近年來,隨著金融支付行業和互聯網行業的迅猛發展,銷售點(POS)終端接入互聯網進行通訊的需求也日益增強。POS接入互聯網的支付過程是否安全、傳輸的交易數據是否能防篡改也受到了行業和使用者的廣泛關注。
今年6月,銀聯頒布了《POS終端支持互聯網接入的技術安全要求》(以下簡稱《要求》),是《銀聯卡受理終端安全規范第一部分 銷售點(POS)終端安全規范》的補充。《要求》規定,自2014年10月1日起,收單機構應采購通過銀聯終端安全認證的產品。對于已布放的支持互聯網接入的POS終端,如不滿足安全要求的,收單機構應采取有效手段加強安全管理,并于2015年1月1日前完成改造。
在此背景下,銀行卡檢測中心根據銀聯補充要求的規定,結合銷售點終端安全的檢測經驗,已完成支持互聯網接入的終端(目前包括傳統POS、智能POS以及腳本POS三種)檢測案例升級、檢測環境搭建等相關工作,將立即針對接入互聯網的終端進行開展檢測服務。
本次新增要求主要包含以下幾個方面:
1. 固件和應用程序
受理終端固件和應用程序的更新機制應確保實現保密性、完整性和服務的真實性。
2. 報文數據
支持互聯網的POS終端應保證對磁道信息、卡片驗證碼、卡片有效期等敏感數據安全加密,與PIN保護的邏輯安全要求相同。
3. 數據傳輸
終端應采用安全協議,保證網絡傳輸數據的保密性、發送數據的完整性和服務器身份的真實有效性。
終端應確保所支持的所有有效的傳輸協議和接口不存在可利用的弱點。
終端應能及時檢測信息反饋,并對異常情況進行安全處理。
4. 數據采集
終端宜支持地理位置信息獲取和上送能力。
5. 密鑰和證書
所有涉及的證書和密鑰應滿足《銀聯卡密碼算法使用與密鑰管理規范》(Q/CUP 058)的基本安全要求。
