2018年1月30日13:25
PCIセキュリティスタンダードカウンシル(PCI SSC)は、2018年1月29日、スマートフォンやタブレットなどの市販デバイス(COTS)でのソフトウェアベース暗証番号(PIN)入力用の新たなPCIセキュリティ基準を発表した。PCIソフトウェアベース暗証番号入力(COTS)基準(SPoC基準)は、暗証番号用セキュアカードリーダ(SCRP)と共にセキュアな暗証番号入力アプリケーションを使用して、市販デバイス上の暗証番号入力によるEMV接触・非接触トランザクションを可能にするセキュアなソリューションを開発するための要求事項を規定している。
同基準により、PCI SSCは、モバイルのタッチスクリーン上に直接暗証番号を入力するためのセキュリティ要件を規定する。つまり、小売企業はモバイルデバイス、それに接続した小型のカードリーダー、セキュアな暗証番号入力アプリケーションだけで支払いを受理できる。
同基準のセキュリティ要件とテスト要件に含まれる主要なセキュリティ原則として、①電話もしくはタブレット内の決済環境に対する潜在的な脅威を抑制するためにサービスを積極的に監視、②暗証番号を他のアカウント・データから隔離、③COTSデバイス上の暗証番号入力アプリケーションでソフトウエアのセキュリティと完全性を確保、④PCIが承認した暗証番号セキュアカードリーダー(SCRP)を使用して暗証番号とアカウント・データを保護、といった点が挙げられる。
COTS上ソフトウェアベース暗証番号入力のテスト要件は、ラボが基準に照らしてソリューションを評価できるようにテストプロセスの概要を示している。これらは翌月に公開され、その後、PCIが検証したソリューションを小売企業が利用できるようにPCI SSCウェブサイトでリストアップするサポートプログラムも開始するという。
