PCI Security Standards Council
PCI Security Standards Council

PCI 보안표준 협의회(PCI Security Standards Council, PCI SSC)가 근거리통신(NFC) 기능이 있는 상용기성품(COTS) 모바일 기기(스마트폰, 태블릿 등)를 사용한 비접촉식 지불을 판매자가 수용할 수 있게 해주는 솔루션에 대해 새로운 데이터 보안 표준을 발표했다.


이에 따라 공급업체들은 PCI의 COTS 비접촉식 지불(PCI Contactless Payments on COTS, CPoC™) 표준 및 지원 검증 프로그램을 사용해 판매자들에게 지불 정보 보호를 위해 개발되고 연구실 테스트를 마친 비접촉식 결제 솔루션을 제공할 수 있다.

엠마 서트클리프(Emma Sutcliffe) PCI SSC 표준 책임자는 “협회는 신규 카드 및 부상 중인 카드와 카드 기반 지불 채널과 관련해 안전한 지불 수용을 지원하는 표준과 자원을 결제 업계에 제공하는 데 주력하고 있다”며, “PCI CPoC 표준은 모바일 비접촉식 결제 수용을 위해 협회가 발행한 두 번째 표준이다. 특히 PCI CPoC 표준은 내장된 NFC 리더기를 사용해 판매자의 COTS 기기에서 비접촉 결제 수용을 가능하게 하는 솔루션을 위한 보안 및 테스트 요구사항을 제공한다”고 말했다.

트로이 리치(Troy Leach) PCI SSC 수석부사장은 “탭앤고(tap and go) 방식의 비접촉식 결제 수용이 세계적으로 증가하고 있고 판매자들은 고객들에게 최선의 서비스를 제공하기 위해 비접촉식 결제 수용을 위한 저렴하고 유연하며 안전한 옵션을 원하고 있다. PCI CPoC 표준 및 프로그램은 모바일 COTS 기기에 부착된 동글로 비접촉식 결제 수용을 가능하게 하는 PCI COTS 소프트웨어 기반 PIN 입력 솔루션(PCI Software-based PIN Entry on COTS (SPoC) Solutions) 외에도 하드웨어 추가 없이 비접촉식 거래를 수용할 수 있는 검증된 솔루션을 사용할 수 있는 옵션을 판매자들에게 제공한다”고 말했다.

PCI CPoC 표준에는 CPoC 솔루션의 결제 데이터를 보호하는 방법에 대한 공급업체들의 보안 관련 요구사항과 지원 검증 프로그램을 통해 이러한 솔루션을 평가하는 연구실 테스트를 위한 요구사항이 포함된다. 검증된 CPoC 솔루션은 판매자 및 매입사들을 위한 자료로 PCI SSC 웹사이트에 게재된다. 프로그램 세부사항은 현재 PCI SSC 웹사이트에 제공되는 CPoC 프로그램 가이드에 요약되어 있다.

CPoC 솔루션에는 다음과 같은 주요 요소들이 포함된다: 지불 카드 또는 지불 기기를 읽을 수 있는 NFC 인터페이스가 내장된 COTS 기기, 비접촉 거래를 개시하는 판매자용 COTS 기기에서 작동되는 검증된 결제 수용 소프트웨어 응용프로그램, COTS 기기로부터 독립적이며 모니터링, 무결성 검사, 결제 처리를 지원하는 백엔드 시스템. CPoC 솔루션에서 소프트웨어 기반 PIN 입력은 허용되지 않는다.

판매자 응용프로그램에 내장된 보안 제어와 백엔드 시스템에서 수행되는 무결성 검사의 결합을 통해 판매자와 소비자들은 CPoC 솔루션과 비접촉 거래의 보안을 확신할 수 있다.

리치 부사장은 “RFC(requests for comments (RFC) 과정을 통한 전 세계 결제 산업의 의견을 수렴해 개발된 CPoC 표준은 판매자들이 고객들을 지원하고 결제 데이터의 무결성과 기밀성을 보호하는 데 신뢰할 수 있는 안전한 모바일 결제 수용 옵션을 제공하기 위한 협회의 노력의 결실이다”고 말했다.

PCI CPoC 표준 및 프로그램 문서는 PCI SSC 웹사이트(PCI SSC website)에서 열람할 수 있다.

 




추천기사

답글 남기기