BSI-DSZ-CC-0865-2013

Verifone H5000 Hybrid Payment Terminal with Firmware SecureCore 5000 01.03, CDF Security Provider 6667-3-230-2DPR 01.03, ADF EMV 6667-3-222-60PR 01.56, ADF Online 6667-3-222-X9PR 32.06

Antragsteller / Applicant	VeriFone Inc. 2099 Gateway Place, Suite 600 San Jose, CA 95110 USA
Prüfstelle / Evaluation Facility	SRC Security Research & Consulting GmbH
Prüftiefe / Assurance	EAL POI
Schutzprofil / Protection Profile	Point of Interaction Protection Profile, V2.0, 26 November 2010, ANSSI-CC-PP-POI-COMPREHENSIVE
Ausstellungsdatum / Certification Date	31.10.2013

Zertifizierungsreport / Certification Report
Sicherheitsvorgaben / Security Target

Das Gerät ist ein Terminal für den bargeldlosen Zahlungsverkehr, welches ein PIN-Eingabegerät (PED) beinhaltet, die Verarbeitung von Zahlungstransaktionsdaten durchführt und über externe Schnittstellen die Interaktion mit Acquirern erlaubt. Es bietet die folgenden Sicherheitsmerkmale:

PIN-Eingabe ohne die Anzeige von PIN-Ziffern.
PIN-Verschlüsselung für die offline oder online Benutzer-Authentisierung und deren Transfer zur weiteren Verarbeitung (durch die IC Karte oder den Acquirer).
Geschützte Klartext-PIN-Übertragung zum Kartenleser für die offline Benutzer-Authentisierung.
Periodische Authentisierung der PIN verarbeitenden Software.
Authentizitäts- und Integritäts-Schutz zur Administration (zum Beispiel Download, Update) von PIN-verarbeitender Software und Schlüsseln (einschließlich der Verwendung von geeigneten kryptografischen Mitteln).
Integritäts-Schutz von POI Management und Zahlungstransaktionsdaten sowie Verwendung kryptografischer Verfahren zum Schutz von Zahlungstransaktionsdaten bei externen Kommunikationsverbindungen gegen Ausspähung und Modifikation.
Authentizitäts- und Integritäts-Schutz bei der Administration (zum Beispiel Download, Update) von POI Management- und zahlungstransaktionsverarbeitender Software sowie Schlüsseln einschließlich der Verwendung von geeigneten kryptografischen Mitteln.
Kontrolle der PIN-Eingabe-Anzeigen (Prompts).
Angriffserkennung und entsprechende Reaktion für die Komponenten (PIN-Eingabegerät, Sicherheitsmodul des Eingabegerätes, Smart Card Leser, Sicherheitsmodul des Smart Card Lesers, Magnetstreifenleser).
Sicherer Download der Zahlungsapplikation.

This device is a PIN Entry Device (PED) that provides payment transaction data management and external communication facilities for interaction with the Acquirer. It provides the following security features:

PIN Entry without exposure of PIN digits.
Encipherment of PIN for offline or online Cardholder encrypted PIN authentication and transfer for further processing (to the IC Card Reader or to the Acquirer).
Protected transmission of PIN for offline Cardholder authentication of the Plaintext PIN to the IC Card Reader.
Periodic authentication of PIN processing software.
Authenticity and integrity protection of administration (e.g. downloading, update) of PIN processing software and keys, including appropriate cryptographic means.
Integrity protection of POI management and payment transaction data and cryptographic means to protect payment transaction data at external communication lines against disclosure and modification.
Authenticity and integrity protection of administration (e.g. downloading, update) of POI management and transaction processing software and keys, including appropriate cryptographic means.
Control of PED prompts.
Tamper-detection/tamper-responsiveness (PED, PED SM, IC Card Reader, IC Card Reader SM, Magnetic Stripe Reader).
Secure downloading of payment application.

Navigation und Service

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Unsere Top-Themen

Suche

Häufig gesucht

BSI-DSZ-CC-0865-2013