PCI手机POS标准核心要求
合利宝POS办理官网了解到:
上文,小Wa简单对比了PCI CPoC和SPoC方案的异同(详情见:PCI CPoC与SPoC安全要求的简单对比),今天咱们来看下PCI CPoC的第一部分——核心安全要求。
核心安全要求(Core Requirements)
敏感服务保护(Protection of Sensitive Services)
随机数(Random Numbers)
认可的密码算法(Acceptable Cryptography)
密钥管理(Key Management)
安全软件开发实践(Secure Software Development Practices)
1、敏感服务保护
安全要求:
1)手机POS方案和组件的所有敏感服务应被说明。
2)涉及秘钥和私钥的操作应基于知识分割原则。
3)采用双重控制实施敏感服务。
2、随机数
安全要求:
1)随机数的生成应保证熵源有效。
2)随机数与手机POS的组件无统计相关性。
3)与账户数据和态势感知数据安全性无关的随机数不在本项要求范围内。
3、认可的密码算法
安全要求:
1)RSA、EC、DSA、AES、SHA2/3算法。
密钥最小长度参见下图。
4、密钥管理
安全要求:
1)密钥完整生命周期的管理遵循行业标准,比如ISO 11568 Banking-Key management(retail)。
5、安全软件开发实践
安全要求:
1)软件开发流程遵循行业标准,比如ISO/IEC 27034 application security guideline或SEI CERT安全编码标准等。
其实从核心安全要求来看,CPoC和SPoC并无区别,主要差异还是在应用APP的安全要求方面,留待后面再码字。
合利宝POS办理的POS是一款多场景消费系统,机构管理平台展业通。合利宝支持刷卡、扫一扫,微信、支付宝、云闪付、NFC等多种方式。展业通合利宝稳定可靠合利宝费率稳定不涨费率,不+3,不跳码,无隐藏费用,办合利宝POS,认准展业通!