O padrão CPoC (Contactless Payments on COTS) traz requisitos de segurança e de testes para soluções que aceitem pagamentos sem contato

O PCI Security Standards Council (PCI SSC) anunciou ontem um novo padrão de segurança de dados para soluções que permitem aos comerciantes aceitarem pagamentos de dispositivos sem contato. Um dispositivo móvel de uso comum (COTS), por exemplo, seja smartphone ou tablet, com comunicação em campo próximo (NFC). Usando o padrão PCI Contactless Payments on COTS (CPoC) e o programa de validação, os fabricantes podem fornecer aos comerciantes soluções de aceitação sem contato que foram desenvolvidas e testadas em laboratório para proteger os dados de pagamento.
O padrão PCI CPoC contém importantes exigências de segurança para os fabricantes sobre como proteger dados de pagamento nas soluções CPoC e também exigências de testes para laboratórios avaliarem essas soluções por meio do programa de validação. As soluções CPoC validadas serão listadas no site do PCI SSC como um recurso para comerciantes e adquirentes. Os detalhes do programa já estão descritos no Guia do programa CPoC, que está disponível no site do PCI SSC.
Os principais elementos de uma solução CPoC incluem: um dispositivo COTS com uma interface NFC incorporada para ler o cartão ou dispositivo de pagamento; um aplicativo de software de aceitação de pagamento validado que é executado no dispositivo COTS do comerciante que inicia uma transação sem contato; e sistemas de back-end que são independentes do dispositivo COTS e suportam monitoramento, verificações de integridade e processamento de pagamentos. A entrada de PIN baseada em software não é permitida em uma solução de CPoC.
Através de uma combinação dos controles de segurança incorporados ao aplicativo do comerciante e das verificações contínuas de monitoramento e integridade executadas pelos sistemas de back-end, comerciantes e consumidores podem confiar na segurança da solução CPoC e na transação sem contato.