Hoje, o PCI Security Standards Council (PCI SSC) publicou um novo padrão de segurança de dados para soluções que permitem aos comerciantes aceitar pagamentos sem contato com um dispositivo móvel comercial pronto para uso (COTS) (por exemplo, smartphone ou tablet) com comunicação em campo próximo (NFC). Ao utilizar o Padrão para Pagamentos sem Contato da PCI em COTS (CPoC?) e o programa de validação de suporte, os fornecedores podem oferecer aos comerciantes soluções de aceitação sem contato que foram desenvolvidas e testadas em laboratório para proteger dados de pagamento.

"Fornecer ao setor de pagamentos padrões e recursos que ofereçam suporte à aceitação segura de pagamento em canais de pagamento novos e emergentes e com base em cartão é um foco chave para o Conselho", disse Emma Sutcliffe, Diretora de Padrões da PCI SSC. "O padrão de CPoC da PCI é o segundo padrão divulgado pelo Conselho para atender à aceitação móvel sem contato. Especificamente, o Padrão de CPoC da PCI fornece requisitos de segurança e teste para soluções que permitem a aceitação de pagamento sem contato em um dispositivo COTS comercial com uso de um leitor NFC incorporado."

"A adoção de pagamentos sem contato ou em uso contínuo está aumentando a nível mundial, sendo que os comerciantes desejam opções acessíveis, flexíveis e seguras para aceitação de pagamentos sem contato que lhes permitam melhor atender seus clientes. Além das Soluções de Entrada de PIN Baseada em Software da PCI em COTS (SPoC) que permitem a aceitação de pagamento sem contato com um dongle conectado ao dispositivo móvel COTS, o Padrão e o Programa de CPoC da PCI agora oferecem aos comerciantes a opção de usar soluções validadas que não requerem hardware adicional para aceitar transações sem contato", disse Troy Leach, Vice-Presidente Sênior da PCI SSC.

O padrão de CPoC da PCI inclui requisitos de segurança aos fornecedores sobre como proteger dados de pagamento nas soluções de CPoC e requisitos de teste para laboratórios a fim de avaliar estas soluções por meio do programa de validação de suporte. As soluções CPoC validadas estão relacionadas no site da PCI SSC como um recurso para comerciantes e adquirentes. Os detalhes do programa estão descritos no Guia do Programa de CPoC, que está disponível agora no site da PCI SSC.

Os principais elementos de uma solução de CPoC incluem: um dispositivo COTS com uma interface NFC incorporada para ler o cartão ou dispositivo de pagamento; um aplicativo de software de aceitação de pagamento validado que é executado no dispositivo COTS do comerciante que inicia uma transação sem contato; e sistemas de back-end que são independentes do dispositivo COTS e suportam monitoramento, verificações de integridade e processamento de pagamentos. A entrada de PIN baseada em software não é permitida em uma solução de CPoC.

Mediante uma combinação dos controles de segurança incorporados ao aplicativo do comerciante e das verificações contínuas de monitoramento e integridade executadas pelos sistemas de back-end, comerciantes e consumidores podem confiar na segurança da solução de CPoC e na transação sem contato.

"Desenvolvido com a contribuição do setor mundial de pagamentos via processo de pedidos de comentários (RFC), o padrão de CPoC é uma continuação dos esforços do Conselho para oferecer aos comerciantes opções seguras de aceitação de pagamento móvel em que possam confiar para apoiar seus clientes bem como proteger a integridade e confidencialidade de seus dados de pagamento", acrescentou Leach.

