上文，小Wa简单对比了PCI CPoC和SPoC方案的异同（详情见：PCI CPoC与SPoC安全要求的简单对比），今天咱们来看下PCI CPoC的第一部分——核心安全要求。

核心安全要求（Core Requirements）

敏感服务保护（Protection of Sensitive Services）

随机数（Random Numbers）

认可的密码算法（Acceptable Cryptography）

密钥管理（Key Management）

安全软件开发实践（Secure Software Development Practices）

1、敏感服务保护

安全要求：

1）手机POS方案和组件的所有敏感服务应被说明。

2）涉及秘钥和私钥的操作应基于知识分割原则。

3）采用双重控制实施敏感服务。

2、随机数

安全要求：

1）随机数的生成应保证熵源有效。

2）随机数与手机POS的组件无统计相关性。

3）与账户数据和态势感知数据安全性无关的随机数不在本项要求范围内。

3、认可的密码算法

安全要求：

1）RSA、EC、DSA、AES、SHA2/3算法。

密钥最小长度参见下图。

4、密钥管理

安全要求：

1）密钥完整生命周期的管理遵循行业标准，比如ISO 11568 Banking-Key management(retail)。

5、安全软件开发实践

安全要求：

1）软件开发流程遵循行业标准，比如ISO/IEC 27034 application security guideline或SEI CERT安全编码标准等。

其实从核心安全要求来看，CPoC和SPoC并无区别，主要差异还是在应用APP的安全要求方面，留待后面再码字。