Gemeint ist ein sog. "unattended" (ohne Bedienung) EC-Karten-, Apple-Pay-, Google-Pay- uva. - Lesegerät. Sieht aus wie ein Unterputz-Lichschalter und wird ausschließlich über Signale an der LAN- oder RS232-Schnittstelle gesteuert. Weil nur Beträge von NFC-Karten bzw. Geräten (Handy, Watch) bis max. 50,- ohne PIN erfasst werden sollen, benötigt das Ding weder Einsteckschlitz noch Tastatur. Es geht darum, einen Bezahlautomaten für eine Autowaschanlage damit auszurüsten (neben dem Waschtunnel auch mit Handwaschplätzen, Fußmattenwaschanlage u.v.a), bei dem der Kunde eine ganze Reihe spezieller Wünsche hat, die kein fertiges Gerät am Markt zu einem vertretbaren Preis bietet. Sämtliche sicherheits-relevanten Aspekte handelt der Reader quasi als Blackbox selbstständig ab, darum braucht man sich keine Gedanken zu machen. Er wird vom Steuerrechner per Kommando damit beauftragt, einen bestimmten Betrag einzuziehen und liefert anschließend eine Statusmeldung an diesen zurück ... Ich wollte mal fragen, ob hier jemand ist, der schon mal sowas verbaut hat und auf welche Besonderheiten bezüglich Schnittstellen und Protokoll zu achten ist. Der geplante Automat soll mit einem Raspi 4 (SSD statt SD-Karte) laufen und über einen 8"-Display mit am Rande befindlichen Edelstahltasten (also kein Touchscreen) gesteuert werden.
Angehängte Dateien:
-
feig-card-reader.png
43 KB
:
Bearbeitet durch User
Frank E. schrieb: > benötigt das Ding weder Einsteckschlitz noch Tastatur Klingt interessant und wie werden die Updates zuverlässig eingespielt? Sag mir jetzt bloß nicht, dass nie welche nötig sind. Ohne ausreichend Info würde ich keinen Finger krumm machen.
Manche Banken wollen nach x Nutzungen eine Piniengabe. Blöd wenn das an dem Automaten passiert.
Frank E. schrieb: > Raspi 4 Ach so. Was spricht gegen die üblichen und erprobten Münzautomaten? Oliver
Flo schrieb: > Manche Banken wollen nach x Nutzungen eine Piniengabe. Blöd wenn das an > dem Automaten passiert. Genau dies. Ist bei meiner Karte auch so. Dann funktioniert ausschließlich Einstecken. Eine andere Sache ist das fehlende Display am Terminal. Woher weiß ich als Kunde, welcher Betrag mir wirklich abgebucht wird? Mit deinem Pi könntest du auf dem Bildschirm irgendetwas anzeigen. Ich kenne das hier gezeigte eigentlich nur als Zusatmodul für ein vorhandenes, bereits integriertes Terminal, um NFC Fähigkeit nachzurüsten. Ebenfalls wichtig: Wenn das Ding unattended ist, musst du Manipulation ausschließen können. Viele Terminals an SB Kassen werden aktuell mit Standardpasswörtern betrieben. Eine SB Waschanlage ist nochmal unbewachter. Fatal wäre, falls jemand die Terminals heimlich manipulieren/austauschen könnte und so Betrag und Ziel der Zahlung verändern könnte.
Hans schrieb: > Eine andere Sache ist das fehlende Display am > Terminal. Wozu? Das Handy zeigt an, wieviel abgebucht wird/wurde. Willkommen 2022 (bald)!
Frank E. schrieb: > bei dem der Kunde eine ganze Reihe > spezieller Wünsche hat, die kein fertiges Gerät am Markt zu einem > vertretbaren Preis bietet. ich vermute du unterschätzst welcher Aufwand für eine EMVCo Zertifizierung anfällt. Je kleiner die Stückzahl desto eher rechnet sich ein fertiges Gerät. Hast du schon mit einem Zahlungsverkehrsdienstleister gesprochen welche Vorraussetzungen dieser hat um deinen Selbstbau ans Netz zu lassen? Vieleicht ergibt sich dann eine realistischere Variante.
Einer schrieb: > Hans schrieb: >> Eine andere Sache ist das fehlende Display am >> Terminal. > > Wozu? > > Das Handy zeigt an, wieviel abgebucht wird/wurde. > > Willkommen 2022 (bald)! Der Kunde will das vielleicht vor der Buchung wissen!?
Nachtrag: Wobei der TE ja ein Display vorsieht, ist also kein Problem.
Einer schrieb: > Wozu? > > Das Handy zeigt an, wieviel abgebucht wird/wurde. > > Willkommen 2022 (bald)! Ja, mein Handy kann Apple Pay. Ja, meine Bank schickt mir bei Abbuchungen eine Pushmitteilung. Trotzdem wüsste ich gerne vor der Abbuchung, was abgebucht wird. Ich nutze aber auch immer noch sehr gerne meine kontaktlose Kreditkarte. Zurzeit entfällt damit das lästige Entsperren der Face ID mit Maske. Außerdem kann ein Handy auch schlicht mal leer sein. Maxe schrieb: > Nachtrag: Wobei der TE ja ein Display vorsieht, ist also kein Problem. Und dann kann er (oder ein Angreifer) irgendwelche Phantsasiewerte auf dem Display anzeigen und etwas ganz anderes abbuchen. Im Worst-Case bastelt jemand auf der RS232 Leitung zwischen Pi und Terminal ein Device, dass die Anfragen an das Terminal umschreibt. Ziemlich dumme Idee sowas zu bauen. Noch dümmer wäre es, wenn PCI dies zulassen würde. Werfen wir doch mal einen Blick in die PTS POISecurityRequirements FAQs: https://www.pcisecuritystandards.org/documents/PTS_POI_Technical_FAQs_v5_May_2018.pdf Darin heißt es z.B.
1 | The firmware and application version numbers,and optionally the hardware version number,must be shown on the display or printed during startup or on request. |
Ich leite daraus einfach mal ab, dass zur Erfüllung der PCI Kriterien ein irgendwie geartetes Display notwendig ist. Nun könnte man natürlich argumentieren, dass das nicht so schlimm ist, denn er will ja eins verbauen. Aber: PCI sieht eine Tamper Detection vor
1 | [...] it is a requirement that all devices implement active tamper detection mechanisms to meet the physical security requirements of PCI PTS.SCR and Non-PIN devices must have permanently active tamper detection mechanisms that monitor for intrusion and respond to such events with the immediate erasure of sensitive information within the device, rendering the device inoperative. |
Heißt also, dass die gesamte Einheit einschließlich des Pis und des Displays in einer Tamper Detection eingebunden werden müsste. Darüber hinaus gibt die PCI Anforderungen an Potting vor. Am Ende muss dann noch die gesamte Elektronik vergossen werden. Bedeutet aber auch, dass das gesamte Gebilde zertifiziert werden müsste. Das erschwert nachträgliche Änderungen ganz massiv. Ob ein nackter Pi überhaupt zertifizierungsfähig ist wage ich mal stark zu bezweifeln. Denn ohne zusätzliche Hardware wird er die Integrität seiner Firmware nicht prüfen können. Ich halte es für zielführender ein komplettes Terminal zu verwenden und an den Pi anzubinden. So wie ich das sehe, ist das hier gezeigte Modul für PCI vorzertifiziert. Da dem Kunden aber ein großer Teil der Entwicklung überlassen wird, gehe ich davon aus, dass hier eine zusätzliche Zertifizierung nötig wäre.
Man könnte ggf. alternativ auch einen QR-Code für die Transaktion anzeigen der auf eine Paygate-Seite verlinkt (wie z.B. https://stripe.com/docs/payments/payment-links) und dann darüber den Kunden bezahlen lassen. Für Kunden ohne eingerichtetes Apple Pay / Google Pay allerdings vllt. etwas unbequem...
@Hans: Ok, ich hatte ja nach Erfahrungen gefragt, weil ich diesbezüglich keine habe. Allerdings haben mich die teilweise unbequemen Antworten doch etwas irritiert ... natürlich ohne dass ich sie in Frage stelle. Vlt. sollte ich nochmal einige Fakten präzisieren und hoffen, dass die darauf folgenden Antworten evtl. etwas erfreulicher ausfallen: - der Automat wird ein wasserdichtes Gehäuse aus 4mm V2A bekommen und fest mit einer Betonwand verschraubt sein. Ein physischer Angriff ist zwar theoretisch möglich, aber kaum realistisch. Es wird auch keine Öffnungen geben, durch die man Knallgas einleiten könnte - soweit ich die Dokumentation von Feig verstanden habe, bildet der Reader ein vollkommen insich geschlossenes autarkes System, so dass eben genau eine erneute Zertifizierung des "Hostsystems" nicht erforderlich ist - Feig selber tritt als Zahlungsdienstleister auf, der für seine eigenen Reader natürlich alle Zulassungen hat - ich werde (diese Idee ist nachträglich gekommen) in den Automaten einen Router mit Firewall einbauen, so dass kein direkter Durchgriff von Außen auf die interne Elektronik möglich ist. Der Reader baut für Transaktionen sowieso seine eigene VPN-Verbindung "von Innen" auf ...
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.