Sertifitseerimise põhimõtted, protseduurid ja nõuded
Makseterminalide ja kassasüsteemide sertifitseerimisel kontrollitakse:
- makseterminali ja Nets Estonia AS vahelist sõnumivahetust
- makseterminali ja Nets Estonia AS vahelist failivahetust
- väljastatava maksekaardikviitungil olevat informatsiooni
- makseterminali käitumist veasituatsioonides
Sertifikaadi saab makseterminali / kassasüsteemi üks kindel tooteperekond koos selle toote jaoks arendatud programmvarustusega, mille riistvaralised versioonid ei erine üksteisest.
Sertifitseerimiseks vajalikud tegevused:
Seadmete sertifitseerimiseks tuleb läbida järgmised protseduurid:
1. Avaldus esitamine
Selleks, et alustada sertifitseerimisega, tuleb esitada avaldus aadressile -
Nets Estonia AS'le,
Tartu mnt 63,
10115 Tallinn
tel 671 1477 , faks 671 1420,
e-mail: estcard@estcard.ee
avaldus, milles oleks antud sertifikaadi taotleja andmed:
- firma nimi;
- aadress;
- telefon;
- kontaktisiku nimi ja telefon;
- sertifitseeritava makseterminali mark ja mudel;
- sertifitseeritava makseterminali / tarkvara versioon;
- vastuvõetavate kaarditüüpide nimekiri.
--------------------------------------------------------------------------------
2. Kassasüsteemi vastavusse viimine spetsifikatsioonidega
3. Testimine ja nõuetele vastavuse kontroll
4. Reaalne pilootinstallatsioon ja lahenduse toimivuse kontroll (umbes 1 kuu)
5. Sertifikaadi väljastamine
Maksekviitungi näide
Kaardimakset sooritavale kliendile on ainus tõendusmaterjal sooritatud maksetehingu kohta tema kätte jääv kviitung. Seetõttu on oluline, et kviitungilt oleks loetav kogu vajalik informatsioon, tehingu kohta. Kviitungi põhjal peab olema üheselt võimalik tuvastada tehingu sooritamise aeg, koht, summa ja autoriseerimise kood. Kaardinumbrist võivad nähtavad olla ainult neli viimast numbrit.
Originaaltehingu kviitung:
KAUPMEHE NIMI
KAUPMEHE AADRESS
KAUPMEHE reg. nr.
KAARDIMAKSE
KVIITUNG nr. 12345
TERMINAL 12345678 001
AEG 01/01/2011 15:00
KASSA nr. 001
KAART kaarditüüp
KAARDI nr. **** **** **** 1234
SUMMA 100.00 eur
Autor. nr. 012345
Tehingu tüüp T1
ALLKIRI:
DOKUMENT:
SÄILITAGE KVIITUNG VÄLJAVÕTTE KONTROLLIKS
Turvanõuded ja info hoidmine
Maksetehinguid ja maksekaarte ning nende numbreid (PANe) puudutav informatsioon on konfidentsiaalne. Makseterminali või kassasüsteemi omanik vastutab oma süsteemis hoitavate andmete turvalisuse eest st., et tehinguid ja kaarte puuudutavad andmed ei satuks kolmandate isikute valdusesse (elektroonilisel, füüsilisel ega muul viisil). Kaupmees ei tohi müüa, osta, pakkuda, vahetada või muul otstarbel väljastada kaardinumbreid, kaardiomaniku nime ega muud kaarte puudutavat informatsiooni ja nendega seotud tehingute andmeid kolmandatele osapooltele, välja arvatud teenindajale (Pangale) või teenindaja poolt volitatud/määratud teenuse osutajale (Nets Estonia AS'le). Tehingute info lekkimine kolmandatele isikutele on pangasaladuse rikkumine. See kompromiteerib kaardiomanike sooritatud tehingute andmeid ja maksekaartide kasutamist üldiselt ning kahjustab nii kaupmehe enda kui ka teiste kaardinformatsiooni töötlejate mainet. Samuti võib maksekaarte ja tehinguid puudutava informatsiooni sattumine kolmandate isikute valdusesse põhjustada otsest ja/või kaudset majanduslikku või muud kahju saadud informatsiooni kuritegelikul või muul viisil kasutamisel.
Vältimaks info lekkimise võimalusi ja vähendamaks turvariski, tuleb andmete hoidmisel järgida järgmisi põhimõtteid:
1. Süsteemile ja selles hoitavatele andmetele ei tohi ligi pääseda kolmandad isikud peale kaupmehe poolt volitatud isikute, teenindaja või Nets Estonia AS-i.. Ligipääs süsteemile peab olema kaitstud vähemalt kasutajanime ja parooliga. Parooli pikkus on minimaalselt kuus sümbolit. Igal kasutajal peab olema oma kasutajanimi ja parool.
2. Süsteemis tuleb hoida andmeid nii väheste kaardinumbrite, autoriseerimiste ja tehingute kohta kui võimalik.
3. Andmed vanade kaardinumbrite, autoriseerimiste ja tehingute kohta (va. paberkviitung), mis on kaupmehe arvele juba laekunud ja mille hoidmine ei ole enam vajalik, tuleks hävitada viisil, mis muudab nende taastamise võimatuks.
4. PINi sisestamine võib toimuda vaid selleks ettenähtud füüsiliselt turvalisesse seadmesse, millest ei ole võimalik kätte saada PINi ega PIN blokki krüpteerimata kujul. PINi sisestamiseks kasutatav seade peab olema sertifitseeritud (lubatud) teenindaja (Panga) ja/või Nets Estonia AS poolt.
5. Koos kaartide ja tehingute andmetega ei tohi andmebaasidesse, mälukiipidesse või failidesse salvestada PIN blokke.
6. Info edastamine kaupmehe süsteemis või teenindajale mööda avalikku võrku peab toimuma salastatult (krüpteeritult). Minimaalne võtme pikkus krüpteerimisel peab olema sümmeetrilise algoritmi puhul 56 bitti ja asümmeetrilise algoritmi puhul 512 bitti, kuid soovitame kasutada võtmeid vastavalt pikkustega 128 bitti ja 1024 bitti või enam.