PCI Security Standards Council, zwany Radą PCI, to instytucja powołana przez największe na świecie organizacje płatnicze. Jej zadaniem jest m.in. ustalanie zasad bezpiecznego rozliczania transakcji kartami. To wytyczne tej instytucji decydują na przykład o tym, w jaki sposób ma być zbudowany terminal płatniczy, aby można było na nim akceptować transakcje kartami. Jeżeli urządzenie nie spełnia tych norm, żaden agent rozliczeniowy (firma obsługująca terminale w sklepach) nie zechce z niego korzystać.
Piszę o tym wszystkim nie bez powodu, bo oto w ubiegłym tygodniu Rada PCI opublikowała dokument ważny z punktu widzenia rozwoju sieci akceptacji płatności zbliżeniowych na świecie, a szczególnie w Polsce. Dokument, o którym mowa, ustala zasady działania terminala płatniczego w postaci aplikacji na zwykłym smartfonie. I jest to pierwszy tak ważny dokument, w którym dopuszcza się możliwość autoryzacji płatności PIN-em wprowadzanym przez osobę płacącą na ekranie smartfona należącego do akceptanta transakcji.
Przypomnę, że pod koniec ubiegłego roku Mastercard ogłosił start pilota rozwiązania o nazwie Soft POS. To aplikacja zainstalowana na smartfonie umożliwiająca przyjmowanie płatności kartami zbliżeniowymi. Prawdopodobnie ze względu na brak odpowiednich wytycznych ze strony PCI SSC testowane rozwiązanie umożliwia płatności tylko do 50 zł, bo nie wymagają one autoryzacji PIN-em.
Niestety, opublikowany w ubiegłym tygodniu dokument nie oznacza jeszcze, że w testowanym w Polsce Soft POS-ie można zastosować "PIN on glass", czyli autoryzację transakcji kartą PIN-em na smartfonie akceptanta. Najnowsze wytyczne PCI SSC stanowią bowiem, że aby można było wprowadzić PIN na smartfonie z aplikacją Soft POS, musi on zostać wyposażony w tzw. dongla, czyli certyfikowaną nakładkę umożliwiającą wczytanie danych karty stykowo. Rozwiązanie takie nie przyda się w trakcie testów prowadzonych w Polsce, gdzie nakładka nie jest wykorzystywana, a może zostać zastosowane na rynkach, gdzie karty zbliżeniowe są mniej popularne niż nad Wisłą.
Niemniej trudno nie docenić faktu, że PCI SSC po raz pierwszy dopuściło możliwość zastosowania "PIN on glass". To może okazać się ważnym etapem na drodze do zbudowania prawdziwego Soft POS-a. Ten polski, umożliwiający płatności do 50 zł, też jest ważnym projektem. Jednak ze względu na ograniczenie kwotowe nie będzie mógł zostać wykorzystany przez wiele firm akceptujących płatności o większej wartości. Dopiero więc wypracowanie zasad autoryzacji transakcji PIN-em na Soft POS-ach bez dongla będzie oznaczać otwarcie drzwi dla w pełni mobilnych terminali aplikacyjnych.
