冠狀病毒危機正在改變人類的行為。從對社會疏遠的持續需求到可能永久采用在家工作的任務，“新常態”是未知的領域。

為了促進“無接觸常態”，PCI安全標準委員會（PCI SSC）包括針對商業部署和軟件應用程序的指南，以幫助解決潛在的支付安全漏洞。這是您需要知道的。

控制營商成本

商用現貨（COTS）設備通常是零售商接受非接觸式付款的最簡單方法。通過使用嵌入式近場通信（NFC）讀取器，COTS解決方案可以輕松地與現有POS技術集成，并允許商家使用支持NFC的卡或受支持的智能手機應用程序立即接受來自客戶的非接觸式付款。

PCI COTS非接觸式支付（CPoC）標準為這些設備定義了關鍵的安全要求，以確保安全地捕獲，處理和處理消費者支付卡信息。符合CPoC的解決方案包括三個關鍵要素：

• 具有嵌入式NFC接口的COTS設備，能夠讀取支付卡或支付設備數據。根據CPoC標準，COTS設備必須具有在線連接以支持后端系統交互，并且PCI SSC建議使用受信任的執行環境（TEE）或安全元素（SE），該環境可提供基于硬件的保護以及加密功能操作，密鑰管理和受信任的應用程序托管。

• 在商家COTS系統上運行的經過PCI DSS驗證的付款接受軟件。該應用程序必須提供一個通往嵌入式NFC設備的通道，執行初始數據加密并包含軟件保護機制，以保持其完整性以防惡意攻擊。此外，組織必須能夠證明該應用程序是“在整個軟件生命周期中都具有安全性概念和活動”開發的。

此外，“假定攻擊者擁有在任何未知或不受信任的平臺上執行的軟件的完全訪問權限，其中該軟件可以是二進制可執行文件，解釋的字節碼或加載到平臺上的其他形式。因此，該軟件應提供固有的保護措施，以抵抗代碼執行流程的逆向工程和篡改。這些保護可能包括但不限于使用代碼混淆，對代碼和處理流程的內部完整性檢查以及代碼段加密。”

簡單地說，孤立地部署COTS解決方案以滿足新興的非接觸式支付需求是不夠的-它必須滿足可信賴的數字環境，強大的軟件保護以及獨立的后端處理和監控控制的CPoC標準。

部署3-D安全

除了針對供應商和零售商的COTS指南之外，PCI DSS安全要求還詳細說明了創建滿足理事會3-D安全（3DS）標準的軟件開發套件（SDK ）的要求。為了使3DS SDK產品獲得PCI DSS批準，它們必須滿足三個安全目標：

• 保護3DS SDK的完整性

該目標包括定期的安全檢查，以確定所使用的設備是否已生根或越獄，正在使用模擬器運行3DS SDK，已對該應用進行了篡改或已連接調試器。該軟件還必須檢查以確保其安裝來自經批準的來源，并監視其運行時完整性以識別潛在的篡改，以及部署字符串和代碼混淆工具和技術以防止反向工程。

• 維護敏感的3DS SDK元素

安全的3DS SDK軟件還必須收集并清除敏感數據元素，并確保所使用的任何第三方元素都具有充分的文檔記錄和合理性。此外，軟件必須包括針對UI和HTML呈現的保護，以及針對外部代碼或腳本執行的有效防御。

• 有效且適當地使用密碼術

最后，3DS SDK必須使用EMV 3-D Secure SDK規范中列出的認可的加密算法和方法，并確保隨機數生成器滿足不可預測性的行業標準。

遠距離防御

隨著非接觸式支付成為全國范圍內的標準操作程序，供應商和零售商需要滿足或超過CPoC對軟硬件防御的期望的COTS解決方案，以確保保護消費者支付數據。同時，致力于滿足對符合PCI DSS的SDK的日益增長的需求的開發人員必須確保他們滿足3DS的完整性，元素安全性和加密標準。

在這兩種情況下，遠程防御都始于軟件。通過圍繞應用程序的屏蔽，強化和模糊處理部署先進的工具和技術，開發人員和設備制造商不僅可以提高消費者的安全感，還可以確保新興的COTS和SDK解決方案能夠阻止攻擊者打擊非接觸式網絡安全的努力。

當前的危機狀況已在零售和軟件開發行業中產生連鎖反應，因為沒有任何聯系成為信貸支付的新常態。但是隨著支付指令的變更，潛在的安全漏洞–通過將新的PCI DSS標準與先進的應用程序內保護解決方案結合使用，組織可以主動采取行動，縮短無接觸支付與有效保護之間的距離。

說到應用程序的保護以及代碼混淆，小編為大家推薦兩款實力派軟件保護工具——Dotfuscator和DashO Pro。

Dotfuscator是一個.NET的Obfuscator。它提供企業級的應用程序保護，大大降低了盜版、知識產權盜竊和篡改的風險。Dotfuscator的分層混淆、加密、水印、自動失效、防調試、防篡改、報警和防御技術，為世界各地成千上萬的應用程序提供保護。

DashO是一個Java和Android的混用程序，它提供企業級應用的加固和屏蔽，大大降低了知識產權盜竊、數據盜竊、盜版和篡改的風險。分層混淆，加密，水印，自動失效，反調試，反篡改，反仿真器，反掛鉤，反根設備解決方案，為世界各地的應用程序提供保護。

下表突出顯示了在過去20年中以各種形式包含在PreEmptive Protection產品Dotfuscator和DashO Pro的應用程序內保護模式，其客戶已成功將其集成到幾乎每個行業，地理和設備的應用程序中。

【點擊下載Dotfuscator最新版】        【點擊下載DashO最新版】