近日，PCI SSC更新了關于手機POS（PCI Contactless Payments on COTS Standard）的第一個征求意見稿，PCI SSC 的首席技術官Troy Leach針對相關更新進行了說明介紹。

CPoC標準的進展和特點

Troy Leach表示，目前PCI標準委員會剛剛完成了CPoC標準的第一個征求意見稿，目前正在審查這一反饋，并將與參編人員共享如何處理反饋摘要，并新添加到征求意見中。目前第二個征求意見稿計劃在2019年8月推出，將向PCI移動工作組、參編小組、評估小組和實驗室開放。

COTS是指商戶可以采購到的具有開放標準的軟件和硬件產品，CPoC即Contactless Payments on COTS的簡寫，這項新的非接觸式支付標準解決方案可以使商戶受理他們現有的COTS設備上的非接觸式支付，而不需要任何附加的安全硬件設備。而且其專注于證明移動設備端仍可以保證非接支付交易的安全。

因此，這套新的非接觸式支付標準方案實際上便可以理解為國內的手機POS方案。

Troy Leach介紹，CPoC解決方案的主要元素包括具有NFC接口的COTS設備，以讀取銀行卡和啟動免密的非接觸式交易；在商戶COTS設備上運行的支付安全軟件應用程序；支持實時監控、完整性檢測和支付信息處理并獨立于COTS設備的后端系統。通過商戶應用和配套的后端系統，商家和消費者可以在CPoC安全解決方案上完成非接觸式交易。

除了不需要外設硬件之外，CPoC標準方案與另一個SPoC（the Software-based PIN Entry on COTS）標準方案比較大的不同點在于CPoC直接通過手機等移動設備的NFC進行支付而不需要輸入PIN密碼，而SPoC則專門設計了用于安全認證的外部讀取設備用來輸入PIN密碼。

對于未來是否會考慮為CPoC方案加上輸入密碼操作的問題？他也表示，CPoC標準方案并非專為輸入PIN的場景而設計，但是PCI會持續不斷觀察行業的發展，并推進標準的改革。不過目前來說，保證持卡人密碼與個人數據的安全隔離仍然是所有標準的前提。

國內手機POS方案的發展和異同

2018年12月，中國銀聯聯合各大商業銀行及國內主流手機廠商正式啟動了銀聯手機POS產品的首批應用試點合作，成為全球范圍內手機POS首次正式落地的方案。

而據了解，銀聯的手機POS方案不僅嚴格遵循了人行《移動終端支付可信環境技術規范》，并且聯合相關機構充分解讀細化PCI于2018年3月發布的SPoC規范，依托SPoC規范進行相關設計研發，可以說銀聯手機POS方案的確是一項全球領先的移動金融創新。

SPoC盡管與CPoC有許多相似之處，但是畢竟不是兩個相同的標準方案。于是在去年6月銀聯發布手機POS概念方案之后，PCI便宣布將發布手機POS的認證標準，而這項標準便是如今提到的CPoC。

中國銀聯手機POS產品負責人郭偉向移動支付網介紹，盡管銀聯不是PCI的成員，但是銀聯是EMVCo的股東成員，PCI相關方案的制定會征求EMVCo的意見，銀聯可以通過EMVCo向PCI傳達相關建議。另外，BCTC作為PCI授權的安全檢測機構，也能為該標準落地作出貢獻。

而關于安全考慮來看，目前銀聯手機POS采用了與CPoC相同的方式，主要針對小額免密免簽的交易場景，并提供對應的當日消費撤消和隔日退款功能。

但可能與CPoC不太一樣的是，銀聯手機POS方案除了具備非接支付能力之外還結合了國內的市場情況，兼容了二維碼主被掃、身份證、非接社保卡甚至是刷臉認證在內的多項功能。

從去年年底面世以來，銀聯手機POS先后在數博會、京交會等展會上亮相，并在銀聯食堂進行了壓力試點測試。據郭偉透露，銀聯手機POS作為中國人民銀行聯合五部委的金融科技應用試點項目將會持續穩步推進，預計今年7月份開始將會陸續落地。

結語

移動互聯網的飛速發展下催生了很多新的應用場景和產品形態，手機POS作為一項移動金融創新產品在推向市場時必然會面臨各種挑戰。在幫助收單機構低價高效觸達商戶方面，手機POS具備一定的優勢，但在應用落地實施上，銀聯不是互聯網企業，沒有辦法做到“先斬后奏”。而最重要的問題是，商戶以及消費者對于創新產品的接受程度，這一點我們只能等市場的答案了。