PCI安全標準委員會發布商用現貨設備上由軟體支援的PIN碼輸入的安全標準

—全新PCI標準將聚焦智慧型手機和其他商用現貨(COTS)設備上的EMV接觸式和非接觸式交易,推動由軟體支援的PIN碼安全輸入解決方案的開發—

麻塞諸塞州威克非--()--(美國商業資訊)--PCI安全標準委員會(PCI SSC)今日宣布,針對智慧型手機、平板電腦等商用現貨(COTS)設備上由軟體支援的PIN碼輸入發布一項全新的PCI安全標準。PCI SPoC(COTS上由軟體支援的PIN碼輸入)標準規定了安全解決方案的開發標準,這些解決方案將PIN碼安全輸入應用程式和PIN安全讀卡機(SCRP)配合使用,支援透過在商家消費終端機進行PIN碼輸入實現EMV接觸式和非接觸式交易。

Aite集團資深分析師Ron van Wezel表示:「行動收單系統(Mobile point-of-sale, MPOS)解決方案的靈活性和效率使其在較小型商家中備受歡迎。MPOS幫助他們隨時隨地在平板電腦或智慧型手機上接受訂單並接受付款。然而,市場上一些使用EMV 晶片加密碼式收款的小商家可能已經發現這種收款方式的硬體投資成本過高。為滿足市場需求,PCI安全標準委員會在新發布的PIN碼輸入標準中明確規定了在行動裝置觸控式螢幕上直接進行PIN碼輸入的安全要求。這意味著商家們只需使用自己的行動裝置、與行動裝置相連的經濟實惠型小型讀卡機以及PIN碼安全輸入應用程式即可收款。這將推動電子交易的成長,從而使支付產業從更廣泛的收款選擇中受惠。」

PCI SSC會技術長Troy Leach指出:「PCI安全標準委員會在保護PIN碼作為由硬體支援的解決方案的驗證方法的標準制定方面擁有長期經驗。現有的PCI PIN標準需要由硬體支援的PIN碼安全保護。如今,我們正在此基礎上建構一個全新的標準,該標準將PIN從其他資料中隔離並使用超出實體硬體設備本身的全新可靠安全控制項的方法保證安全的PIN碼輸入。PCI由軟體支援的PIN碼輸入標準(Software-Based PIN Entry Standard)專門針對使用由軟體支援的PIN碼輸入的EMV接觸式和非接觸式交易為解決方案供應商和應用程式開發商提供安全標準基準規範。」

該標準安全性和測試要求所涵蓋的關鍵安全原則如下:

  • 服務主動監測,將緩解手機或平板電腦支付環境中的潛在威脅;
  • 從其他帳戶資料中隔離PIN碼;
  • 保證COTS設備上PIN碼輸入應用程式的軟體安全性和完整性;
  • 使用經PCI認證的PIN安全讀卡機(SCRP)保護PIN碼和帳戶資料安全。

解決方案供應商可使用SPoC安全標準完成完整解決方案各部分的設計。現可造訪PCI SSC網站瞭解這些標準。

SPoC測試標準概述了實驗室根據該標準進行解決方案評估的測試過程。SPoC安全標準將於下月發布,隨後將發布支援程式,將在PCI SSC網站上列出經PCI驗證的解決方案,以供商家使用。

有關這項新標準的更多資訊,請閱讀PCI Perspectives部落格貼文New PCI Software-Based PIN Entry on COTS Standard(PCI全新的COTS上由軟體支援的PIN碼輸入標準)

Leach補充說:「對解決方案供應商和應用程式開發商而言,該標準不僅是安全要求基準規範,而且是安全性測試方法,前者可幫助他們在COTS設備上安全接受採用PIN碼的交易,後者可幫助他們在設備和應用程式頻繁更新時進行安全性測試。經PCI驗證的解決方案將滿足由獨立實驗室測試的一系列可靠的安全目標。如今,越來越多的企業開始使用智慧型手機、平板電腦和其他COTS設備收款,尤其是小型企業。PCI SSC由軟體支援的PIN碼輸入解決方案列表將為這些商店提供可供選擇的PIN碼輸入解決方案資源,這些解決方案已通過諸多支付安全實驗室的評估和測試,因此使用者將從他們支付資料得到的最佳保護中受惠。」

關於PCI安全標準委員會
PCI安全標準委員會(PCI SSC)是一個跨產業的全球性開放式論壇,致力於透過提供靈活、有效且以產業為導向的資料安全標準和程式提高支付安全性,幫助企業發現、緩解和阻止網路攻擊和漏洞。在LinkedIn上與PCI SSC保持聯絡。在Twitter @PCISSC上參與對話。訂閱PCI Perspectives部落格

免責聲明:本公告之原文版本乃官方授權版本。譯文僅供方便瞭解之用,煩請參照原文,原文版本乃唯一具法律效力之版本。

Contacts

PCI安全標準委員會
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC

Release Summary

PCI SSC has developed a PCI Security Standard for software-based PIN entry on commercial off-the-shelf devices, such as smartphones and tablets.

Contacts

PCI安全標準委員會
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC