PCI SSC tarafından yayınlanan, piyasadaki ceşitli ticari kullanıma hazır cihazlarda(akıllı telefonlar ve tabletler gibi ) PIN girişini korumak icin yazılım tabanlı bir yaklaşım sağlayan, COTS (hazır paket cozumler) uzerinde PCI Yazılım Tabanlı PIN Girişi (SPoC) standardıdır.

SPoC ile PIN on Glass aynı mıdır?

Hayır. SPoC Standardı, PIN ’i satıcıya ait bir hazır paket cozumun yuklu olduğu cihazda kart sahibi doğrulama yontemi olarak kabul etmek icin yazılım tabanlı bir yaklaşımı kapsar.

PIN on Glass, PCI tarafından onaylanmış odeme cihazının dokunmatik ekranındaki PIN girişini ifade eder. PIN girişi icin cihazda fiziksel bir tuş takımı bulunmadığından, bu terminaldeki PIN ’ten farklıdır.

SPoC Cozumu, bir SCRP (Guvenli Kart Okuyucu – PIN), bir PIN CVM uygulaması, satıcının COTS cihazı ile arka uc izleme ve onaylama sistemlerini icerir. Bu unsurların tumu, COTS cihazındaki bir yazılım uygulaması tarafından kabul edilen PIN ’in COTS cihazında diğer hassas verilerden(Kart No, CVV, Son Kullanım Tarihi vs.) izole edilmesini sağlamak icin birlikte calışır. Arka uc izleme ve onay sistemleri, standart dışı durumlar icin tum cozumu surekli olarak izler ve kurcalama veya fiziksel saldırıları kontrol eder. Başka bir deyişle, bir SPoC Cozumunde, satıcıya donuk COTS cihazı tum cozumun yalnızca bir unsurudur.

COTS (SPoC) Standardında Yazılım Tabanlı PIN Girişi altında EMV tabanlı temassız işlemlere izin veriliyor mu?

COTS standardı, dinamik işlem verilerini destekleyen cip tabanlı işlemler icin geliştirilmiştir. Statik işlem verilerine sahip olduğu icin temaslı manyetik şerit okunarak yapılan işlemler haric tutulmuştur. Temassız manyetik şerit okuma yeteneklerinin SCRP ’ler icinde ve temaslı manyetik şerit işlemlerinin SPoC cozumleri tarafından kabul edilmesine veya işlenmesine izin verilmez.

Manyetik şerit okunarak yapılan işlemlere COTS Standardındaki Yazılım Tabanlı PIN Girişi tarafından izin veriliyor mu?

Hayır. Bir SPoC Cozumunde temaslı manyetik şerit okuyuculara (MSR) izin verilmez. Bir Cozumun parcası olarak bir PIN CVM uygulamasıyla yalnızca Guvenli Kart Okuyucu – PIN veya SCRP kullanılmasına izin verilir. SCRP, PTS POI Standardı icinde tum temaslı MSR ozelliklerine izin vermeyen yeni bir Guvenli Kart Okuyucu (SCR) onay sınıfıdır. SPoC Standardında sadece EMV temaslı ve temassız işlemlere izin verilir.

SPoC Cozumu ’nu ne oluşturur? SPOC standardı ayrı bileşenleri kapsıyor mu yoksa tek bir cozum mu?

SPoC Cozumu, PCI onaylı bir SCRP (ler), bir PIN CVM Uygulaması, bir satıcı COTS cihazı ve arka uc izleme ve onaylama sistemlerinden oluşur. Yalnızca Guvenli Kart Okuyucu – PIN (SCRP), PTS POI Standardının bir parcası olarak değerlendirilmesi gerekir. Ancak, bir SPoC Cozumu ile ilişkili tum SCRP ’ler bir SPoC Cozumu değerlendirmesinin bir parcası olarak dahil edilmeli ve bu SPoC Cozumu onayının bir parcası olarak değerlendirilmelidir.