當(dāng)前位置:首頁(yè) > 廠商動(dòng)態(tài) > Microchip
[導(dǎo)讀]觸摸屏顯示器是每個(gè)現(xiàn)代支付系統(tǒng)和銷售點(diǎn)(POS)終端的重要組成部分。觸摸屏極大地提升了支付終端的美觀度,同時(shí)提供了一種對(duì)手機(jī)、平板電腦和觸摸屏筆記本電腦的用戶來(lái)說(shuō)都十分熟悉的現(xiàn)代化控制方式。盡管觸摸屏擁有這些優(yōu)點(diǎn),但也增加了一些必須解決的安全漏洞,而銀行卡盜刷者對(duì)于攻破這些漏洞意志堅(jiān)決。遵循支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)對(duì)于設(shè)計(jì)安全的硬件/軟件系統(tǒng)至關(guān)重要,這些系統(tǒng)可幫助客戶構(gòu)建強(qiáng)大且受保護(hù)的支付產(chǎn)品,而不會(huì)犧牲易用性或優(yōu)秀的工業(yè)設(shè)計(jì)。本文介紹了POS支付系統(tǒng)的演變、其觸摸屏安全漏洞以及任何基于觸摸屏的終端必須滿足的PCI認(rèn)證標(biāo)準(zhǔn)。

觸摸屏顯示器是每個(gè)現(xiàn)代支付系統(tǒng)和銷售點(diǎn)(POS)終端的重要組成部分。觸摸屏極大地提升了支付終端的美觀度,同時(shí)提供了一種對(duì)手機(jī)、平板電腦和觸摸屏筆記本電腦的用戶來(lái)說(shuō)都十分熟悉的現(xiàn)代化控制方式。盡管觸摸屏擁有這些優(yōu)點(diǎn),但也增加了一些必須解決的安全漏洞,而銀行卡盜刷者對(duì)于攻破這些漏洞意志堅(jiān)決。遵循支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)對(duì)于設(shè)計(jì)安全的硬件/軟件系統(tǒng)至關(guān)重要,這些系統(tǒng)可幫助客戶構(gòu)建強(qiáng)大且受保護(hù)的支付產(chǎn)品,而不會(huì)犧牲易用性或優(yōu)秀的工業(yè)設(shè)計(jì)。本文介紹了POS支付系統(tǒng)的演變、其觸摸屏安全漏洞以及任何基于觸摸屏的終端必須滿足的PCI認(rèn)證標(biāo)準(zhǔn)。

POS顯示器中的觸摸屏

幾十年來(lái),全球消費(fèi)者一直在POS終端上使用信用卡為商品和服務(wù)付費(fèi)。這些終端逐漸增加了小型低成本顯示器,以幫助商戶和用戶更詳細(xì)地了解交易狀態(tài)。顯示器的兩側(cè)或底部增加了按鈕,與屏幕上的虛擬按鈕對(duì)齊,以便用戶選擇商戶選項(xiàng),如選擇卡片類型(例如,信用卡和借記卡)、選擇小費(fèi)金額和打印收據(jù)。用戶通過(guò)機(jī)械鍵盤(pán)輸入卡號(hào)和PIN碼。這些描述涵蓋了大部分仍在發(fā)貨的POS終端。

支付行業(yè)的一個(gè)趨勢(shì)是用更大的彩色觸摸屏替換小型單色無(wú)觸摸功能顯示器和機(jī)械按鈕。這些彩色顯示器更美觀,對(duì)商戶和消費(fèi)者都更有吸引力。有了觸摸屏顯示器,POS終端供應(yīng)商還能去除顯示器側(cè)面/底部的智能按鈕和機(jī)械鍵盤(pán)。通過(guò)去除隨時(shí)間推移逐漸磨損的活動(dòng)部件(內(nèi)部按鍵開(kāi)關(guān)機(jī)構(gòu)以及按鍵表面的印花),這有助于提高系統(tǒng)的可靠性。此外,觸摸屏還有助于消除水分通過(guò)各個(gè)按鍵進(jìn)入終端的威脅。最后,彩色觸摸屏可幫助商戶進(jìn)行品牌推廣和廣告宣傳,這些趨勢(shì)促使現(xiàn)代支付終端上觸摸屏的尺寸變得越來(lái)越大。

另一個(gè)涉及支付系統(tǒng)中采用更大尺寸觸摸屏的趨勢(shì)是電子現(xiàn)金注冊(cè)機(jī)(ECR)的興起,它們構(gòu)成了POS終端的補(bǔ)充。ECR用于傳統(tǒng)的多通道零售環(huán)境,以及越來(lái)越受歡迎的自助結(jié)賬通道。ECR系統(tǒng)可幫助零售商跟蹤銷售、減少銷售錯(cuò)誤、跟蹤庫(kù)存數(shù)據(jù),并且同時(shí)將財(cái)務(wù)交易記錄到他們的系統(tǒng)中。在輸入諸如產(chǎn)品類型和數(shù)量、購(gòu)買購(gòu)物袋和選擇支付選項(xiàng)等詳細(xì)信息時(shí),ECR觸摸屏顯示器提供了極高的靈活性。ECR通常不是一種安全的支付設(shè)備,因此它經(jīng)常與一臺(tái)通過(guò)卡片、手機(jī)和智能手表處理支付的POS終端結(jié)合使用。

隨著時(shí)間的推移,ECR和POS終端開(kāi)始融合,形成一套基于觸摸屏的安全支付系統(tǒng)。觸摸屏的尺寸大約在3.5英寸到42英寸之間,已經(jīng)成為現(xiàn)代ECR和POS終端不可或缺的組成部分。用戶交互、非接觸式NFC技術(shù)的出現(xiàn)、手機(jī)的連接性,以及將功能整合到一個(gè)系統(tǒng)中,這些因素促成了固定墻壁供電的平板電腦/自助服務(wù)終端或電池供電的移動(dòng)式POS終端的興起,而不是單獨(dú)的ECR-POS系統(tǒng)。便攜式POS終端允許商戶在商店內(nèi)外任何地方收取付款。無(wú)接觸支付的快速增長(zhǎng)趨勢(shì)推動(dòng)了無(wú)人值守和自助式公共支付終端的興起,這些終端廣泛用于自動(dòng)售貨機(jī)、停車計(jì)時(shí)器、自動(dòng)燃油分配器和電動(dòng)汽車充電站。更大尺寸的觸摸屏不僅使商戶能夠顯示更多關(guān)于所購(gòu)買商品的產(chǎn)品信息,而且還能通過(guò)產(chǎn)品促銷和廣告宣傳幫助產(chǎn)生額外的收入流。

POS安全性和PCI合規(guī)性

保護(hù)主賬號(hào)PAN、信用卡憑證(號(hào)碼、到期日期和CVV)和用戶PIN等用戶數(shù)據(jù)成為設(shè)計(jì)支付系統(tǒng)的最高優(yōu)先級(jí)。磁條(刷卡)卡交易存在固有的安全漏洞,而且隨著時(shí)間的推移,當(dāng)磁條磨損和暴露在磁場(chǎng)中時(shí),更容易出現(xiàn)故障。Dip(芯片和PIN)和Tap(近場(chǎng)通信:NFC)等更安全的卡片支付方法是可用的替代方案。這些方法由二維碼(紙或手機(jī)上)和生物特征(如手指、臉或眼睛)等其他認(rèn)證機(jī)制補(bǔ)充。然而,當(dāng)觸摸屏取代機(jī)械鍵盤(pán)時(shí),它們的引入對(duì)PIN輸入系統(tǒng)的安全性也造成一種特殊的新影響。

觸摸數(shù)據(jù)/PIN的傳輸容易受到通過(guò)觸摸傳感器覆蓋層、底層甚至在觸摸IC和安全主機(jī)MPU之間的通信總線探測(cè)攻擊的影響。觸摸控制器上的固件容易被黑客插入后門(mén)來(lái)提取卡片詳細(xì)信息。觸摸控制器的配置易于修改,這可能會(huì)在已經(jīng)通過(guò)安全認(rèn)證測(cè)試的系統(tǒng)上打開(kāi)漏洞。

此外,戶外觸摸屏設(shè)計(jì)要求包括處理極端環(huán)境噪聲、主動(dòng)NFC干擾、極端發(fā)射標(biāo)準(zhǔn)、擴(kuò)展溫度范圍、厚手套檢測(cè)和極端防水(包括高導(dǎo)電清潔液體,否則會(huì)導(dǎo)致錯(cuò)誤的觸摸屏事件)的技術(shù)。未經(jīng)認(rèn)證的配置和軟件更新漏洞也可能導(dǎo)致與勒索攻擊相結(jié)合的拒絕服務(wù)攻擊,如果終端連接到中央更新系統(tǒng),則可能導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。 比如一個(gè)帶集成支付終端的電動(dòng)汽車充電站網(wǎng)絡(luò)。對(duì)于觸摸屏支付系統(tǒng)開(kāi)發(fā)者而言,這意味著額外的挑戰(zhàn)和機(jī)會(huì)。

PCI合規(guī)性來(lái)挽救局面

由主要的支付卡品牌(Visa、MasterCard、American Express、Discover和JCB)創(chuàng)建的支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)已經(jīng)開(kāi)發(fā)并管理了全球知名的PCI DSS,以保護(hù)持卡人的數(shù)據(jù)。支付品牌和收單機(jī)構(gòu)有責(zé)任創(chuàng)建符合PCI標(biāo)準(zhǔn)的產(chǎn)品,以保護(hù)用戶數(shù)據(jù)的存儲(chǔ)、傳輸和處理。根據(jù)支付應(yīng)用類型,PCI合規(guī)要求可能會(huì)有所不同,這可能會(huì)推動(dòng)開(kāi)發(fā)者考慮硬件/軟件/系統(tǒng)級(jí)設(shè)計(jì)等不同因素。

大多數(shù)POS終端供應(yīng)商現(xiàn)在都符合PCI數(shù)據(jù)安全標(biāo)準(zhǔn)。PCI安全機(jī)制力圖將PIN與PAN和其他持卡人數(shù)據(jù)隔離。這確保了通過(guò)軟件應(yīng)用輸入PIN時(shí)的安全性和完整性,并且要求對(duì)此類軟件進(jìn)行主動(dòng)監(jiān)控,以及使用安全密鑰對(duì)用戶數(shù)據(jù)進(jìn)行加密。應(yīng)實(shí)施訪問(wèn)控制以對(duì)設(shè)備用戶或所有者進(jìn)行身份驗(yàn)證。建議設(shè)置故障報(bào)警以針對(duì)篡改、黑客攻擊或功能故障發(fā)出警告。

如果支付系統(tǒng)使用一個(gè)針對(duì)PCI DSS預(yù)先認(rèn)證的單獨(dú)支付模塊,以便使用帶有機(jī)械鍵盤(pán)的讀卡器進(jìn)行安全卡交易,那么觸摸屏不會(huì)在通信線路上傳輸任何安全信息。只有當(dāng)觸摸屏用于輸入信用卡和/或PIN碼數(shù)據(jù)(所謂的PoG,即PIN on Glass)時(shí),才需要對(duì)觸摸屏進(jìn)行PCI PIN交易安全(PTS)認(rèn)證。在這種情況下,需要屏蔽觸摸控制器的通信接口,或者加密觸摸消息數(shù)據(jù)。加密為POS終端供應(yīng)商提供了將觸摸控制器IC移動(dòng)到連接到觸摸傳感器的單層柔性印刷電路(FPC)尾板的機(jī)會(huì),這種尾板結(jié)構(gòu)簡(jiǎn)單且經(jīng)濟(jì)高效。這種配置允許觸摸傳感器供應(yīng)商設(shè)計(jì)、測(cè)試并向POS終端供應(yīng)商交付整套觸摸系統(tǒng),從而降低成本并簡(jiǎn)化供應(yīng)鏈。

一般的PCI認(rèn)證要求

與觸摸屏顯示器相關(guān)的PCI合規(guī)指南由PCI-PTS管理。PIN交易安全要求可大致總結(jié)如下:

?系統(tǒng)中內(nèi)置了在發(fā)生物理或軟件篡改時(shí)關(guān)閉的措施

?機(jī)密用戶數(shù)據(jù)必須始終以加密方式傳輸,并且僅在必要時(shí)才保留

?只有在可以驗(yàn)證軟件完整性的情況下,才能進(jìn)行軟件更新或啟動(dòng)

?只有經(jīng)過(guò)身份驗(yàn)證的用戶才能更新軟件

?密鑰應(yīng)存儲(chǔ)在受保護(hù)的區(qū)域內(nèi),并且應(yīng)創(chuàng)建安全機(jī)制來(lái)保護(hù)生產(chǎn)中的初始密鑰加載

?設(shè)備應(yīng)進(jìn)行自檢并報(bào)告異常

為了方便遵守最新的PCI要求,可以在系統(tǒng)級(jí)別將以下功能構(gòu)建到觸摸控制器產(chǎn)品中:

?每隔24小時(shí)重啟計(jì)劃

?手動(dòng)輸入存在15分鐘超時(shí)

?采用ISO格式4的高級(jí)加密標(biāo)準(zhǔn)(AES)PIN加密

?更嚴(yán)格地使用加密密鑰,客戶密鑰層級(jí)與制造商密鑰層級(jí)之間分離

?PAN加密

?TR-34遠(yuǎn)程密鑰加載(RKL)協(xié)議

PCI實(shí)驗(yàn)室會(huì)驗(yàn)證觸摸屏顯示器,以檢查它能否滿足PIN交易安全標(biāo)準(zhǔn)的安全要求。此驗(yàn)證包括以下測(cè)試:

?通過(guò)黑客攻擊評(píng)估PIN輸入安全性的漏洞

?通過(guò)篡改訪問(wèn)敏感數(shù)據(jù),并檢查系統(tǒng)中使用的響應(yīng)機(jī)制

?驗(yàn)證生產(chǎn)中的密鑰管理技術(shù)和文檔。

?快速直達(dá)重點(diǎn)

支付終端的設(shè)計(jì)需要了解如何實(shí)現(xiàn)完整的系統(tǒng)解決方案和穩(wěn)健的安全標(biāo)準(zhǔn)。像Microchip的maXTouch®控制器產(chǎn)品組合這樣的解決方案具有集成的模擬前端和專有固件,可為任何最終用戶應(yīng)用配置安全的加密通信,從而解決此類復(fù)雜的系統(tǒng)問(wèn)題。

像Microchip的觸摸控制器專家這樣的專門(mén)支持團(tuán)隊(duì)可以指導(dǎo)客戶進(jìn)行系統(tǒng)級(jí)設(shè)計(jì),并在軟件/驅(qū)動(dòng)程序集成過(guò)程、產(chǎn)品測(cè)試和調(diào)試中為他們提供支持。他們?cè)趹?yīng)對(duì)一些世界領(lǐng)先的支付終端供應(yīng)商和認(rèn)證實(shí)驗(yàn)室方面擁有豐富的經(jīng)驗(yàn),這意味著客戶可以獲得他們需要的幫助,從而通過(guò)至關(guān)重要的認(rèn)證過(guò)程。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉