Hen*_*rik 7 encryption embedded system standards-compliance
背景
瑞典正在向所有处理现金或卡交易的企业主过渡到强制性法律,以实施/购买部分加密的POS(销售点)/收银机:
签名和加密用于将来自收银机的信息安全地存储在控制单元中.具有认证控制单元的控制系统基于每个控制单元型号的制造商,从瑞典税务局获得主加密密钥.然后,制造商使用主键创建在制造过程中放置在控制单元中的唯一加密密钥.为了获得主要加密密钥,制造商必须向瑞典税务局提交申请. 来源SKV
这引起了瑞典贸易商的一些骚动,因为必须使用复杂性和强加密,以及从店主的角度出发的高度复杂的技术实施,因为替代方案是从遍历文档的公司购买系统,获取他们的安全密钥并构建软件并将其集成到硬件中.
所以我的第一个问题是,世界上任何其他国家是否接近瑞典税务局要求其公司的准确性(以及具有广泛的簿记指南)?
我想知道任何其他感兴趣的加密方案,以及在验证交易和簿记条目时如何通过立法应用它们.此类立法的例子可能类似于另一项瑞典规则; 保管条目(交易)必须是只写的,最多只能在发生后4天写入,并且只能通过(日期,人员签名,新预订)的元组进行更改.
最后,您对这些规则有何看法?我们是否会向税务机构的服务器发送簿记+ POS系统的所有上行链路,这些服务器可以实时验证和检测欺诈模式,类似于集体智能算法,或者是否会出现反复增加的复杂性经营生意?
顺便说一句,我想不出世界上有任何其他地方可以实现如此严格的要求。然而,一些现有的 POS 系统可能会根据“控制单元”的定义以及“控制单元”和“收银机”之间的区别来实现这种加密。
我这么说的原因是因为许多 POS 系统(至少是我使用过的系统)本质上是一堆连接到中央数据库和交易处理服务器的哑终端。收银机本身实际上没有存储任何数据,因此只需要在服务器端对其进行加密(并通过网络进行加密,但我假设正在使用安全网络协议)。您需要请律师来解释“控制单元”的确切构成,但如果可以将其定义为服务器端的某些东西(在像这样的联网 POS 案例中),那么实现此类系统所需的复杂性就不会增加太繁重了。
困难的情况是每个收银机都需要唯一的加密密钥,无论是加密要存储在收银机本身内部的数据还是在将数据发送到中央服务器之前对其进行加密。这将需要修改或更换每个收银机,根据企业规模和现有设备的使用年限,这确实可能成本高昂。在许多国家(特别是美国),强制进行如此广泛且成本高昂的变革可能必须附有向企业提供资金(以帮助支付设备转换费用)的法案,或者以更像“所有点”的方式编写- 在 {{{some future date}}} 之后制造或销售的待售设备必须实现以下功能:”。实施给企业带来昂贵负担的规则是政治家失去大量支持的好方法,因此如果不提供某种援助,这样的规则不太可能在短时间内得到实施。
可能有趣的案例是“老式”风格的收银机,其本质上由现金抽屉、计算器和收据打印机组成,并且不存储任何数据。该法律可能要求此类系统开始记录交易信息(询问您的律师)。相关的情况是,交易是手工进行的,写在纸质票据上(就像美国的一些餐馆和小商店通常所做的那样)。我经常觉得有趣的是,立法重点关注高科技系统的安全性,但对“模拟”系统却保持不变,并且容易出现问题。话又说回来,瑞典可能不再使用这样的旧系统。
我不确定美国法律对加密记录的具体要求,但我确实知道许多非政府实体需要一定程度的安全性。例如,如果企业想要接受信用卡付款,那么信用卡公司将要求他们在处理和提交信用卡付款信息时遵循一定的安全和加密准则。这部分是由当地法律责任规则决定的。如果交易记录被篡改、丢失或被第三方劫持,交易和记录保存系统的安全性将受到调查。如果企业没有采取合理的措施来保证数据的安全和验证,那么企业(或者可能是设备制造商)可能会因安全漏洞而承担过错,这可能会通过诉讼导致巨大损失。因此,公司倾向于自愿保护其系统,以减少安全漏洞的发生率,并在发生此类漏洞时限制其法律责任。
由于设备制造商可以在国际上销售其设备,因此随着时间的推移,符合瑞典这些限制的设备也可能最终在其他地方使用。如果该系统最终取得成功,其他企业可能会自愿使用这种加密系统,即使没有立法强制他们这样做。我将其与欧盟几年前通过的 RoHS 规则进行比较。许多没有签署 RoHS 立法的国家现在生产和使用 RoHS 认证的材料,不是因为法律强制,而是因为它们是可用的。
编辑:我刚刚在链接的文章中读到了这一点:
经过认证的控制单元
经过认证的控制单元必须连接到收银机。控制单元必须读取收银机进行的登记。
对我来说,这听起来像是经过认证的控制单元连接到收银机,但不一定与其连接(或者对于收银机来说不一定是唯一的)。仅这个定义(在我的非律师耳中)听起来并不像是禁止现有收银机通过网络连接到服务器端经过认证的控制单元。如果是这样,这可能就像在服务器端安装一些附加软件(可能还有外围设备)一样简单。详细信息链接可能会澄清这一点,但它不是英文的,所以我不确定它说的是什么。
| 归档时间: |
|
| 查看次数: |
465 次 |
| 最近记录: |