Джереми Кинг: Стандарт PCI для PIN-on-Glass приведет к появлению на рынке новых поставщиков

Как уже отмечал журнал «ПЛАС», принципиально новым в технологии PIN-on-Glass является тот момент, что ввод ПИН-кода будет осуществляться на устройствах COTS (серийные коммерческие устройства), не предназначенных исключительно для осуществления безналичных платежей.

Джереми Кинг: Стандарт PCI для PIN-on-Glass приведет к появлению на рынке новых поставщиков

На этом фоне Совет по стандартам безопасности данных индустрии платежных карт (PCI SSC) недавно объявил о начале разработки нового стандарта, устанавливающего требования к программному вводу ПИН-кода на COTS-устройствах. Сегодня вместе с Джереми Кингом (Jeremy King), международным директором PCI SSC, мы обсуждаем специфику нового стандарта PCI и его значение для индустрии платежных карт в целом.

ПЛАС: Что представляет собой стандарт программного ввода ПИН-кода на устройствах COTS (стандарт SPoC)?

Д. Кинг: Новый PCI-стандарт программного ввода ПИН-кода на коммерческих устройствах (Software-Based PIN Entry on COTS, или SPoC) устанавливает требования к разработке защищенных решений, обеспечивающих осуществление контактных и бесконтактных EMV-транзакций с вводом ПИН-кода на пользовательских устройствах торгово-сервисных предприятий. Для ввода ПИН-кода такие устройства используют приложение и специальный защищенный картридер (Secure Card Reader for PIN, SCRP).

Напомню, что под серийным коммерческим устройством (commercial off-the-shelf, COTS) подразумевается любое мобильное устройство (например, смартфон или планшет) для массового потребителя, назначение которого не ограничивается исключительно обработкой платежей.

Новый стандарт включает в себя два набора взаимосвязанных требований – требования безопасности, предъявляемые к поставщикам решений, которые необходимо учитывать при разработке каждого элемента готового решения, и требования к тестированию, устанавливающие порядок проведения тестов лабораториями в процессе оценки соответствия решений стандарту.

С требованиями безопасности уже можно ознакомиться на веб-сайте PCI SSC. Требования к тестированию будут опубликованы в следующем месяце, после чего будет представлена вспомогательная программа, в рамках которой на веб-сайте PCI SSC мы перечислим решения, признанные соответствующими стандарту. Этим списком смогут воспользоваться ТСП.

59

ПЛАС:Что должно включать в себя SPoC-совместимое решение согласно стандарту безопасности PCI SPoC?

Д. Кинг: Как я уже отмечал, следует выделять несколько основных элементов такого решения. Первый из них – защищенный картридер для ввода ПИН-кода (SCRP), аналогичный существующим SCRP-устройствам и отвечающий при этом дополнительным требованиям. Вторым элементом является сертифицированное программное приложение, устанавливаемое на устройстве COTS, способное надежно поддерживать набор ПИН-кода в качестве метода аутентификации держателя карты. И, наконец, необходима надежная система мониторинга, предназначенная для проведения проверок на наличие нарушений нормального функционирования и целостности остальных компонентов решения.

Поставщики решений и разработчики приложений смогут использовать новый стандарт для проектирования каждой части готового решения.

ПЛАС: Почему PCI SSC занялся разработкой стандарта PCI SPoC именно сейчас?

На веб-сайте PCI SSC мы перечислим решения, признанные соответствующими стандарту SPoC

Д. Кинг:PCI SSC на постоянной основе осуществляет мониторинг всех нововведений в сфере платежных технологий и инновационных методов обеспечения безопасности и с их учетом анализирует необходимость доработки существующих стандартов PCI или разработки новых. Принимая во внимание, что все больше организаций используют смартфоны и иные устройства COTS для приема и обработки платежей, возникла необходимость в разработке структурированного и безопасного подхода к программному вводу ПИН-кода на устройствах COTS при приеме платежей. Стратегическая цель разработки стандарта PCI SPoC заключается в предоставлении ТСП безопасных решений для ввода ПИН-кода, оцененных и протестированных сертифицированными лабораториями, занимающимися вопросами безопасности платежей.

ПЛАС: Какие ключевые принципы лежат в основе стандарта PCI SPoC?

Д. Кинг:Стандарт базируется на следующих принципах, которые будут закладываться в такого рода решения в целом:

  • Значение ПИН-кода отделено от других пользовательских данных;
  • Обеспечение безопасности ПО и целостности приложения для ввода ПИН-кода на устройстве COTS;
  • Активный мониторинг сервиса с целью минимизации потенциальных угроз платежной среде на телефоне или планшете.

ПЛАС: Чем отличается стандарт PCI SPoC от стандарта PTS POI?

Д. Кинг:Стандарт PCI SPoC представляет собой программный подход к защите ПИН-кода при его наборе на различных устройствах COTS, доступных сегодня на рынке. В свою очередь, стандарт PCI PIN Transaction Security Point of Interaction (PTS POI) будет, как и раньше, применяться именно к специализированным устройствам, являющимся точками взаимодействия при приеме безналичных платежей.

ПЛАС:Какое значение будет иметь разработка и вступление в силу стандарта PCI SPoC для отрасли в целом?

Д. Кинг:Стандарт PCI SPoC определяет для поставщиков решений и разработчиков приложений базовые требования к безопасности, определяющие порядок ввода ПИН-кода на устройствах COTS, а также методы проверки безопасности с учетом частого выхода обновлений для мобильных устройств и приложений. Все это приведет к появлению протестированных независимыми лабораториями безопасных решений, обеспечивающих хранение ПИН-кода на устройствах COTS отдельно от остальных пользовательских данных и непрерывную защиту за счет постоянного мониторинга и иных средств контроля.

Стандарт PCI SPoC представляет собой программный подход к защите ПИН-кода при его наборе на различных коммерческих устройствах

ТСП выиграют от использования решений сертифицированных независимых лабораторий, анализирующих безопасность платежей, а их клиенты будут уверены, что их платежные данные надежно защищены.

ПЛАС:Какое влияние появление нового стандарта может оказать на рынок POS-терминалов и ПИН-падов?

Д. Кинг:Мы считаем, что устройства ввода ПИН-кода, соответствующие стандарту PTS POI PED, будут и дальше использоваться в качестве безопасного, быстрого и эффективного средства осуществления транзакций. Поставщики, как и раньше, будут представлять линейки своих устройств на сертификацию PCI, а новый стандарт лишь обеспечивает им возможность расширить портфель предлагаемых решений за счет альтернативы. Возможно, стандарт приведет к появлению на рынке новых поставщиков, а это, как известно, идет на пользу всем его участникам.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных