Nets Payment Card Core Software Security Guide d'instal·lació

HISTORYRIA DE LA VERSIÓ

INTRODUCCIÓ

L'estàndard de seguretat de dades de la indústria de targetes de pagament (PCI DSS) [1] especifica els requisits per a la configuració, el funcionament i la seguretat de les transaccions amb targetes de pagament. Aquests requisits s'apliquen a les organitzacions que emmagatzemen, processen o transmeten informació del titular de la targeta i tenen com a objectiu prevenir el frau amb targeta de crèdit i augmentar la seguretat.

Els requisits de programari segur de PCI [2] es defineixen per protegir la integritat de les transaccions de pagament i la confidencialitat de totes les dades sensibles emmagatzemades, processades o transmeses en associació amb transaccions de pagament.

L'objectiu d'aquesta Guia d'implementació és indicar als comerciants i distribuïdors com instal·lar i utilitzar terminals de pagament Nexi Digital Finland (Nexi) que executen Payment Card Core a l'entorn del comerciant d'una manera compatible amb PCI. No pretén ser una guia d'instal·lació completa. Els integradors poden incloure, per exemple, venedors de caixes registradores electrònics (ECR) que integren el terminal de pagament Nexi amb el seu sistema de TPV mitjançant el protocol TPV de Nexi [3], o venedors de màquines expenedores que integren el terminal de pagament Nexi a la màquina expenedora.

NOTA: Les responsabilitats i les accions del comerciant/distribuïdor/integrador estan marcades amb ACCIONS DEL COMERCIAL en aquest document.

Versió i review l'historial es mostra a la secció Historial de versions. Aquesta secció proporciona una introducció, descriu la review i el procés d'actualització, i enumera abreviatures i referències. L'ús bàsic de la targeta de pagament es descriu a la secció Ús de l'aplicació de pagament i els detalls es descriuen a la secció Mòdul bàsic de la targeta de pagament, inclòs el registre centralitzat. La informació de resolució de problemes es proporciona a la secció Procediments de resolució de problemes. L'Apèndix A enumera i aborda tots els requisits del programari segur PCI relacionats amb aquest document.

Document review i procés d'actualització

Nexi ha de tornarview aquest document anualment i actualitzar-lo segons sigui necessari per documentar tots els canvis importants i menors al mòdul bàsic de la targeta de pagament.

L'abast del programari segur només és el mòdul Payment Card Core, ja que Payment Card Core s'encarrega de la gestió de totes les dades sensibles. Els canvis fora del mòdul bàsic de la targeta de pagament no s'han de descriure ni gestionar amb la Guia d'implementació review procés. Si QSA modifica aquest abast, aquest document s'ha d'actualitzar per reflectir el nou abast. Així mateix, aquest document està actualitzat i reviews'edita de manera oportuna sempre que s'actualitzi l'estàndard de programari segur PCI (PCI SSS).

Review procés inclou Nexi re internview per una persona diferent de l'editor del canvi i coneixedor dels components interns del mòdul Core Card de pagament. El document ha de ser revieweditat per un PCI Secure Software QSA, durant el procés de control de canvis amb el QSA.

ÚS DE L'APLICACIÓ DE PAGAMENT

Ús d'aplicacions de pagament S'han d'utilitzar mesures fortes de control d'accés a tots els components del sistema amb àmbit PCI mitjançant l'ús d'identificacions d'usuari únics, contrasenyes fortes i autenticació d'accés segur conforme a PCI DSS; per obtenir més detalls, vegeu [1]. Tanmateix, tingueu en compte que quan utilitzeu el terminal Nexi no cal gestionar ni emmagatzemar les dades del titular de la targeta fora del terminal. Al terminal de pagament de Nexi no hi ha cap configuració de la targeta de pagament configurable per l'usuari. A més, no hi ha cap compte d'usuari (o compte d'administrador) per configurar o cap contrasenya/- credencial d'usuari que s'ha d'actualitzar o restablir. El terminal de pagament Nexi admet la integració ECR amb el protocol JSONPOS. El terminal de pagament Nexi només es pot utilitzar amb la passarel·la de pagament Nexi. El terminal de pagament Nexi requereix connexió a Internet per comunicar-se amb la passarel·la de pagament. El cablejat Ethernet es pot utilitzar per proporcionar la connexió de xarxa i la connexió amb l'ECR. Es pot utilitzar una LAN mòbil o sense fil per a la comunicació si es prefereix la comunicació sense fil.

ENTORN DE LA INSTAL·LACIÓ

Gestió del terminal de pagament

El terminal de pagament s'ha d'instal·lar segons les instruccions d'instal·lació de Nexi i seguint els requisits d'accions del comerciant que es descriuen en aquest document. Els terminals de pagament s'han d'inspeccionar periòdicament per comprovar si tampl'emmagatzematge i la substitució (p. ex., addicions de dispositius d'eliminació de targetes) i el personal comercial ha d'estar format per a les inspeccions de terminals de pagament (vegeu [4]). A més, el comerciant o Nexi ha de mantenir una llista actualitzada de terminals de pagament.

• ACCIONS DEL COMERCIAL***: Capacitar el personal que treballa amb terminals de pagament sobre com inspeccionar els terminals de pagament per trobar proves de tampcreació i substitució. La formació ha d'incloure almenys el següent:
• Verifiqueu la identitat de qualsevol tercer que digui ser personal de reparació o manteniment, abans de concedir-los accés per modificar o solucionar problemes dels terminals de pagament.
• No instal·leu, substituïu ni retorneu terminals de pagament sense verificació.
• Tingueu en compte el comportament sospitós al voltant dels terminals de pagament (per exemple,ample, intents de persones desconegudes per desconnectar o obrir dispositius).
• Informar de comportaments sospitosos i indicis del terminal de pagament tampcontractació o substitució per personal adequat (per exemple,ampli, a un gerent o agent de seguretat).
• ACCIONS DEL COMERCIAL***: Inspeccioneu els terminals de pagament per trobar proves de tampcreació i substitució periòdica. El període es pot basar en l'anàlisi de risc del propi comerciant.
• ACCIONS DEL COMERCIAL***: El comerciant ha de tenir un registre de terminals de pagament per a tots els seus terminals de pagament. Per als terminals de pagament Nexi, aquest registre el proporciona Nexi. Assegureu-vos que Nexi tingui la informació més actualitzada sobre cada terminal de pagament. El registre ha d'incloure el model del dispositiu, la ubicació i el número de sèrie del dispositiu. El comerciant ha d'informar a Nexi cada vegada que un terminal de pagament es reubica, es retira, es retira o s'afegeix a la producció.

Configuracions del tallafoc de xarxa

No hi ha requisits específics sobre la segmentació de la xarxa quan s'utilitza el terminal de pagaments Nexi i quan Nexi Finlàndia és l'únic mitjà utilitzat per llegir targetes de pagament. Vegeu més amunt.

* ***ACCIONS DEL COMERCIAL***: el terminal de pagament Nexi utilitza un servei extern proporcionat només per Nexi. Per al terminal de pagament Nexi s'ha d'obrir el port TCP 443 per a l'amfitrió pt.api.npay.eu a Internet (sortida). També s'ha de permetre la resolució DNS per a l'amfitrió. A més, s'ha de permetre que el port 10001 es connecti al terminal de pagament (entrant) des de l'ECR (quan està integrat amb ECR). Consulteu els protocols a continuació.

LAN sense fil

Si el comerciant utilitza una LAN sense fil per encaminar la connexió del terminal de pagament Nexi a Internet o el terminal de pagament utilitza tecnologia sense fil, s'ha de configurar de manera segura. Això vol dir que s'han de seguir els requisits PCI DSS quan s'implementen les xarxes sense fil:

***ACCIONS DEL COMERCIAL***:

• Les claus de xifratge s'han de canviar per defecte en el moment de la instal·lació i s'han de canviar sempre que qualsevol persona que tingui coneixement de les claus abandoni l'empresa o canviï de càrrec.
• S'han de canviar les cadenes de comunitat SNMP per defecte als dispositius sense fil.
• Les contrasenyes predeterminades dels punts d'accés s'han de canviar.
• El firmware dels dispositius sense fil s'ha d'actualitzar perquè admeti un xifratge fort per a l'autenticació i la transmissió a través de xarxes sense fil. L'algorisme WEP no està permès.
• Qualsevol valor predeterminat del proveïdor sense fil relacionat amb la seguretat s'ha de canviar, si escau.
• S'ha de canviar l'ID del conjunt de serveis (SSID) predeterminat.
• S'han d'instal·lar tallafocs entre qualsevol xarxa sense fil i sistema que emmagatzemi dades del titular de la targeta. Aquests tallafocs s'han de configurar per denegar o controlar (si aquest trànsit és necessari per a finalitats comercials) qualsevol trànsit de l'entorn sense fil.

MÒDUL CENTRAL DE LA TARGETA DE PAGAMENT

Distribució del nucli de la targeta de pagament inicial

El nucli de la targeta de pagament es distribueix inicialment juntament amb el terminal de pagament o, si no hi ha, el terminal de pagament instal·larà el nucli de la targeta de pagament des del servidor d'actualització durant el primer arrencada amb connexió a la xarxa. En qualsevol cas, durant la seqüència d'arrencada, el nucli de la targeta de pagament s'actualitzarà des del servidor d'actualització si cal.

Esquema de versions per al mòdul Core Card de pagament

L'esquema de versions del mòdul Core Card de pagament és .. on els components són els següents:

x – versió major, incrementada per a canvis importants com ara una nova plataforma de terminal o una nova característica important
i - versió menor, que s'incrementa a cada canvi, es restableix a 0 quan s'incrementa la versió major
z – hotfix, que s'incrementa quan els canvis es reporten des de la versió principal a la part superior de la versió de la línia de llançament, 0 s'utilitza per a la versió principal

Dependències de maquinari

El terminal de pagament Nexi utilitza maquinari proporcionat pel fabricant del terminal de pagament Castles Technology Co. Ltd. El maquinari dependent són:

La versió del sistema operatiu de Castles dependent és Castles Linux OS xx20. Payment Card Core es pot utilitzar en diferents configuracions:

• Integrat amb un ECR assistit
• Autònom

Dependències del programari bàsic de la targeta de pagament

Nexi proporciona l'aplicació de pagament que inclou Payment Card Core, que s'executa dins del sistema operatiu del terminal als terminals indicats anteriorment. Per desenvolupar Payment Card Core, cal un SDK dels fabricants de terminals. El terminal de pagament Nexi admet la connexió a la xarxa amb cablejat Ethernet o sense fil mitjançant WLAN o mòbil.

A més, Payment Card Core requereix alguns components de programari externs durant el procés de desenvolupament de programari i executant Payment Card Core. Aquests components són gestionats i actualitzats per Nexi. Aquests components de programari estan vinculats al paquet de programari i, per tant, es lliuren com a part del terminal de pagament SW. Nexi s'encarrega que aquests components de programari estiguin actualitzats, per exemple, mitjançant la gestió de vulnerabilitats i processos i procediments d'actualització de programari.

Protocols utilitzats pel terminal de pagament Nexi SW

Frontend de pagament

El terminal de pagament Nexi SW utilitza TLS 1.2 o més recent amb una criptografia forta per comunicar-se amb la interfície de pagament al port TCP 443. La terminal de pagament autentica la interfície mitjançant una arrel Nexi CA, mentre que el client s'autentica mitjançant fitxes OAuth2. Totes les sol·licituds a la interfície són peticions HTTPS autenticades amb OAuth2 que la interfície reenvia en funció de l'URI de la sol·licitud. A WebLa connexió de socket, inicialitzada mitjançant una capçalera d'actualització HTTPS, s'utilitza per portar una connexió JSON-RPC a la passarel·la de pagament, proporcionant la transferència de dades de transacció, autoritzacions i altres missatges relacionats amb el pagament.

El terminal de pagament només es comunica amb la passarel·la de pagament Nexi Digital Finland.

Protocol TPV per a integracions ECR

El terminal utilitza el protocol Nexi JSONPOS per comunicar-se amb l'ECR i escolta al port TCP 10001. L'ECR inicia la comunicació amb el terminal. El protocol JSONPOS mai transmet dades sensibles del titular de la targeta a l'ECR, els PAN estan emmascarats (només es mostren els primers sis i el màxim quatre últims dígits) per a la recepció de la transacció.

Actualitzacions de programari

L'aplicació de pagament que inclou Card Core s'empaqueta en un paquet SW específic de la plataforma que s'actualitzarà automàticament als terminals de pagament. Els capítols següents descriuen els detalls per plataforma.

Actualitzacions de programari (terminals Castles)

El terminal de pagament comprova si hi ha actualitzacions i descarrega paquets d'actualització mitjançant sol·licituds JSON-RPC enviades al Frontend de pagament que les reenvia al servidor d'actualització. El terminal de pagament informa de les seves versions de programari actuals en una sol·licitud de comprovació d'actualització i la resposta del servidor d'actualització indica que el programari està actualitzat o que s'han d'instal·lar les actualitzacions especificades. El servidor s'encarrega d'evitar baixades de nivell no desitjades.

Els paquets d'actualització tenen un hash SHA256 validats abans de la instal·lació, i el format del paquet d'actualització conté una signatura digital que el programari del sistema Castles comprova abans de la instal·lació. Els paquets d'actualització de programari estan signats per Nexi sota control dual tal com especifica Castles.

Gestió de claus 

La gestió de claus del terminal de pagament es fa automàticament. Cap usuari o comerciant pot tenir accés a les claus del terminal de pagament. No hi ha menú de configuració ni altres entrades al terminal que afectin la gestió de claus. Les actualitzacions de programari s'encarreguen d'actualitzar les claus, si mai cal. A més, les actualitzacions de programari es produeixen automàticament. No es requereix cap acció d'usuari o comerciant.

El terminal de pagament utilitza OAuth2 per gestionar un testimoni d'actualització i un testimoni de portador. El primer testimoni d'actualització OAuth2 s'obté mitjançant un testimoni inicial fixat a la compilació del programari. Quan el primer testimoni d'actualització s'ha fet servir correctament, el testimoni inicial ja no s'accepta; A continuació, els testimonis d'actualització s'encadenen de manera que s'obté un testimoni d'actualització nou amb el testimoni d'actualització actual. Un administrador pot permetre manualment una actualització de testimoni si un terminal perd el seu estat de testimoni. El terminal sol·licita una actualització del testimoni a cada arrencada (cada 24 hores) que pot actualitzar el testimoni d'actualització i el testimoni del portador. El testimoni del portador s'utilitza per a altres sol·licituds HTTPS, com ara comprovacions d'actualització, connexió de passarel·la de pagament, etc.

Els mòduls bàsics de la targeta de pagament amb àmbit PCI SSF utilitzen el xifratge RSA de 2048 bits per xifrar les dades sensibles dels titulars de la targeta. Només la passarel·la de pagament pot desxifrar les dades xifrades RSA. La clau pública RSA s'instal·la al terminal des del paquet verificat de signatura i Nexi l'actualitza automàticament.

Registre centralitzat

Els terminals de pagament Nexi implementen el registre centralitzat a la passarel·la de pagament. El registre centralitzat es basa en un protocol de lliurament d'esdeveniments fiable implementat per Nexi.

El registre s'habilita automàticament. No es permet interferir amb la funcionalitat de registre o desactivar els registres i provocarà l'incompliment de PCI DSS. Tingueu en compte que no és possible desactivar el registre des del propi terminal de pagament.

Els comerciants poden obtenir esdeveniments de registre centralitzats per als seus terminals de pagament a petició de Nexi.

* ***ACCIONS DEL COMERCIAL***: si el comerciant necessita dades de registre d'alguns dels seus terminals que contenen Payment Card Core, poseu-vos en contacte amb Nexi.

PROCEDIMENTS DE RESOLUCIÓ DE PROBLEMES

Nexi mai sol·licitarà dades d'autenticació sensibles (SAD) als clients, inclòs, per exemple, PAN complet, en cap situació, inclosos els possibles casos de resolució de problemes. En alguns casos, es pot sol·licitar un PAN emmascarat (els primers sis i els últims quatre dígits) tal com s'imprimeix al rebut de la transacció.

REFERÈNCIES

PCI Security Standards Council, 2018
Estàndard de seguretat de dades de la indústria de targetes de pagament (PCI), requisits i procediments d'avaluació de seguretat, versió 3.2.1

PCI Security Standards Council, 2023
Marc de seguretat del programari, requisits de programari segur i procediments d'avaluació, versió 1.2.1s

API Nexi JSONPOS
https://poplapay.com/dev/jsonpos-api/

PCI Security Standards Council, 2014
Suplement d'informació, Prevenció del desnatament: bones pràctiques per als comerciants, versió 2.

ANNEX A:
Requisits de PCI SSS v1.2 per a la guia d'implementació

Tots els controls, característiques i funcions de seguretat del programari s'activen després de la instal·lació, la inicialització o el primer ús del programari.

• El programari no té cap opció o paràmetre de seguretat configurable per l'usuari (2.2.c) |

Les credencials o les claus d'autenticació per defecte per als comptes integrats no s'utilitzen després de la instal·lació, la inicialització o el primer ús

• El programari no requereix cap acció de l'usuari per establir les credencials o les claus d'autenticació

Els privilegis i recursos sol·licitats pel programari des del seu entorn d'execució es limiten als necessaris per al funcionament del programari. El programari no té cap opció ni paràmetre de seguretat configurable per l'usuari

• El programari no té cap opció o paràmetre de seguretat configurable per l'usuari

El programari només conserva les dades sensibles absolutament necessàries perquè el programari proporcioni la funcionalitat prevista.

• No hi ha períodes de retenció configurables per l'usuari al programari (3.1.d)

Les dades sensibles transitòries només es conserven durant el temps necessari per complir un propòsit comercial legítim.

• No hi ha opcions configurables per l'usuari per a la retenció de dades sensibles transitòries al programari (3.2.d)

El programari protegeix la confidencialitat i la integritat de les dades sensibles (tant transitòries com persistents) durant la retenció.

• No hi ha mètodes de protecció de l'usuari que requereixin l'entrada o la interacció de l'usuari (3.3.e)

El programari no revela dades sensibles per canals no desitjats

• No hi ha mètodes de protecció de l'usuari que requereixin l'entrada o la interacció de l'usuari (3.6.c)

S'implementen controls de seguretat del programari per mitigar els atacs de programari. |

• No hi ha cap intervenció ni interacció de l'usuari que es pugui utilitzar per desactivar, eliminar o evitar cap mitigació dels atacs de programari (4.2.c)

L'accés als actius crítics està autenticat.

• El programari no recomana, suggereix, no es basa ni admet d'una altra manera l'ús de mecanismes externs per proporcionar un accés segur que no sigui de la consola al sistema on s'executa el programari o directament al programari mateix (5.1.c)

Les dades sensibles estan protegides durant la transmissió.

• El programari no depèn de les funcions de tercers o de l'entorn d'execució per a la seguretat de les dades transmeses (6.2.c)

L'ús de la criptografia compleix tots els requisits de criptografia aplicables dins d'aquest estàndard.

• No hi ha opcions configurables per l'usuari per als mètodes criptogràfics utilitzats pel programari (6.3.b)

El programari admet processos i procediments de gestió de claus estàndard de la indústria. Els processos i procediments de gestió clau estàndard de la indústria són els reconeguts pels organismes d'estàndards de la indústria, com ara NIST, ANSI i ISO.

• No hi ha cap material de clau instal·lable per l'usuari dels certificats utilitzats pel programari (7.2.f)

El proveïdor de programari ofereix a les parts interessades una guia clara i exhaustiva sobre la implementació, configuració i funcionament segurs del seu programari de pagament.

• La distribució del document es descriu al capítol [Distribució](#distribution)
• La instal·lació del programari està totalment controlada per Nexi i l'usuari final no pot fer cap instal·lació de software al terminal
• Els terminals no tenen comptes d'usuari i l'usuari no pot controlar cap funció de seguretat del terminal
• El mecanisme d'actualització de programari es descriu a [Actualitzacions de programari](#software-updates)
• Gestió de claus descrita a [Gestió de claus](#key-management)

El proveïdor de programari proporciona orientació a les parts interessades sobre la supressió segura de les dades del titular de la targeta després de l'expiració dels períodes de retenció definits.

• No calen accions de l'usuari per a la supressió segura de les dades del titular de la targeta

El programari ofereix funcions per restringir o emmascarar totes les visualitzacions de PAN al nombre mínim de dígits necessaris.

• No cal cap intervenció ni interacció de l'usuari per configurar les funcions i opcions d'emmascarament PAN (A.2.2.c)

El PAN es fa il·legible a qualsevol lloc on s'emmagatzemi (incloses les dades en suports digitals portàtils, suports de còpia de seguretat i en registres)

• No es requereix cap intervenció ni interacció de l'usuari per configurar mètodes perquè el PAN sigui il·legible quan s'emmagatzema (A.2.3.b)

El PAN es fa il·legible a qualsevol lloc on s'emmagatzemi (incloses les dades en suports digitals portàtils, suports de còpia de seguretat i en registres)

• El programari del terminal només el pot signar el venedor del terminal o el proveïdor de programari (B.2.8.a)

La integritat del missatge de programari files està protegit d'acord amb l'objectiu de control B.2.8.

• El prompte files estan integrats al paquet de programari signat (B.2.9.b i B.2.9.c)

El proveïdor de programari proporciona una guia d'implementació sobre com implementar i operar el programari de manera segura per als terminals de pagament on s'ha de desplegar.

• Aquest document proporciona la informació rellevant

La guia d'implementació inclou instruccions detallades sobre com configurar totes les opcions i paràmetres de seguretat disponibles del programari. |

• El programari no té cap opció o paràmetre de seguretat configurable per l'usuari

La guia d'implementació inclou instruccions detallades sobre com configurar de manera segura el programari per utilitzar les característiques i funcions de seguretat del terminal de pagament si escau |

• El programari no té cap opció o paràmetre de seguretat configurable per l'usuari

La guia d'implementació inclou instruccions detallades sobre com configurar el programari per integrar o utilitzar de manera segura els recursos compartits proporcionats pel terminal de pagament. |

• Payment Card Core només està integrat als terminals de pagament proporcionats per Nexi

La guia d'implementació inclou instruccions detallades sobre com signar criptogràficament el programari files d'una manera que faciliti l'autenticació criptogràfica de tot això files pel terminal de pagament. |

• El mòdul de programari no pot ser signat pels clients, només per Nexi

La guia d'implementació inclou instruccions per a les parts interessades per signar criptogràficament totes les indicacions files. |

• Avís files només estan signades per Nexi

La guia d'implementació s'adhereix a la guia del proveïdor del terminal de pagament sobre la configuració segura del terminal de pagament. |

• El programari no té cap opció o paràmetre de seguretat configurable per l'usuari

Llista de distribució

Documents/Recursos

Nets Payment Card Core Software Security [pdfGuia d'instal·lació Targeta de pagament Core Software Security, Payment Card, Core Software Security, Software Security, Security

Referències

• Manual d'usuari