PCI

Blog space

Rozwiązania MPOC, sPOC i CPOC: Rewolucja w bezpiecznych płatnościach mobilnych

W tym artykule znajdziesz:

  • Dowiesz się, jak innowacyjne technologie MPOC, sPOC i CPOC przełamują bariery tradycyjnych płatności i otwierają nowe możliwości dla przedsiębiorców.
  • Poznasz kluczowe wymagania certyfikacyjne oraz wyzwania techniczne, które decydują o sukcesie wdrożenia bezpiecznych aplikacji płatniczych.
  • Zyskasz wiedzę, która pomoże Twojej firmie zdobyć przewagę na rynku płatności mobilnych i skutecznie zabezpieczyć cyfrową transformację biznesu.
MPOC sPOC CPOC

W dzisiejszym świecie płatności cyfrowych, tradycyjne terminale płatnicze stopniowo ustępują miejsca innowacyjnym rozwiązaniom opartym na smartfonach i tabletach. Rozwiązania typu MPOC (Mobile Payments on COTS), sPOC (Software-based PIN Entry on COTS) i CPOC (Contactless Payments on COTS) reprezentują nową erę w akceptacji płatności, umożliwiając przekształcenie zwykłych urządzeń mobilnych w bezpieczne terminale płatnicze.

Ten artykuł przybliża kompleksowo te rozwiązania, ich różnice, zastosowania oraz wymagania dla dostawców chcących wejść na ten dynamicznie rozwijający się rynek. 

Geneza powstania rozwiązań mobilnych płatności na urządzeniach COTS 

Ograniczenia tradycyjnych rozwiązań płatniczych 

Tradycyjne systemy płatnicze opierają się na dedykowanych terminalach certyfikowanych zgodnie ze standardem PCI PTS POI (PIN Transaction Security – Point of Interaction). Te wyspecjalizowane urządzenia zostały zaprojektowane wyłącznie do bezpiecznej akceptacji płatności, co zapewnia wysokie bezpieczeństwo, ale jednocześnie generuje istotne ograniczenia: 

  • Wysokie koszty wdrożenia i utrzymania - dedykowane terminale wymagają znacznych inwestycji, szczególnie dla małych i średnich przedsiębiorców. Koszt zakupu, instalacji, serwisu i wymiany wpływa na barierę wejścia dla wielu biznesów. 
  • Ograniczona mobilność - tradycyjne terminale są zazwyczaj stacjonarne lub mają ograniczoną mobilność, co utrudnia przyjmowanie płatności w miejscach gdzie nie ma stałej infrastruktury. 
  • Długi czas implementacji - proces zamówienia, dostawy, instalacji i konfiguracji tradycyjnych terminali może trwać tygodnie lub miesiące. 
  • Brak elastyczności funkcjonalnej - dedykowane terminale oferują ograniczone możliwości rozszerzenia funkcjonalności i integracji z innymi systemami biznesowymi. 

Czym są urządzenia COTS? 

COTS (Commercial Off-The-Shelf) to urządzenia komercyjne dostępne na rynku masowym, takie jak smartfony, tablety czy inne urządzenia mobilne wyposażone w technologię NFC. W odróżnieniu od dedykowanych terminali płatniczych, urządzenia COTS są projektowane do szerokiego spektrum zastosowań, co czyni je znacznie bardziej dostępnymi i ekonomicznymi. 

Kluczowe charakterystyki urządzeń COTS obejmują: 

  • Masową dostępność i konkurencyjne ceny 
  • Wbudowane możliwości komunikacji (NFC, Bluetooth, WiFi, 4G/5G) 
  • Regularne aktualizacje oprogramowania 
  • Ekosystem aplikacji i możliwości integracji 
  • Znajomość interfejsu przez użytkowników końcowych 

Rozwiązania MPOC, sPOC i CPOC – definicje i różnice 

Software-based PIN Entry on COTS (sPOC) 

sPOC to standard opracowany przez PCI Security Standards Council, który umożliwia bezpieczne wprowadzanie kodu PIN bezpośrednio na urządzeniu COTS. Rozwiązanie składa się z trzech kluczowych elementów: 

  • Secure Card Reader for PIN (SCRP) - zewnętrzne urządzenie do odczytu kart, certyfikowane zgodnie z wymogami PCI PTS. SCRP obsługuje karty kontaktowe, zbliżeniowe oraz opcjonalnie magnetyczne. 
  • Aplikacja PIN CVM - oprogramowanie zainstalowane na urządzeniu COTS, odpowiedzialne za bezpieczne wprowadzanie kodu PIN przez klienta. 
  • System monitorowania i atestacji - zdalny serwis dostarczany przez dostawcę rozwiązania sPOC, który monitoruje całe rozwiązanie pod kątem potencjalnych zagrożeń bezpieczeństwa. 

Kluczową cechą sPOC jest separacja odczytu danych kartowych (odczytywanych przez SCRP) od odczytu kodu PIN (wprowadzanego na urządzeniu COTS), co zapewnia wysokie bezpieczeństwo transakcji.

Contactless Payments on COTS (CPOC) 

CPOC umożliwia akceptację płatności zbliżeniowych bezpośrednio na urządzeniu COTS, wykorzystując wbudowany interfejs NFC. W odróżnieniu od sPOC, CPOC nie wymaga zewnętrznego czytnika kart, ale ma ograniczenia: 

  • Brak obsługi PIN - CPOC nie obsługuje wprowadzania kodu PIN, co ogranicza transakcje do kwot poniżej limitu zbliżeniowego (zazwyczaj 100 zł w Polsce). 
  • Tylko płatności zbliżeniowe - rozwiązanie obsługuje wyłącznie karty zbliżeniowe i płatności mobilne (Apple Pay, Google Pay, BLIK zbliżeniowy). 
  • Architektura bezpieczeństwa - dane kartowe są odczytywane i przetwarzane bezpośrednio przez aplikację działającą na urządzeniu COTS, z wykorzystaniem mechanizmów white-box cryptography i zdalnej atestacji. 

Mobile Payments on COTS (MPOC) 

MPOC to najnowszy i najbardziej wszechstronny standard, który łączy możliwości sPOC i CPOC w jednym rozwiązaniu. Opublikowany przez PCI SSC w listopadzie 2022 roku, MPOC wprowadza:

  • Modularne podejście - standard składa się z trzech niezależnych komponentów: MPoC Software (SDK), Attestation and Monitoring (A&M) oraz MPoC Solution. 
  • Elastyczne opcje implementacji - dostawcy mogą certyfikować poszczególne komponenty osobno lub jako kompletne rozwiązanie. 
  • Rozszerzone możliwości płatnicze - obsługa zarówno płatności zbliżeniowych jak i z kodem PIN na tym samym urządzeniu COTS. 
  • Wsparcie dla transakcji offline - w określonych warunkach umożliwia przeprowadzanie transakcji bez połączenia z internetem. 

Podsumowanie rozwiązań MPOC, SPOC i CPOC 

Funkcjonalność SPOC CPOC MPOC 
Obsługa PIN ✓ (na COTS) ✗ ✓ (na COTS) 
Płatności zbliżeniowe ✓ ✓ ✓ 
Zewnętrzny czytnik Wymagany (SCRP) Nie wymagany Opcjonalny 
Transakcje offline ✗ ✗ ✓ (ograniczone) 
Modularność Nie Nie ✓ 
Limity kwotowe Bez ograniczeń Do limitu zbliżeniowego Bez ograniczeń 
Rok publikacji standardu 2018 2019 2022 

Przykłady rozwiązań Softpos na polskim rynku 

Polskie ePłatności – PepPay 

Polskie ePłatności wprowadziły rozwiązanie PepPay, oparte na technologii duńskiej firmy Softpay.io. Aplikacja została zaprojektowana dla urządzeń z systemem Android 8.0 lub nowszym, wyposażonych w czytnik NFC. PepPay obsługuje: 

  • Metody płatności: płatności zbliżeniowe kartami Visa i Mastercard, portfele mobilne (Apple Pay, Google Pay), BLIK zbliżeniowy oraz karty Sodexo i Edenred. 
  • Funkcjonalności biznesowe: historia transakcji, wysyłka potwierdzeń e-mail, integracja z systemami gastronomicznymi. 
  • Architektura rozwiązania: aplikacja bazuje na certyfikowanym SDK Softpay, co umożliwia szybkie wdrożenie przy zachowaniu wysokich standardów bezpieczeństwa. 

eService – eService tom (dawniej LikePOS) 

eService, należące do grupy Global Payments, oferuje terminal aplikacyjny eService tom. Rozwiązanie zostało opracowane we współpracy z Visa i przeszło wielomiesięczne testy pilotażowe: 

  • Komponenty techniczne: wykorzystuje technologię Visa Tap to Phone oraz własne rozwiązania zabezpieczające PIN on Glass przygotowane przy wykorzystaniu SDK dostarczonego przez firmę Yazara . 
  • Obsługiwane płatności: karty zbliżeniowe Visa i Mastercard, płatności Google Pay, Apple Pay, BLIK zbliżeniowy z planami rozszerzenia o kody BLIK. 
  • Funkcje zaawansowane: historia transakcji, operacje zwrotów i anulowań, predefiniowane kwoty, multiple opcje potwierdzeń (e-mail, SMS, QR, drukowanie przez Bluetooth). 

Fiserv – PolCard Go 

PolCard Go od Fiserv to jedno z pierwszych rozwiązań tego typu dostępnych na polskim rynku. Aplikacja została wyróżniona nagrodą Payment Awards w 2020 roku: 

  • Technologia PIN on Glass: autoryzacja transakcji bezpośrednio na ekranie urządzenia z dynamicznym układem cyfr dla zwiększenia bezpieczeństwa. 
  • Certyfikacje: potwierdzone przez Visa i Mastercard, zgodne ze standardami PCI. 
  • Integracje: interfejs App2App umożliwiający pełną integrację z systemami kurierskimi i gastronomicznymi. 
  • Wdrożenia: obecnie działa na ponad 10 000 urządzeń, z znaczącymi wdrożeniami u klientów takich jak DHL (4 900 kurierów) i Media Expert (450 dostawców). 

Softpos – ING eTerminal i Worldline Tap on Mobile 

Polska firma Softpos, w której udziały posiada Worldline, oferuje swoje rozwiązanie pod różnymi markami: 

  • Certyfikacja MPoC: Softpos jako pierwsza polska firma uzyskała certyfikat PCI MPoC dla swojego rozwiązania. 
  • Dystrybucja: rozwiązanie dostępne poprzez implementację w rozwiązaniach innych dostawców –  ING eTerminal, Worldline Tap on Mobile oraz Elavon Softpos. 
  • Funkcjonalności: obsługa płatności zbliżeniowych z PIN, zgodność z najnowszymi standardami bezpieczeństwa PCI MPoC. 

Warianty implementacji rozwiązania MPOC 

Standard PCI MPoC oferuje różne opcje implementacji, dostosowane do potrzeb i możliwości różnych dostawców: 

Monolityczne rozwiązanie MPoC 

W tym wariancie dostawca jest odpowiedzialny za wszystkie komponenty rozwiązania: 

  • Zalety: pełna kontrola nad bezpieczeństwem i funkcjonalnością, jednolita architektura 
  • Wyzwania: wysokie koszty certyfikacji, długi czas wdrożenia, wymaga szerokich kompetencji technicznych 

Komponentowe rozwiązanie MPoC 

Umożliwia zbudowanie rozwiązania za pomocą wykorzystania certyfikowanych komponentów od różnych dostawców (jak to ma miejsce w przypadku większości implementacji opisanych powyżej): 

  • Zalety: szybsze wejście na rynek, możliwość wyboru najlepszych komponentów, niższe koszty 
  • Wyzwania: zarządzanie integracjami, zależność od zewnętrznych dostawców 

Warianty według architektury systemu 

  • Wariant z dedykowanym SDK: dostawca tworzy własny SDK z funkcjami płatniczymi, który może być integrowany przez innych dostawców aplikacji. 
  • Wariant aplikacji standalone: kompletna aplikacja płatnicza działająca niezależnie na urządzeniu COTS. 
  • Wariant app-to-app: rozwiązanie wykorzystujące komunikację między aplikacjami, gdzie procesowanie płatności jest przekazywane do wyspecjalizowanej aplikacji płatniczej. 

Wymagania dla dostawców rozwiązań MPOC 

Skuteczna certyfikacja rozwiązania MPoC wymaga od dostawców nie tylko znajomości standardów PCI, ale również umiejętności wdrożenia zaawansowanych procedur kryptograficznych i zabezpieczeń aplikacyjnych. Spełnienie tych wymagań stanowi podstawę do zapewnienia zgodności z normami branżowymi oraz ochrony danych płatniczych w środowisku urządzeń COTS. 

Od implementacji certyfikowanych procesów przetwarzania danych, przez bezpieczne zarządzanie cyklem życia kluczy kryptograficznych, aż po stałe monitorowanie integralności aplikacji – każdy element odgrywa kluczową rolę w utrzymaniu bezpieczeństwa. Poniższa sekcja przedstawia zestaw wymagań, które powinien spełnić każdy dostawca planujący wejście na rynek MPoC. 

Standardy PCI wymagane do certyfikacji rozwiązania xPOC 

Dostawcy planujący implementację rozwiązania MPOC muszą spełnić szereg wymagań certyfikacyjnych: 

  • PCI DSS (Data Security Standard): środowiska backend odpowiedzialne za przetwarzanie płatności i zdalne kernel environments muszą posiadać certyfikat PCI DSS. 
  • PCI PIN Security: systemy backend przetwarzające kody PIN wymagają certyfikacji zgodnej ze standardem PCI PIN Security. 
  • PCI SSF (Secure Software Framework): oprogramowanie musi być opracowane przez dostawcę posiadającego certyfikat zgodności z PCI Secure Software Life Cycle (SLC) lub zostać poddane ocenie przez PTS lab. 

Wymagania zarządzania kluczami kryptograficznymi 

Bezpieczeństwo rozwiązań MPOC opiera się na zaawansowanych mechanizmach kryptograficznych: 

  • Generowanie kluczy: klucze kryptograficzne używane do szyfrowania PIN i danych płatniczych muszą być generowane przy użyciu procesów zapewniających nieprzewidywalność i równomierną dystrybucję. 
  • Przechowywanie kluczy: wykorzystanie secure hardware (HSM – Hardware Security Modules) lub równoważnych mechanizmów programowych z white-box cryptography. 
  • Zarządzanie cyklem życia: proces wymiany kluczy, ich dystrybucji i unicestwienia zgodnie z najlepszymi praktykami branżowymi. 

Wymagania aplikacyjne 

  • Atestacja i monitorowanie: rozwiązania MPOC wymagają ciągłego monitorowania integralności aplikacji i wykrywania potencjalnych zagrożeń w czasie rzeczywistym. 
  • Ochrona przed manipulacją: implementacja mechanizmów anty-tampering, detekcji rootowania/jailbreakingu, emulatora oraz hooking. 
  • Bezpieczne kanały komunikacji: wszystkie transmisje danych między komponentami rozwiązania muszą wykorzystywać szyfrowane kanały komunikacji z uwierzytelnianiem końcowym. 

Myślisz o rozwiązaniu MPOC ? Oto przykładowy plan projektu dla rozwiązania MPOC 

Przygotowanie do certyfikacji mPOC może wydawać się skomplikowane – od analizy wymagań, przez opracowanie dokumentacji, po audyt końcowy.  

Poniżej przedstawiamy kluczowe elementy wynikające z naszego doświadczenia oraz strategiczne pytania, na które warto odpowiedzieć, aby maksymalnie zwiększyć szansę na pomyślne przejście certyfikacji. 

Faza planowania i analizy (miesiące 1-2) 

Kluczowe decyzje strategiczne

  • Wybór wariantu implementacji (monolityczny vs kompozytowy) 
  • Określenie docelowych platform (Android, iOS) 
  • Analiza wymagań regulacyjnych na docelowych rynkach 
  • Wybór modelu certyfikacji komponentów 

Pytania do rozstrzygnięcia

  • Czy rozwijać własny SDK czy wykorzystać istniejące rozwiązanie? 
  • Które funkcjonalności będą kluczowe dla docelowych klientów? 
  • Jaki będzie model monetyzacji rozwiązania? 

Faza projektowania architektury (miesiące 2-4) 

Elementy do zaprojektowania

  • Architektura bezpieczeństwa aplikacji 
  • Integracja z systemami backend 
  • Protokoły komunikacji i zarządzania sesją 
  • Mechanizmy atestacji i monitorowania 

Kluczowe decyzje techniczne

  • Wybór technologii white-box cryptography 
  • Projekt interfejsów API 
  • Strategia zarządzania kluczami 

Faza rozwoju i testowania (miesiące 4-10) 

Rozwój komponentów

  • Implementacja core SDK 
  • Rozwój aplikacji demonstracyjnej 
  • Budowa systemów backend 
  • Integracja z usługami atestacji 

Testowanie bezpieczeństwa

  • Penetration testing przez niezależne laboratorium 
  • Ocena podatności zgodnie z wymogami PCI MPoC 
  • Testowanie w różnych scenariuszach użycia 

Faza certyfikacji (miesiące 10-14) 

Proces certyfikacji PCI MPoC: 

  • Wybór akredytowanego laboratorium PCI 
  • Przygotowanie dokumentacji technicznej 
  • Przeprowadzenie testów certyfikacyjnych 
  • Uzyskanie listingu na stronie PCI SSC 

Faza komercjalizacji (miesiące 14-18) 

Przygotowanie do wprowadzenia na rynek

  • Opracowanie materiałów marketingowych 
  • Szkolenie zespołów sprzedaży i wsparcia 
  • Pilotażowe wdrożenia u wybranych klientów 
  • Optymalizacja procesów onboardingu 

Wyzwania i korzyści rozwiązań xPOC 

Pomimo wielu wymagań, złożoności implementacyjnej rozwiązania MPOC niosą za sobą wiele korzyści dla przedsiębiorców, wykorzystujących te rozwiązania.  

  • Redukcja kosztów operacyjnych: eliminacja potrzeby zakupu, dzierżawy i serwisowania dedykowanych terminali płatniczych znacząco obniża koszty wejścia na rynek płatności bezgotówkowych. 
  • Zwiększona mobilność: możliwość akceptacji płatności w dowolnym miejscu z dostępem do internetu rozszerza możliwości biznesowe, szczególnie dla usługodawców mobilnych. 
  • Szybkie wdrożenie: proces aktywacji aplikacji zajmuje zazwyczaj kilka minut do kilku godzin, w porównaniu do tygodni czekania na dostawę i instalację tradycyjnego terminala. 
  • Integracja z ekosystemem mobilnym: łatwość integracji z innymi aplikacjami biznesowymi, systemami CRM, fakturowaniem czy zarządzaniem zapasami. 

Wyzwania implementacyjne oraz organizacyjne.  

  • Złożoność certyfikacji: proces uzyskania certyfikacji PCI MPoC jest czasochłonny i kosztowny, wymagając specjalistycznej wiedzy z zakresu bezpieczeństwa płatności. 
  • Zarządzanie bezpieczeństwem: zapewnienie bezpieczeństwa na urządzeniach COTS, które nie zostały zaprojektowane wyłącznie do płatności, wymaga zaawansowanych mechanizmów ochrony. 
  • Fragmentacja platformowa: różnice między systemami Android i iOS oraz ich wersjami tworzą wyzwania w zapewnieniu jednolitego doświadczenia użytkownika. 
  • Konkurencja cenowa: rosnąca liczba dostawców prowadzi do presji cenowej, co może wpływać na rentowność rozwiązań. 

Przyszłość rozwiązań mobilnych płatności 

Rozwiązania typu xPOC reprezentują przyszłość akceptacji płatności, szczególnie w segmencie małych i średnich przedsiębiorstw. Rozwój technologii 5G, sztucznej inteligencji oraz blockchain będzie dalej napędzać innowacje w tym obszarze. 

Trendy technologiczne: integracja z technologiami biometrycznymi, rozszerzoną rzeczywistością oraz Internet of Things (IoT) otworzy nowe możliwości wykorzystania urządzeń COTS w płatnościach. 

Regulacje: oczekiwane jest dalsze usprawnianie standardów bezpieczeństwa oraz harmonizacja wymagań regulacyjnych między różnymi rynkami. 

Adopcja rynkowa: prognozy wskazują na dynamiczny wzrost rynku SoftPOS, z oczekiwanym tempem wzrostu przekraczającym 20% rocznie w najbliższych latach. 

Patronusec – Twój partner w bezpiecznej transformacji płatniczej 

W obliczu rosnącej popularności rozwiązań MPOC, sPOC i CPOC, każdy dostawca usług płatniczych stoi przed kluczowym wyzwaniem: jak bezpiecznie i skutecznie wejść na ten dynamicznie rozwijający się rynek? Patronusec, jako wiodący ekspert w obszarze cyberbezpieczeństwa i zgodności IT w Polsce i Europie, oferuje kompleksowe wsparcie na każdym etapie tego procesu. 

Nasze doświadczenie w certyfikacjach PCI obejmuje pełen zakres standardów niezbędnych do wdrożenia rozwiązań mobilnych płatności. Od analizy wymagań PCI DSS, przez certyfikację PCI PIN Security, aż po najnowszy standard PCI SSF – zapewniamy kompleksowe podejście, które pozwala naszym klientom skupić się na rozwoju biznesu, podczas gdy my dbamy o zgodność i bezpieczeństwo. 

Kolejny krok jest Twój. 

Jeśli Twoja firma planuje wprowadzić własny SoftPOS lub chce podnieść poziom bezpieczeństwa istniejącego rozwiązania, skontaktuj się z Patronusec już dziś. Przyspieszymy proces certyfikacji mPOC, obniżymy ryzyko operacyjne i zagwarantujemy, że Twoja aplikacja spełni najwyższe wymagania organizacji płatniczych. Bezpieczne płatności mobilne zaczynają się od solidnej strategii – a my dostarczymy ją w pełnym pakiecie. 

Dzięki doświadczeniu zdobytemu podczas realizacji ponad 1000 audytów certyfikujących w 60 krajach, rozumiemy zarówno techniczne aspekty wdrożeń mPOC, jak i wyzwania biznesowe oraz regulacyjne związane z wejściem na rynek płatności mobilnych. 

Umów się na bezpłatną konsultację i przekonaj się, jak możemy pomóc Twojej organizacji bezpiecznie i skutecznie wejść w erę płatności mobilnych na urządzeniach COTS. W Patronusec wiemy, że bezpieczeństwo to proces, który powinien być prosty, skuteczny i naturalnie wpisany w codzienne funkcjonowanie Twojej firmy – tak, abyś mógł w pełni skupić się na rozwoju biznesu. 

MPOC sPOC CPOC

Cyberzagrożenia
28 sierpnia, 2025 Cyberbezpieczeństwo

Cyberzagrożenia 2025: Co liderzy biznesu muszą wiedzieć o wycieku danych i ransomware na podstawie najnowszego raportu DBIR

 Czytaj dalej →
ISO 27001
28 sierpnia, 2025 Bezpieczeństwo informacji

ISO 27001 jako strategiczna inwestycja w przyszłość firmy

 Czytaj dalej →
Przygotowanie organizacji do wdrożenia ISO 27001
29 września, 2025 Bezpieczeństwo informacji

Przygotowanie organizacji do wdrożenia ISO 27001

 Czytaj dalej →

Nie kupuj kota w worku -
umów się na bezpłatną konsultację i sprawdź, jak możemy Ci pomóc

Bezpłatna konsultacja
Formularz kontaktowy

Skorzystaj z formularza kontaktowego lub skontaktuj się z nami bezpośrednio.

Patronusec Sp z o. o.

Biuro:
ul. Święty Marcin 29/8
61-806 Poznań, Polska

KRS: 0001039087
REGON: 525433988
NIP: 7831881739
D-U-N-S: 989454390
LEI: 259400NAR8ZOX1O66C64

To top