Författare Mikael Geijer / Benny Johansson Projektbenämning RFC - Manuell inknappning av icke varumärkesflaggat kortdata via kassan. Affärsområde Senast sparat Dokumenttyp PCI, Operations 2010-03-23 RFC RFC - Manuell inknappning av icke varumärkesflaggat kortdata via kassan. RFC Version 0.2 Swedbank AB (publ) Intern information 2010-05-17 1 (5)
Revisionshistorik Datum Version Beskrivning Författare 2010-05-17 0.2 Skapade dokumentet Mikael Geijer / Benny Johansson Granskningshistorik Datum Version Sökväg till granskningsprotokoll Granskare Swedbank AB (publ) Intern information 2010-05-17 2 (5)
Innehållsförteckning 1 BAKGRUND... 4 2 MÅL... 4 3 MÖJLIGA HINDER/PROBLEM... 4 3.1 Frågeställning PCI DSS... 4 3.1.1 Fråga... 4 3.1.2 Svar... 4 3.1.3 Summering... 4 4 FÖRESLAGEN FÖRÄNDRING... 4 4.1 Förändringens omfattning... 5 5 MÖJLIGA ALTERNATIV... 5 6 ÖVRIG PÅVERKAN... 5 Swedbank AB (publ) Intern information 2010-05-17 3 (5)
1 Bakgrund PNC gått ut med en rekommendation som innebär att man inte ska tillåta manuell inmatning av korttransaktioner via kassan. Detta för att undvika att hantera kortnummer i kassaapplikationen och risk för ökade krav enligt PCI DSS. Detta har lett till att många kassaleverantörer och PSP:er helt stängt möjlighet till manuell inmatning. Det har även tagits ett beslut att stänga möjligheten i ipos-gränssnittet. Detta har lett till att ett antal affärsmöjligheter kraftigt har begränsats. Det gäller t.ex. manuell inmatning av kortnummer som normalt inte är in scope för PCI (t.ex. nationella bin som används för avbetalningsköp). För terminaler som inte accepterar inmatning av kortnummer via terminalens tangentbord innebär detta att möjligheten till manuell inmatning helt stoppas. 2 Mål Säljföretag som hanterar finansieringsköp och använder utrustning som inte tillåter manuell inknappning via terminalens tangentbord ska kunna acceptera inmatning av kort för finansiell transaktion via kassan. Detta gäller endast kort som ej är varumärkesflaggade vilket verifieras mot terminalens parametrar. 3 Möjliga hinder/problem 3.1 Frågeställning PCI DSS 3.1.1 Fråga Påverkar möjligheten att acceptera inmatning av icke varumärkesflaggade kort via kassagränssnittet PCI DSS för säljföretaget? 3.1.2 Svar Vid en PCI DSS validering sker en analys av kortflöden, samt en verifiering av omfattningen av PCI DSS (definition av CDE Card Data Environment). Verifieringen identifierar var kortdata lagras och hur det är skyddat. Hantering av icke varumärkesflaggade kort är ej en del av PCI DSS valideringen. Ev felaktig inmatning manuellt i kassatangentbord, swipe i kassa tangent bord är ett ansvar som ligger hos säljföretaget. Detta kan lösas genom utbildning och policies och påverkar inte omfattningen av PCI DSS. Om lagring sker p.g.a. av att inmatning skett och att kassa applikation lagrat allt som inmatas så är det fortfarande säljföretagets ansvar. 3.1.3 Summering Möjligheten till manuell inmatning av kortdata som inte är varumärkesflaggat via kassasystemet påverkar inte säljföretagets omfattning av PCI DSS om: Säljföretaget har en tydlig policy som visar hur hanteringen ska ske för manuell inknappning av varumärkesflaggade och EJ varumärkesflaggade kort. Den tekniska lösningen omöjliggör auktorisation av varumärkesflaggat kort som matats in via kassan. Den tekniska lösningen minimerar lagring av ev felaktigt inmatat varumärkesflaggat kort enligt PCI DSS 1.2 kap 3 4 Föreslagen förändring Utöver vad som specificerats i ipos-specifikationen 3.1. så har det införts ytterligare en kontroll i P2100 där man vid ett manuellt inknappat köp också kontrollerar att kortet är uppsatt som ett bonuskort i BINPAR/BIN row. Denna ytterligare kontroll ska tas bort. 4 (5) Swedbank AB (publ) Intern information 2010-05-17
4.1 Förändringens omfattning Förändringen omfattar terminalen Hypercom Point P2100. 5 Möjliga alternativ Inga alternativ är identifierade. 6 Övrig påverkan Terminalens hantering av BINPAR påverkas ej. ipos-gränssnittet påverkas ej. Swedbank AB (publ) Intern information 2010-05-17 5 (5)