Где в мире зашифрованное программное обеспечение в требуемых кассовых аппаратах и в этом случае какие меры безопасности требуются?
Фон
Швеция переходит к обязательному закону для всех бизнес-владельцев, обрабатывающих операции с наличными деньгами или транзакции по карте, для реализования/покупания частично зашифрованный НА МЕСТЕ ПРОДАЖИ (торговая точка) / кассовые аппараты:
Подписание и шифрование используется, чтобы надежно хранить информацию от кассового аппарата в блоке управления. Система управления с сертифицированным блоком управления основана на производителе для каждой модели блока управления получение основного ключа шифрования из Шведского налогового агентства. Производитель затем использует основной ключ для создания уникальных ключей шифрования, которые помещаются в блок управления во время производственного процесса. Для получения основных ключей шифрования производители должны подать заявление в Шведское налоговое агентство. Источник SKV
Это заставило своего рода шум среди шведских торговцев из-за требуемой сложности и устойчивого шифрования использоваться, наряду с очень сложной технической реализацией с точки зрения владельца магазина, поскольку альтернатива должна купить систему у компаний, которые пересекли документацию, полученную их ключи защиты, и создали программное обеспечение и интегрировали его в аппаратные средства.
Таким образом, мой первый вопрос состоит в том, если какие-либо другие страны в мире даже близко подходят к точности, которой Шведское налоговое агентство требует его компаний (вместе с наличием обширных инструкций для бухгалтерии)?
Я хотел бы услышать о любых других схемах шифрования интереса и как они применяются через законодательство когда дело доходит до проверки бухгалтерские записи и транзакции. Примеры такого законодательства могли быть подобны другому шведскому правилу; та бухгалтерия записи (транзакции) должна быть только для записи, в самые записанные 4 дня после возникновения и только изменяемой через кортеж (дата, подпись человека, делающего его, новых заказов).
Наконец, каковы Ваши мнения об этих правилах? Мы идем к небывалым восходящим каналам для бухгалтерии + НА МЕСТЕ ПРОДАЖИ системы к серверам налоговой инспекции, которые проверяют и обнаруживают мошеннические шаблоны, в режиме реального времени подобные алгоритмам коллективного разума там или будет обратная реакция против увеличенной сложности рабочего бизнеса?
2 ответа
От руки, я не могу думать нигде в мире, который реализует этот строгий требование. Тем не менее, некоторые существующие системы POS могут реализовать такое шифрование в зависимости от того, какое определение «блока управления» и где находится дифференциация между «блоком управления» и «кассовым аппаратом».
Причина, по которой я говорю, это потому, что многие системы POS (по крайней мере, с той, с которыми я работал), по сути, являются кучей глупых терминалов, которые являются сетевыми на центральную базу данных и сервер обработки транзакций. Данные фактически не хранятся в самом кассовом режиме, поэтому существует только необходимость зашифрования его на стороне сервера (и через провод, но я предполагаю, что используется безопасный сетевой протокол). Вам нужно было бы получить адвоката, чтобы интерпретировать то, что именно представляет собой «блок управления», но если это можно определить как что-то на стороне сервера (в сетевом POS-деле, как это), то необходимая сложность для реализации такой системы не будет быть слишком обренным.
Трудный случай будет там, где каждый отдельный кассовый аппарат требует уникального ключа шифрования, следует ли зашифровать данные для хранения внутри самого регистра или для шифрования данных, прежде чем отправлять его на центральный сервер. Это потребует модификации или замены каждого кассового аппарата, что действительно может доказать дорогую в зависимости от размера бизнеса и возраста существующего оборудования. Во многих странах (в частности, США), в частности, в зависимости от таких обширных и дорогостоящих изменений, вероятно, должен быть либо сопровождаться законопроектом, предоставляющим средствам предприятиям (для того, чтобы помочь оплатить конвертацию оборудования) или написано таким образом, как «все точки Оборудование для продажи, изготовленное или проданное после {{{некоторая будущая дата}}} должны реализовывать следующие функции: «. Реализация правил, которые размещают дорогие бремя на предприятии, - это хороший способ для политиков потерять большую поддержку, поэтому вроде бы не вероятно, что правило, как это будет реализовано в течение короткого периода времени без какой-либо предлагаемой помощи.
Возможно, интересный случай будет «старомодным» стилем кассовых аппаратов, которые по существу состоят из кассового ящика, калькулятора и принтера квитанции и хранят никаких данных Whatsover. Этот закон может потребовать, чтобы такие системы могли начать запись информации транзакции (спросите своего адвоката). Связанный бы такой случай, когда транзакции ручной работы, написанные на бумажном билете (например, обычно делается в некоторых ресторанах и небольших магазинах в США). Я часто нахожу это забавным, как законодательство фокусируется на такой безопасности для высокотехнологичных систем, но оставляет «аналоговые» системы без изменений и широко открытыми для проблем. Опять же, Швеция может больше не использовать более старые системы.
Я не уверен, что именно то, что законодательство США требует с точки зрения зашифрованных записей, но я знаю, что многие неправительственные организации требуются определенные уровни безопасности. Например, если бизнес хочет принять платежи по кредитным картам, то компания кредитной карты потребует от них следовать определенным руководящим принципам безопасности и шифрования при обращении и представлении информации об оплате кредитной карты. Это частично продиктовано местными правилами юридической ответственности. Если запись транзакции подтратывается, потеряна или угната третьей стороной, будет исследована безопасность систем транзакций и ведения записей. Если бизнес не приложил разумные усилия, чтобы сохранить данные безопасными и проверенными, то бизнес может быть проведен на неисправности (или, возможно, оборудование, производителем оборудования) для нарушения безопасности, которые могут привести к большим потерям в результате судебных процессов. Из-за этого компании, как правило, добровольно защищены свои системы, чтобы уменьшить частоту нарушений безопасности и ограничить их юридическую ответственность, если такое нарушение произошло.
Поскольку производители устройств могут продать свое оборудование на международном уровне, оборудование, соответствующее этим шведским ограничениям, вероятно, в конечном итоге будет использоваться в других местах с течением времени. Если система заканчивается успешным, другие предприятия, вероятно, добровольно будут использовать такую зашифрованную систему, даже в отсутствие законодательства, заставляя их сделать это. Я сравниваю его правилам RoHS, что ЕС прошло несколько лет назад.Многие страны, которые не подписали законодательство RoHS в настоящее время изготовления и используют сертифицированные ROHS материалы, а не из-за законного мандата, а поскольку они доступны.
Редактировать: Я просто прочитал это в связанной статье:
Сертифицированный блок управления
Сертифицированный блок управления должен быть подключен к кассовому аппарату. То Блок управления должен прочитать регистрации сделано кассовым аппаратом.
Для меня это звучит, как сертифицированный блок управления, прикрепляется к регистру, но не обязательно подключен к нему (или обязательно уникально для регистра). Это одно определение не имеет значения (для моих ушей без юристов), как он запрещает существующие кассовые регистры от подключения к сети к сертифицированному блоку управления на стороне сервера. Если это так, это может быть так же просто, как установка дополнительного программного обеспечения (и, возможно, периферийное устройство) на стороне сервера. Ссылка на детали может уточнить это, но она не на английском языке, поэтому я не уверен, что он говорит.
Эти типы требований становятся все более распространенными в большинстве стран Европы (и в меньшей степени, но все чаще в Северной Америке). Я не уверен, какие европейские банки движутся по этому пути быстрее, но в Северной Америке одним из лидеров является компания First Data (которая уже сделала доступными полностью зашифрованные POS-устройства, как вы описываете, нуждающиеся в них).
Я бы далее постулировал, что большинство торговцев не будут разрабатывать системы внутри компании, которые делают это (из-за требований PCI, и проблем, связанных с этим), а вместо этого будут полагаться на своих торговцев-провайдеров в отношении требуемой технологии.