PCI DSS (มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน) - มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรม บัตรชำระเงินพัฒนาโดยสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (PCI SSC) ซึ่งก่อตั้งโดย Visa, MasterCard, American Express, JCB และ Discover
ข้อกำหนดของมาตรฐานนี้ใช้กับทุกบริษัทที่ทำงานร่วมกับต่างประเทศ ระบบการชำระเงิน: ธนาคาร องค์กรการค้าและบริการ ผู้ให้บริการเทคโนโลยี และองค์กรอื่น ๆ ที่มีกิจกรรมที่เกี่ยวข้องกับการประมวลผล การส่ง และจัดเก็บข้อมูลเกี่ยวกับผู้ถือบัตรชำระเงิน
มาตรฐาน PCI DSS กำหนดข้อกำหนดด้านความปลอดภัยของส่วนประกอบโครงสร้างพื้นฐานซึ่งมีการส่ง ประมวลผล หรือจัดเก็บข้อมูลเกี่ยวกับบัตรชำระเงิน การตรวจสอบโครงสร้างพื้นฐานการชำระเงินเพื่อให้เป็นไปตามข้อกำหนดเหล่านี้เผยให้เห็นเหตุผลที่ลดระดับความปลอดภัยลงอย่างมาก การทดสอบการเจาะระบบซึ่งรวมอยู่ในรายการกิจกรรมบังคับที่ควบคุมโดยมาตรฐาน PCI DSS แสดงให้เห็นระดับความปลอดภัยที่แท้จริงของแหล่งข้อมูลข้อมูลของบริษัท ทั้งจากตำแหน่งของผู้โจมตีที่อยู่นอกขอบเขตที่กำลังศึกษา และจากตำแหน่งของ พนักงานบริษัทที่สามารถเข้าถึงได้ “จากภายใน”
สภา PCI DSS ได้กำหนดข้อกำหนดที่สำคัญสำหรับการจัดการการปกป้องข้อมูลในเอกสาร “มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)” ข้อกำหนดและขั้นตอนการประเมินความปลอดภัย เวอร์ชัน 3.0" ข้อกำหนดเหล่านี้ถูกจัดกลุ่มในลักษณะที่ทำให้ขั้นตอนการตรวจสอบความปลอดภัยง่ายขึ้น
ดาวน์โหลด PCI DSS ในภาษารัสเซีย
สร้างและบำรุงรักษาเครือข่ายและระบบที่ปลอดภัย
ปกป้องข้อมูลผู้ถือบัตร
รักษาโปรแกรมการจัดการช่องโหว่
ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด
ดำเนินการตรวจสอบและทดสอบเครือข่ายเป็นประจำ
สนับสนุนนโยบาย ความปลอดภัยของข้อมูล
“การติดตามผลในอนาคต” ช่วยให้ธนาคาร องค์กรการค้าและบริการ และผู้พัฒนาบริการทางการเงินเตรียมความพร้อมสำหรับการตรวจสอบการปฏิบัติตาม PCI DSS และให้การสนับสนุนจากผู้เชี่ยวชาญในการปฏิบัติตามข้อกำหนดของมาตรฐาน
มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน PCI DSS อธิบายข้อกำหนดด้านความปลอดภัยของข้อมูล และใช้ได้กับทุกองค์กรที่ประมวลผล จัดเก็บ และส่งข้อมูลเกี่ยวกับผู้ถือบัตรชำระเงิน Visa, MasterCard, JCB, Discover และ American Express องค์กรดังกล่าวรวมถึงธนาคาร ร้านค้าปลีก ระบบอีคอมเมิร์ซ ผู้ให้บริการโซลูชันการชำระเงิน ศูนย์ข้อมูล และอื่นๆ
รูปแบบการรับรองสำหรับองค์กรเฉพาะตามมาตรฐาน PCI DSS ขึ้นอยู่กับบทบาทในกระบวนการชำระเงินและจำนวนข้อมูลผู้ถือบัตรที่ประมวลผล ตัวอย่างเช่น ให้พิจารณาการรับรองของผู้ให้บริการ ซึ่งรวมถึงธนาคาร เกตเวย์การชำระเงิน และศูนย์ข้อมูล หากปริมาณข้อมูลบัตรที่ประมวลผลเกิน 300,000 ธุรกรรมต่อปี องค์กรดังกล่าวจะต้องผ่านการตรวจสอบการรับรอง QSA ประจำปี และทำการสแกน ASV อัตโนมัติของช่องโหว่ของเครือข่าย สำหรับธุรกรรมที่น้อยลง เพียงกรอกแบบสอบถามการประเมินตนเอง (SAQ) และทำการสแกน ASV
อย่างไรก็ตาม ไม่ว่าวิธีการยืนยันการปฏิบัติตามข้อกำหนดจะต้องเป็นไปตามข้อกำหนดของมาตรฐานหรือไม่ อย่างเต็มที่ในส่วนของเครือข่ายที่สงวนไว้สำหรับโครงสร้างพื้นฐานการชำระเงิน เพื่อแก้ไขปัญหานี้ เราขอเสนอชุดอุปกรณ์พิเศษ บริการให้คำปรึกษารวมกันโดยมีเป้าหมายในการใช้ PCI DSS ในองค์กรและการรับรองที่ตามมาตามมาตรฐานนี้
เพื่อนๆ เรากำลังขยายขอบเขตบริการที่เรามีให้ และเร็วๆ นี้จะเพิ่มความสามารถในการสั่งซื้อบริการสำหรับการสแกนไซต์เพื่อหาโค้ดที่เป็นอันตราย (การสแกน ASV) ลงในเว็บไซต์ของเรา ซึ่งจำเป็นโดยการรับรอง PCI DSS ในเรื่องนี้ เรากำลังเริ่มส่วนใหม่ของการเผยแพร่ที่เกี่ยวข้องกับมาตรฐานและข้อกำหนดด้านความปลอดภัยของข้อมูล ก่อนอื่น เราต้องการพูดคุยเกี่ยวกับการรับรอง PCI DSS การใช้การชำระเงินด้วยเครดิตและ บัตรเดบิตให้การถ่ายโอน การจัดเก็บ และการประมวลผลข้อมูลบัตรชำระเงินที่เป็นไปได้ ซึ่งจะเพิ่มความเสี่ยงของอาชญากรรมในโลกไซเบอร์ ในเรื่องนี้ MasterCard, Visa, American Express และระบบการชำระเงินอื่น ๆ กำหนดข้อกำหนดด้านความปลอดภัยบางประการสำหรับร้านค้าและผู้ให้บริการที่ทำงานกับข้อมูลบัตรชำระเงิน ข้อกำหนดเหล่านี้อธิบายไว้ในมาตรฐาน PCI DSS มาดูกันว่าการรับรอง PCI DSS คืออะไรและมีข้อกำหนดพื้นฐานใดบ้างที่คุณต้องรู้
ควบคุมวัตถุ | ข้อกำหนด PCI DSS |
---|---|
การสร้างและการรักษาเครือข่ายที่ปลอดภัย | 1. การติดตั้งและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตรชำระเงิน |
2. หลีกเลี่ยงการใช้การตั้งค่าเริ่มต้นสำหรับระบบรหัสผ่านและการตั้งค่าความปลอดภัยอื่นๆ | |
การปกป้องข้อมูลของผู้ถือบัตรชำระเงิน | 3. การคุ้มครองข้อมูลที่ได้รับของผู้ถือบัตรชำระเงิน |
4. การเข้ารหัสการส่งข้อมูลของผู้ถือบัตรชำระเงินผ่านเครือข่ายสาธารณะแบบเปิด | |
การสนับสนุนโปรแกรมการจัดการช่องโหว่ | 5. ใช้และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจำในทุกระบบที่มักเสี่ยงต่อมัลแวร์ |
6. การพัฒนาและสนับสนุนระบบและแอปพลิเคชันที่ปลอดภัย | |
ใช้การควบคุมการเข้าถึงที่เข้มงวด | 7. การจำกัดการเข้าถึงข้อมูลของผู้ถือบัตรชำระเงินตามความจำเป็นที่ต้องทราบ |
8. การกำหนดหมายเลขประจำตัวที่ไม่ซ้ำกันให้กับบุคคลที่สามารถเข้าถึงคอมพิวเตอร์แต่ละราย | |
9. การจำกัดการเข้าถึงข้อมูลของผู้ถือบัตรชำระเงินทางกายภาพ | |
การตรวจสอบและทดสอบเครือข่ายเป็นประจำ | 10. การติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของเจ้าของบัตรชำระเงิน |
11. การทบทวนระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ | |
การสนับสนุนนโยบายความปลอดภัยของข้อมูล | 12. นโยบายสนับสนุนที่เกี่ยวข้องกับความปลอดภัยของข้อมูล |
ระดับ | คำอธิบาย | การรับรอง PCI DSS ประกอบด้วย: |
---|---|---|
4 | องค์กรการค้าและบริการที่ประมวลผลธุรกรรมน้อยกว่า 20,000 รายการต่อปีในด้านการพาณิชย์อิเล็กทรอนิกส์ รวมถึงองค์กรการค้าและบริการอื่น ๆ ทั้งหมดที่ไม่อยู่ในรายชื่อในระดับอื่นที่ประมวลผลธุรกรรมมากถึง 1 ล้านรายการต่อปี โดยไม่คำนึงถึงช่องทางของพวกเขา ใบเสร็จ. | ทุกปี: แนะนำให้กรอกแบบสอบถามการประเมินตนเองด้านความปลอดภัย (SAQ) รายไตรมาส: แนะนำให้สแกน ASV; ธนาคารผู้รับบัตรจะกำหนดข้อกำหนดในการปฏิบัติตามข้อกำหนด |
3 | องค์กรการค้าและบริการที่ประมวลผลธุรกรรมอีคอมเมิร์ซ 20,000 - 1 ล้านรายการต่อปี | |
2 | องค์กรการค้าและบริการที่ประมวลผลธุรกรรม 1-6 ล้านรายการต่อปี โดยไม่คำนึงถึงช่องทางการรับ | ทุกปี: กรอกแบบสอบถามการประเมินตนเองด้านความปลอดภัย (SAQ) รายไตรมาส: แนะนำให้สแกน ASV |
1 | องค์กรการค้าและบริการที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปี โดยไม่คำนึงถึงช่องทางการรับ | ทุกปี: การตรวจสอบดำเนินการโดยผู้ตรวจสอบความปลอดภัยที่ได้รับอนุมัติ (การตรวจสอบ QSA) รายไตรมาส: ASV สแกนหาช่องโหว่ |
โซลูชันการชำระเงินผ่านมือถือยังไม่แพร่หลายในตลาดโลกและในประเทศของเราโดยเฉพาะ อย่างไรก็ตาม ความสนใจในโซลูชันดังกล่าวจากนักพัฒนาฟินเทค ธุรกิจ และองค์กรการค้าและบริการมีเพิ่มขึ้นทุกปี
อันเดรย์ ไกโก้
ผู้ตรวจสอบความปลอดภัยดิจิทัลที่ผ่านการรับรอง QSA
โซลูชันการชำระเงินผ่านมือถือ (mPOS) ประกอบด้วยองค์ประกอบหลักดังต่อไปนี้:
โดยโซลูชันการชำระเงินผ่านมือถือ เราหมายถึงแพลตฟอร์มซอฟต์แวร์และฮาร์ดแวร์สำหรับองค์กรการค้าและบริการ (ต่อไปนี้จะเรียกว่า TSP) ซึ่งอนุญาตให้รับการชำระเงินจาก บุคคลผ่านสมาร์ทโฟน/แท็บเล็ตและเครื่องอ่านที่เชื่อมต่ออยู่ การใช้ mPOS ทำให้สามารถรับชำระเงินได้ทั้งแบบไร้สัมผัส (โดยใส่บัตรธนาคารเข้าไป) โทรศัพท์มือถือลูกค้าที่รองรับ NFC (ต่อไปนี้จะเรียกว่าการ์ด NFC) หรือบัตรธนาคารแบบไร้สัมผัส) และตามปกติ บัตรพลาสติก(มีแถบแม่เหล็กและ/หรือชิป EMV)
นอกเหนือจากฟังก์ชั่นการอ่านบัตรอย่างปลอดภัยและการป้อนรหัส PIN แล้ว mPOS จะต้องรองรับวิธีการหลักทั้งหมดในการตรวจสอบผู้ถือบัตร การเข้ารหัสข้อมูลระหว่างการส่งผ่านระหว่างส่วนประกอบและส่วนการประมวลผลของระบบ ตลอดจนความสามารถในการพิมพ์ใบเสร็จหรือส่ง ผ่านทาง SMS และ อีเมล.
ทางด้านผู้ให้บริการหรือธนาคารของผู้รับบัตรซึ่งมีหน้าที่รับและประมวลผลข้อมูลเพิ่มเติมสำหรับการชำระเงิน mPOS นั้น จะใช้ระบบแบ็คเอนด์ (เกตเวย์การชำระเงิน) คล้ายกับที่ใช้สำหรับอินเทอร์เน็ตหรือการรับ POS ทั่วไป
เพื่อให้เข้าใจว่าต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยใดบ้าง จำเป็นต้องระบุองค์ประกอบหลักของระบบนิเวศ mPOS และการไหลของข้อมูลที่มีอยู่ในระดับเทคนิค เพื่อให้เข้าใจถึงความรับผิดชอบของผู้มีบทบาทในระบบนิเวศ mPOS ในเรื่องความปลอดภัยในการชำระเงินในระดับธุรกิจ จึงจำเป็นต้องระบุรูปแบบธุรกิจที่มีอยู่ของผู้เข้าร่วมในกระบวนการชำระเงิน
แผนภาพการไหลของข้อมูลประกอบด้วย 8 ขั้นตอนหลัก (ดูรูปที่ 1):
บริษัทต่อไปนี้สามารถมีส่วนร่วมในการดำเนินการตามกระบวนการที่อธิบายไว้ข้างต้น:
ควรสังเกตว่าบริษัทสามารถดำเนินการได้มากกว่าหนึ่งบทบาทเหล่านี้ มีความเป็นไปได้ที่บริษัทจะสามารถพัฒนาส่วนประกอบซอฟต์แวร์และฮาร์ดแวร์ทั้งหมดของโซลูชัน mPOS ได้อย่างสมบูรณ์ ขึ้นอยู่กับหน้าที่ที่บริษัทจะดำเนินการ ขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยที่ต้องปฏิบัติตาม
รายการองค์ประกอบหลักและประเภทโมเดลธุรกิจมีไว้เพื่อทำความเข้าใจว่าควรแบ่งความรับผิดชอบในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยให้กับผู้เข้าร่วมทั้งหมดในระบบนิเวศ mPOS อย่างไร
แนวทางการรักษาความปลอดภัยฉบับแรกสำหรับโซลูชันการชำระเงินผ่านมือถือออกโดย Visa ในปี 2554 ซึ่งรวมถึง: คำแนะนำทั่วไปสำหรับนักพัฒนาและผู้ค้าเกี่ยวกับความปลอดภัยของการใช้โซลูชันการชำระเงินผ่านมือถือ ในปี 2012 PCI SSC ได้ออกคำแนะนำโดยละเอียดเพิ่มเติมสำหรับนักพัฒนา ปัจจุบัน ปัญหา IPS และ PCI SSC ได้อัปเดตคำแนะนำด้านความปลอดภัยของ mPOS เกือบทุกปี
นอกเหนือจากคำแนะนำแล้ว Visa และ MasterCard ยังได้พัฒนาโปรแกรมการรับรองสำหรับผู้ให้บริการโซลูชันการชำระเงินผ่านมือถือ ในความเป็นจริงทั้งสองโปรแกรมค่อนข้างคล้ายกันและมีความเป็นไปได้สูงที่อาจกล่าวได้ว่าการพัฒนาโซลูชันตามข้อกำหนดของ MPS ตัวใดตัวหนึ่งสามารถได้รับการรับรองจากอีกตัวหนึ่งได้ MPS ทั้งสองดูแลการลงทะเบียนของบริษัทที่ได้รับการรับรองและโซลูชั่น mPOS
PCI DSS
ใน เวอร์ชันใหม่มาตรฐานข้อกำหนดใหม่ปรากฏว่าเกี่ยวข้องกับความปลอดภัยของ mPOS มาก โดยเฉพาะอย่างยิ่งส่วนที่ 9 ได้เพิ่มข้อ 9.9 ซึ่งจำเป็นต้องเก็บบันทึกอุปกรณ์อ่านบัตร ตลอดจนจัดการฝึกอบรมพนักงาน/ผู้ใช้บริการอุปกรณ์เป็นระยะๆ เพื่อให้สามารถระบุการทดแทน mPOS หรือสัญญาณอื่นๆ ของ skimming ได้ ในกรณีผู้ให้บริการโซลูชั่น mPOS หรือบริษัทเข้าซื้อกิจการ ในการจัดหาอุปกรณ์อ่านข้อมูลให้กับลูกค้า จะต้องจัดทำคำแนะนำและคำแนะนำในการป้องกัน Skimming และแจ้งให้พนักงานร้านค้าทราบ ส่วนหนึ่งของการปฏิบัติตามข้อกำหนด 12.8 ผู้ให้บริการและผู้รับบัตรอาจผูกมัดตามสัญญาแก่ร้านค้าในการปฏิบัติตามข้อกำหนดด้านความปลอดภัย mPOS ที่เกี่ยวข้อง
แม้ว่าการดำเนินการตามข้อกำหนดด้านความปลอดภัยส่วนใหญ่จะตกอยู่กับผู้ให้บริการและธนาคารหลายแห่ง แต่ธนาคารของผู้รับบัตรมีสิทธิ์ที่จะกำหนดให้ร้านค้ากรอกเอกสารการประเมินตนเอง (SAQ) ประเภทที่เหมาะสม (SAQ P2PE-HW ในกรณีที่ ร้านค้าที่ใช้โซลูชั่น P2PE, SAQ B-IP กรณีใช้ mPOS กับเครื่องอ่านที่ได้รับการรับรอง PCI PTS) ตารางจะระบุองค์ประกอบของโซลูชัน mPOS มาตรฐานที่เกี่ยวข้องที่ส่วนประกอบต้องปฏิบัติตาม และบริษัทที่รับผิดชอบในการดำเนินการตามข้อกำหนด
ข้อกำหนด 12.8 ยังเกี่ยวข้องในกรณีที่ซอฟต์แวร์โซลูชัน mPOS สำหรับผู้ให้บริการได้รับการพัฒนาโดยบุคคลที่สาม ในกรณีนี้ การปฏิบัติตามข้อกำหนด 6.5 จะตกเป็นภาระของบริษัทผู้พัฒนาโดยสิ้นเชิง นอกจากนี้ หากบริษัทพัฒนาไม่ปฏิบัติตามข้อกำหนด ผู้ให้บริการจะไม่สามารถผ่านการตรวจสอบการปฏิบัติตาม PCI DSS ได้ ข้อตกลงระหว่างผู้ให้บริการ (ผู้รับบัตร) และนักพัฒนาควรจัดให้มีสำหรับประเด็นในการดำเนินการตรวจสอบกระบวนการทางธุรกิจบางอย่างของบริษัทผู้พัฒนาในกรณีที่ผู้ให้บริการผ่านการรับรอง PCI DSS ประจำปี เนื่องจาก กระบวนการพัฒนาจะรวมอยู่ในขอบเขตการตรวจสอบผู้ให้บริการ เช่นเดียวกับในกรณีของการจ้างบริการอื่น ๆ โดยทั่วไป การยืนยันโดยบุคคลที่สามเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS ที่เกี่ยวข้องนั้นสามารถรับรองได้โดยการรับรองตนเองของกระบวนการทางธุรกิจที่จำเป็นตาม PCI DSS ตามด้วยการจัดหาหลักฐานการตรวจสอบที่ประสบความสำเร็จ หรือโดยการให้โอกาส เพื่อตรวจสอบกระบวนการทางธุรกิจซึ่งเป็นส่วนหนึ่งของการตรวจสอบผู้ให้บริการ (ผู้ซื้อ)
โปรดทราบว่าในประเทศของเรา การตรวจสอบของนักพัฒนาซึ่งเป็นส่วนหนึ่งของการตรวจสอบของบริษัทลูกค้านั้นเกิดขึ้นน้อยมาก นักพัฒนาสามารถรับประกันความรู้และการใช้วิธีการพัฒนาที่ปลอดภัยด้วยวาจา แต่ในความเป็นจริงไม่มี ความรู้ที่จำเป็นและไม่ปฏิบัติตามขั้นตอนที่เหมาะสม ด้วยการเปิดตัว PCI DSS เวอร์ชันใหม่ สถานการณ์ควรเปลี่ยนแปลง เนื่องจากข้อกำหนดมีรายละเอียดมากขึ้น และขั้นตอนการตรวจสอบที่ระบุในข้อความของมาตรฐานกำหนดให้ผู้ตรวจสอบ QSA ดำเนินการตรวจสอบเชิงลึกมากขึ้น
PCI PTS
มาตรฐาน PCI PTS ควบคุมข้อกำหนดด้านความปลอดภัยสำหรับอุปกรณ์จุดโต้ตอบ (POI) และโมดูลความปลอดภัยของฮาร์ดแวร์ (HSM) เครื่องอ่านที่เชื่อมต่อกับอุปกรณ์เคลื่อนที่คือ POI ดังที่ได้กล่าวไว้ข้างต้น โซลูชัน mPOS ใช้ POI สองคลาส: PIN Entry Device (PED) และ Secure Card Reader (SCR) ขึ้นอยู่กับประเภทของ POI ของอุปกรณ์การอ่าน กลุ่มของข้อกำหนด PCI PTS จะถูกกำหนดว่าอุปกรณ์นั้นจะต้องปฏิบัติตาม
ปัจจุบัน โซลูชัน mPOS บางส่วนที่นำเสนอในตลาดภายในประเทศใช้เครื่องอ่านจากผู้ผลิตที่ไม่ระบุชื่อ การใช้เครื่องอ่านดังกล่าวไม่รับประกันการถ่ายโอนข้อมูลที่ปลอดภัยระหว่างอุปกรณ์ และทำให้สามารถถ่ายโอนหมายเลขการ์ดในรูปแบบข้อความที่ชัดเจนไปยังอุปกรณ์มือถือได้ ดังนั้นเมื่อเลือกโซลูชัน mPOS คุณต้องตรวจสอบให้แน่ใจว่าผู้ให้บริการมีเครื่องอ่านที่ได้รับการรับรอง PCI PTS
มีโมเดลธุรกิจสองแบบสำหรับการพัฒนาซอฟต์แวร์ไคลเอ็นต์: การพัฒนาสำหรับโครงการของคุณเอง เมื่อนักพัฒนาสร้างโซลูชัน mPOS และนำออกสู่ตลาดภายใต้แบรนด์ของเขาเอง: ในกรณีนี้ นักพัฒนาจะเป็นผู้ให้บริการโซลูชัน mPOS – และการพัฒนาโซลูชันขั้นสุดท้ายสำหรับการออกใบอนุญาตเพิ่มเติมโดยบริษัทที่รวมส่วนประกอบจากผู้ผลิตหลายรายเข้าด้วยกัน และสร้างโซลูชัน mPOS ของตนเองตามส่วนประกอบเหล่านั้น
PA-ดีเอสเอส
สำหรับโซลูชัน mPOS PA-DSS ใน บังคับใช้ได้กับเฟิร์มแวร์ของอุปกรณ์ที่อ่านข้อมูลการ์ด สำหรับซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์เคลื่อนที่ของพนักงานร้านค้า มาตรฐานนี้ถือเป็นคำแนะนำ เนื่องจากอุปกรณ์เคลื่อนที่มีสภาพแวดล้อมที่ไม่น่าเชื่อถือและมีการควบคุมไม่ดี ตัวอย่างเช่น อุปกรณ์อาจถูกเจลเบรค ซึ่งจะลดความปลอดภัยของอุปกรณ์ตามลำดับความสำคัญ และไม่รับประกันความปลอดภัยของแอปพลิเคชันการชำระเงินที่ติดตั้ง นั่นคือเหตุผลที่ MPS ห้ามไม่ให้ใช้อุปกรณ์เคลื่อนที่ในการป้อนรหัส PIN และกำหนดให้ข้อมูลจากอุปกรณ์อ่านข้อมูลมาที่ซอฟต์แวร์มือถือในรูปแบบที่เข้ารหัส จากนั้นจึงส่งข้อมูลในรูปแบบเดียวกันไปยังบริษัทที่รับบัตร ในกรณีนี้ ข้อมูลบัตรชำระเงินจะไม่ได้รับการประมวลผลและจัดเก็บไว้ในข้อความที่ชัดเจนบนอุปกรณ์เคลื่อนที่ ดังนั้นข้อกำหนดของ PA-DSS จะไม่มีผลใช้บังคับ
ในมาตรฐานเวอร์ชัน 3.0 ข้อกำหนดใหม่ปรากฏว่าผู้พัฒนาเฟิร์มแวร์สำหรับการอ่านอุปกรณ์และแอปพลิเคชันการชำระเงินแบบบรรจุกล่องควรให้ความสนใจเป็นอันดับแรก ขั้นแรก การอัปเดตแต่ละครั้งที่เผยแพร่จะต้องผ่านการรับรองแยกกัน ประการที่สอง ขณะนี้ลูกค้าต้องใช้เฉพาะซอฟต์แวร์เวอร์ชัน (อัปเดต) ที่ได้รับการรับรองและแสดงอยู่ในเว็บไซต์ของสภา PCI เท่านั้น
PCI P2PE
ค่อนข้างเผยแพร่เมื่อเร็ว ๆ นี้ มาตรฐานใหม่การรักษาความปลอดภัย PCI P2PE มาตรฐานนี้มีไว้สำหรับโซลูชันที่ให้การปกป้องข้อมูลด้วยการเข้ารหัสเมื่อถ่ายโอนระหว่างส่วนประกอบทั้งหมดของโซลูชันการชำระเงิน หากใช้การเข้ารหัส ขอบเขตของมาตรฐานในร้านค้าจะถูกจำกัดให้แคบลงเหลือระดับต่ำสุด เนื่องจากร้านค้าไม่สามารถรับข้อมูลเกี่ยวกับผู้ถือบัตรในรูปแบบข้อความที่ชัดเจน
รายการองค์ประกอบหลักทั้งหมดของระบบนิเวศ mPOS ประกอบด้วย:
ต่างจาก PCI DSS ซึ่งใช้กับโครงสร้างพื้นฐานข้อมูลเท่านั้น PCI P2PE มีความครอบคลุมมากกว่าและไม่เพียงแต่ใช้กับโครงสร้างพื้นฐานเท่านั้น แต่ยังรวมถึงอุปกรณ์การอ่านและซอฟต์แวร์ของเทอร์มินัล POI ด้วย (ในแอปพลิเคชันกับ mPOS อุปกรณ์เหล่านี้เป็นอุปกรณ์อ่าน) มาตรฐานประกอบด้วย 6 โดเมน ข้อกำหนดซึ่งเป็นไปตามมาตรฐาน PCI ในปัจจุบัน: อุปกรณ์อ่านต้องเป็นไปตามข้อกำหนดของ PCI PTS SRED ซอฟต์แวร์เครื่องอ่าน – PA-DSS; การจัดการคีย์เข้ารหัส - ข้อกำหนดด้านความปลอดภัยของ PCI PIN; โครงสร้างพื้นฐานข้อมูลการชำระเงินของร้านค้า - PCI DSS หากโซลูชันได้รับการรับรอง PCI P2PE หมายความว่าข้อมูลระหว่างระบบย่อยทั้งหมด (จากเครื่องอ่านไปยังอุปกรณ์เคลื่อนที่ในซอฟต์แวร์ จากซอฟต์แวร์ไปจนถึงการประมวลผลและอื่นๆ) จะถูกส่งในรูปแบบที่เข้ารหัส และระบบย่อยทั้งหมดจะปฏิบัติตามข้อกำหนดของ มาตรฐาน PCI ที่เกี่ยวข้อง
ทั้งส่วนประกอบแต่ละส่วนและโซลูชันที่สมบูรณ์สามารถได้รับการรับรองตามข้อกำหนด P2PE
IPS แนะนำให้ใช้โซลูชั่น P2PE เพื่อรับชำระเงินผ่าน mPOS อย่างไรก็ตาม ปัญหาคือในขณะนี้มีโซลูชันประเภทนี้ไม่กี่รายการในตลาด ดังนั้นจึงไม่จำเป็นต้องใช้ MPS แต่แนะนำให้ใช้โซลูชัน PCI P2PE และรับคำแนะนำเมื่อพัฒนา อย่างไรก็ตาม ผู้ให้บริการโซลูชันการชำระเงิน mPOS จำเป็นต้องเตรียมพร้อมสำหรับข้อเท็จจริงที่ว่าในไม่ช้า MPS จะต้องได้รับการรับรองภาคบังคับสำหรับโซลูชัน mPOS ของตนตามข้อกำหนด PCI P2PE