POS-оборудование

Стандарты безопасности для POS-оборудования и касс

Растущий спрос на решения для бесконтактной оплаты для устройств самообслуживания породил закономерные вопросы к правилам построения безопасных систем для приема банковских карт. И если требования международных платежных систем (МПС) к POS-терминалам и ПИН-падам достаточно просты, то для устройств самообслуживания они крайне запутанны и требуют серьезного изучения документов по сертификации PCI (PTS).

Попытаемся разобраться в специфике построения безопасных устройств самообслуживания, требованиях и стандартах для них, и составим список простых правил, следование которым обезопасит владельца устройства от претензий МПС и владельцев карт. Далее будут приведены примеры правильного и неправильного построения систем самообслуживания с анализом соответствия актуальным требованиям МПС.

Требования МПС к POS-терминалам

Требования международных платежных систем, предъявляемые к POS-терминалам и ПИН-падам довольно просты и прозрачны. Согласно им любое изделие, предназначенное для приема оплаты банковскими картами с вводом ПИН-кода, должно иметь как минимум 4 сертификата:

1. Сертификат EMV Level 1 (отдельно для контактных и бесконтактных карт), свидетельствующий о том, что картридер контактной или бесконтактной карты на физическом уровне взаимодействия удовлетворяет требованиям МПС (т. е. напряжения правильных уровней подаются в правильное время на контакты чиповой карты, размер и напряженность поля антенны соответствуют заданным значениям, и т. п.).

2. Сертификат EMV Level 2 (отдельно для контактных и бесконтактных карт). Этот документ должен удостоверить тот факт, что алгоритм взаимодействия с чиповой картой реализован правильно. При этом практически все производители терминалов сертифицируют так называемую EMV-библиотеку, которая может быть использована на всем семействе устройств, обладающих следующими признаками:

• Используется один и тот же тип процессора (например, ARM или семейство х86 Intel).
• Используется одна и та же операционная система (например Linux или MS Windows или проприетарная).

При этом должен применяться один и тот же компилятор для генерации исполняемого кода для этой библиотеки на различных устройствах. Отсюда следует важный вывод, что EMV-библиотека, сертифицированная для работы на POS-терминале на основе ARM-процессора под управлением проприетарной ОС, не может быть откомпилирована и использована на персональном компьютере типа IBM PC под управлением MS Windows, и наоборот. Более того, некорректно переносить EMV-библиотеку с терминала одного производителя на терминал другого без нового сертификационного тестирования, что иногда пытаются сделать вендоры-новички из Азии.

3. Сертификат безопасности PCI PED версии 1.х, 2.х или PCI PTS - начиная с версии 3.0. Этот сертификат говорит о том, что устройство реализовано с учетом требований МПС по безопасности. Попросту говоря, в него крайне затруднительно внедрить "жучок", загрузить "левые" программы и украсть данные карты или ПИН-код. При всем этом не надо путать стандарты PCI PED (PTS) и PCI DSS. PCI DSS - это сертификация банка, процессора или крупного торгово-сервисного предприятия на предмет правильного обращения с персональными данными, и она не затрагивает вопросов исследования безопасности терминальных устройств (за исключением настроек терминальных устройств со стороны банка).

4. Сертификат TQM от MasterCard - это сертификат соответствия производства (завода) требованиям МПС по соблюдению производственной дисциплины и некоторых специфических требований по безопасности (использования средств и процедур, обеспечивающих защиту доступа к секретным данным). По сути, TQM - это адаптация стандарта ISO 9000 к специфике производства терминального оборудования.

Отдельным пунктом стоит наличие сертификата PCI PA. Последний выдается на программу (приложение) для POS-терминала и, помимо исследования программы на предмет безопасного хранения данных транзакции, утечек памяти и т. д., свидетельствует о сертификации разработчика приложения в части соблюдения правил и процедур по надежной разработке продукта, хранения версий и воспроизводимости результатов. Нужно отметить, что данный сертификат обязателен только для "коробочных" продуктов; если же программа разработана для конкретного банка, можно обойтись без этой, пока весьма дорогостоящей, сертификации.

Сертификаты для устройств самообслуживания

Все перечисленные выше сертификаты требуются и для банковских устройств самообслуживания, но есть нюанс: в отличие от POS-терминалов устройства самообслуживания часто выполнены не в виде моноблока, а состоят из набора устройств, производимых разными компаниями. Например, встречаются киоски самообслуживания, в которых установлен промышленный компьютер с ОС MS Windows и подключенными к нему:

• EPP-клавиатурой с сертификатом PCI PED 1.3;
• моторизированным картридером с сертификатом EMV L1;
• бесконтактным ридером с сертификатами EMV L1, EMV L2;
• большим цветным дисплеем, на котором отображаются звездочки при наборе ПИН-кода.

При этом на компьютере работает приложение, включающее сертифицированную EMV L2 библиотеку и, возможно, имеющее сертификат PCI PA. На первый взгляд, все в порядке - имеются все необходимые сертификаты. Но именно в этом поверхностном взгляде и кроется подвох - решение собрано хоть из сертифицированных, но разнородных компонентов. Итоговый комплект не сертифицирован в качестве единого решения, поэтому абсолютно нелегитимен: для устройств самообслуживания установлены особый порядок и правила сертификации. Попробуем разобраться в этом детально.

Стандарты и требования PCI к устройствам самообслуживания

Существует 4 действующих стандарта, которые регламентируют требования по безопасности для устройств самообслуживания:

• Payment Card Industry (PCI): POS PIN Entry Device Security Requirements Manual VERSION 1.х;
• Payment Card Industry (PCI) Unattended Payment Terminal (UPT) Security Requirements Version 1.х;
• Payment Card Industry (PCI) POS PIN Entry Device Security Requirements Version 2.х;
• Point of Interaction (POI) Modular Security Requirements v3.х.

Согласно стандарту PCI PED 1.x, PIN Entry Device (PED) обычно состоит из:

• Клавиатуры для ввода ПИН-кода;
• Дисплея для взаимодействия с пользователем;
• Процессора и памяти для обработки ПИН-кода и ПО (Firmware, FW);
• Картридера.

Аналогичное определение состава устройства самообслуживания содержится и в стандарте Payment Card Industry (PCI) Unattended Payment Terminal (UPT) Security Requirements Version 1.0.

При этом существует отдельный стандарт, уточняющий требования к клавиатуре для ввода ПИН-кода: Encrypting PIN Pad (EPP) Security Requirements Manual V1.0, который раскрывает суть существования отдельных требований стандарта для ПИН-клавиатур (EPP):

Шифрующие ПИН-клавиатуры (EPP) являются составной частью необслуживаемых оператором устройств ввода PIN (PED). Обычно EPP используются для защиты введения держателем карты своего номера PIN. Для цели этого документа EPP рассматривается как состоящая только из защищенного устройства ввода PIN-кода. ЕРР используются в соединении (составе) с АТМ, топливораздаточными колонками (ТРК), киосками и торговыми автоматами. Полное описание требований к этим устройствам можно найти в других документах индустрии платежных карт (PCI) по защите PED. Поставщики могут выбрать оценку EPP отдельно, как первый шаг к аттестации PED, или как часть общей аттестации PED для устройства данного типа. Для аттестации PED применяются дополнительные критерии, такие как проверка дисплея подсказок, а там, где предполагается проверка ПИН-кода в режиме offline, используются критерии, применимые к картридеру и взаимодействию с ним.

Таким образом, из описания стандартов PCI PED версий 1.х и 2.х однозначно ясно, что по этим стандартам сертифицировались только конечные решения и устройства в виде комплектов, а отдельные требования для сертификации EPP были введены лишь как первый шаг для облегчения сертификации конечного решения.

В конечную сертификацию входила оценка защищенности картридера и дисплея, процессора и Firmware, т. е. некого "обобщенного" устройства, состоящего из набора различных физических блоков. Такие комплекты разрабатывались и выпускались всеми ведущими вендорами, но их стоимость была весьма высока, что сдерживало широкое применение.

Основная трудность заключалась в том, что не существовало отдельных картридеров, сертифицированных по PCI PED, которые бы массово выпускались специализированными компаниями. Был широко известен ручной картридер (DIP-reader) от компании Sankyo, удовлетворяющий требованиям PCI PED 1.3, но время сертификаций по версии 1.3 давно прошло, а других ридеров не появилось. Именно поэтому ведущие производители были вынуждены производить свои защищенные картридеры и сертифицировать их в комплекте с EPP, дисплеями и контроллерами. Было, правда, одно весьма важное для нашего рынка исключение - если не использовался режим верификации/проверки ПИН-кода в режиме offline (Offline PIN Verification), то картридер "выпадал" из процесса сертификации, чем и воспользовались многие поставщики решений для российского рынка.

Часто задаваемые вопросы:

- Почему было необходимо сертифицировать все составляющие устройства самообслуживания только в комплексе?

Потому что в стандартах версии 1.х и 2.х не было отдельных (модульных) требований к различным составляющим частям (кроме EPP) и общим правилам интеграции. Таким образом, на сертификацию предъявлялся полный комплект оборудования, как распределенный POS-терминал.

- Почему были особо оговорены дисплей и контроллер, если ключи шифрования и сам процесс ввода ПИН-кода осуществлялся на EPP?

Потому что использование небезопасного (не защищенного от несанкционированного вмешательства) контроллера в киоске, который мы рассматривали в начале статьи, может привести (и уже приводило, как известно, на банкоматах) к загрузке вредоносной программы, которая может запоминать данные карт и передавать их злоумышленнику. Перехватить ПИН-код в таких устройствах тоже не составляет никакого труда - достаточно вывести на дисплей приглашение к вводу ПИН-кода, перевести EPP в режим ввода нешифрованных данных, и ПИН-код пользователя будет скомпрометирован. После ввода ПИН-кода можно для маскировки мошеннических действий вывести сообщение об ошибке ввода и попросить пользователя повторить набор, но уже перейти в программе на "честную" обработку процедуры ввода ПИН-кода через EPP. Поскольку таким образом транзакция будет выполнена, то клиент ничего не заподозрит, но впоследствии лишится своих денег. Строго говоря, бессмысленно применять защищенную EPP, дисплей и картридер, если контроллер базируется на простом компьютере с обычной ОС, т. е. не сформирована доверенная среда, и любой мошенник без труда загрузит в устройство самообслуживания любое вредоносное приложение с флэш-носителя или по сети. При этом необходимо различать контроллер банковской части (как часть распределенного POS-терминала, на котором выполняется банковское приложение и работает EMV L2 библиотека) и контроллер самого устройства самообслуживания, который мы в данном случае не рассматриваем.

- Почему в таком случае в банкоматах все устроено иначе, чем здесь описывается?

Обычно поставщики рассмотренного нами выше решения (на базе обычного компьютера) весьма вольно ссылаются на архитектуру банкомата (ATM), как на некий пример для подражания. Действительно, архитектура банкомата выглядит так же, но она так же не защищена от подмены программного обеспечения или внедрения "жучка" злоумышленником. Однако требования PCI PED (PTS) пока не распространяются на ATM (кроме требований к EPP) в силу различных исторических причин, поэтому неправомерно копировать архитектуру банкоматов при проектировании киосков самообслуживания. Суммируя мнения экспертов по сертификации относительно данного вопроса, можно заключить, что у банкоматного рынка сегодня есть достаточно ясные перспективы ужесточения сертификационных требований со стороны международных платежных систем, иными словами, у банкоматов "в плане ужесточения требований все еще впереди".

Структура сертифицированного устройства самообслуживания

Устройство самообслуживания с вводом ПИН-кода и Offline PIN Verification должно быть сертифицировано по стандартам PCI PED 1.x, 2.x или PCI UPT 1.x как единый комплект, в составе которого имеются:

• Защищенная клавиатура для ввода ПИН-кода;
• Защищенный дисплей;
• Защищенный процессор и память (контроллер), на которых выполняется банковское приложение совместно с EMV-библиотекой;
• Защищенный картридер.

При этом все 4 составные части комплекта могут быть выполнены или в виде 4 отдельных блоков, или интегрированы в более компактные устройства. В случае, когда режим Offline PIN Verification не используется, т. е. для проверки держателя карты используется только Online PIN Verification, то сертифицированный комплект должен состоять всего из 3 частей:

• Защищенная клавиатура для ввода ПИН-кода;
• Защищенный дисплей;
• Защищенный процессор и память (контроллер), на которых выполняется банковское приложение совместно с EMV-библиотекой.

Только с введением стандарта PCI PTS версии 3.х появилась возможность отказаться от сертификации конечного изделия в комплексе благодаря понятию модульности, предусмотренной в этом стандарте. Теперь можно объединять различные части для создания устройства самообслуживания, если они все имеют сертификаты PCI PTS 3.x. Это, несомненно, существенно облегчает задачу интеграции и упрощает весь процесс.

Обратная сторона модульности и пример оптимального решения

Как же добиваются соответствия требования безопасности в распределенной структуре устройства самообслуживания, когда все 4 части имеют свой корпус? Этого удается достичь за счет усложнения каждой из частей комплекта (для обеспечения защиты периметра каждого из блоков от несанкционированного проникновения и шифрации канала связи с контроллером). Такая схема решения логично приводит к тому, что в каждой из составных частей сертифицируемого комплекта должен находиться специализированный процессор, контролирующий целостность защитных сеток, параметров питания и т. д. и при этом хранящий ключ шифрования канала связи.

Идентичные ключи (при симметричном шифровании) должны храниться в контроллере и в периферийных устройствах. Из-за этого возникает множество проблем с логистикой таких комплектов, распределением ключей, восстановлением после ремонта и т. д. Все это, безусловно, напрямую влияет на цену конечного решения. С практической точки зрения выгодно использовать комбинированные устройства, когда максимальное число составляющих частей интегрированы в один корпус.

Удачным примером интегрированного решения является недорогое и хорошо известное на рынке устройство - UPT терминал YARUS К2100, объединяющий все три блока (EPP, дисплей и процессор) в одном защищенном корпусе со сменным коммуникационным модулем. По сути - это стандартный POS-терминал семейства YARUS, но без принтера и картридера. Терминал YARUS К2100 был сертифицирован по PCI PED 2.1 для ввода Online PIN, поэтому к нему можно подключить любой картридер, имеющий сертификат EMV L1 (ручной или моторизированный) от любого производителя. Совмещение EPP и контроллера в одном устройстве дало возможность сертифицировать К2100 как терминал POS "B" с возможностью загрузки различных приложений, разработанных и криптографически подписанных разработчиками ПО. Благодаря такому решению появляется возможность вывода любых сообщений на экран, в отличие от стандартной EPP, где все сообщения заданы производителем. При этом контактный и бесконтактный картридеры подключается напрямую к К2100, исключая управляющий компьютер киоска из цепочки обмена данными.

Рекомендации по легитимному использованию устройств самообслуживания

1. Аппаратные и программные средства в аппарате самообслуживания по банковским картам, предусматривающем ввод ПИН-кода, должны состоять из следующих компонент:

• защищенной клавиатуры для ввода ПИН-кода;
• защищенного дисплея;
• защищенного процессора и памяти (контроллера), на которых выполняется банковское приложение совместно с EMV-библиотекой;
• защищенного картридера (только в случае использования Offline PIN Verification).

2. Оборудование, перечисленное в п.1, должно иметь сертификат как совокупный комплект на соответствие требованиям как минимум одного из следующих стандартов по безопасности:

• Payment Card Industry (PCI): POS PIN Entry Device Security Requirements Manual Version 1.х;
• Payment Card Industry (PCI) Unattended Payment Terminal (UPT) Security Requirements Version 1.х;
• Payment Card Industry (PCI) POS PIN Entry Device Security Requirements Version 2.х.

3. Нелегитимно применять оборудование, перечисленное в п. 1, составные части которого по отдельности имеют вышеперечисленные в п. 2 сертификаты, но не проходили сертификацию как комплект.

4. Изготовитель устройства самообслуживания имеет право самостоятельно комплектовать устройство самообслуживания, принимающее платежи по банковским картам, подтверждаемые вводом ПИН-кода, из различных компонент без сертификации конечного комплекта, если все составные части оборудования, перечисленного в п. 1, имеют сертификаты соответствия требованиям стандарта Point of Interaction (POI) Modular Security Requirements v3.х.

5. Представляется нецелесообразным построение систем на основе устройств, сертифицированных по PCI PED 1.3, так как срок сертификации этих устройств заканчивается уже в мае 2014 года, после чего они должны быть выведены из эксплуатации. Разумно рассматривать решения с сертификатами PCI PED 2.0 и выше (они могут эксплуатироваться до 2017 года).

6. Картридеры должны иметь сертификаты EMV Level 1.

7. Программное обеспечение, функционирующее на контроллере, должно включать сертифицированную библиотеку EMV Level 2, предназначенную для работы на данном типе процессора и операционной системы. При этом для контактных карт должна иметься одна библиотека, а для бесконтактных карт - вторая, как правило, имеющая 2 сертификата - MasterCard PayPass и Visa payWave.

8. Никакие системы по приему банковских карт, предусматривающих ввод ПИН-кода, в которых контроллер выполнен на базе стандартного компьютера, и в качестве дисплея для вывода подсказок во время ввода ПИН-кода используется только стандартный дисплей (монитор), не являются легитимными.

Эпоха традиционных POS-терминалов в розничной торговле подходит к концу

Дон Ю, представитель тайваньской компании IEI Integration Co., занимающейся разработкой интеллектуальных решений для розничной торговли, предсказал завершение эры традиционных POS-терминалов. По его мнению, планшеты с установленными на них специальными приложениями вскоре сменят обычные POS-терминалы в торговых точках.

Тайваньский поставщик интеллектуальных решений для ритейла IEI Integration Co. использует в своих разработках технологии PSI (Procurement-Sales-Inventory), интерактивные киоски и Digital Signage с целью повысить качество обслуживания клиентов. Представитель компании считает, что предприятиям торговли, планирующим автоматизацию, следует ориентироваться на более прогрессивные устройства и технологии.

"Планшет уже сейчас обладает множеством разных функций и может быть трансформирован в POS-терминал простой загрузкой специального приложения, поэтому востребованность стандартных POS-терминалов будет снижаться, и они в дальнейшем станут не актуальны,” - считает Дон Ю.

По мнению Дон Ю, важное значение в решениях для автоматизации розничной торговли будут иметь облачные вычисления, используемые для хранения клиентской информации, и инструменты обработки Больших Данных (Big Data). Активно продвигаемые компанией системы PSI (Procurement Sales Inventory) с базами данных и веб-мониторингом для отслеживания наличия товаров, использующие технологию RFID UHF для чтения RFID меток, позволяют в реальном времени контролировать все передвижения товаров в торговой точке. Кроме того, системы PSI анализируют поведение клиентов, чтобы обеспечить более качественное обслуживание.