个人支付终端厂商调查问卷选编.docx

个人支付终端安全评估送检指南（附件2） 银行卡检测中心 个人支付终端安全评估厂商调查问卷 1.说明 请填写下列用于评估的个人支付终端的信息 请按照《个人支付终端安全要求手册》（个人支付终端安全要求）的格式，确认问卷中所有您回答“是”的部分。 请将确认部分的每个项目都填写完整。 请提供足够的细节信息以描述清楚个人支付终端的属性或功能。 必要时请参阅并提供附加文件。 厂商必须在“备注”部分提供必要细节，对所有“N/A”回答做出说明。 示例： 《个人支付终端安全要求手册》表格中问题A1.1的回答为“是”，则问卷中A1.1部分中的所有项目（1到8）都必须做出回答。 个人支付终端生产商: FORMTEXT
?????个人支付终端标志市场型号/编号: FORMTEXT
?????硬???版本号: FORMTEXT
?????固件版本号: FORMTEXT
?????应用程序版本号 FORMTEXT
????? 2.问卷填写人 签名日期打印名 FORMTEXT
????? FORMTEXT
????? FORMTEXT
????? 3.安全特性声明 3.1账户数据保护特性 G1.1如果《个人支付终端安全要求手册》中G1.1部分的答案为“是”，请描述：1实现账户数据保护功能的组件。  FORMTEXT
?????2对于每一已识别的组件，账户信息何时何种方式被加密。  FORMTEXT
?????3除了加密，安全控制器可以执行的其他操作。  FORMTEXT
?????4对于每一已识别的操作，为什么这些操作不会影响加密功能的安全性。  FORMTEXT
?????5请回答第6.1节防渗透保护部分的问题。  FORMTEXT
?????6请回答第3.9节磁条读卡器保护部分的问题。  FORMTEXT
?????如果主账号密钥为手动输入，请回答7-9三个问题。7防止设备被渗透攻击获取或修改账户数据的保护措施。  FORMTEXT
?????8为获取或修改账户数据对设备而进行渗透攻击所必须的专业技能和设备。  FORMTEXT
?????9请合理解释，说明为什么必须有至少花费16分的潜在攻击（其中实施阶段至少8分）才能对设备进行渗透攻击以获取或修改账户信息。  FORMTEXT
?????如果设备支持非接模式，请回答10-12三个问题。10保护非接数据传输的机制。  FORMTEXT
?????11为获取或修改账户数据对设备而进行渗透攻击所必须的专业技能和设备。  FORMTEXT
?????12请合理解释，说明为什么必须有至少花费16分的潜在攻击（其中实施阶段至少8分）才能对设备的硬件或软件进行渗透攻击以获取或修改账户信息。  FORMTEXT
?????13防篡改机制。  FORMTEXT
?????14触发机制后的入侵响应。  FORMTEXT
?????15设备检测到的入侵行为后如何反应。（回答应包括关于入侵检测机制如何工作以及如何擦除秘密信息或（和）不可用的书面描述）。  FORMTEXT
?????16除入侵检测外，请描述防止访问账户信息或者防止置入窃取装置的保护措施。  FORMTEXT
?????17防止设备被物理渗透攻击的机制。  FORMTEXT
?????18请合理解释，说明为什么个人支付终端的实现能够使必须有至少花费16分的潜在攻击（实施阶段至少8分）才能侵入和修改设备从而泄漏敏感信息或植入账户信息窃取装置。  FORMTEXT
?????19擦除了什么敏感信息，以及使用了什么机制进行擦除的。  FORMTEXT
?????20未被擦除的敏感信息是如何被保护的。  FORMTEXT
?????备注：  FORMTEXT
????? G1.2如果《个人支付终端安全要求手册》中G1.2部分的答案为“是”，请描述：1入侵检测和入侵证据的结合。  FORMTEXT
?????2安全机制如何工作。  FORMTEXT
?????3安全机制如何相互独立。  FORMTEXT
?????4为什么安全机制未依赖于不安全的服务和特性。  FORMTEXT
?????备注：  FORM