Ihr strategischer Partner für Prüfungen und Zertifizierung

Bitte füllen Sie in kurzer Zeit das Formular aus

KONTAKT

Was ist der PCI MPoC-Standard?

PCI MPoC (Mobile Payment on Commercial Off-The-Shelf) ist ein Standard, der die Zahlungsakzeptanz auf handelsüblichen mobilen Geräten, wie Smartphones und Tablets, ermöglicht. Dieser Standard integriert die Anwendungsfälle von CPoC- und SPoC-Standards. Der neue Standard ist so konzipiert, dass er sowohl die Eingabe von PIN- als auch von kontaktlosen Karteninhaberdaten auf demselben Gerät unterstützt und auch Offline-Transaktionen zulässt.

Vergleichbar mit EMVCo SBMP (Software-based Mobile Payment), welches zur Virtualisierung von Smart Cards verwendet wird, bietet PCI MPoC den Rahmen für sichere mobile Zahlungslösungen.

Bestandteile des PCI MPoC-Standards

Detaillierte Informationen zu den Komponenten und Anforderungen finden Sie in der Dokumentation auf der Website der PCI Security Standards.

Im Folgenden wird eine Zusammenfassung der MPoC-Dokumentation gezeigt:

Produkte, die bereits im Rahmen der bereits bestehenden PCI SPoC- oder PCI CPoC-Programm geprüft wurden, können zur Bewertung im Rahmen des MPoC-Programms eingereicht werden. Wenn diese Produkte durch eine vollständige Evaluierung bestätigt werden, können sie vom PCI SSC (Security Standard Council) zugelassen und als MPoC-Produkte gelistet werden.

Die im MPoC-Standard beschriebenen Sicherheitsanforderungen bieten einen Standard zum Schutz der Vertraulichkeit und Integrität sensibler Zahlungsdaten, die in MPoC-Lösungen erfasst und verarbeitet werden. Dieser Rahmen ist mit Sicherheitsanforderungen, Testanforderungen und Leitlinien für Unternehmen definiert, welche an der Entwicklung, dem Einsatz und dem Betrieb von durch Händler betriebenen mobilen Zahlungsakzeptanzlösungen beteiligt sind und COTS-Geräte verwenden.

Hauptmerkmale des PCI MPoC-Standards

Die wichtigsten Merkmale von PCI MPoC sind die folgenden:

  • Modularer Ansatz: Ermöglicht einen modularen, anpassungsfähigen Ansatz für verschiedene Arten von Akzeptanzkanälen für mobile Zahlungen. PCI MPoC bietet offene Sicherheits- und Testanforderungen, die es den Kunden ermöglichen, ihre eigenen Zahlungslösungen und Anwendungsfälle zu definieren und anzupassen.
  • Integrations-Ansatz: Es ist möglich, mit vorzertifizierten Komponenten zu arbeiten, die in die endgültige Lösung integriert werden können.
  • A&M-Dienste: Beinhaltet Anforderungen für Attestierungs- und Überwachungsdienste, um kontinuierliche Sicherheit und Konformität zu gewährleisten.

Bedeutung des MPoC-Standards

Der MPoC-Standard wird von mehreren großen Zahlungssystemen für die Implementierung von SoftPOS-Lösungen verlangt. Auf dem Zahlungsmarkt ist Vertrauen von größter Bedeutung, und die Unternehmen müssen sicherstellen, dass ihre Systeme sicher bleiben, um dieses Vertrauen aufrecht zu erhalten. Wie können sie also diese Zuverlässigkeit garantieren? Der PCI MPoC-Zertifizierungsstandard wurde zu diesem Zweck entwickelt und bietet die beste Möglichkeit, die Vertrauenswürdigkeit Ihres Produkts nachzuweisen. Diese Zertifizierung umfasst die Bewertung des SDK, der APP und der A&M Services.

Darüber hinaus werden zertifizierte Produkte auf der PCI-Website aufgeführt, wo Prüfer, Händler, Käufer und andere interessierte Parteien Mobile Payments on COTS (MPoC)-Lösungen überprüfen können.

Die Listung ist eine gute Methode, um in diesen exponentiell wachsenden Markt einzusteigen; gleichzeitig hilft die MPOC-Akkreditierung, die Risiken angesichts der wachsenden Bedrohung durch Cyberangriffe auf Geschäftsterminals zu mindern.

Zusammenfassend lässt sich sagen, dass alle Akteure, die mit den wichtigsten Zahlungssystemen zusammenarbeiten wollen, um mobile POS-Terminals zu vertreiben, sicherstellen müssen, dass ihre Produkte PCI-zertifiziert sind.

MPoC Standard Sicherheitsbewertungen

Applus+ Laboratories empfiehlt einige Schritte, um schnelle und einfache Evaluierungen durchzuführen:

  • Die Vorbewertung ist eine schnelle und effektive Methode, um fehlende und/oder falsche Informationen in den Unterlagen zu identifizieren, um die Anforderungen des PCI MPOC zu erfüllen.

    Das Ziel dieser Aktivität ist es, dem Anbieter eine Liste von Problemen zur Verfügung zu stellen, um die Wahrscheinlichkeit zu verringern, dass während der Evaluierung Probleme gefunden werden, die zu Projektverzögerungen und/oder zusätzlichen Evaluierungsschleifen führen, die mit zusätzlichen Kosten verbunden sind.

Zu den Aufgaben gehören die Prüfung der Dokumente und des Programmcodes.

  • Die Evaluation wird durchgeführt, um zu überprüfen, ob das Produkt alle Sicherheits- und Testanforderungen ordnungsgemäß erfüllt. Dies geschieht in Abhängigkeit von den Anforderungen für die verschiedenen Bereiche (abhängig von den Produktfähigkeiten):
    • Bereich 1: MPoC Software Kernanforderungen
    • Bereich 2: MPoC-Anwendungsintegration
    • Bereich 3: Attestierung und Überwachung
    • Bereich 4: MPoC-Software-Verwaltung
    • Bereich 5: MPoC-Lösung
      • Die Evaluierung wird in fünf verschiedenen Schritten durchgeführt:
        • Prüfung: Der Prüfer begutachtet Nachweise wie Entwurfsdokumente, Quellcode, Konfigurationsdateien, Fehlerverfolgungsdaten und Sicherheitstestergebnisse.
        • Testung: Der Prüfer verwendet Sicherheitstools und -techniken wie SAST, DAST, IAST und SCA sowie manuelle Methoden wie Code-Reviews, Penetrationstests und Memory Scraping, um die Lösung zu bewerten.
        • Beobachtung: Der Prüfer überwacht Vorgänge oder Tests und notiert die Ergebnisse, insbesondere unter verschiedenen Bedingungen.
        • Befragung: Der Prüfer spricht mit den Mitarbeitern, um sich ein Bild von ihren Aktivitäten, der Einhaltung definierter Prozesse und ihren Kenntnissen über Richtlinien und Verfahren zu machen.
        • Dokumentation: Der Prüfer hält die Details im Bewertungsbericht für aktuelle oder zukünftige Prüfanforderungen fest.

Die erforderlichen Nachweise sind:

  • MPOC-Formulare: Wie bereits beschrieben, gibt es einige Formulare, die je nach dem zu bewertenden Produkt auszufüllen sind.
  • Technische Dokumentation: Architektur- und Designdokumentation und implementierte Sicherheitsmerkmale/Konfigurationen, einschließlich Verschlüsselungsmethoden, sichere Schlüsselverwaltung und sichere Datenspeicherung.
  • Bewertung der Schwachstellen: Einige Informationen über Fehlerverfolgungsdaten über öffentliche und andere Schwachstellen und Sicherheitstests.
  • Quellcode: Der Quellcode des Produkts.
  • Werkzeuge und Techniken zur Sicherheitsprüfung: Alle Arten von Sicherheitstools und funktionalen Tools, die es dem Labor ermöglichen, das Produkt zu betreiben oder seine Sicherheitsstabilität zu demonstrieren. Dazu gehören auch die Testergebnisse.
  • Dokumentation von Dritten: Jede Art von Sicherheitsleitfaden, Produktinformationen und/oder Zertifikaten Dritter, die bei der Evaluation hilfreich sein könnten.

Wie kann Applus+ Laboratories bei der Einhaltung des PCI MPoC-Standards helfen?

Applus+ Laboratories verfügt über umfangreiche Erfahrungen im Bereich der Sicherheit von mobilen Zahlungsanwendungen, angefangen bei der hohen Fachkompetenz für EMVCo SBMP-Produkte (Software-based Mobile Payment) bis hin zu den neuesten PCI MPoC-Standards.

Darüber hinaus verfügt Applus+ über Erfahrung mit Common.SECC-Bewertungen. Detaillierte Bewertungen auf der Grundlage des Software Payment POI Protection Profile Version 1.2.

Wir nutzen unser Fachwissen über PCI PTS, EMVCo SBMP und Common.SECC, um schnelle und effiziente Evaluierungen durchzuführen. Wir können Ihnen auf dem Weg zur MPoC-PCI-Konformität helfen!

KONTAKT

Verwandte Dienstleistungen zur PCI MPoC-Standard

Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.

Cookie settings panel