O PCI Security Standards Council (PCI SSC) publicou um novo padrão de segurança de dados para soluções que permitem aos comerciantes aceitarem pagamentos sem contato, usando um dispositivo móvel de uso comum (COTS), por exemplo, smartphone ou tablet, com comunicação em campo próximo (NFC). Usando o padrão PCI Contactless Payments on COTS (CPoC™) e o programa de validação, os fabricantes podem fornecer aos comerciantes soluções de aceitação sem contato que foram desenvolvidas e testadas em laboratório para proteger os dados de pagamento.
“Fornecer a indústria de pagamentos padrões e recursos que suportem a aceitação segura de pagamentos em canais novos e emergentes de cartão e com base em cartão é um foco importante para o Conselho”, disse Emma Sutcliffe, Vice-Presidente Sênior de Padrões do PCI SSC. “O padrão PCI CPoC é o segundo padrão divulgado pelo Conselho para atender à aceitação móvel sem contato. Especificamente, o padrão PCI CPoC fornece requisitos de segurança e de teste para soluções que permitem a aceitação de pagamento sem contato em um dispositivo COTS do comerciante usando um leitor NFC incorporado”.
“A adoção de pagamentos sem contato, ou tap and go, está aumentando globalmente e os comerciantes desejam opções acessíveis, flexíveis e seguras para aceitação de pagamentos sem contato que lhes permitam melhor atender seus clientes. Além das soluções PCI Software-based PIN Entry on COTS (SPoC) que aceitam pagamento sem contato com um leitor conectado ao dispositivo móvel de uso comum (COTS), o padrão e o programa PCI CPoC agora oferecem aos comerciantes a opção de usar soluções validadas que não requerem hardware adicional para aceitar transações sem contato”, disse Troy Leach, Vice-Presidente Sênior do PCI SSC.
O padrão PCI CPoC inclui requisitos de segurança para os fabricantes sobre como proteger dados de pagamento nas soluções CPoC e requisitos de teste para laboratórios avaliarem essas soluções por meio do programa de validação. As soluções CPoC validadas serão listadas no site do PCI SSC como um recurso para comerciantes e adquirentes. Os detalhes do programa estão descritos no Guia do programa CPoC, que está disponível no site do PCI SSC.
Os principais elementos de uma solução CPoC incluem: um dispositivo COTS com uma interface NFC incorporada para ler o cartão ou dispositivo de pagamento; um aplicativo de software de aceitação de pagamento validado que é executado no dispositivo COTS do comerciante que inicia uma transação sem contato; e sistemas de back-end que são independentes do dispositivo COTS e suportam monitoramento, verificações de integridade e processamento de pagamentos. A entrada de PIN baseada em software não é permitida em uma solução de CPoC.
Através de uma combinação dos controles de segurança incorporados ao aplicativo do comerciante e das verificações contínuas de monitoramento e integridade executadas pelos sistemas de back-end, comerciantes e consumidores podem confiar na segurança da solução CPoC e na transação sem contato.
“Desenvolvido com a contribuição da indústria de pagamentos global por meio do processo de pedidos de comentários (RFC), o CPoC Standard é uma continuação dos esforços do Conselho para fornecer aos comerciantes opções seguras de aceitação de pagamento móvel em que podem confiar para apoiar seus clientes e proteger a integridade e confidencialidade de seus dados de pagamento ”, acrescentou Leach.
