PTS مخفف PIN Transaction Security و استاندارد امنیت تراکنش احراز هویت بوده و از اولویت های استراتژیک PCI محسوب می شود و هدف اصلی آن حفاظت از PIN می باشد.
در این خصوص سه نوع دستگاه مورد نظر می باشد:
(PED(PIN Entry Device ،شامل انواع ترمینال هایی که توسط پذیرنده ها جهت تراکنش های کارت استفاده می گردد.
(EPP(Encrypting PIN PAD، بخشی از پایانه ها از نوع غیرحضوری مانند (ATM(Automated Teller Machine که جهت ورود از رمز استفاده می گردد.
اجزاء امن پایانه های فروش ماند کارت خوان های امن و دستگاه های مربوط به ورود رمز دارنده کارت می باشد.
در PTS خصوصیات فیزیکی و قابلیت دستگاه های ورود رمز دارنده کارت مشخص شده است.
در این استاندارد نیازمندی های این تجهیزات و داده های لازم برای این استاندارد ،روش تست و مراحل دریافت و تاییدیه تعریف شده است. بر این اساس این مشخصات ، دستگاه می بایست نفوذ فیزیکی (attack) و نفوذ برای دستیابی به کلید های ذخیره شده در دستگاه را تشخیص دهد.
این مهم در کل چرخه حیات دستگاه از تولید تا به کارگیری آن می بایست قابل کنترل باشد و به خوبی مدیریت گردد.
وجود این استاندارد باعث تسریع در توسعه فناوری پرداخت شده است.در گذشته فروشندگان این گونه تجهیزات نیاز به انجام تست های اختصاصی در آزمایشگاه ها داشتند که وقت گیر و پرهزینه بوده است .اما با ایجاد استانداردهای امنیتی بین المللی قدم موثری در کاهش هزینه و پیچیدگی های تراکنش های پرداخت کارت برداشته شده است.
از جمله شرکت های معتبری که در کمیته طراحان این استاندارد فعالیت داشته اند JCB ،Visa ، MasterCard می باشد.
در این استاندارد امنیت PIN با ترکیبی از امنیت فیزیکی و منطقی تامین خواهد شد.
به طور خلاصه پایانه ها از نظر فیزیکی می بایست ویژگی های زیر را داشه باشند:
Tamper detection: این دستگاه ها از مکانیزم هایی مانند Secure box، Zebra connector ، جهت تشخیص Tampering استفاده می کنند.
با تشخیص دستکاری دستگاه، کلیه اطلاعات مربوط به کلید های بارگذاری ده آن حذف گردد.
Tamper evidence: این دستگاه ها با نمایش وضعیت Tempering اجازه انجام عملیات را نمی دهند.
تنها با ابزارهایی خاص امکان برگرداندن این دستگاه ها به حالت عملیاتی وجود خواهد داشت.
همچنین پایانه های از نظر منطقی می بایست ویژگی های زیر را داشته باشند:
هر نرم افزاری که بر امنیت گذاری اثرگذار می باشد لازم است قبل ازبارگذاری ،احراز هویت شود.
رابطه های کاربری برای ورود رمز می بایست کاملا واضح باشند و باعث سردرگمی مشتری نگردد .لذا در برخی پایانه ها این بخش از نرم افزار می بایست احراز هویت گردند.
پایانه می بایست از الگوریتم رمزنگاری برای احراز هویت به صورت online پشتیبانی نماید.
پایانه می بایست از متدهای پروتکل EMV برای احراز هویت به صورت offline پشتیبانی نماید.
منبع: مجموعه استانداردهای امنیتی پرداخت الکترونیک PCI
پست قبلی
پست بعدی
دیدگاه خود را با ما در میان بگذارید