PCI PIN Security в рамках SoftPOS-транзакций
Компании, которые рассматривают внедрение бизнес-процессов, связанных с обработкой транзакций через SoftPOS, получают требования от НСПК - пройти аудит по PCI PIN Security. Возникает вопрос: каков же скоуп этого аудита в контексте SoftPOS? Давайте разберёмся.
Первое, что следует учесть при формировании скоупа PCI PIN Security, это каналы передачи PIN-кода. В самом простом варианте в рамках SoftPOS-транзакций каналов два:
В итоге в скоупе PCI PIN Security остаётся второй канал - от бекенд-серверов SoftPOS к процессингу. Важно учитывать, что по этому каналу PIN должен передаваться в формате PIN-блока в зашифрованном виде. При этом шифрование должно осуществляться в сертифицированном криптографическом устройстве. На бекенде этим устройством является HSM.
Второе, что следует учесть при формировании скоупа PCI PIN Security, это криптографическая архитектура, спроектированная для шифрования PIN-блоков, включая используемые алгоритмы шифрования, длины криптографических ключей и процессы управления этими ключами.
Обращаем внимание, что для внедрения SoftPOS-решений необходим сертифицированный HSM, использование которого многие не учитывают при проектировании.
Что же из себя представляет SoftPOS-решение?
На самом деле, всё довольно просто. В работе с каноничными POS-терминалами зачастую возникают проблемы: терминалы зависают, ломаются, затирают криптографические ключи или конфигурацию. Ключи и конфигурацию нужно уметь обновить через непривычный интерфейс POS-терминала. Мерчанты не всегда способны решить подобные проблемы самостоятельно. Им приходится обращаться к банкам-эквайрерам. Банки эквайреры предоставляют мерчантам инженеров, которые либо будут разбираться с терминалом на месте, либо заберут его на технические работы. Таким образом, мерчант не может принимать оплаты в штатном режиме и вынужден просить своих клиентов использовать другой способ оплаты, либо покупать новый терминал. При этом, новый терминал также должен привезти и настроить инженер, работающий на банк-эквайрер.
Для решения этой проблемы в финтех индустрии появилась технология SoftPOS. В рамках этой технологии непривычное для обывателя устройство, коим является POS-терминал, меняется на всем привычный смартфон или планшет с NFC-модулем. На смартфон или планшет устанавливается платёжное приложение давно знакомым способом, из маркета мобильных приложений (RuStore, PlayStore и других). Это мобильное приложение и является SoftPOS. Интуитивно понятный интерфейс мобильного приложения позволяет обывателю легко настроить мобильное приложение-SoftPOS для приёма платежей.
Таким образом, если с аппаратным обеспечением SoftPOS случается проблема, достаточно купить новый смартфон с NFC-модулем и ещё раз установить приложение SoftPOS.
Чтобы стать поставщиком решения SoftPOS, есть два пути:
На практике чаще всего используется именно второй вариант, когда компании напрямую обращаются в международные платёжные системы (МИР, Visa, MasterCard и другие), получают от них перечень требований. Компании предоставляют свидетельства выполнения предъявленных требований и получают от платёжной системы одобрение на SoftPOS-решение.
Компании, которые рассматривают внедрение бизнес-процессов, связанных с обработкой транзакций через SoftPOS, получают требования от НСПК - пройти аудит по PCI PIN Security. Возникает вопрос: каков же скоуп этого аудита в контексте SoftPOS? Давайте разберёмся.
Первое, что следует учесть при формировании скоупа PCI PIN Security, это каналы передачи PIN-кода. В самом простом варианте в рамках SoftPOS-транзакций каналов два:
- От SoftPOS к бекенд-серверам SoftPOS.
- От бекенд-серверов SoftPOS к процессингу банка-эквайрера (или нескольких банков эквайреров).
В итоге в скоупе PCI PIN Security остаётся второй канал - от бекенд-серверов SoftPOS к процессингу. Важно учитывать, что по этому каналу PIN должен передаваться в формате PIN-блока в зашифрованном виде. При этом шифрование должно осуществляться в сертифицированном криптографическом устройстве. На бекенде этим устройством является HSM.
Второе, что следует учесть при формировании скоупа PCI PIN Security, это криптографическая архитектура, спроектированная для шифрования PIN-блоков, включая используемые алгоритмы шифрования, длины криптографических ключей и процессы управления этими ключами.
Обращаем внимание, что для внедрения SoftPOS-решений необходим сертифицированный HSM, использование которого многие не учитывают при проектировании.
Что же из себя представляет SoftPOS-решение?
На самом деле, всё довольно просто. В работе с каноничными POS-терминалами зачастую возникают проблемы: терминалы зависают, ломаются, затирают криптографические ключи или конфигурацию. Ключи и конфигурацию нужно уметь обновить через непривычный интерфейс POS-терминала. Мерчанты не всегда способны решить подобные проблемы самостоятельно. Им приходится обращаться к банкам-эквайрерам. Банки эквайреры предоставляют мерчантам инженеров, которые либо будут разбираться с терминалом на месте, либо заберут его на технические работы. Таким образом, мерчант не может принимать оплаты в штатном режиме и вынужден просить своих клиентов использовать другой способ оплаты, либо покупать новый терминал. При этом, новый терминал также должен привезти и настроить инженер, работающий на банк-эквайрер.
Для решения этой проблемы в финтех индустрии появилась технология SoftPOS. В рамках этой технологии непривычное для обывателя устройство, коим является POS-терминал, меняется на всем привычный смартфон или планшет с NFC-модулем. На смартфон или планшет устанавливается платёжное приложение давно знакомым способом, из маркета мобильных приложений (RuStore, PlayStore и других). Это мобильное приложение и является SoftPOS. Интуитивно понятный интерфейс мобильного приложения позволяет обывателю легко настроить мобильное приложение-SoftPOS для приёма платежей.
Таким образом, если с аппаратным обеспечением SoftPOS случается проблема, достаточно купить новый смартфон с NFC-модулем и ещё раз установить приложение SoftPOS.
Чтобы стать поставщиком решения SoftPOS, есть два пути:
- Пройти сертификацию по стандарту MPoC.
- Пройти бренд-сертификацию у платёжных систем для SoftPOS решения.
На практике чаще всего используется именно второй вариант, когда компании напрямую обращаются в международные платёжные системы (МИР, Visa, MasterCard и другие), получают от них перечень требований. Компании предоставляют свидетельства выполнения предъявленных требований и получают от платёжной системы одобрение на SoftPOS-решение.