PCI CPoC与SPoC安全要求的简单对比
CPoC——又称真手机POS,PCI Contactless Payments on COTS
SPoC——又称伪手机POS,PCI Software-based PIN Entry on COTS
架构差异
CPoC
SPoC
对比上述两个架构,可以得出以下两点差异:
1.硬件构成:CPoC仅依赖手机自身硬件,具备NFC功能即可。SPoC除了依赖手机自身硬件外,对NFC功能无要求,但需搭配外置刷卡器SCRP使用。
2.持卡人数据:CPoC仅采集持卡人的账户数据。SPoC除了采集持卡人的账户数据外,还需采集PIN数据。也正是因为SPoC方案中有PIN数据存在,才会要求使用外置刷卡器,以保证账户数据与PIN数据的安全隔离。
安全要求差异
CPoC
一共6大类模块安全要求,分别是:
1.Core Requirements
2.Contactless on COTS Application
3.Back-end Systems–Monitoring/Attestation
4.Solution Integration Requirements
5.Back-end Systems–Processing
6.Contactless Kernel for COTS
SPoC
一共5大类模块安全要求,分别是:
1.Core Requirements
2.PIN Cardholder Verification Method(CVM)Application
3.Back-end Systems–Monitoring/Attestation
4.Solution Integration Requirements
5.Back-end Systems–Processing
对比上述两种方案安全要求,主要有以下差异:
1.APP安全要求不同。毕竟CPoC方案中APP处理账户数据,而SPoC方案中APP处理PIN数据。
2.Level 2非接触内核要求。由于CPoC方案下的交易要在手机设备上完成,处理交易逻辑的Level 2非接触内核必须运行在手机环境中,因此存在对内核的安全要求。而SPoC方案下的交易一方面要在手机上输入PIN数据,另一方面要通过SCRP处理账户数据,最终交易数据的处理也是在SCRP上完成。由于SCRP必须是通过PCI PTS安全认证的刷卡器设备,所以SPoC方案无需再对Level 2非接触内核单独提出安全要求。