In quale parte del mondo sono richiesti software crittografati nei registratori di cassa e in tal caso quali sono le misure di sicurezza necessarie?

Question

Sfondo

Svezia è la transizione a una legge obbligatoria per tutti i proprietari di imprese di movimentazione contanti o carta di transazioni, di implementare/acquistare POS crittografato in modo parziale (punto di vendita)/registratori di cassa:

Firma e la crittografia viene utilizzata per memorizzare in modo sicuro le informazioni da il registratore di cassa nell'unità di controllo. Il sistema di controllo con un'unità di controllo certificata si basa sul costruttore per ogni modello di controllo che ottiene una chiave di crittografia principale dall'Agenzia delle entrate svedese. Il produttore quindi utilizza la chiave principale per crea chiavi di crittografia univoche che sono posizionate nell'unità di controllo durante il processo di produzione . Per ottenere le chiavi di crittografia principali, i produttori di devono inviare una domanda all'Agenzia delle entrate svedese. Source SKV

Questo ha causato un po 'di subbuglio tra i commercianti svedesi a causa della complessità necessitata e la crittografia forte per essere utilizzato, insieme ad un sofisticato realizzazione tecnica dal punto di vista del proprietario del negozio, come l'alternativa è quella di acquistare il sistema da aziende che hanno attraversato la documentazione, ottenuto le loro chiavi di sicurezza e costruito il software e integrato nell'hardware.

Quindi la mia prima domanda è se qualche altro paese nel mondo si avvicini anche alla precisione che l'Agenzia delle imposte svedese richiede alle sue società (oltre ad avere ampie linee guida per la contabilità)?

Mi piacerebbe conoscere altri schemi di crittografia di interesse e come vengono applicati attraverso la legislazione quando si tratta di verificare le transazioni e le voci di contabilità. Esempi di tale legislazione potrebbero essere simili a un'altra regola svedese; quel libro che tiene le voci (transazioni) deve essere di sola scrittura, al massimo scritto 4 giorni dopo la comparsa e solo modificabile attraverso una tupla di (data, firma della persona che lo fa, nuove prenotazioni).

Infine, quali sono le vostre opinioni su queste regole? Stiamo andando verso rilanci di tutti i tempi per la contabilità oltre ai sistemi POS ai server delle agenzie fiscali che verificano e individuano schemi fraudolenti in tempo reale simili agli algoritmi di intelligence collettiva là fuori o ci sarà un back-lash contro la maggiore complessità di affari in esecuzione?

Answer 1

Scomparso, non riesco a pensare a nessun'altra parte del mondo che implementa questo severo requisito. Tuttavia, alcuni sistemi POS esistenti possono implementare questo tipo di crittografia a seconda di quale sia la definizione di "unità di controllo" e dove si trova la differenziazione tra "unità di controllo" e "registratore di cassa".

La ragione per cui dico questo è perché molti sistemi POS (almeno quelli che ho lavorato) sono essenzialmente un gruppo di terminali stupidi che sono in rete ad un server di elaborazione del database e la transazione centrale. Nessun dato è in realtà memorizzato nel registratore di cassa stesso, quindi c'è solo la necessità di crittografarlo sul lato server (e sul filo, ma presumo che venga utilizzato un protocollo di rete sicuro).Avresti bisogno di un avvocato per interpretare ciò che costituisce esattamente una "unità di controllo", ma se questo può essere definito come qualcosa sul lato server (in un caso POS in rete come questo), la complessità necessaria per implementare un tale sistema non essere troppo oneroso

Il caso difficile sarebbe dove ogni singolo registratore di cassa richiede una chiave di crittografia univoca, sia per crittografare i dati da memorizzare all'interno del registro stesso sia per crittografare i dati prima di inviarli a un server centrale. Ciò richiederebbe una modifica o una sostituzione di ciascun registratore di cassa, che potrebbe rivelarsi costoso a seconda delle dimensioni dell'azienda e dell'età dell'attrezzatura esistente. In molti paesi (in particolare gli Stati Uniti), l'imposizione di un cambiamento così ampio e costoso dovrebbe probabilmente essere accompagnata da una proposta di legge che fornisca fondi alle imprese (per contribuire a pagare la conversione delle attrezzature) o scritta in modo più simile a "tutto il punto" -Le apparecchiature in vendita fabbricate o vendute dopo {{{qualche data futura}}} devono implementare le seguenti funzionalità: ". L'implementazione di regole che impongono oneri onerosi alle aziende è un buon modo per i politici di perdere molto supporto, quindi non è probabile che una regola come questa venga implementata in un breve periodo di tempo senza che venga offerta alcuna assistenza.

Il caso potenzialmente interessante sarebbe lo stile "vecchio stile" dei registratori di cassa che consistono essenzialmente in un cassetto di cassa, un calcolatore e una stampante di ricevute e non memorizzano dati di sorta. Questa legge potrebbe richiedere che tali sistemi inizino a registrare le informazioni sulle transazioni (chiedi al tuo avvocato). Correlato sarebbe il caso in cui le transazioni vengono eseguite a mano, scritte su un biglietto cartaceo (come è comunemente fatto in alcuni ristoranti e piccoli negozi negli Stati Uniti). Trovo spesso divertente il modo in cui la legislazione si concentra su tale sicurezza per i sistemi high-tech, ma lascia i sistemi "analogici" immutati e aperti ai problemi. Inoltre, la Svezia potrebbe non utilizzare più vecchi sistemi come questo.

Non sono sicuro di quale sia la legge statunitense in termini di record crittografati, ma so che determinati livelli di sicurezza sono richiesti da molte entità non governative. Ad esempio, se un'azienda desidera accettare pagamenti con carta di credito, la società emittente della carta di credito richiederà che seguano determinate linee guida sulla sicurezza e sulla crittografia durante la gestione e l'invio delle informazioni relative al pagamento con carta di credito. Questo è in parte dettato dalle regole locali di responsabilità legale. Se un record di transazione viene manomesso, perso o dirottato da una terza parte, la sicurezza della transazione e i sistemi di registrazione saranno esaminati. Se l'azienda non ha compiuto uno sforzo ragionevole per mantenere i dati sicuri e verificati, l'azienda potrebbe essere ritenuta in colpa (o possibilmente il produttore dell'attrezzatura) per la violazione della sicurezza che può portare a ingenti perdite a seguito di azioni legali. Per questo motivo, le aziende tendono a proteggere volontariamente i loro sistemi al fine di ridurre l'incidenza delle violazioni della sicurezza e limitare la loro responsabilità legale nel caso in cui tale violazione si verifichi.

Poiché i produttori di dispositivi possono vendere le loro apparecchiature a livello internazionale, le apparecchiature conformi a tali restrizioni svedesi rischiano di essere utilizzate anche in altri luoghi nel tempo. Se il sistema finisce per avere successo, altre aziende probabilmente si offriranno volontarie per utilizzare un sistema crittografato, anche in assenza di una legislazione che lo costringa a farlo. Lo paragono alle norme RoHS che l'UE ha approvato diversi anni fa. Molti paesi che non hanno firmato la legislazione RoHS ora producono e utilizzano materiali certificati RoHS, non a causa di un mandato legale ma perché sono disponibili.

Edit: Ho appena letto questo in questo articolo collegato:

controllo Certified unità

Un'unità di controllo certificato deve essere collegata ad un registratore di cassa. L'unità di controllo deve leggere le registrazioni effettuate dal registratore di cassa.

Per me, sembra che l'unità di controllo certificata si attenga al registro ma non sia necessariamente connessa ad esso (o necessariamente unica per un registro). Questa definizione da sola non sembra (per le orecchie dei miei non giuristi) come se proibisse ai registratori di cassa esistenti di essere connessi su una rete a un'unità di controllo certificata sul lato server. Se è così, questo potrebbe essere semplice come installare del software aggiuntivo (e possibilmente un dispositivo periferico) sul lato server. Il collegamento ai dettagli può chiarire questo, ma non è in inglese, quindi non sono sicuro di ciò che dice.

Answer 2

Questi tipi di requisiti stanno diventando sempre più comuni in gran parte dell'Europa (e in misura minore, ma crescente, del Nord America). Non sono sicuro di quale delle banche europee si stiano muovendo più velocemente, ma in Nord America uno dei primi è First Data (che ha già reso disponibili i dispositivi POS completamente criptati come descrivi i bisogni).

Direi che la maggior parte dei commercianti non svilupperà internamente sistemi che lo facciano (a causa dei requisiti PCI, e le sfide nel farlo), ma si affideranno invece ai loro fornitori commerciali per la tecnologia richiesta.