PCI安全標準委員會發佈商用現貨設備上基於軟體的PIN碼輸入的安全

—全新PCI標準將聚焦智慧手機和其他商用現貨(COTS)設備上的EMV接觸式和非接觸式交易， 推動基於軟體的PIN碼安全輸入解決方案的開發—

麻塞諸塞州韋克菲爾德--(美國商業資訊)--PCI安全標準委員會(PCI SSC)今日宣佈， 面向智慧手機、平板電腦等商用現貨(COTS)設備上基於軟體的PIN碼輸入發佈一項全新的PCI安全標準。 PCI SPoC（COTS上基於軟體的PIN碼輸入）標準規定了安全解決方案的開發標準， 這些解決方案將PIN碼安全輸入應用程式和PIN安全讀卡器(SCRP)配合使用， 支持通過在商家消費終端進行PIN碼輸入實現EMV接觸式和非接觸式交易。

Aite集團高級分析師Ron van Wezel表示：“移動銷售終端(MPOS)解決方案的靈活性和高效性使其在較小型商家中備受歡迎。

MPOS幫助他們隨時隨地在平板電腦或智慧手機上接受訂單並接受付款。 然而， 市場上一些使用EMV 晶片加密碼式收款的小商家可能已經發現這種收款方式的硬體投資成本過高。 為滿足市場需求， PCI安全標準委員會在新發佈的PIN碼輸入標準中明確規定了在移動設備觸控式螢幕上直接進行PIN碼輸入的安全要求。 這意味著商家們只需使用自己的移動設備、與移動設備相連的經濟實惠型小型讀卡器以及PIN碼安全輸入應用程式即可收款。 這將推動電子交易的增長， 從而使支付行業從更廣泛的收款選擇中受益。 ”

PCI SSC會首席技術官Troy Leach指出：“PCI安全標準委員會在保護PIN碼作為基於硬體的解決方案的驗證方法的標準制定方面擁有長期經驗。

現有的PCI PIN標準需要基於硬體的PIN碼安全保護。 如今， 我們正在此基礎上構建一個全新的標準， 該標準將PIN從其他資料中分離並使用超出物理硬體設備本身的全新可靠安全控制項的方法保證安全的PIN碼輸入。 PCI基於軟體的PIN碼輸入標準(Software-Based PIN Entry Standard)專門針對使用基於軟體的PIN碼輸入的EMV接觸式和非接觸式交易為解決方案提供商和應用開發商提供安全標準基準規範。 ”

該標準安全性和測試要求所涉及的關鍵安全原則如下：

服務主動監測， 將緩解手機或平板電腦支付環境中的潛在威脅；

從其他帳戶資料中分離PIN碼；

保證COTS設備上PIN碼輸入應用程式的軟體安全性和完整性；

使用經PCI認證的PIN安全讀卡器(SCRP)保護PIN碼和帳戶資料安全。

解決方案提供商可使用SPoC安全標準完成完整解決方案各部分的設計。 現可訪問PCI SSC網站瞭解這些標準。

SPoC測試標準概述了實驗室根據該標準進行解決方案評估的測試過程。 SPoC安全標準將於下月發佈， 隨後將發佈支援程式， 將在PCI SSC網站上列出經PCI驗證的解決方案， 以供商家使用。

有關這一新標準的更多資訊， 請閱讀PCI Perspectives博客帖子New PCI Software-Based PIN Entry on COTS Standard（PCI全新的COTS上基於軟體的PIN碼輸入標準）。

Leach補充說：“對解決方案提供商和應用開發商而言， 該標準不僅是安全要求基準規範， 而且是安全性測試方法， 前者可説明他們在COTS設備上安全接受基於PIN碼的交易， 後者可説明他們在設備和應用程式頻繁更新時進行安全性測試。

經PCI驗證的解決方案將滿足由獨立實驗室測試的一系列可靠的安全目標。 如今， 越來越多的企業開始使用智慧手機、平板電腦和其他COTS設備收款， 尤其是小企業。 PCI SSC基於軟體的PIN碼輸入解決方案列表將為這些商戶提供可供選擇的PIN碼輸入解決方案資源， 這些解決方案已通過諸多支付安全實驗室的評估和測試， 因此使用者將從他們支付資料得到的最佳保護中受益。 ”

關於PCI安全標準委員會

PCI安全標準委員會(PCI SSC)是一個跨行業的全球性開放式論壇， 致力於通過提供靈活、有效且以行業為導向的資料安全標準和程式提高支付安全性， 説明企業發現、緩解和阻止網路攻擊和漏洞。 在LinkedIn上與PCI SSC保持聯繫。

在Twitter @PCISSC上參與會話。 訂閱PCI Perspectives博客。