PCI安全标准委员会(PCI SSC)宣布,针对智慧型手机、平板电脑等商用现货(COTS)设备上由软体支援的PIN码输入发布一项全新的PCI安全标准。PCI SPoC(COTS上由软体支援的PIN码输入)标准规定了安全解决方案的开发标准,这些解决方案将PIN码安全输入应用程式和PIN安全读卡机(SCRP)配合使用,支援透过在商家消费终端机进行PIN码输入实现EMV接触式和非接触式交易。
Aite集团资深分析师Ron van Wezel表示:「行动收单系统(Mobile point-of-sale, MPOS)解决方案的灵活性和效率使其在较小型商家中备受欢迎。MPOS帮助他们随时随地在平板电脑或智慧型手机上接受订单并接受付款。然而,市场上一些使用EMV 晶片加密码式收款的小商家可能已经发现这种收款方式的硬体投资成本过高。为满足市场需求,PCI安全标准委员会在新发布的PIN码输入标准中明确规定了在行动装置触控式萤幕上直接进行PIN码输入的安全要求。这意味着商家们只需使用自己的行动装置、与行动装置相连的经济实惠型小型读卡机以及PIN码安全输入应用程式即可收款。这将推动电子交易的成长,从而使支付产业从更广泛的收款选择中受惠。」
PCI SSC会技术长Troy Leach指出:「PCI安全标准委员会在保护PIN码作为由硬体支援的解决方案的验证方法的标准制定方面拥有长期经验。现有的PCI PIN标准需要由硬体支援的PIN码安全保护。如今,我们正在此基础上建构一个全新的标准,该标准将PIN从其他资料中隔离并使用超出实体硬体设备本身的全新可靠安全控制项的方法保证安全的PIN码输入。PCI由软体支援的PIN码输入标准(Software-Based PIN Entry Standard)专门针对使用由软体支援的PIN码输入的EMV接触式和非接触式交易为解决方案供应商和应用程式开发商提供安全标准基准规范。」
该标准安全性和测试要求所涵盖的关键安全原则如下:
· 服务主动监测,将缓解手机或平板电脑支付环境中的潜在威胁;
· 从其他帐户资料中隔离PIN码;
· 保证COTS设备上PIN码输入应用程式的软体安全性和完整性;
· 使用经PCI认证的PIN安全读卡机(SCRP)保护PIN码和帐户资料安全。
解决方案供应商可使用SPoC安全标准完成完整解决方案各部分的设计。现可造访PCI SSC网站了解这些标准。
SPoC测试标准概述了实验室根据该标准进行解决方案评估的测试过程。SPoC安全标准将於下月发布,随後将发布支援程式,将在PCI SSC网站上列出经PCI验证的解决方案,以供商家使用。
有关这项新标准的更多资讯,请阅读PCI Perspectives部落格贴文New PCI Software-Based PIN Entry on COTS Standard(PCI全新的COTS上由软体支援的PIN码输入标准)。
Leach补充说:「对解决方案供应商和应用程式开发商而言,该标准不仅是安全要求基准规范,而且是安全性测试方法,前者可帮助他们在COTS设备上安全接受采用PIN码的交易,後者可帮助他们在设备和应用程式频繁更新时进行安全性测试。经PCI验证的解决方案将满足由独立实验室测试的一系列可靠的安全目标。如今,越来越多的企业开始使用智慧型手机、平板电脑和其他COTS设备收款,尤其是小型企业。PCI SSC由软体支援的PIN码输入解决方案列表将为这些商店提供可供选择的PIN码输入解决方案资源,这些解决方案已通过诸多支付安全实验室的评估和测试,因此使用者将从他们支付资料得到的最隹保护中受惠。