"Функционально-технические требования к техническим средствам и программному обеспечению, реализующим СКЗИ в платежных устройствах с терминальным ядром" (утв. Банком России 28.02.2020 N ФТ-56-3/33)

3.2.6. Удаленная загрузка настроек платежного устройства с терминальным ядром

Настройки ПУ должны загружаться с доверенного источника настроек, который устанавливается в процессе активации. ПУ должно использовать взаимную аутентификацию и аутентифицировать источник. Для шифрования и подписи данных, передаваемых по защищенным каналам связи, следует использовать симметричные алгоритмы шифрования.

Рекомендуется для установки безопасного соединения между источником настроек и ПУ использовать протокол TLS 1.2 с взаимной аутентификацией. К настройкам терминала относятся:

идентификационные данные терминала, такие как номер терминала и клиентские сертификаты, использующиеся для установки безопасного соединения с различными удаленными сервисами, которые используются терминалом;

настройки контактного и бесконтактного ядра EMV. Эти настройки определяются спецификациями L2 платежных систем;

публичные сертификаты платежных систем;

черные списки банковских сертификатов и номеров карт;

дополнительные настройки функций терминала. Например, разрешение использования интерфейсов терминала, формат чека и пр.

ПУ должно обеспечивать проверку обновлений настроек и загрузку настроек в автоматическом режиме по установленному расписанию или при включении ПУ и по запросу оператора.

Стандарты: IETF RFC 5246, IETF RFC 8017, IETF RFC 1851, IETF RFC 6234.

3.2.5.2. Генерация корневого ключа AES или 3DES для защиты данных на терминале 3.2.7. Защита данных в платежном устройстве с терминальным ядром