当前位置RFID世界网 > 新闻中心 > 行业动态 > 正文

PCI CPoC与SPoC安全要求的简单对比


作者:WaSec 来源:WaSec 2019-06-04 14:10:43 填写您的邮件地址,订阅我们的精彩内容:

摘要:CPoC仅依赖手机自身硬件,具备NFC功能即可。SPoC除了依赖手机自身硬件外,对NFC功能无要求,但需搭配外置刷卡器SCRP使用。

关键词:PCI[35篇]  CPoC[0篇]  SPoC[1篇]  手机POS[14篇]  

CPoC——又称真手机POS,PCI Contactless Payments on COTS

SPoC——又称伪手机POS,PCI Software-based PIN Entry on COTS

架构差异

CPoC

CPoC

SPoC

SPoC

对比上述两个架构,可以得出以下两点差异:

1.硬件构成:CPoC仅依赖手机自身硬件,具备NFC功能即可。SPoC除了依赖手机自身硬件外,对NFC功能无要求,但需搭配外置刷卡器SCRP使用。

2.持卡人数据:CPoC仅采集持卡人的账户数据。SPoC除了采集持卡人的账户数据外,还需采集PIN数据。也正是因为SPoC方案中有PIN数据存在,才会要求使用外置刷卡器,以保证账户数据与PIN数据的安全隔离。

安全要求差异

CPoC

一共6大类模块安全要求,分别是:

1.Core Requirements

2.Contactless on COTS Application

3.Back-end Systems–Monitoring/Attestation

4.Solution Integration Requirements

5.Back-end Systems–Processing

6.Contactless Kernel for COTS

SPoC

一共5大类模块安全要求,分别是:

1.Core Requirements

2.PIN Cardholder Verification Method(CVM)Application

3.Back-end Systems–Monitoring/Attestation

4.Solution Integration Requirements

5.Back-end Systems–Processing

对比上述两种方案安全要求,主要有以下差异:

1.APP安全要求不同。毕竟CPoC方案中APP处理账户数据,而SPoC方案中APP处理PIN数据。

2.Level 2非接触内核要求。由于CPoC方案下的交易要在手机设备上完成,处理交易逻辑的Level 2非接触内核必须运行在手机环境中,因此存在对内核的安全要求。而SPoC方案下的交易一方面要在手机上输入PIN数据,另一方面要通过SCRP处理账户数据,最终交易数据的处理也是在SCRP上完成。由于SCRP必须是通过PCI PTS安全认证的刷卡器设备,所以SPoC方案无需再对Level 2非接触内核单独提出安全要求。

1


上一篇:谁来保护共享的物联网数据?


相关新闻:


关键字搜索:


技术文章:PCI[1篇]  CPoC[0篇]  SPoC[0篇]  手机POS[0篇]  

成功应用:PCI[2篇]  CPoC[0篇]  SPoC[0篇]  手机POS[0篇]  

解决方案:PCI[0篇]  CPoC[0篇]  SPoC[0篇]  手机POS[0篇]  


图片新闻:

热点专题