Совет по стандартам безопасности данных индустрии платежных карт (PCI SSC) опубликовал текст спецификации PCI Contactless Payments on COTS (CPoC), устанавливающей правила безопасного приема платежей при помощи мобильных устройств. Новый стандарт призван обеспечить надежную защиту транзакций и позволит производителям расширить список оборудования для бесконтактного получения оплаты.

Ранее индустрия не имела единых норм безопасности программных и аппаратных решений, используемых продавцами для приема платежей. Стандарты устанавливались на уровне государства или отдельных корпоративных разработок, что ограничивало выбор продуктов и не обеспечивало должной безопасности покупок.

Для чего нужен стандарт CPoC

Опубликованный норматив описывает порядок приема платежей с применением смартфонов, планшетов и других устройств с NFC-чипом. Руководствуясь CPoC, поставщики оборудования смогут предложить рынку универсальные решения с гарантированным уровнем безопасности транзакций, а регулирующие органы — интегрировать национальные спецификации в глобальное информационное пространство.

Новые нормы регулируют безопасность аппаратных компонентов мобильного устройства — NFC-чипа и других систем, участвующих в обработке транзакции, а также программного обеспечения — ОС и программы-клиента. Еще одной областью действия стандарта является работа серверной части системы приема бесконтактных платежей.

В PCI SSC ожидают, что первые устройства, сертифицированные по CPoC, появятся на рынке в 2020 году. Список верифицированных решений будет опубликован на сайте Совета. Некоммерческая организация ведет глобальный мониторинг угроз безопасности, связанных с использованием банковских карт, консультирует вендоров, а также разрабатывает и поддерживает ряд стандартов в этой сфере.

Ключевым нормативом Совета является спецификация PCI DSS 3.2, выпущенная в апреле 2016 года. Текущая редакция стандарта содержит 12 основных требований к безопасности платежей с использованием банковских карт. Документ существенно расширил критерии оценки участников, вовлеченных в обслуживание транзакций, закрепил обязанность сервис-провайдеров регулярно тестировать системы платежей и ужесточил требования к маскировке номера счета.

Категории: Главное, Кибероборона