Heute gab das PCI Security Standards Council (PCI SSC) einen neuen PCI-Sicherheitsstandards für die softwarebasierte PIN-Eingabe an handelsüblichen Geräten (COTS) wie Smartphones und Tablets bekannt. Der PCI Software-Based PIN Entry on COTS (SPoC) Standard legt die Anforderungen für die Entwicklung sicherer Lösungen fest, mit denen Transaktionen per EMV-Kontakt oder kontaktlos mit PIN-Eingabe am Kundengerät des Händlers erfolgen können. Dazu wird eine Anwendung für die sichere PIN-Eingabe in Verbindung mit einem Secure Card Reader für PIN (SCRP) verwendet.

„Mobile Point-of Sale-Lösungen (MPOS) sind aufgrund ihrer Flexibilität und Effizienz bei kleineren Handelsbetrieben sehr beliebt. Mit MPOS können sie jederzeit und überall Aufträge und Zahlungen per Tablet oder Smartphone abwickeln. Allerdings können die hohen Investitionen in die Hardware kleinere Handelsbetriebe abschrecken, die eine Überprüfung per EMV-Chip und PIN benötigen“, sagte Aite Group Senior Analyst Ron van Wezel. „Mit dem neuen Standard für die PIN-Eingabe hat das PCI Council auf die Marktnachfrage reagiert und die Sicherheitsanforderungen für die direkte PIN-Eingabe über den mobilen Touchscreen definiert. Dies bedeutet, dass Geschäfte jetzt Zahlungen über ihr mobiles Gerät und einen damit verbundenen kleinen und kostengünstigen Kartenleser mit einer sicheren Anwendung für die PIN-Eingabe abwickeln können. Die Zahlungsverkehrsbranche profitiert insgesamt durch eine größere Auswahl bei der Zahlungsakzeptanz, was gleichzeitig für einen Aufschwung bei den elektronischen Transaktionen sorgt.“

„Das PCI Council blickt auf eine lange Geschichte der Entwicklung von Standards zum Schutz von PINs als Verifizierungsmethode in hardwarebasierten Lösungen zurück. Bestehende PCI PIN-Standards erfordern einen hardwarebasierten Schutz der PIN“, erläuterte PCI SSC Chief Technology Officer Troy Leach. „Der neue Standard baut darauf auf und liefert eine alternative Methode zum Schutz der PIN. Dabei wird einerseits die PIN von den anderen Daten isoliert, andererseits kommt ein neuer, stabiler Satz an Sicherheitskontrollen zum Einsatz, die über die physische Hardware selbst hinausgehen. Der PCI-Standard für die softwarebasierte PIN-Eingabe enthält grundlegende Sicherheitsanforderungen für Lösungsanbieter und Anwendungsentwickler, die speziell für die Akzeptanz von Transaktionen auf Basis von EMV-Kontakten oder kontaktlosen Transaktionen mithilfe der softwarebasierten PIN-Eingabe gelten.“

Folgende wichtige Sicherheitsprinzipien sind in den Sicherheits- und Testanforderungen des Standards enthalten:

  • Aktive Überwachung des Dienstes, um potenzielle Bedrohungen der Bezahlumgebung im Smartphone oder Tablet zu verhindern
  • Isolierung der PIN von anderen Kontendaten
  • Gewährleistung der Softwaresicherheit und Integrität der Anwendung für die PIN-Eingabe auf dem COTS-Gerät
  • Schutz von PIN und Kontendaten mithilfe eines PCI-zugelassenen Secure Card Reader für PIN (SCRP)

Lösungsanbietern müssen die „Software-Based PIN Entry on COTS Security Requirements“ bei der Konstruktion jedes einzelnen Teils einer Komplettlösung anwenden. Diese Anforderungen sind jetzt auf der PCI SSC Website eingestellt.

Die „Software-Based PIN Entry on COTS Test Requirements“ legen die Testverfahren für Labors fest, die Lösungen anhand des Standards prüfen. Diese Anforderungen werden nächsten Monat veröffentlicht. Im Anschluss daran wird ein Begleitprogramm freigegeben, in dem die PCI-validierten Lösungen für den Handelsgebrauch auf der PCI SSC Website aufgeführt sind.

Um weitere Informationen über den neuen Standard zu erhalten, lesen Sie den PCI Perspectives Blog Post New PCI Software-Based PIN Entry on COTS Standard.

„Mit diesem Standard erhalten Lösungsanbieter und Anwendungsentwickler grundlegende Sicherheitsanforderungen für die sichere Akzeptanz von PIN-basierten Transaktionen auf einem COTS-Gerät. Er legt außerdem Methoden zum Testen der PCI-validierte Lösungen benötigen einen stabilen Satz an Sicherheitszielen, die von unabhängigen Labors getestet wurden“, ergänzte Leach. „Die Akzeptanz von Zahlungen per Smartphone, Tablet oder anderen COTS-Geräten steigt stetig, insbesondere in kleineren Geschäften. Die Auflistung der softwarebasierten PIN-Eingabelösungen vom PCI SSC dient diesen Händlern als Referenz für die Auswahl einer PIN-Eingabelösung, die von Labors für Zahlungssicherheit bewertet und getestet wurde. Außerdem bietet sie Kunden die Gewissheit, dass sie den optimalen Schutz für ihre Zahlungsdaten erhalten.“

Über das PCI Security Standards Council
Das PCI Security Standards Council (PCI SSC) führt eine globale, branchenübergreifende Initiative zur Optimierung der Sicherheit im Zahlungsverkehr durch. Dazu entwickelt das Council industrieorientierte, flexible und effektive Sicherheitsstandards und -programme, mit denen Unternehmen Cyberattacken und Sicherheitsverstöße erkennen, mindern und vermeiden können. Nehmen Sie mit dem PCI SSC Kontakt auf über LinkedIn. Diskutieren Sie mit auf Twitter unter @PCISSC. Abonnieren Sie den PCI Perspectives Blog.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.