7

バックグラウンド

スウェーデンは、現金またはカード取引を扱うすべての事業主に対して、部分的に暗号化されたPOS(販売時点管理)/レジを実装/購入するための強制法に移行しています。

署名と暗号化は、コントロールユニットのレジからの情報を安全に保存するために使用されます。認定されたコントロールユニットを備えたコントロールシステムは、スウェーデン税務庁から主要な暗号化キーを取得する各コントロールユニットモデルのメーカーに基づいています。次に、製造元はメインキーを使用して、製造プロセス中にコントロールユニットに配置される一意の暗号化キーを作成します。メインの暗号化キーを取得するには、メーカーはスウェーデン税務庁に申請書を提出する必要があります。 ソースSKV

これは、必要な複雑さと強力な暗号化、およびショップオーナーの観点からの高度な技術的実装のために、スウェーデンのトレーダーの間で多少の騒ぎを引き起こしました。代替手段は、ドキュメントを横断した企業からシステムを購入することです。 、セキュリティキーを取得し、ソフトウェアを構築してハードウェアに統合しました。

それで、私の最初の質問は、世界の他の国がスウェーデン税務庁がその会社に要求する正確さにさえ近づいているかどうかです(簿記のための広範なガイドラインを持っていることに加えて)?

関心のある他の暗号化スキームと、トランザクションの検証と簿記のエントリに関して、法律を通じてそれらがどのように適用されるかについて聞きたいです。このような法律の例は、別のスウェーデンの規則に類似している可能性があります。その簿記エントリ(トランザクション)は書き込み専用である必要があり、発生から最大4日後に書き込まれ、(日付、それを行う人の署名、新規予約)のタプルを介してのみ変更可能である必要があります。

最後に、これらのルールについてどう思いますか?簿記+POSシステムを税務当局のサーバーに常時アップリンクして、集団的知性アルゴリズムと同様に不正なパターンをリアルタイムで検証および検出するのでしょうか。事業を営んでいますか?

4

2 に答える 2

1

一方で、この厳格な要件を実装している世界の他の場所は考えられません。ただし、既存のPOSシステムの中には、「コントロールユニット」の定義や、「コントロールユニット」と「レジ」の違いによって、この種の暗号化を実装しているものがあります。

私がこれを言う理由は、多くのPOSシステム(少なくとも私が使用したシステム)は、基本的に、中央データベースとトランザクション処理サーバーにネットワーク接続されたダム端末の集まりであるためです。実際にはレジ自体にデータが保存されていないため、サーバー側で暗号化するだけで済みます(ネットワーク経由で暗号化する必要がありますが、安全なネットワークプロトコルが使用されていると想定しています)。「コントロールユニット」を正確に構成するものを解釈するために弁護士を雇う必要がありますが、これがサーバー側の何かとして定義できる場合(このようなネットワーク化されたPOSの場合)、そのようなシステムを実装するために必要な複雑さはありません面倒すぎる。

難しいケースは、レジスター自体の内部に格納されるデータを暗号化するか、中央サーバーに送信する前にデータを暗号化するかにかかわらず、個々のキャッシュレジスターが一意の暗号化キーを必要とする場合です。これには、各レジの変更または交換が必要になります。これは、事業の規模や既存の機器の使用年数によっては、実際にコストがかかる可能性があります。多くの国(特に米国)では、このような大規模で費用のかかる変更を義務付けるには、企業に資金を提供する法案(機器の変換の支払いを支援するため)を添付するか、「オールポイント」のような方法で作成する必要があります。 -{{{some future date}}}以降に製造または販売された販売中の機器は、次の機能を実装する必要があります:"。

おそらく興味深いケースは、基本的にキャッシュドロワー、計算機、レシートプリンターで構成され、データをまったく保存しない「昔ながらの」スタイルのレジです。この法律は、そのようなシステムが取引情報の記録を開始することを要求する場合があります(弁護士に尋ねてください)。関連するのは、紙の切符に書かれた手作業で取引が行われる場合です(米国の一部のレストランや小さな店で一般的に行われているように)。法律がハイテクシステムのそのようなセキュリティに焦点を当てているのに、「アナログ」システムは変更されず、問題に対して広く開かれたままであることが、私はしばしば面白いと思います。繰り返しになりますが、スウェーデンはこのような古いシステムをもう使用していない可能性があります。

暗号化されたレコードに関して米国の法律が正確に何を要求しているかはわかりませんが、多くの非政府機関が一定レベルのセキュリティを要求していることは知っています。たとえば、企業がクレジットカードによる支払いを受け入れたい場合、クレジットカード会社は、クレジットカードによる支払い情報を処理および送信する際に、特定のセキュリティおよび暗号化のガイドラインに従うように要求します。これは、地域の法定責任の規則によって部分的に規定されています。トランザクションレコードが第三者によって改ざん、紛失、またはハイジャックされた場合、トランザクションおよび記録管理システムのセキュリティが調査されます。ビジネスがデータの安全性と検証を維持するための合理的な努力をしなかった場合、その場合、訴訟を通じて大きな損失をもたらす可能性のあるセキュリティ違反により、ビジネスに責任が発生する可能性があります(または機器メーカー)。このため、企業は、セキュリティ違反の発生を減らし、そのような違反が発生した場合の法的責任を制限するために、システムを自主的に保護する傾向があります。

デバイスメーカーは機器を国際的に販売できるため、これらのスウェーデンの制限に準拠する機器は、時間の経過とともに他の場所でも使用される可能性があります。システムが成功した場合、他の企業は、法律で義務付けられていない場合でも、そのような暗号化されたシステムの使用を志願する可能性があります。EUが数年前に可決したRoHS規則と比較します。現在、RoHS法に署名しなかった多くの国は、RoHS認定材料を製造および使用しています。これは、法的義務のためではなく、入手可能であるためです。

編集:私はリンクされた記事でこれを読んだ:

認定コントロールユニット

認定されたコントロールユニットはレジに接続する必要があります。コントロールユニットは、レジによって行われた登録を読み取る必要があります。

私には、これは認定されたコントロールユニットがレジスターに接続されているように聞こえますが、必ずしもそれに接続されているわけではありません(またはレジスターに固有である必要があります)。この定義だけでは、(弁護士以外の人には)既存のレジをネットワーク経由でサーバー側の認定されたコントロールユニットに接続することを禁止しているようには聞こえません。もしそうなら、これはサーバー側にいくつかの追加のソフトウェア(そしておそらく周辺機器)をインストールするのと同じくらい簡単かもしれません。詳細リンクはこれを明確にするかもしれませんが、それは英語ではないので、それが何を言っているのかわかりません。

于 2010-02-01T18:02:34.777 に答える
0

これらのタイプの要件は、ヨーロッパのほとんどの地域でますます一般的になっています(そして、北米ではそれほどではありませんが、増加しています)。これでヨーロッパを拠点とする銀行が最も速く動いているかどうかは正確にはわかりませんが、北米では、最有力候補の1つがFirst Dataです(あなたが必要としているように、完全に暗号化されたPOSデバイスをすでに利用可能にしています)。

さらに、ほとんどのマーチャントはこれを行うシステムを社内で開発せず(PCI要件とその際の課題のため)、代わりに必要なテクノロジーをマーチャントプロバイダーに依存すると仮定します。

于 2010-02-03T00:56:39.400 に答える