顺便说一句,我想不出世界上还有其他地方可以实现这种严格的要求。但是,一些现有的POS系统可能会根据“控制单元”的定义以及“控制单元”和“收银机”之间的区别在哪里来实现这种加密。
我之所以这么说是因为许多 POS 系统(至少是我使用过的那些)本质上是一堆连接到中央数据库和事务处理服务器的哑终端。实际上没有数据存储在收银机本身中,因此只需要在服务器端(以及通过网络,但我假设正在使用安全网络协议)对其进行加密。您需要请律师来解释究竟什么是“控制单元”,但如果这可以定义为服务器端的某些东西(在这样的联网 POS 案例中),那么实现这样一个系统的必要复杂性将不会太繁重了。
困难的情况是每个单独的收银机都需要一个唯一的加密密钥,无论是加密要存储在收银机本身内部的数据,还是在将数据发送到中央服务器之前对其进行加密。这将需要修改或更换每个收银机,这确实可能证明成本高昂,具体取决于业务规模和现有设备的使用年限。在许多国家(尤其是美国),要求进行如此广泛且代价高昂的变革可能必须附有向企业提供资金(以帮助支付设备转换费用)的法案,或者以更像“所有要点”的方式编写-在 {{{some future date}}} 之后制造或销售的销售设备必须实现以下功能:”。
可能有趣的案例是“老式”风格的收银机,它基本上由收银机、计算器和收据打印机组成,并且不存储任何数据。该法律可能要求此类系统开始记录交易信息(请咨询您的律师)。与此相关的情况是,交易是手写在纸质票上的(就像在美国的一些餐馆和小商店中通常所做的那样)。我经常觉得有趣的是,立法如何专注于高科技系统的这种安全性,却让“模拟”系统保持不变并且对问题敞开大门。再说一次,瑞典可能不再使用这样的旧系统了。
我不确定美国法律对加密记录的确切要求,但我知道许多非政府实体需要一定级别的安全性。例如,如果企业想要接受信用卡付款,那么信用卡公司将要求他们在处理和提交信用卡付款信息时遵循某些安全和加密准则。这部分是由当地的法律责任规则规定的。如果交易记录被第三方篡改、丢失或劫持,将调查交易和记录保存系统的安全性。如果企业没有做出合理的努力来保证数据的安全和验证,那么企业可能会因安全漏洞(或可能是设备制造商)的过错而受到起诉,这可能会导致巨大的诉讼损失。正因为如此,公司倾向于自愿保护他们的系统,以减少安全漏洞的发生率,并在发生此类漏洞时限制其法律责任。
由于设备制造商可以在国际上销售他们的设备,因此符合这些瑞典限制的设备最终可能会随着时间的推移在其他地方使用。如果该系统最终成功,其他企业可能会自愿使用这种加密系统,即使没有立法强制他们这样做。我将其与欧盟几年前通过的 RoHS 规则进行了比较。许多没有签署 RoHS 法规的国家现在生产和使用 RoHS 认证的材料,不是因为法律要求,而是因为它们是可用的。
编辑:我刚刚在链接的文章中读到了这个:
认证控制单元
经过认证的控制单元必须连接到收银机。控制单元必须读取收银机的登记信息。
对我来说,这听起来像是经过认证的控制单元附在收银机上,但不一定与收银机相连(或必须是收银机独有的)。仅此定义(在我的非律师耳中)听起来并不像是禁止现有收银机通过网络连接到服务器端经过认证的控制单元。如果是这样,这可能就像在服务器端安装一些附加软件(可能还有外围设备)一样简单。详细信息链接可能会澄清这一点,但它不是英文的,所以我不确定它说的是什么。