PCI SSC tarafından yayınlanan, piyasadaki çeşitli ticari kullanıma hazır cihazlarda(akıllı telefonlar ve tabletler gibi ) PIN girişini korumak için yazılım tabanlı bir yaklaşım sağlayan, COTS (hazır paket çözümler) üzerinde PCI Yazılım Tabanlı PIN Girişi (SPoC) standardıdır.
SPoC ile PIN on Glass aynı mıdır?
Hayır. SPoC Standardı, PIN’i satıcıya ait bir hazır paket çözümün yüklü olduğu cihazda kart sahibi doğrulama yöntemi olarak kabul etmek için yazılım tabanlı bir yaklaşımı kapsar.
PIN on Glass, PCI tarafından onaylanmış ödeme cihazının dokunmatik ekranındaki PIN girişini ifade eder. PIN girişi için cihazda fiziksel bir tuş takımı bulunmadığından, bu terminaldeki PIN’ten farklıdır.
SPoC Çözümü, bir SCRP (Güvenli Kart Okuyucu – PIN), bir PIN CVM uygulaması, satıcının COTS cihazı ile arka uç izleme ve onaylama sistemlerini içerir. Bu unsurların tümü, COTS cihazındaki bir yazılım uygulaması tarafından kabul edilen PIN’in COTS cihazında diğer hassas verilerden(Kart No, CVV, Son Kullanım Tarihi vs.) izole edilmesini sağlamak için birlikte çalışır. Arka uç izleme ve onay sistemleri, standart dışı durumlar için tüm çözümü sürekli olarak izler ve kurcalama veya fiziksel saldırıları kontrol eder. Başka bir deyişle, bir SPoC Çözümünde, satıcıya dönük COTS cihazı tüm çözümün yalnızca bir unsurudur.
COTS (SPoC) Standardında Yazılım Tabanlı PIN Girişi altında EMV tabanlı temassız işlemlere izin veriliyor mu?
COTS standardı, dinamik işlem verilerini destekleyen çip tabanlı işlemler için geliştirilmiştir. Statik işlem verilerine sahip olduğu için temaslı manyetik şerit okunarak yapılan işlemler hariç tutulmuştur. Temassız manyetik şerit okuma yeteneklerinin SCRP’ler içinde ve temaslı manyetik şerit işlemlerinin SPoC çözümleri tarafından kabul edilmesine veya işlenmesine izin verilmez.
Manyetik şerit okunarak yapılan işlemlere COTS Standardındaki Yazılım Tabanlı PIN Girişi tarafından izin veriliyor mu?
Hayır. Bir SPoC Çözümünde temaslı manyetik şerit okuyuculara (MSR) izin verilmez. Bir Çözümün parçası olarak bir PIN CVM uygulamasıyla yalnızca Güvenli Kart Okuyucu – PIN veya SCRP kullanılmasına izin verilir. SCRP, PTS POI Standardı içinde tüm temaslı MSR özelliklerine izin vermeyen yeni bir Güvenli Kart Okuyucu (SCR) onay sınıfıdır. SPoC Standardında sadece EMV temaslı ve temassız işlemlere izin verilir.
SPoC Çözümü’nü ne oluşturur? SPOC standardı ayrı bileşenleri kapsıyor mu yoksa tek bir çözüm mü?
SPoC Çözümü, PCI onaylı bir SCRP (ler), bir PIN CVM Uygulaması, bir satıcı COTS cihazı ve arka uç izleme ve onaylama sistemlerinden oluşur. Yalnızca Güvenli Kart Okuyucu – PIN (SCRP), PTS POI Standardının bir parçası olarak değerlendirilmesi gerekir. Ancak, bir SPoC Çözümü ile ilişkili tüm SCRP’ler bir SPoC Çözümü değerlendirmesinin bir parçası olarak dahil edilmeli ve bu SPoC Çözümü onayının bir parçası olarak değerlendirilmelidir.