PCI安全标准委员会发布商用现货设备上基于软件的PIN码输入的安全标准

PCI安全标准委员会发布商用现货设备上基于软件的PIN码输入的安全标准

PCI安全标准委员会(PCI SSC)今日宣布，面向智能手机、平板电脑等商用现货(COTS)设备上基于软件的PIN码输入发布一项全新的PCI安全标准。PCI SPoC（COTS上基于软件的PIN码输入）标准规定了安全解决方案的开发标准，这些解决方案将PIN码安全输入应用程序和PIN安全读卡器(SCRP)配合使用，支持通过在商家消费终端进行PIN码输入实现EMV接触式和非接触式交易。

Aite集团高级分析师Ron van Wezel表示：“移动销售终端(MPOS)解决方案的灵活性和高效性使其在较小型商家中备受欢迎。MPOS帮助他们随时随地在平板电脑或智能手机上接受订单并接受付款。然而，市场上一些使用EMV 芯片加密码式收款的小商家可能已经发现这种收款方式的硬件投资成本过高。为满足市场需求，PCI安全标准委员会在新发布的PIN码输入标准中明确规定了在移动设备触摸屏上直接进行PIN码输入的安全要求。这意味着商家们只需使用自己的移动设备、与移动设备相连的经济实惠型小型读卡器以及PIN码安全输入应用程序即可收款。这将推动电子交易的增长，从而使支付行业从更广泛的收款选择中受益。”

PCI SSC会首席技术官Troy Leach指出：“PCI安全标准委员会在保护PIN码作为基于硬件的解决方案的验证方法的标准制定方面拥有长期经验。现有的PCI PIN标准需要基于硬件的PIN码安全保护。如今，我们正在此基础上构建一个全新的标准，该标准将PIN从其他数据中分离并使用超出物理硬件设备本身的全新可靠安全控件的方法保证安全的PIN码输入。PCI基于软件的PIN码输入标准(Software-Based PIN Entry Standard)专门针对使用基于软件的PIN码输入的EMV接触式和非接触式交易为解决方案提供商和应用开发商提供安全标准基准规范。”

该标准安全性和测试要求所涉及的关键安全原则如下：

• 服务主动监测，将缓解手机或平板电脑支付环境中的潜在威胁；

• 从其他账户数据中分离PIN码；

• 保证COTS设备上PIN码输入应用程序的软件安全性和完整性；

• 使用经PCI认证的PIN安全读卡器(SCRP)保护PIN码和账户数据安全。

解决方案提供商可使用SPoC安全标准完成完整解决方案各部分的设计。现可访问PCI SSC网站了解这些标准。

SPoC测试标准概述了实验室根据该标准进行解决方案评估的测试过程。SPoC安全标准将于下月发布，随后将发布支持程序，将在PCI SSC网站上列出经PCI验证的解决方案，以供商家使用。

有关这一新标准的更多信息，请阅读PCI Perspectives博客帖子New PCI Software-Based PIN Entry on COTS Standard（PCI全新的COTS上基于软件的PIN码输入标准）。

Leach补充说：“对解决方案提供商和应用开发商而言，该标准不仅是安全要求基准规范，而且是安全性测试方法，前者可帮助他们在COTS设备上安全接受基于PIN码的交易，后者可帮助他们在设备和应用程序频繁更新时进行安全性测试。经PCI验证的解决方案将满足由独立实验室测试的一系列可靠的安全目标。如今，越来越多的企业开始使用智能手机、平板电脑和其他COTS设备收款，尤其是小企业。PCI SSC基于软件的PIN码输入解决方案列表将为这些商户提供可供选择的PIN码输入解决方案资源，这些解决方案已通过诸多支付安全实验室的评估和测试，因此用户将从他们支付数据得到的最佳保护中受益。”

关于PCI安全标准委员会
PCI安全标准委员会(PCI SSC)是一个跨行业的全球性开放式论坛，致力于通过提供灵活、有效且以行业为导向的数据安全标准和程序提高支付安全性，帮助企业发现、缓解和阻止网络攻击和漏洞。在LinkedIn上与PCI SSC保持联系。在Twitter @PCISSC上参与会话。订阅PCI Perspectives博客。

原文版本可在businesswire、com上查阅：http://www.businesswire.com/news/home/20180124005766/en/

免责声明：本公告之原文版本乃官方授权版本。译文仅供方便了解之用，烦请参照原文，原文版本乃唯一具法律效力之版本。