Selain itu, persyaratan desain layar sentuh luar ruangan mencakup teknologi untuk mengatasi kebisingan lingkungan yang ekstrem, interferensi NFC yang aktif, emisi yang ekstrem, rentang suhu yang luas, sarung tangan tebal, kelembapan ekstrem, serta cairan pembersih yang sangat konduktif yang bisa mengakibatkan peristiwa sentuh palsu. Konfigurasi yang tidak diautentikasi dan kerentanan pembaruan peranti lunak juga dapat menyebabkan serangan denial-of-service yang merupakan kombinasi dari serangan ransom, yaitu seluruh jaringan dapat mati jika terminal terhubung ke sistem pembaruan pusat. Serupa dengan jaringan pengisi daya EV dengan terminal pembayaran terintegrasi, hal ini menciptakan tantangan dan peluang tambahan bagi pengembang.
Kepatuhan PCI
Dibuat oleh merek kartu pembayaran besar (Visa, MasterCard, American Express, Discover dan JCB), Payment Card Industry Security Standards Council (PCI SSC) telah mengembangkan dan mengelola PCI DSS yang diakui di seluruh dunia untuk melindungi data pemegang kartu. Merek pembayaran dan pihak pengakuisisi bertanggung jawab untuk menciptakan produk yang sesuai dengan PCI untuk mengamankan penyimpanan, transmisi, dan pemrosesan data pengguna. Berdasarkan jenis aplikasi pembayaran, persyaratan kepatuhan PCI dapat berbeda, yang dapat menjadi pertimbangan desain tingkat peranti keras/lunak/sistem.
Saat ini, mayoritas vendor terminal POS mematuhi standar keamanan data PCI. Mekanisme keamanan PCI berupaya untuk mengisolasi PIN dari PAN dan data pemegang kartu lainnya. Hal ini dapat menjamin keamanan dan integritas input PIN melalui aplikasi peranti lunak serta memerlukan pemantauan aktif terhadap peranti lunak tersebut dan enkripsi data pengguna menggunakan kunci yang aman. Kontrol akses harus diterapkan untuk mengautentikasi pengguna atau pemilik perangkat. Alarm kerusakan direkomendasikan untuk memberikan peringatan terhadap gangguan, peretasan, atau kegagalan fungsi.
Jika sistem pembayaran menggunakan modul pembayaran terpisah yang telah memiliki sertifikasi PCI DSS untuk transaksi kartu yang aman menggunakan pembaca kartu dengan keypad mekanis, layar sentuh tidak mengirimkan informasi aman apa pun pada jalur komunikasi. Sertifikasi Keamanan Transaksi PIN (PIN Transaction Security — PTS) PCI pada layar sentuh hanya diperlukan apabila layar sentuh digunakan untuk menginput data kartu kredit dan/atau kode pin (yang disebut PoG atau PIN on Glass).
Oleh karena itu, diperlukan perlindungan terhadap antarmuka komunikasi kontroler sentuh atau enkripsi data pesan sentuh. Enkripsi memberikan vendor terminal POS kesempatan untuk memindahkan IC kontroler sentuh ke satu lapisan flex printed circuit (FPC) sederhana yang hemat biaya dan terhubung ke sensor sentuh. Konfigurasi ini memungkinkan vendor sensor sentuh untuk merancang, menguji dan mengirim sistem sentuh penuh ke vendor terminal POS sehingga akan mengurangi biaya dan menyederhanakan rantai pasokan.
Persyaratan Umum Sertifikasi PCI
Pedoman kepatuhan PCI terkait dengan tampilan layar sentuh diatur oleh PCI PTS. Secara umum, persyaratan keamanan transaksi PIN adalah sebagai berikut:
- Mekanisme yang dibangun ke dalam sistem untuk dapat mati dalam hal terjadi gangguan fisik atau peranti lunak
- Data rahasia pengguna harus dialihkan (selalu terenkripsi) dan hanya dapat disimpan selama masih diperlukan
- Pembaruan atau booting peranti lunak hanya dapat dilakukan apabila integritas perangkat lunak dapat diverifikasi
- Hanya pengguna terautentikasi yang dapat memperbarui peranti lunak
- Kunci harus disimpan di lokasi terlindung dan mekanisme yang aman harus dibuat untuk melindungi pemuatan kunci awal dalam produksi
- Perangkat harus melakukan tes mandiri dan melaporkan kejanggalan
Untuk memenuhi persyaratan PCI terbaru dengan mudah, fitur berikut dapat diintegrasikan ke dalam produk kontroler sentuh pada tingkat sistem:
- Jadwal reboot 24 jam
- Batas waktu 15 menit untuk input kunci manual
- Enkripsi PIN Advanced Encryption Standard (AES) dengan ISO format 4
- Penggunaan kunci enkripsi yang lebih ketat sesuai dengan tujuan, dengan pemisahan antara tingkatan kunci pelanggan dan produsen
- Enkripsi PAN
- Protokol Pemuatan Kunci Jarak Jauh (Remote Key Loading – RKL) TR-34
Lab PCI memvalidasi tampilan layar sentuh untuk memeriksa apakah tampilan tersebut dapat memenuhi persyaratan keamanan standar Keamanan Transaksi PIN. Validasi ini mencakup tes berikut:
- Penilaian kerentanan keamanan input PIN terhadap peretasan
- Penilaian akses terhadap data sensitif oleh gangguan dan pemeriksaan mekanisme respons yang digunakan dalam sistem
- Validasi teknik dan dokumentasi manajemen kunci dalam produksi
Fokus Pada Inti Masalah, Lebih Cepat
Desain terminal pembayaran memerlukan pengetahuan tentang cara menerapkan solusi sistem yang lengkap dan standar keamanan yang kuat. Solusi seperti portofolio kontroler maXTouch Microchip dapat mengatasi masalah sistem yang rumit dengan front-end analog terintegrasi dan firmware eksklusif, yang dapat dikonfigurasi untuk komunikasi terenkripsi yang aman untuk setiap aplikasi pengguna akhir.
Tim dukungan khusus seperti pakar kontroler sentuh Microchip dapat memandu pelanggan melalui desain tingkat sistem dan membantu dalam proses integrasi peranti lunak/driver, pengujian produk, dan debugging. Pengalaman dalam menangani beberapa vendor terminal pembayaran dan laboratorium sertifikasi terkemuka di dunia, menandakan bahwa pelanggan bisa mendapatkan bantuan yang diperlukan untuk memandu mereka melalui proses sertifikasi yang penting ini.