Invenco Group Ltd G7UPC Benutzerhandbuch

Ensuring that the unit is secure and has not been tampered must be performed at staging before the
device is deployed to site.

If the device is found to be in a compromised state the escalation process below must be followed.

To check the integrity of the unit the following two processes must be followed:

When the unit is powered on, it determines whether an exception occurred during its power-on self-test
or any tampers were triggered while it was powered down. In either case the device will place itself in a
restricted mode, with distinctive indications given according to whether it was Destructive Secure Reset
or removal-tampered.

A DSR is a dramatic response to what a unit interprets as an integrity violation: the device shuts down
instantly, wiping its security keys and other sensitive information. The device is not ruined but it is
“bricked”: it cannot operate in any capacity and can be disassembled, repaired and reinitialized only
by Invenco – a return-to-base procedure. Returning a destructive-tampered unit to Invenco requires an
auditable process with formal changes of custody, probably including packaging, transport and staging.

The G7SDC will display a “DT event” screen; the G7UPC will display a fast (twice a second) red keypad
LED indication:

Fig. 2.3:

In contrast, the removal tamper response is intentionally less drastic. Removal tamper sensors protect
a unit that is intact: it may have been removed – even maliciously – from a system in which it was
integrated, but the unit’s integrity has not been violated and it is still operational (albeit in a restricted
mode). Significantly its cryptographic keys have not been erased, although it remains incapable of
financial transactions until restored to normal operation from the removal-tampered state. If necessary
the unit can still perform a DSR.

The G7SDC will display a “RT event” screen; the G7UPC will display a slow (once a second) red keypad
LED indication: