PCIの文脈でのCOTS(commercial off-the-shelf)デバイスとは、一般消費者向けに販売されているスマートフォンやタブレットなどのデバイスを指します。従来、店舗でのクレジット決済ではカード情報を読み取る専用端末が必要でしたが、専用端末の代わりにCOTSデバイスを利用する新たな決済ソリューションが注目されています。
COTSデバイスを利用する決済ソリューションに対しては、以下の3つのセキュリティ基準がPCI SSCによって策定されています。
-
PCI SPoC(Software-Based PIN Entry on COTS)
-
PCI CPoC(Contactless Payments on COTS)
-
PCI MPoC(Mobile Payments on COTS)
図:PCI SPoC、PCI CPoC、PCI MPoCの利用イメージ図(NRIセキュアが作成)
PCI SPoCはクレジットカードを読み取るための専用カードリーダーと、PIN(暗証番号)入力を受け付けるCOTSデバイス上のアプリケーションなどから構成されるソリューションを対象としたセキュリティ基準で、
PCI CPoCはCOTSデバイスのNFC(近距離無線通信)機能を利用してクレジットカードを読み取るソリューションを対象としたセキュリティ基準です。PCI MPoCは、PCI SPoCとPCI CPoCをベースとした後継のセキュリティ基準であり、様々なカード読み取り方法と本人確認方法(CVM)に対応している点が特徴です。
