PCI CPoC與SPoC的架構差異

CPoC架構圖

SPoC架構圖

對比上述兩個架構，可以得出以下兩點差異：

1.硬件構成：CPoC僅依賴手機自身硬件，具備NFC功能即可。SPoC除了依賴手機自身硬件外，對NFC功能無要求，但需搭配外置刷卡器SCRP使用。

2.持卡人數據：CPoC僅采集持卡人的賬戶數據。SPoC除了采集持卡人的賬戶數據外，還需采集PIN數據。也正是因為SPoC方案中有PIN數據存在，才會要求使用外置刷卡器，以保證賬戶數據與PIN數據的安全隔離。

安全要求差異

CPoC

一共6大類模塊安全要求，分別是：

1.Core Requirements

2.Contactless on COTS Application

3.Back-end Systems–Monitoring/Attestation

4.Solution Integration Requirements

5.Back-end Systems–Processing

6.Contactless Kernel for COTS

SPoC

一共5大類模塊安全要求，分別是：

1.Core Requirements

2.PIN Cardholder Verification Method(CVM)Application

3.Back-end Systems–Monitoring/Attestation

4.Solution Integration Requirements

5.Back-end Systems–Processing

對比上述兩種方案安全要求，主要有以下差異：

1.APP安全要求不同。畢竟CPoC方案中APP處理賬戶數據，而SPoC方案中APP處理PIN數據。

2.Level 2非接觸內核要求。由于CPoC方案下的交易要在手機設備上完成，處理交易邏輯的Level 2非接觸內核必須運行在手機環境中，因此存在對內核的安全要求。而SPoC方案下的交易一方面要在手機上輸入PIN數據，另一方面要通過SCRP處理賬戶數據，最終交易數據的處理也是在SCRP上完成。由于SCRP必須是通過PCI PTS安全認證的刷卡器設備，所以SPoC方案無需再對Level 2非接觸內核單獨提出安全要求。