogramowania SW- Wyjaśnij Proces dystrybucji IG |
| 1.4.1 | 2016-01-27 | DFo | X.Y.pp i podtytuł dokumentu |
| 1.4.2 | 2016-04-05 | DFo | Redakcyjny |
| 2.0 | 2017-06-29 | JRA | Opisz sposób generowania zamaskowanych numerów PAN Usuń tekst, który nie wymaga działań klienta Zmień nazwę CardSvc na Payment Card Core Dodaj opisy aktualizacji Spire i Spica Dodaj opis Payment Frontend Napraw wersję Payment Card Core do wersji 2.0.xUsuń sekcję Obsługa danych posiadaczy kart jako niepotrzebną Wyjaśnienia dotyczące wymagań 2.1 , 2.2, 11.1, 11.2 Uwzględnij zestaw znaków wersji i wyjaśnij opisy komponentów numeracji wersji Korekta terminologii Wypełnij PA → Rdzeń karty płatniczej |
| 2.0.1 | 2018-06-11 | JRA | Zaktualizuj firmę: Poplatek Oy → Poplatek Payments Oy |
| 2.2 | 2018-10-26 | JRA | Zaktualizuj wersję karty płatniczej Core Zaktualizuj opis maskowania PAN, aby był zgodny z wersją karty płatniczej Core 2.2.x |
| 2.3 | 2019-12-04 | JRA | Aktualizacja wersji podstawowych kart płatniczych Aktualizacja referencji PTS dla terminali Samoa 5.3.1 |
| 3.0 | 2021-06-22 | JRA | Zaktualizuj wersję podstawową karty płatniczej Zaktualizuj odniesienia do wymagań PCI DSS i PA-DSS Zaktualizuj punkt końcowy aktualizatora Samoa Dodaj Castles jako dostawcę terminala Zaktualizuj zależności 5.3.2 Napraw literówki Zaktualizuj układ dokumentu |
| 3.1 | 2022-06-02 | JRA | Zaktualizuj wersję karty płatniczej Core Usuń wymóg nierozgłaszania SSID w 4.2Usuń terminale Spire i Worldline z zależności sprzętowych w 5.3.1 |gdzie Usuń opisy aktualizacji dla terminali Spire i Worldline w 5.3.3 |Dodaj MP200 do zależności sprzętowych w 5.3.1. 3 | Zaktualizuj nazwę DNS dla wymaganego serwera w 3000 | Dodaj VEGA6 PTS 5.3.1.x do zależności XNUMX | Wyjaśnij różnice pomiędzy maskowaniem PAN na rachunkach sprzedawcy i posiadacza karty |
| 4.1 | 2023-07-05 | JRA | Dostosowano z PCI PA-DSS do PCI SSF Zmień nazwę firmy na Nexis Digital Finland Zmień standardową wersję Secure Software na 1.2.1 Dodaj brakujące wymagania związane z IG do Załącznika A |
WSTĘP
Standard bezpieczeństwa danych kart płatniczych (PCI DSS) [[1]](#1) określa wymagania dotyczące konfiguracji, działania i bezpieczeństwa transakcji kartami płatniczymi. Wymagania te mają zastosowanie do organizacji, które przechowują, przetwarzają lub przesyłają informacje o posiadaczach kart, a ich celem jest zapobieganie oszustwom związanym z kartami kredytowymi i zwiększanie bezpieczeństwa.
Wymagania dotyczące oprogramowania PCI Secure [[2]](#2) zostały zdefiniowane w celu ochrony integralności transakcji płatniczych i poufności wszystkich wrażliwych danych przechowywanych, przetwarzanych lub przesyłanych w związku z transakcjami płatniczymi.
Celem niniejszego Przewodnika wdrażania jest poinstruowanie Sprzedawców i Sprzedawców, jak instalować i używać terminali płatniczych Nexi Digital Finland z systemem Payment Card Core w środowisku Sprzedawcy w sposób zgodny z PCI. Nie jest to kompletny podręcznik instalacji. Integratorami mogą być m.in. Dostawcy elektronicznych kas fiskalnych (ECR) integrujący terminal płatniczy Nexi Digital Finland ze swoim systemem POS przy użyciu protokołu Nexi Digital Finland POS [[3] (3) lub dostawcy automatów sprzedających integrujący terminal płatniczy Nexi Digital Finland z automatem sprzedającym.
**UWAGA**: Obowiązki i działania Sprzedawcy/Sprzedawcy/Integratora są oznaczone w tym dokumencie słowem ***DZIAŁANIA SPRZEDAWCY***.
Wersja i dotview historia jest pokazana w sekcji [Historia wersji](#version-history). Ta sekcja zawiera wprowadzenie i opis dotview i procesu aktualizacji oraz zawiera listę skrótów i odniesień. Wykorzystanie Rdzenia Karty Płatniczej opisano w rozdziale Korzystanie z Aplikacji Płatniczej, a szczegóły opisano w rozdziale Moduł Rdzeń Karty Płatniczej obejmujący centralne logowanie. Informacje dotyczące rozwiązywania problemów znajdują się w części Procedury rozwiązywania problemów. Dodatek A zawiera listę i adresy wszystkich wymagań dotyczących bezpiecznego oprogramowania PCI związanych z tym dokumentem.
Dokument dotview i proces aktualizacji
Nexi Digital Finlandia musi ponownieview ten dokument co roku i w razie potrzeby aktualizuj go, aby udokumentować wszystkie większe i mniejsze zmiany w module Payment Card Core.
Zakres Bezpiecznego oprogramowania obejmuje wyłącznie moduł Payment Card Core, ponieważ Payment Card Core zajmuje się wszystkimi wrażliwymi danymi. Zmiany poza modułem Payment Card Core nie muszą być opisywane ani zarządzane za pomocą Przewodnika wdrażania dotview proces. Jeśli ten zakres zostanie zmieniony przez QSA, niniejszy dokument musi zostać zaktualizowany, aby odzwierciedlał nowy zakres. Ponadto ten dokument jest aktualizowany i ponownieviewed w odpowiednim czasie przy każdej aktualizacji standardu PCI Secure Software Standard (PCI SSS).
Review proces obejmuje wewnętrzną rewizję Nexi Digital Finlandview przez osobę inną niż redaktor zmiany i znającą wewnętrzne elementy modułu Payment Card Core. Dokument musi być ponownieviewed przez QSA PCI Secure Software podczas procesu kontroli zmian z QSA.
Dystrybucja
Dokument ten jest początkowo przekazywany wszystkim klientom i sprzedawcom najpóźniej wraz z dostawą pierwszego produktu za pośrednictwem portalu obsługi klienta lub w inny sposób. Każdy z nich zostanie powiadomiony o aktualizacji niniejszego dokumentu wraz ze zaktualizowanym dokumentem.
To powiadomienie o aktualizacji odbywa się za pośrednictwem portalu obsługi klienta. Portal ten zawiera numer wersji IG i łącze do tego dokumentu. Za każdym razem, gdy niniejszy dokument jest aktualizowany, zatwierdzany i ma zastosowanie do terminali płatniczych w terenie z klientami, IG jest przesyłany do portalu serwisowego, a łącze do dokumentu jest aktualizowane. Należy również pamiętać, że najnowszą wersję tego przewodnika można uzyskać od pomocy technicznej. Dokument główny jest przechowywany w wewnętrznym systemie zarządzania wersjami Nexi Digital Finland.
Skróty
| Skrót | Oznaczający |
| choroba wieńcowa | Dane posiadacza karty |
| ECR | Elektroniczna kasa fiskalna |
| IG | Przewodnik wdrażania |
| PATELNIA | Główny numer konta |
| PCI DSS | Standard bezpieczeństwa danych branży kart płatniczych |
| PCI SSF | Bezpieczne środowisko oprogramowania dla branży kart płatniczych |
| PCI SSS | Standard bezpiecznego oprogramowania dla branży kart płatniczych |
| POS | Punkt sprzedaży, używany w odniesieniu do systemu obejmującego terminal płatniczy i ECR |
| Kontrola jakości | Kwalifikowany asesor bezpieczeństwa |
| TLS | Bezpieczeństwo warstwy transportowej |
KORZYSTANIE Z APLIKACJI PŁATNICZEJ
Korzystanie z aplikacji płatniczej We wszystkich komponentach systemu objętych zakresem PCI należy stosować silne środki kontroli dostępu, wykorzystując unikalne identyfikatory użytkowników, silne hasła i bezpieczne uwierzytelnianie dostępu zgodne z PCI DSS. Więcej informacji znajdziesz w artykule [1]. Należy jednak pamiętać, że podczas korzystania z terminala Nexi Digital Finland nie ma potrzeby obsługi ani przechowywania danych posiadacza karty poza terminalem. W terminalu płatniczym Nexi Digital Finland nie ma konfigurowalnych przez użytkownika ustawień karty płatniczej Core. Ponadto nie ma żadnych kont użytkowników (ani kont administracyjnych) do skonfigurowania ani żadnych haseł/poświadczeń użytkowników do aktualizacji lub resetowania. Terminal płatniczy Nexi Digital Finland obsługuje integrację ECR z protokołem JSONPOS. Terminal płatniczy Nexi Digital Finland może być używany wyłącznie z bramką płatniczą Nexi Digital Finland. Terminal płatniczy Nexi Digital Finland wymaga połączenia z Internetem w celu komunikacji z bramką płatniczą. Do zapewnienia połączenia sieciowego i połączenia z modułem ECR można zastosować okablowanie Ethernet. Jeśli preferowana jest komunikacja bezprzewodowa, do komunikacji można używać sieci komórkowej lub bezprzewodowej sieci LAN.
ŚRODOWISKO INSTALACJI
Obsługa terminali płatniczych
Terminal płatniczy należy zainstalować zgodnie z instrukcją instalacji Nexi Digital Finland i działaniami Sprzedawcy
wymagania opisane w tym dokumencie. Terminale płatnicze muszą być okresowo sprawdzane pod kątem tampi
zastąpienie (np. dodanie urządzeń do skimmingu kart), a personel sprzedawcy musi zostać przeszkolony w zakresie kontroli terminali płatniczych
(patrz [@4]). Ponadto aktualna lista terminali płatniczych musi być prowadzona przez Sprzedawcę lub udostępniana przez Nexi Digital Finland.
- DZIAŁANIA HANDLOWE***: Przeszkol personel pracujący z terminalami płatniczymi w zakresie sprawdzania terminali płatniczych pod kątem dowodów tamperowanie i substytucja. Szkolenie musi obejmować co najmniej następujące elementy:
- Zweryfikuj tożsamość wszelkich osób trzecich podających się za personel zajmujący się naprawami lub konserwacją, zanim udzielisz im dostępu w celu modyfikowania terminali płatniczych lub rozwiązywania problemów.
- Nie instaluj, nie wymieniaj ani nie zwracaj terminali płatniczych bez weryfikacji.
- Uważaj na podejrzane zachowania w pobliżu terminali płatniczych (npample, próby odłączenia lub otwarcia urządzeń przez nieznane osoby)
- Zgłoś podejrzane zachowanie i wskazania terminala płatniczego tampzastępstwo lub zastępstwo dla odpowiedniego personelu (npample, kierownikowi lub pracownikowi ochrony).
DZIAŁANIA HANDLOWE***: Sprawdź terminale płatnicze pod kątem dowodów tampokresowe sprawdzanie i zastępowanie. Okres ten może opierać się na własnej analizie ryzyka Sprzedawcy.
DZIAŁANIA HANDLOWE***: Sprzedawca musi posiadać rejestr terminali płatniczych dla wszystkich swoich terminali płatniczych. W przypadku terminali płatniczych Nexi Digital Finland rejestr ten jest prowadzony przez Nexi Digital Finland. Upewnij się, że Nexi Digital Finland ma najbardziej aktualne informacje o każdym terminalu płatniczym. Rejestr musi zawierać model urządzenia, lokalizację i numer seryjny urządzenia. Sprzedawca musi informować firmę Nexi Digital Finland za każdym razem, gdy terminal płatniczy zostanie przeniesiony, wycofany z eksploatacji, usunięty lub dodany do produkcji.
Konfiguracje zapory sieciowej
Nie ma szczególnych wymagań dotyczących segmentacji sieci w przypadku korzystania z terminala płatniczego Nexi Digital Finland oraz gdy terminal płatniczy Nexi Digital Finland jest jedynym medium używanym do odczytu kart płatniczych. Patrz wyżej.
DZIAŁANIA HANDLOWE***: Terminal płatniczy Nexi Digital Finland korzysta z usługi zewnętrznej dostarczanej wyłącznie przez Nexi Digital Finland. W przypadku terminala płatniczego Nexi Digital Finland port TCP 443 dla hosta pt.api.npay.eu do Internetu (wychodzącego) musi być otwarty. Należy także zezwolić na rozpoznawanie DNS hosta. Dodatkowo należy zezwolić portowi 10001 na połączenie z terminalem płatniczym (przychodzącym) z ECR (w przypadku integracji z ECR). Zobacz protokoły poniżej.
Bezprzewodowa sieć LAN
Jeśli sprzedawca korzysta z bezprzewodowej sieci LAN w celu przekierowania połączenia terminala płatniczego Nexi Digital Finland z Internetem lub terminal płatniczy korzysta z technologii bezprzewodowej, należy ją bezpiecznie skonfigurować. Oznacza to, że podczas wdrażania sieci bezprzewodowych należy przestrzegać wymagań PCI DSS:
DZIAŁANIA HANDLOWE***:
- Klucze szyfrujące należy zmienić z domyślnych podczas instalacji i należy je zmienić za każdym razem, gdy ktoś znający klucze opuści firmę lub zmieni stanowisko.
- Domyślne ciągi społeczności SNMP na urządzeniach bezprzewodowych muszą zostać zmienione.
- Domyślne hasła w punktach dostępowych muszą zostać zmienione.
- Oprogramowanie sprzętowe urządzeń bezprzewodowych musi zostać zaktualizowane, aby obsługiwało silne szyfrowanie w celu uwierzytelniania i transmisji w sieciach bezprzewodowych. Algorytm WEP jest niedozwolony.
- Jeśli ma to zastosowanie, należy zmienić wszelkie domyślne ustawienia dostawcy sieci bezprzewodowej związane z bezpieczeństwem.
- Należy zmienić domyślny identyfikator zestawu usług (SSID).
- Pomiędzy sieciami bezprzewodowymi i systemami przechowującymi dane posiadaczy kart należy zainstalować zaporę sieciową. Te zapory sieciowe muszą być skonfigurowane tak, aby blokowały lub kontrolowały (jeśli taki ruch jest niezbędny do celów biznesowych) wszelki ruch ze środowiska bezprzewodowego.
MODUŁ rdzeniowy karty płatniczej
Początkowa dystrybucja rdzenia karty płatniczej
Rdzeń Karty Płatniczej jest początkowo dystrybuowany wraz z terminalem płatniczym lub w przypadku jego braku, terminal płatniczy zainstaluje Rdzeń Karty Płatniczej z serwera aktualizacji podczas pierwszego uruchomienia z połączeniem sieciowym. W każdym razie podczas sekwencji rozruchowej rdzeń karty płatniczej zostanie w razie potrzeby zaktualizowany z serwera aktualizacji.
Schemat wersjonowania modułu Payment Card Core
Schemat wersjonowania modułu Payment Card Core to... gdzie komponenty są następujące:
X - wersja główna, zwiększana w przypadku większych zmian, takich jak nowa platforma terminali lub ważna nowa funkcja.
y – wersja drugorzędna, zwiększana przy każdej zmianie, resetowana do 0, gdy zwiększana jest wersja główna.
z- poprawka, zwiększana w miarę zmian, które są przenoszone z wersji głównej na wersję z linii wydania, 0 używane w wersji głównej.
Zależności sprzętowe
Terminal płatniczy Nexi Digital Finland wykorzystuje sprzęt dostarczony przez producenta terminala płatniczego Castles Technology Co. Ltd. Zależny sprzęt to:
| Rodzaj terminala | PCI PTS |
| Zamki Technology Co. Ltd VEGA3000 | Zatwierdzenie PTS 4-30332 Terminal nadzorowany zatwierdzony przez PTS |
| Zamki Technology Co. Ltd VEGA3000 | Zatwierdzenie PTS 4-80055 Terminal nadzorowany zatwierdzony przez PTS |
Wersja systemu operacyjnego zależnego Castles to Castles Linux OS xx20.
Rdzeń Karty Płatniczej może być używany w różnych konfiguracjach:
- Zintegrowany z nadzorowanym ECR
- Samodzielny
Zależności oprogramowania karty płatniczej Core
Nexi Digital Finland udostępnia aplikację płatniczą, w tym Payment Card Core, która działa w systemie operacyjnym terminali wymienionych powyżej. Do opracowania rdzenia karty płatniczej wymagany jest pakiet SDK od producentów terminali.
Terminal płatniczy Nexi Digital Finland obsługuje połączenie z siecią za pomocą okablowania Ethernet lub bezprzewodowo za pomocą sieci WLAN lub komórkowej.
Ponadto Payment Card Core wymaga pewnych zewnętrznych komponentów oprogramowania podczas procesu tworzenia oprogramowania i działania Payment Card Core. Komponenty te są zarządzane i aktualizowane przez Nexi Digital Finland. Te komponenty oprogramowania są połączone z pakietem oprogramowania i dlatego dostarczane są jako część oprogramowania terminala płatniczego. Nexi Digital Finland dba o aktualność tych składników oprogramowania, np. poprzez zarządzanie lukami w zabezpieczeniach oraz procesy i procedury aktualizacji oprogramowania.
Protokoły używane przez terminal płatniczy Nexi Digital Finland SW
Interfejs płatności
Oprogramowanie terminala płatniczego Nexi Digital Finland wykorzystuje protokół TLS 1.2 lub nowszy z silną kryptografią do komunikacji z frontendem płatniczym na porcie TCP 443. Terminal płatniczy uwierzytelnia frontend przy użyciu katalogu głównego urzędu certyfikacji Nexi Digital Finland, podczas gdy klient jest uwierzytelniany przy użyciu tokenów OAuth2. Wszystkie żądania kierowane do frontonu są żądaniami HTTPS uwierzytelnionymi za pomocą protokołu OAuth2, które frontend przekazuje dalej na podstawie identyfikatora URI żądania. A Webpołączenie z gniazdem, zainicjowane przy użyciu nagłówka aktualizacji HTTPS, służy do przenoszenia połączenia JSONRPC z bramką płatniczą, zapewniając transfer danych transakcyjnych, autoryzacje i inne komunikaty związane z płatnościami.
Terminal płatniczy komunikuje się wyłącznie z bramką płatniczą Nexi Digital Finland.
Terminal wykorzystuje protokół Nexi Digital Finland JSONPOS do komunikacji z ECR i nasłuchuje na porcie TCP 10001. ECR inicjuje komunikację z terminalem. Protokół JSONPOS nigdy nie przesyła wrażliwych danych posiadaczy kart do ECR, numery PAN są maskowane (pokazanych jest tylko pierwszych sześć i maksymalnie cztery ostatnie cyfry) na potrzeby potwierdzenia transakcji.
Aktualizacje oprogramowania
Aplikacja płatnicza, w tym Card Core, jest spakowana w pakiet oprogramowania dostosowany do platformy, który zostanie automatycznie zaktualizowany na terminalach płatniczych. W poniższych rozdziałach opisano szczegółowe informacje na temat poszczególnych platform.
Aktualizacje oprogramowania (terminale zamkowe)
Terminal płatniczy sprawdza dostępność aktualizacji i pobiera pakiety aktualizacji za pomocą żądań JSON RPC wysyłanych do frontonu płatności, który przekazuje je do serwera aktualizacji. Terminal płatniczy zgłasza swoje aktualne wersje oprogramowania w żądaniu sprawdzenia aktualizacji, a odpowiedź serwera aktualizacji wskazuje, że oprogramowanie jest aktualne lub że należy zainstalować określone aktualizacje. Serwer jest odpowiedzialny za zapobieganie niezamierzonym obniżeniom wersji.
Pakiety aktualizacji są sprawdzane przed instalacją za pomocą skrótu SHA256, a sam format pakietu aktualizacji zawiera podpis cyfrowy, który oprogramowanie systemowe Castles sprawdza przed instalacją. Pakiety aktualizacji oprogramowania są podpisywane przez firmę Nexi Digital Finland w ramach podwójnej kontroli, zgodnie ze specyfikacją firmy Castles.
Zarządzanie kluczami
Zarządzanie kluczami terminali płatniczych odbywa się automatycznie. Żaden użytkownik ani sprzedawca nie może mieć dostępu do kluczy terminala płatniczego. W terminalu nie ma menu ustawień ani innych danych wejściowych, które mogłyby mieć wpływ na zarządzanie kluczami. Aktualizacje oprogramowania zajmują się aktualizacją kluczy, jeśli zajdzie taka potrzeba. Ponadto aktualizacje oprogramowania odbywają się automatycznie. Nie są wymagane żadne działania użytkownika ani sprzedawcy.
Terminal płatniczy używa protokołu OAuth2 do zarządzania tokenem odświeżającym i tokenem okaziciela. Pierwszy token odświeżania OAuth2 jest uzyskiwany przy użyciu początkowego tokena ustalonego w kompilacji oprogramowania. Kiedy pierwszy token odświeżania zostanie pomyślnie wykorzystany, token początkowy nie będzie już akceptowany; tokeny odświeżania są następnie łączone w łańcuch, dzięki czemu nowy token odświeżania jest pobierany przy użyciu bieżącego tokenu odświeżania. Administrator może ręcznie zezwolić na odświeżenie tokena, jeśli terminal utraci stan tokena. Terminal żąda aktualizacji tokena przy każdym uruchomieniu (co 24 godziny), co może zaktualizować token odświeżania i token nośnika. Token nośnika jest używany do innych żądań HTTPS, takich jak sprawdzanie aktualizacji, połączenie z bramką płatniczą itp.
Moduły PCI SSF Payment Card Core wykorzystują 2048-bitowe szyfrowanie RSA do szyfrowania wrażliwych danych posiadaczy kart. Tylko bramka płatnicza może odszyfrować dane zaszyfrowane RSA. Klucz publiczny RSA jest instalowany w terminalu z pakietu zweryfikowanego pod kątem podpisu i aktualizowany automatycznie przez Nexi Digital Finland.
Scentralizowane logowanie
Terminale płatnicze Nexi Digital Finland wdrażają scentralizowane logowanie do bramki płatniczej. Scentralizowane rejestrowanie opiera się na niezawodnym protokole dostarczania zdarzeń wdrożonym przez Nexi Digital Finland.
Rejestrowanie jest włączane automatycznie. Ingerowanie w funkcjonalność rejestrowania lub wyłączanie logów jest niedozwolone i będzie skutkować niezgodnością z PCI DSS. Należy pamiętać, że nie ma możliwości wyłączenia logowania z poziomu samego terminala płatniczego.
Sprzedawcy mogą na żądanie uzyskać od Nexi Digital Finland możliwość scentralizowanego rejestrowania zdarzeń dla swoich terminali płatniczych.
DZIAŁANIA HANDLOWE***: Jeśli sprzedawca potrzebuje danych logowania dla niektórych swoich terminali zawierających rdzeń karty płatniczej, skontaktuj się z Nexi Digital Finland.
PROCEDURY ROZWIĄZYWANIA PROBLEMÓW
Nexi Digital Finland nigdy nie będzie żądać od klientów wrażliwych danych uwierzytelniających (SAD), w tym np. pełnego numeru PAN, w żadnej sytuacji, w tym w przypadku możliwych problemów. W niektórych przypadkach może być wymagany zamaskowany numer PAN (pierwsze sześć i ostatnie cztery cyfry) wydrukowany na potwierdzeniu transakcji.
REFERENCJE
Rada ds. Standardów Bezpieczeństwa CI, 2018
Standard bezpieczeństwa danych branży kart płatniczych (PCI), wymagania i procedury oceny bezpieczeństwa, wersja 3.2.1
Rada ds. Standardów Bezpieczeństwa PCI, 2023
Ramy bezpieczeństwa oprogramowania, wymagania dotyczące bezpiecznego oprogramowania i procedury oceny, wersja 1.2.1
Nexi Digital Finlandia
API JSONPOS
https://poplapay.com/dev/jsonpos-api/
Rada ds. Standardów Bezpieczeństwa PCI, 2014
Dodatek informacyjny, Zapobieganie skimmingowi: najlepsze praktyki dla sprzedawców, wersja 2.
ZAŁĄCZNIK A:
Wymagania PCI SSS v1.2 dotyczące wytycznych wdrożeniowych
| Dostawca oprogramowania zapewnia zainteresowanym stronom jasne i dokładne wytyczne dotyczące bezpiecznego wdrażania, konfiguracji i obsługi swojego oprogramowania płatniczego.
- Dystrybucja dokumentu opisana jest w rozdziale [Dystrybucja](#dystrybucja)
- Instalacja oprogramowania jest w pełni kontrolowana przez Nexi Digital Finland, a użytkownik końcowy nie może instalować żadnych programów na terminalu
- Terminale nie mają kont użytkowników, a użytkownik nie może kontrolować żadnych funkcji bezpieczeństwa terminala
- Mechanizm aktualizacji oprogramowania opisany jest w [Aktualizacje oprogramowania](#aktualizacje oprogramowania)
- Zarządzanie kluczami opisane w [Zarządzanie kluczami](#key-management)
Dostawca oprogramowania zapewnia wytyczne wdrożeniowe dotyczące bezpiecznego wdrażania i obsługi oprogramowania dla terminali płatniczych, na których ma zostać wdrożone
- Niniejszy dokument zawiera odpowiednie informacje
Wskazówki dotyczące wdrożenia zawierają szczegółowe instrukcje dotyczące konfigurowania wszystkich dostępnych opcji zabezpieczeń i parametrów oprogramowania.
- Oprogramowanie nie posiada żadnych opcji ani parametrów zabezpieczeń konfigurowalnych przez użytkownika
Wskazówki dotyczące wdrożenia zawierają szczegółowe instrukcje dotyczące bezpiecznego konfigurowania oprogramowania w celu korzystania z zabezpieczeń i funkcji terminala płatniczego, tam gdzie ma to zastosowanie
- Oprogramowanie nie posiada żadnych opcji ani parametrów zabezpieczeń konfigurowanych przez użytkownika
Wskazówki dotyczące wdrożenia zawierają szczegółowe instrukcje dotyczące konfiguracji oprogramowania w celu bezpiecznej integracji lub korzystania z udostępnionych zasobów udostępnianych przez terminal płatniczy.
- Karta płatnicza Core jest zintegrowana wyłącznie z terminalami płatniczymi Nexi Digital Finland udostępnianymi przez Nexi Digital Finland
Wskazówki dotyczące implementacji zawierają szczegółowe instrukcje dotyczące kryptograficznego podpisywania oprogramowania filew sposób ułatwiający uwierzytelnianie kryptograficzne wszystkich takich fileprzez terminal płatniczy.
- Moduł oprogramowania nie może być podpisywany przez klientów, jedynie przez Nexi Digital Finland
Wskazówki dotyczące implementacji obejmują instrukcje dla interesariuszy dotyczące kryptograficznego podpisania wszystkich monitów files.
- Podpowiedź filesą podpisane wyłącznie przez firmę Nexi Digital Finland
Wytyczne dotyczące wdrożenia są zgodne z wytycznymi dostawcy terminala płatniczego dotyczącymi bezpiecznej konfiguracji terminala płatniczego.
- Oprogramowanie nie posiada żadnych opcji ani parametrów zabezpieczeń konfigurowanych przez użytkownika
| Nazwa | Funkcjonować |
| Dział Terminali | Rozwój, testowanie, zarządzanie projektami, zgodność |
| Zarządzanie produktem | Zespół Zarządzania Produktem Terminalowym, Menedżer Zgodności – Produkt |
| Nets.eu | Sprzedawcy korzystający z Oprogramowania Npay za pośrednictwem terminali płatniczych Nets & Nexi mają dostęp do przewodnika po wdrażaniu na stronach pomocy technicznej Nets.eu |
Dokumenty / Zasoby
 |
rdzeń karty płatniczej nets [plik PDF] Instrukcja użytkownika Rdzeń karty płatniczej, rdzeń karty, rdzeń |
