PCI CPoC與SPoC安全要求的簡(jiǎn)單對(duì)比
CPoC——又稱真手機(jī)POS,PCI Contactless Payments on COTS
SPoC——又稱偽手機(jī)POS,PCI Software-based PIN Entry on COTS
架構(gòu)差異
CPoC
SPoC
對(duì)比上述兩個(gè)架構(gòu),可以得出以下兩點(diǎn)差異:
1.硬件構(gòu)成:CPoC僅依賴手機(jī)自身硬件,具備NFC功能即可。SPoC除了依賴手機(jī)自身硬件外,對(duì)NFC功能無(wú)要求,但需搭配外置刷卡器SCRP使用。
2.持卡人數(shù)據(jù):CPoC僅采集持卡人的賬戶數(shù)據(jù)。SPoC除了采集持卡人的賬戶數(shù)據(jù)外,還需采集PIN數(shù)據(jù)。也正是因?yàn)镾PoC方案中有PIN數(shù)據(jù)存在,才會(huì)要求使用外置刷卡器,以保證賬戶數(shù)據(jù)與PIN數(shù)據(jù)的安全隔離。
安全要求差異
CPoC
一共6大類模塊安全要求,分別是:
1.Core Requirements
2.Contactless on COTS Application
3.Back-end Systems–Monitoring/Attestation
4.Solution Integration Requirements
5.Back-end Systems–Processing
6.Contactless Kernel for COTS
SPoC
一共5大類模塊安全要求,分別是:
1.Core Requirements
2.PIN Cardholder Verification Method(CVM)Application
3.Back-end Systems–Monitoring/Attestation
4.Solution Integration Requirements
5.Back-end Systems–Processing
對(duì)比上述兩種方案安全要求,主要有以下差異:
1.APP安全要求不同。畢竟CPoC方案中APP處理賬戶數(shù)據(jù),而SPoC方案中APP處理PIN數(shù)據(jù)。
2.Level 2非接觸內(nèi)核要求。由于CPoC方案下的交易要在手機(jī)設(shè)備上完成,處理交易邏輯的Level 2非接觸內(nèi)核必須運(yùn)行在手機(jī)環(huán)境中,因此存在對(duì)內(nèi)核的安全要求。而SPoC方案下的交易一方面要在手機(jī)上輸入PIN數(shù)據(jù),另一方面要通過(guò)SCRP處理賬戶數(shù)據(jù),最終交易數(shù)據(jù)的處理也是在SCRP上完成。由于SCRP必須是通過(guò)PCI PTS安全認(rèn)證的刷卡器設(shè)備,所以SPoC方案無(wú)需再對(duì)Level 2非接觸內(nèi)核單獨(dú)提出安全要求。