16 октября, вторник 17:03
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

PCI-PED устройства. Достаточно-ли иметь только EPP клавиатуру в составе?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • PCI-PED устройства. Достаточно-ли иметь только EPP клавиатуру в составе?

    Создал аналогичную тему на Украинском банковском форуме.

    Вероятно будет интересно и в Росиии, так как очень много платежных киосков к нам пришло именно из России.
    ================

    Общаемся с клиентами, все требуют исключительно сертифицированное по PCI-PED оборудование.

    Натурально, все поставщики терминальных устройств в которых может вводиться ПИН, поставляют именно такие устройства.


    Но вот сомнение возникло, глядя на некоторые девайсы с приемом платежных карт, которые начинают появляться в Украине.
    Поделюсь своими соображениями по этому поводу.

    В свое время, при общении с производителем нашего терминального оборудования, мне было сказано, что предыдущая версия требований под названием Visa-PED определяла, что для устройств, в которых вводится ПИН, было обязательно:

    1. ПИН-клавиатура терминального устройства, конструктивно, в одном блоке, связана с дисплеем.
    То есть - просто ПИН клавиатуры, без дисплея, на котором отражаются "звездочки ПИНа" - не бывает, в принципе не бывает.
    Иначе это не соответствует требованиям стандарта PED.
    2. Ридер, в который вставляется чиповая карта, обязан иметь криптопроцессор для работы с картой. Дело в том, что при работе с картой EMV, возможна офф-лайновая проверка PIN-кода с которым работает карта. Для этого используются публичные RSA-ключи платежных систем.
    3. Если в ридере есть ПИН-клавиатура, то обязательно есть дисплей с ним в одном корпусе, и такое устройство является уже ПИН-падом с ридером, т.е. это уже полноценный терминал.
    4. Все устройства, в которые вставляется чиповая карта EMV и/или куда вводится ПИН - обязаны содержать датчики на вскрытие корпуса, при срабатывании которых вся конфиденциальная информация (ключи шифрования пин-блоков) - уничтожаются.

    Сейчас в действии новая реинкарнация стандарта - это PCI-PED.
    С точки зрения безопасности, он стал более жестким, чем предыдущий стандарт, что заставило производителей таких устройств, внести программные и аппаратные изменения в конструкцию таких терминалов, включая новые датчики на целостность корпуса устройства, дополнительная экранировка важных цепей передачи информации внутри устройства и т.п. серьезные доработки.
    То есть, нельзя просто влить "новую прошивку" в VISA-PED устройство, чтобы устройство стало PCI-PED.

    После успешного выполнения тестов в специальной лаборатории по сертификации на соответствие PCI-PED, устройство получает сертификат.

    Это касается терминальных устройств, так называемых EFTPOS-терминалов и PIN-падов.

    Для банкоматов и информационных киосков с функцией приема карт и ввода пин-кода - аналогичные требования, но кроме всего прочего, клавиатура такого должна отвечать стандарту EPP (Encripted PIN Pad).
    То есть банкомат, это тоже терминальное устройство - сертифицируется по PCI-PED, целиком, "цельным куском мрамора".
    Это так?

    В чем заключается мой вопрос: Сегодня на рынке все больше появляется торговых, информационных, платежных и банковских автоматов (киосков), с функцией обслуживания карт EMV.

    Как правило, в качестве ПИН-клавиатуры в них используются относительно дешевые банкоматные EPP клавиатуры (чаще всего производства Sagem), и моторизованные или DIP-гибридные ридеры китайских производителей, в которых нет ни криптопроцессора ни датчиков на вскрытие корпуса ридера, как класса нет.
    Естественно, дисплея на ПИН-клавиатуре такого автомата нет - это банкоматная клавиатура.

    Но так как, (если я не ошибаюсь конечно) по PCI-PED устройство сертифицируется целиком, а не отдельными его частями (отдельно ридер, отдельно шифрующий по 3DES ПИН-пад, отдельно дисплей, отдельно корпус, отдельно кнопки и т.п.), а подобный банковский автомат в сборе - это суть есть терминал, то нужно ли весь этот аппарат, со всеми его компонентами сертифицировать по PCI-PED?

    Что скажут представители платежных систем?

    Или требования PCI-PED для "официальных" производителей терминальных устройств (NCR, Diebold, Ingenico, Hypercom, ect.) - одни, а для небольших сборщиков терминальных устройств - другие?

    Из всех требований PCI-PED, проверяющих из платежных систем будет интересовать только то, чтобы ПИН-клавиатура подобных аппаратов умела шифровать ПИН по Triple-DES, и это все требования?
    ==
    Совет по стандартам безопасности PCI (Security Standards Council PCI), управляющий стандартами безопасности платежных средств Data Security Standard (DSS), PCI PIN Entry Device (PED) и Payment Application Data Security Standard (PA-DSS), включил в свою программу по повышению уровня безопасности устройств ввода ПИН-кода PED еще два новых типа устройств для индустрии безналичных платежей. Автоматические платежные терминалы (unattended payment terminal, UPT) и аппаратные средства модулей безопасности (host security module, HSM) теперь смогут пройти сертификацию на соответствие стандартами индустрии в целях обеспечения безопасности конфиденциальных данных реквизитов платежных карт. Совет также будет утверждать список одобренных устройств UPT и HSM, обеспечивать необходимую документацию и обучение персонала тестовых лабораторий и станет единым источником информации для компаний-поставщиков.
    ==

    Итого: Потребуется-ли сертификация по PCI-PED целиком, устройств типа автоматических заправочных станций, платежных автоматов самообслуживания и т.п. UPT?

    Что думают по этому поводу камрады из России?

  • #2
    Складывается мнение, что вопрос соответствия UPT стандарту PCI-PED, для России совершенно неактуален.

    Неужели все "платежные терминалы" (типа киосков)в России расчитаны только на кэш, и совершенно не работают с карточками?

    Комментарий


    • #3
      beetle2 Неужели все "платежные терминалы" (типа киосков)в России расчитаны только на кэш, и совершенно не работают с карточками?

      Да. А EMV даже в планах ни у кого нет.
      <%(

      Комментарий


      • #4
        VMS
        Да. А EMV даже в планах ни у кого нет.
        Это что-то вроде шутки?

        Комментарий

        Пользователи, просматривающие эту тему

        Свернуть

        Присутствует 1. Участников: 0, гостей: 1.

        Обработка...
        X