物联传媒 旗下网站
登录 注册
RFID世界网 >  新闻中心  >  行业动态  >  正文

PCI CPoC与SPoC安全要求的简单对比

作者:WaSec
日期:2019-06-04 14:35:54
摘要:CPoC仅依赖手机自身硬件,具备NFC功能即可。SPoC除了依赖手机自身硬件外,对NFC功能无要求,但需搭配外置刷卡器SCRP使用。

CPoC——又称真手机POS,PCI Contactless Payments on COTS

SPoC——又称伪手机POS,PCI Software-based PIN Entry on COTS

架构差异

CPoC

CPoC

SPoC

SPoC

对比上述两个架构,可以得出以下两点差异:

1.硬件构成:CPoC仅依赖手机自身硬件,具备NFC功能即可。SPoC除了依赖手机自身硬件外,对NFC功能无要求,但需搭配外置刷卡器SCRP使用。

2.持卡人数据:CPoC仅采集持卡人的账户数据。SPoC除了采集持卡人的账户数据外,还需采集PIN数据。也正是因为SPoC方案中有PIN数据存在,才会要求使用外置刷卡器,以保证账户数据与PIN数据的安全隔离。

安全要求差异

CPoC

一共6大类模块安全要求,分别是:

1.Core Requirements

2.Contactless on COTS Application

3.Back-end Systems–Monitoring/Attestation

4.Solution Integration Requirements

5.Back-end Systems–Processing

6.Contactless Kernel for COTS

SPoC

一共5大类模块安全要求,分别是:

1.Core Requirements

2.PIN Cardholder Verification Method(CVM)Application

3.Back-end Systems–Monitoring/Attestation

4.Solution Integration Requirements

5.Back-end Systems–Processing

对比上述两种方案安全要求,主要有以下差异:

1.APP安全要求不同。毕竟CPoC方案中APP处理账户数据,而SPoC方案中APP处理PIN数据。

2.Level 2非接触内核要求。由于CPoC方案下的交易要在手机设备上完成,处理交易逻辑的Level 2非接触内核必须运行在手机环境中,因此存在对内核的安全要求。而SPoC方案下的交易一方面要在手机上输入PIN数据,另一方面要通过SCRP处理账户数据,最终交易数据的处理也是在SCRP上完成。由于SCRP必须是通过PCI PTS安全认证的刷卡器设备,所以SPoC方案无需再对Level 2非接触内核单独提出安全要求。