Wachablösung im mPOS Bereich?

Seit mehreren Monaten tauchen im mPOS Bereich immer wieder neue Lösungen und Fachbegriffe wie TtP, ToP, COTS, CPoC, SPoC auf, welche nicht nur unter den Händlern, sondern auch in der Zahlungsbranche selbst immer wieder zu Verwirrung und Verwechslung führen. Was steht hinter diesen Fachbegriffen und welche Merkmale haben entsprechende Lösungen? Als nationale Zertifizierungsstelle des ep2 Standards (Terminals & Automaten) möchten wir etwas Licht ins Dunkel bringen, denn obschon oftmals jegliche Lösungen unter dem Modebegriff ‹SoftPos› in einen Topf geworfen werden, gibt es beträchtliche Unterschiede betreffend Zulassung & Funktionalität.

Entwicklung der mPOS Lösungen

Der Wunsch des Handels für mobile Bezahllösungen ist seit langem bekannt, sei es der Taxifahrer oder Verkäufer am Markstand, welcher kein Bargeld auf sich tragen möchte, sei es der Detailhändler, welcher seinen Kunden ein individuelles Einkaufserlebnis bis zur Bezahlung anbieten möchte. Die Industrie reagierte mit neuen Lösungen, welche unter dem Begriff mPOS bekannt wurden. Obschon die Geräte im Vergleich zu den kassenintegrierten POS Terminals immer kleiner & mobiler wurden, mussten auch sie die hohen Sicherheitsrichtlinien des PCI-PTS Standards erfüllen, welcher auf dem Konzept eines HSM (Hardware Security Module) aufbaut, indem sensitive Daten wie PIN, PAN sowie kryptographische Schlüssel in einem physisch gesicherten Bereich des Gerätes gespeichert und verarbeitet werden. Diese strengen Auflagen setzten aber auch möglichen Kosteneinsparungen und den damit verbunden Preissenkungen für den Verkauf klare Grenzen, so dass es sich vor allem für kleinere Händler mit der Aussicht auf wenige Transaktionen nicht lohnte ein entsprechendes Gerät anzuschaffen.

Das Facilitator Modell

Um die Investitionshürde für den Einstieg in den bargeldlosen Zahlungsverkehr weiter zu senken wurde seitens der Zahlungsindustrie entweder ein Mietmodell angeboten (d.h. das Terminal wurde implizit über die Mietgebühr finanziert) oder das Terminal wurde bei Vertragsabschluss praktisch gratis mitgegeben (d.h. das Terminal wurde implizit über die teureren Transaktionsgebühren finanziert) Nicht nur blieb bei beiden Varianten das Grundproblem der Gerätekosten (verursacht durch Hardware Entwicklung & Zertifizierung) weiterhin ungelöst, sondern auch die kurzsichtige Akzeptanz seitens des Handels von vermeintlich günstigen Cross-Border Lösungen aus dem Ausland (wie z.B. SumUp oder myPOS), führte zu einer faktischen Verteuerung der Zahlungsabwicklung und dem zusätzlichen Nachteil, dass die ca. 200 EMV basierten, domestischen Karten der Schweiz (z.B. PostFinance Card) auf diesen Geräten nicht verarbeitet werden können, da diese den offenen (multi-host) und nationalen ep2 Standard nicht umsetzen, sondern stattdessen ein Netzbetrieb-Modell betreiben, welches den Händler mittels proprietären Geräten bewusst an den Anbieter bindet.

Geburtsstunde von TtP und ToP

Doch könnte das Problem der hohen Gerätekosten nicht durch einen Ansatz gelöst werden, indem die POS Funktionalität auf Hardware umgesetzt wird, welche der Händler bereits besitzt? Der BYOD Ansatz wird ja bereits in der IT seit vielen Jahren erfolgreich angewendet. Um genau diese Frage zu beantworten, initiierten VISA und Mastercard die Pilotprogramme TtP (Tap to Phone) und ToP (Tap on Phone). Dabei wird ein Mobiltelefon, welches über eine NFC Schnittstelle verfügt zu einem Terminal, welches Transaktionen verarbeiten kann. Im Vergleich zu einer mPOS Lösung haben TtP/ToP Lösungen natürlich die Einschränkung, dass nur ‹contactless› Transaktionen ohne PIN (kein ‹contact› Verarbeitung, keine ‹offline/deferred› Verarbeitung) durchgeführt werden können, was trotz der aktuellen Erhöhung der ‹CVM Required Limit› (ab welchem Betrag sich der Karteninhaber identifizieren muss) auf 80CHF zu Einschränkungen führt. Da jedoch seitens der Schemes die Überzeugung herrschte, dass diese Einschränkungen durch die massiv tieferen Kosten dieser neuen Lösung wettgemacht werden, wurden diese Pilotprogramme in einen offiziellen PCI Standard namens CPoC überführt (d.h. alle TtP/ToP Lösungen besitzen nur eine begrenzte Zulassung und müssen zwingend in eine CPoC Lösung überführt werden, welche viel höhere Anforderungen an die Sicherheit stellt). Zusätzlich wurde ein weiterer Standard mit dem Namen SPoC durch das PCI Gremium geschaffen, um die oben genannten Einschränkungen (PIN Eingabe möglich, ‹contact› Verarbeitung möglich) aufzuheben. Doch was bedeuten nun diese Abkürzungen genau und welche Funktionalität & Sicherheit bieten diese Lösungen gegenüber den klassischen POS Terminals?

CPoC

Der Begriff ‹CPoC› steht für ‹Contactless Payment on COTS› wobei ‹COTS› für ‹Commercial of the shelve devices› steht. Eine CPoC Lösung erlaubt folgende Transaktionsverarbeitung:

  • keine PIN Eingabe erlaubt
  • nur ‹contactless› Verarbeitung in einem bedienten Umfeld erlaubt
  • nur ‹online› erlaubt, keine ‹offline› oder ‹deferred› Verarbeitung

Die Sicherheitsarchitektur besteht aus dem Mobiltelefon und einem Backend-System (Attestation), welches die sichere Verarbeitung der Kartendaten auf dem Mobiltelefon garantieren soll. Zusätzlich müssen alle CPoC Lösungen folgende Sicherheitsanforderungen erfüllen

  • das COTS muss jederzeit eine ‹online› Verbindung zum Backend-System haben, um eine enge Interaktion zu erlauben
  • TEE/SE Komponenten auf dem Mobiltelefon können für die Speicherung und Verarbeitung von kryptographische Operationen verwendet werden, dies ist jedoch freiwillig
  • die Applikation auf dem Mobiltelefon muss mittels ‹health check› und ’security policies› durch das Backend-System überwacht werden
  • die Lösung muss mindestens jährlich mittels ‹penetration-testing› durch ein externes Labor überprüft werden
  • der Hersteller muss ein öffentliches ‹vulnerability-program› betreiben
  • die Lösung muss Mechanismen gegen ‹reverse-engineering› vorsehen und eine Erkennung für ‹device-rooting›, ‹jail-breaking› oder ’side-loading» anbieten

SPoC

Der Begriff ‹SPoC› steht für ‹Software-based PIN Entry on COTS›. Eine SPoC Lösung hat weniger Einschränkungen gegenüber einer CPoC Lösung und erlaubt folgende Transaktionsverarbeitung:

  • PIN Eingabe (‹offline & ‹online›) in Zusammenarbeit mit einem PCI-PTS zertifizierten SCRP (Secure Card Reader for PIN) möglich
  • ‹contactless› und ‹contact› Verarbeitung im bedienten Umfeld möglich
  • nur ‹online› erlaubt, ‹offline› Verarbeitung bleibt auch verboten

Die Sicherheitsarchitektur wird somit durch einen externen Kartenleser (SCRP), ergänzt. Dadurch ist gewährleistet, dass auch bei einem Angriff auf das ‹per se› unsichere COTS immer eine Trennung zwischen PIN und PAN Daten herrscht, indem im Gegensatz zu einer CPoC Lösung, die Kartendaten nicht mehr über die NFC Schnittstelle des Mobiltelefons verarbeitet werden, sondern über den SCRP.

Rezeption durch den weltweiten Handel

Wie wurden nun aber die vorgestellten Lösungen vom weltweiten Handel aufgenommen? Aufgrund der erläuterten Eigenheiten der beiden Lösungen überrascht es niemanden, dass der Handel an beiden Lösungen nicht wirklich interessiert war. Obschon CPoC Lösungen das Kostenproblem lösen, können sie aufgrund der PIN Einschränkung nur für spezielle ‹Business Use Cases› eingesetzt werden. Im Gegensatz dazu heben SPoC Lösungen diese Einschränkungen auf, Marktumfragen haben aber ergeben, dass diese Lösungen im Schnitt nur unbedeutend günstiger gegenüber bestehenden mPOS Lösungen sind und somit auch keinen wirklichen Vorteil bieten.

Die zukünftige Lösung: CPoC + PIN

Für den Handel war schnell klar, dass nur eine Kombination aus CPoC und SPoC ihren Ansprüchen genügt und einen echten Mehrwert bieten konnte, indem eine Lösung folgende Transaktionsverarbeitung ermöglicht:

  • günstige & skalierbare Lösung auf ‹COTS› ohne SCRP
  • ‹online› PIN Eingabe
  • ‹contactless› Verarbeitung in einem bedienten Umfeld

Obschon der Vorschlag des Handels sinnvoll und verständlich ist, wird eine entsprechende Umsetzung durch ein grosses Problem behindert. Die durch PCI erarbeitete Sicherheitsarchitektur der strikten & physischen Trennung der PIN und PAN Verarbeitung ist nicht mehr möglich, denn PIN und PAN Daten müssten bei diesem neuen Lösungsansatz zeitgleich auf dem Mobiltelefon verarbeitet werden, was von einem potentieller Angreifer einfach ausgenutzt werden kann. Als Erinnerung hier noch einmal die technischen Details zur Kartenverarbeitung der einzelnen Ansätze:

  • CPoC: keine PIN Eingabe , Kartenverabeitung über NFC Leser des Mobiltelefons
  • SPoC: PIN Eingabe auf dem Mobiltelefon, Kartenverarbeitung auf dem externen SCRP
  • CPoC+PIN: PIN Eingabe auf dem Mobiltelefon und Kartenverarbeitung über den NFC Leser des Mobiltelefons

Zurück auf Feld ‹1›, neue Pilotprogramme von VISA / MC

Da das PCI Council bis heute noch keine offiziellen Anforderungen für diesen hybriden Lösungsansatz publiziert hat (es wird erwartet, dass diese bis Ende 2021 vorliegen), haben VISA und Mastercard ihre Pilotprogramme aus der ‹Mottenkiste› geholt und so können neu unter dem ‹Schutzschirm› der grossen Schemes bereits jetzt Lösungen entwickelt und pilotiert werden. Die entsprechenden Programme heissen angelehnt an die alten Pilotprogramme TtP+PIN und ToP+PIN. Ob die offizielle Bezeichnung seitens PCI dann zu CPoC+PIN wird, bleibt ein Geheimnis.

Lösungen für die Schweiz?

Abschliessend stellt sich natürlich die wichtigste Frage: wann können Händler in der Schweiz endlich von diesen innovativen Ansätzen profitieren? Die gute Nachricht ist, dass der Verband Technical Cooperation ep2, welcher für den nationalen EFT/POS Standard zur Abwicklung des bargeldlosen Zahlungsverkehrs zuständig ist, bereits vorgesorgt hat. So wurden alle nötigen Regularien bereits letztes Jahr angepasst und wo nötig vereinfacht, so dass entsprechende Pilot Lösungen (TtP/ToP + PIN) aber auch Lösungen, welche die offiziellen CPoC und SPoC Standards von PCI umsetzen, unter Einhaltung der hohen Sicherheitsrichtlinien der Schweiz zertifiziert werden können. Zudem kann davon ausgegangen werden, dass erste Lösungen bereits in den nächsten Monaten zugelassen und produktiv seitens des Handels pilotiert werden können. Somit scheint sicherlich die Zeit für proprietäre mPOS Cross-Border Lösungen (wie z.B. SumUp, myPOS) abgelaufen zu sein, denn wenn ein Händler zu einem ähnlichen Preis alle Vorteile einer ep2 zertifizierten Lösung erhält, welche zudem alle 200 nationalen Kartenprodukte akzeptieren kann und zusätzlich noch günstigere Kommissionssätze anbietet, so ist die Entscheidung einfach gefällt!