Resum Executiu
Una cadena minorista regional necessitava una tauleta Android amb certificació PCI i compatibilitat amb EMVCo per al processament de pagaments a nivell de sucursal. El que va seguir va ser una fallada de maquinari de 280,000 dòlars, un reajustament d'11 setmanes i lliçons que la majoria de fullets dels OEM no documenten. Aquest estudi de cas cobreix les decisions d'arquitectura, la fallada, la solució i les realitats d'enginyeria de seguretat que separen una tauleta financera d'un dispositiu que simplement va superar la seva auditoria de certificació.
Què creuen els bancs que estan comprant
La veritat que diem a cada client abans de tocar un esquema: El compliment de PCI PTS, EMVCo L1/L2, Android Enterprise i MDM no són una garantia de seguretat. Són un mecanisme de transferència de responsabilitat.
Llegiu també: Estudi de cas de tauleta robusta
La certificació PTS és una instantània, no un escut. PCI PTS v6 certifica el dispositiu en un moment determinat. Qualsevol actualització de firmware, inclòs un pegat de seguretat, activa la recertificació. La majoria dels fabricants d'equips originals (OEM) bloquegen el firmware per evitar costos de recertificació. Les tauletes bancàries solen funcionar amb un retard de 18 a 24 mesos respecte als pegats de seguretat d'Android. El dispositiu és "compatible amb PCI". El nucli no té pegats. Aquests dos fets coexisteixen fins que una violació força la conversa.
Android Enterprise amb MDM complet elimina les implementacions fora de línia. La pila estàndard assumeix una connectivitat constant al núvol. En entorns de baixa connectivitat, les nostres dades mostren un Taxa de fallada de camp entre un 30 i un 40% més alta en comparació amb compilacions AOSP bloquejades. Els dispositius es reinicien cada nit quan MDM no pot trucar a casa.
Els compradors pensen que estan comprant seguretat. En realitat, estan comprant un bloqueig i un dolor de futures recertificacions.
Requisits dels clients i per què les tauletes estàndard fallen a la banca
Què va demanar el client
L'encàrrec era estàndard per a una tauleta Android de qualitat financera per a la banca:
- Pantalla IPS FHD de 10 polzades per a la incorporació de clients a la sucursal
- Lector NFC integrat, lector de targetes intel·ligents, càmera frontal d'alta resolució per a fluxos de treball de maquinari de tauleta eKYC
- Connectivitat LTE/5G, xifratge a nivell de maquinari, arrencada segura
- Integració de tauletes PCI DSS + EMV, cicle de vida de producció de més de 5 anys
La llista de verificació de compliment (i què no cobreix)
- PCI DSS 4.0.1 — El requisit 6.4.3 manté el comprador responsable del codi de tercers fins i tot en un dispositiu "compatible"
- EMVCo L1/L2 — certifica un rendiment sense contacte en condicions de laboratori controlades, no EMI del món real de prestatgeries metàl·liques o motors
- CE/FCC — no diu res sobre la integritat de la cadena de subministrament del firmware o l'exposició del nucli de dia zero
- Android Enterprise Recomanat — requereix Google Play Services; incompatible amb les arquitectures offline-first
- Certificació regional de telecomunicacions — afegeix de 4 a 8 setmanes al PVT a la majoria dels mercats de l'Àsia-Pacífic i el Mediterrània Oriental
El mapa de certificació no coincideix amb el territori. Aquesta bretxa és on fallen la majoria de projectes de desenvolupament de tauletes bancàries.
Arquitectura del sistema i selecció de SoC
Per què vam triar Qualcomm en lloc de MediaTek
La selecció del SoC per a una tauleta financera és una decisió del cicle de vida, no una decisió de referència. Vam avaluar ambdues plataformes segons quatre criteris:
- Qualitat de l'ETE — Compliment de l'API de GlobalPlatform, profunditat de validació de laboratoris de seguretat de tercers
- Disponibilitat del cicle de vida — el maquinari financer necessita un període de subministrament de 5 a 7 anys; les SKU de MediaTek per a consumidors no tenen aquesta garantia
- Ruta d'actualització d'Android — un SoC que perd el suport del nucli a mitja implementació força una nova certificació per al comprador
- Acceleració de criptomonedes — el xifratge accelerat per maquinari és la diferència entre 9 hores de durada de la bateria i 6 amb càrrega de treball financera
Per a implementacions fora de línia, aquest càlcul canvia, tal com es tracta a la secció de programari següent.
Arquitectura de blocs de maquinari
La integració del subsistema per a un projecte OEM segur per a tauletes Android implica interdependències que la majoria dels diagrames de blocs amaguen:
- SoC → TEE viu aquí; controla tots els subsistemes
- Element segur integrat (eSE) → aïllat del punt d'accés principal; operacions criptogràfiques EMV i emmagatzematge de claus de pagament
- Controladors NFC → interactua directament amb eSE; la col·locació de l'antena aquí és on la majoria dels equips tenen problemes
- Mòdul d'empremtes digitals → eKYC biomètric; requereix un canal segur per a TEE
- Mòdul LTE/5G → L'antena RF ha d'estar aïllada de l'antena NFC per evitar interferències
El risc d'integració rau en les interaccions, no en els components.
Enginyeria de seguretat: maquinari, firmware i sistema operatiu
TEE, arrencada segura i escenaris d'atac reals
Tres escenaris d'amenaces van donar forma a la nostra arquitectura de seguretat per a aquesta tauleta Android bancària:
Manipulació del firmware — l'atacant amb accés físic mostra un firmware modificat que evita les comprovacions d'integritat del pagament. Defensa: cadena d'arrencada verificada ancorada al maquinari; qualsevol interrupció atura l'arrencada completament.
Atacs de relé NFC — en comerços minoristes d'alta densitat amb diversos lectors en un radi de 30 cm, els atacants passius poden intentar intercepcions de retransmissió. Defensa: totes les operacions de pagament s'executen dins de l'eSE; la clau de pagament no arriba mai al processador principal de l'aplicació.
Robatori de dispositius a mitja sessió — Defensa: magatzem de claus amb suport de maquinari i vinculació biomètrica; esborrat remot compatible amb MDM amb bloqueig aplicat per TEE que sobreviu a la reinstal·lació del sistema operatiu.
Xifratge de pagaments Secure Element i NFC
L'element segur integrat gestiona tres funcions que no es poden delegar al programari: operacions criptogràfiques EMV, emmagatzematge de claus de pagament (les claus no existeixen mai en text pla fora de l'eSE) i aïllament de transaccions NFC on l'eSE es comunica directament amb el controlador NFC, evitant completament el punt d'accés. Això és el que fa que una tauleta de pagament segura sigui arquitectònicament diferent d'un dispositiu de consum amb una aplicació de pagament.
Bloqueig a nivell de sistema operatiu
- Modalitat de quiosc — bloqueig d'una sola aplicació; sense accés a la configuració, al calaix d'aplicacions ni al navegador
- Permisos restringits — NFC i càmera només accessibles a l'aplicació de pagament verificada
- Tauleta bancària compatible amb MDM — bloqueig remot, esborrat i registre d'auditoria per a informes de compliment
Les guies detallades per a principiants no esmenten mai: El subministrament de claus TEE ha d'utilitzar una cadena d'atestat única per a cada dispositiu i nova de fàbrica; mai claus de desenvolupament reutilitzades. Les claus de desenvolupament gravades a les unitats EVT per comoditat de proves, si no es reemplacen explícitament a PVT, fan que l'attestació remota falli silenciosament sobre el terreny. El dispositiu supera totes les proves de laboratori i no es pot verificar criptogràficament després del desplegament.
Enginyeria de PCB i PCBA per a la fiabilitat financera
El fracàs que va costar 280,000 dòlars
En una producció del 2024-2025, vam col·locar l'antena NFC directament sobre la bateria, un disseny estàndard per a telèfons intel·ligents. La combinació del controlador NFC de Qualcomm i l'eSE va quedar provada. La carcassa de la TVP era de plàstic. Vam executar 10,000 cicles de toc. Vam superar la certificació del laboratori EMVCo. L'aprovació de la TVP va ser impecable.
PVT va explicar una història diferent.
La primera producció de 800 unitats va entrar en botigues reals: prestatgeries metàl·liques, motors de refrigeració, múltiples lectors NFC a prop. Taxa de fallades de camp: 22%Gairebé una de cada quatre transaccions té un termini d'espera expirat.
Causa principal: el xassís metàl·lic final, l'inflament de la bateria sota cicles de funcionament reals i una tolerància d'adhesiu de 0.8 mm van desplaçar la freqüència de ressonància de l'antena NFC aproximadament. 350 kHz — prou per fer baixar el coeficient d'acoblament per sota del mínim ISO 14443 en camps marginals del lector. L'antena estava sintonitzada per a un prototip de plàstic. La producció la va acabar.
La solució: Nova revisió de la PCB amb xarxa d'adaptació d'impedància sintonitzable, blindatge de ferrita dedicat i zona de bloqueig metàl·lic. 11 setmanes. ~280,000 dòlars en NRE, ferralla i recertificació accelerada. El contracte de volum del primer any es va perdre.
"Laboratori és igual a prototip de plàstic. Producció és igual a metall més toleràncies. Són animals diferents."
Col·locació d'antenes NFC: la regla que no apareix a les guies
El nostre protocol després d'aquell fracàs, ara innegociable: Col·locació de la coberta posterior, amb un desplaçament mínim de 8–10 mm respecte a la bateria, zona metàl·lica de bloqueig dedicada. Fins i tot 1 mm més a prop, o una variació d'adhesiu o pintura en la producció, elimina el factor Q prou com per produir fallades intermitents que superen la TVP i fallen a les botigues.
Dues solucions per a la variància de producció: una xarxa d'adaptació sintonitzable (cost més elevat inicialment) o una intensitat de camp sobredissenyada (comprometida amb el marge de compliment de les normes EMI). No hi ha una resposta clara, només compensacions gestionades. Els equips que copien els dissenys d'antenes dels telèfons intel·ligents ho descobreixen en PVT, no abans.
Disseny de PCB multicapa per a NFC de grau financer
- Pila de 6–8 capes — impedància controlada per a traces de RF; una desviació >10% afecta de manera mesurable la distància d'acoblament NFC
- Blindatge EMI — Llaunes RF sobre el controlador NFC, cosint vies a terra al llarg del perímetre de bloqueig
- Aïllament del pla d'alimentació eSE — L'abocament de terra dedicat evita les fuites del canal lateral a través del soroll de potència de l'AP
- Separació d'antenes — Antenes NFC i LTE/5G a les vores oposades del dispositiu per minimitzar l'acoblament mutu
Els entorns financers són entorns de radiofreqüència hostils. El disseny de la placa de circuit imprès segura per a tauletes està optimitzat per a la botiga, no per al laboratori.
Preparació per al camp: Durabilitat i gestió d'energia del dispositiu financer
Construït per a ús comercial diari
Les tauletes financeres no són maquinari industrial robust, però s'enfronten a càstigs diaris. Innegociables:
- Conformitat amb caigudes des d'1 metre — dispositius de baixada del personal de la sucursal
- Més de 10,000 cicles d'inserció USB — un port que falla als 3,000 cicles en un dispositiu amb un cicle de vida útil de 5 anys és un problema de servei de camp
- Acabat mat, prim i professional — maquinari orientat al client que ha de semblar creïble després d'anys de manipulació
La realitat de la bateria que ningú posa al fullet
Les fitxes tècniques indiquen entre 12 i 15 hores en una cel·la de 8,000 mAh. Sota una càrrega de treball financera real (xifratge de disc complet, sondeig NFC continu, registre de transaccions EMV, operacions clau TEE), la xifra real és 7-9.5 hores.
Per què la bretxa: Els processadors segurs StrongBox i TEE no poden entrar en els mateixos estats de repòs profund que el punt d'accés principal durant les operacions clau actives. Això costa un 15-25% més de despesa en comparació amb un magatzem de claus de programari. En les implementacions de quioscs 24/7, els compradors descobreixen en 12 mesos que necessiten bateries externes o un programa de canvi. Planifiqueu 8 hores amb càrrega de treball financera. Si en necessiteu 12, planifiqueu una font d'alimentació suplementària.
Personalització de programari i integració empresarial
Android Enterprise: amb una advertència crítica
Android Enterprise és el marc de treball adequat per a desplegaments urbans sempre en línia: configuració de quiosc, integració EMM, actualitzacions OTA segures amb cadena d'arrencada verificada. L'advertència és la dependència de la connectivitat: cada element assumeix un accés fiable a la xarxa.
Quan cal deixar completament Android Enterprise
Per a implementacions fora de línia amb talls de corrent nocturns i de telefonia mòbil poc fiables, la pila estàndard era activament perjudicial. Els dispositius es bloquejaven en reiniciar-se quan fallaven els registres MDM. L'atestat TEE actualitza les bateries esgotades que no podien completar un cicle de càrrega.
L'arquitectura que es va distribuir en comptes d'això:
- Caixa forta (magatzem de claus de maquinari SoC) que substitueix eSE: no hi ha dependència de provisionament de TSM
- HCE amb tokenització del costat de l'adquirent sota un model CPoC
- Memòria cau de tokens fora de línia local amb criptogrames amb límits de temps; resincronització diària en retornar la connectivitat
- AOSP bloquejat — sense serveis de Google Play, política SELinux personalitzada, només arrencada verificada
Resultats: Cost de la llista de materials entre un 30 i un 40% més baix, 2× durada de la bateria fora de línia, va superar la certificació del banc central local i el PCI CPoC. Contrapartida: major complexitat del programari i major dependència de la caixa forta de tokens de l'adquirent.
La pila estàndard és ideal per a bancs urbans que sempre funcionen en línia. Per a implementacions que prioritzen la connexió fora de línia, no és el punt de partida adequat.
Full de ruta de validació: EVT → DVT → PVT per a dispositius Fintech
La major bretxa d'expectatives en el desenvolupament de tauletes financeres: els clients esperen entre 3 i 4 mesos (termins de desenvolupament per a telèfons intel·ligents). El maquinari de qualitat bancària amb PCI PTS, EMVCo i TEE personalitzat triga entre 7 i 11 mesos.
EVT — 4–6 setmanes, 10–50 unitats: Validació funcional, aprovisionament TEE, comportament inicial de l'antena en xassís real. Les sorpreses aquí són manejables; les eines encara no s'han compromès.
TVP — 8–12 setmanes, 50–200 unitats: Proves ambientals completes: caigudes, EMI, tèrmiques, cicles de bateria, suite de més de 10,000 transaccions NFC. Aprovació de laboratori extern per a EMVCo i PCI PTS. Qualsevol canvi de maquinari reinicia parts de la cua del laboratori.
PVT — 6–10 setmanes, cicle de producció pilot: On aflora la variància de producció real. L'aprovació de la DVT no garanteix l'èxit de la PVT: el fracàs de 280 dòlars anterior va ser DVT-clean i PVT-slip. La nova presentació final afegeix de 4 a 6 setmanes per a l'aprovació regional de telecomunicacions.
Total: 7–11 mesos. Incloeu això a la proposta. Els clients que ho acceptin estan preparats per executar el programa.
Producció en massa i fabricació controlada per seguretat
Muntatge SMT i control de qualitat
- BGA de pas fi — Inspecció de raigs X al 100% en components crítics per a la seguretat; sense mostreig
- Traçabilitat eSE — cada element segur serialitzat i rastrejat fins a la seva unitat; la cadena de custòdia és un requisit de compliment
- Conjunt d'antena NFC — el gruix de l'adhesiu és una variable controlada; els dispositius de muntatge imposen una geometria de bloqueig
Provisionament de firmware controlat per seguretat
La planta de la fàbrica és una superfície amenaçadora. El nostre protocol d'aprovisionament:
- ID de dispositiu únic gravat a la fàbrica: no hi ha cap origen de material de clau compartit
- Firmware de producció signat mitjançant HSM; la clau de signatura no toca mai la xarxa de producció
- Certificat d'atestat TEE nou per dispositiu; la cadena de desenvolupament es revoca explícitament abans de l'enviament de la unitat
- Telemetria de fabricació xifrada en trànsit i en repòs
Un dispositiu que supera totes les proves de maquinari i s'envia amb una clau d'attestació de desenvolupament reutilitzada falla l'attestació remota el primer dia sobre el terreny.
Reptes clau d'enginyeria i com els hem resolt
| Desafiar | Risc | Solució | Resultat |
| Desafinació de l'antena NFC a PVT | 22% de fallada de camp; cost de regir de 280 dòlars | S'ha implementat una coincidència ajustable, un desplaçament de 8 a 10 mm i zones de bloqueig estrictes. | La taxa de fracàs va disminuir de 22% a <3%. |
| MDM sempre en línia en mercats fora de línia | Brickeig del dispositiu; taxa de fallades entre un 30 i un 40% més alta | Transició a AOSP + StrongBox + HCE + CPoC arquitectura. | 2× durada de la bateriaCostos de la llista de materials entre un 30 i un 40% més baixos. |
| Latència del pegat de 18 a 24 mesos | Kernel sense pedaços; estat de conformitat fals | OTA amb Signatura verificada per TEE + SLA de pegats estricte en els contractes. | S'ha aconseguit una postura de seguretat robusta i actual. |
| Col·lapse del rendiment de PVT | 18% de rebuig/reelaboració del primer lot | Introducció de les proves d'antenes de xassís de producció pre-PVT. | <3% de reelaboració en totes les tirades de producció posteriors. |
| Bloqueig d'acords de CISO | Els pilots es van estancar durant 6-12 mesos | Pilot remunerat + matriu de responsabilitat compartida + proves de penetració de tercers. | Acceleració significativa en els cicles de contractació posteriors. |
Els veritables interessats: qui hi ha realment a la sala
El CISO és el bloquejador més dur. Objecció oficial: "risc d'integració". Por real: responsabilitat personal si es produeix una violació en el maquinari que han aprovat. Responen davant del regulador. Un document de certificació no elimina aquesta por: un informe de prova de penetració de tercers i una matriu de responsabilitat compartida explícita sí que ho fan.
CTO / Operacions de TI preocupacions sobre la fragmentació d'Android. Un SLA contractual de 5 anys respon a la pregunta real: què passa quan el SoC perd el suport d'Android?
Compres / Director Financer es presenta com a objector de preu. La veritable preocupació: TCO ocult: programes de canvi de bateries, costos de recertificació, servei de camp NFC. La diapositiva del ROI quantifica la reducció dels costos de gestió de l'efectiu respecte al cost total de la vida útil del dispositiu.
Legal apareix en la fase contractual amb clàusules d'indemnització que la majoria d'acords d'OEM no cobreixen. Temps de pressupost.
Què realment tanca un acord estancat: un programa pilot remunerat de 4 a 6 setmanes, de 20 a 50 unitats, registre complet de transaccions, matriu de responsabilitat compartida preacordada. Tots els acords estancats que van tirar endavant ho van fer després d'un programa pilot. Converteix les afirmacions de màrqueting en proves.
Què vindrà en 24 mesos: el requisit per al qual ningú està preparat
Segons les sol·licituds de propostes en directe a principis del 2026, no les previsions dels analistes, sembla que hi ha un requisit que la majoria dels fabricants d'equips originals de tauletes financeres no estan equipats per complir.
La criptografia postquàntica és ara una partida de compres.
Els compradors exigeixen explícitament algoritmes PQC del NIST (FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) i FIPS 205 (SLH-DSA)) en maquinari i firmware per a l'intercanvi de claus, les signatures i el xifratge de tot el disc. Això segueix les directrius de la CISA del gener de 2026 que exigeixen productes compatibles amb PQC en la seguretat de punts finals federals. Els bancs estan observant les adquisicions federals i copiant el llenguatge a les seves pròpies sol·licituds de propostes.
El motor declarat: atacs de tipus "collita ara-desxifra-més tard", en què les dades financeres capturades avui es conserven per desxifrar-les un cop existeix un ordinador quàntic criptogràficament rellevant. Els reguladors ho tracten com un risc operatiu a curt termini, no com un problema del 2035.
Juntament amb PQC: Detecció d'anomalies del canal lateral en temps d'execució dins del TEE — monitorització de signatures d'energia, EM i sincronització durant operacions criptogràfiques per detectar variants de Rowhammer, errors de rellotge i implants de firmware.
Les preguntes de les sol·licituds de propostes en directe que no existien el 2023: «Pot el TEE certificar les claus PQC? Quin és el vostre calendari de migració postquàntica? L'arrel de confiança del maquinari admet algoritmes resistents a CRQC el 2028?»
Les plataformes de maquinari dissenyades sense marge tèrmic i energètic PQC s'enfronten a un redisseny complet abans del 2028. Els fabricants d'equips originals (OEM) que ho tractin com un problema del 2027 tindran terminis d'emergència per complir amb les certificacions que els compradors estan escrivint als contractes avui.
Conclusió: Què requereix realment el desenvolupament segur de tauletes financeres
La diferència entre una tauleta financera que aprova la certificació i una que funciona bé sobre el terreny no és una diferència de maquinari. És una diferència de cultura d'enginyeria.
Cinc coses separen les implementacions que tenen èxit de les que no:
Arquitectura adaptada al context de desplegament — TEE + eSE + Android Enterprise per a la banca urbana sempre en línia; StrongBox + HCE + AOSP per a la banca fora de línia. La llista de comprovació de l'auditor no és l'encàrrec d'arquitectura.
Antena NFC com a restricció de disseny de primer ordre — la regla de desplaçament de 8–10 mm i la zona de bloqueig metàl·lic es decideixen abans que es comprometi el disseny de la PCB, no després que els rendiments de PVT col·lapsin.
Terminis de validació honestos des del primer dia — De 7 a 11 mesos per a un dispositiu de qualitat bancària. Aquesta xifra de la proposta filtra els clients equivocats i genera credibilitat amb els correctes.
Fabricació controlada per la seguretat — claus d'atestat noves per dispositiu, firmware signat per HSM, cadena de custòdia eSE. La planta de producció forma part del model d'amenaces.
Una guia postquàntica ja escrita — El PQC està en les sol·licituds de propostes i les directrius CISA en vigor. Qualsevol ODM de tauleta fintech que no pugui articular una ruta de migració per al 2026 es tornarà a especificar abans que finalitzi el seu cicle de vida de producció.
El mercat no té escassetat de proveïdors amb un certificat PCI i una fitxa tècnica. També té escassetat de socis d'enginyeria que hagin executat el programa, absorbit els errors i integrat aquestes lliçons en cada projecte posterior.
Preguntes freqüents
Quant de temps triga realment el desenvolupament d'una tauleta Android de nivell bancari?
El cicle realista de TVP → TVP → TVP és de 7 a 11 mesos per a dispositius que requereixen la certificació PCI PTS, EMVCo i TEE personalitzada. Els clients esperen de 3 a 4 mesos segons els terminis dels telèfons intel·ligents. L'interval prové de les noves proves obligatòries de laboratori de tercers després de qualsevol revisió del maquinari.
Quina és la durada real de la bateria sota càrregues de treball financeres?
En una cel·la de 8,000 mAh: de 7 a 9.5 hores amb càrrega de treball financera sostinguda. Les fitxes d'especificacions indiquen entre 12 i 15 hores amb ús mixt de consum. Els processadors StrongBox i TEE no poden entrar en repòs profund durant les operacions clau actives, cosa que suposa un consum addicional del 15 al 25%. Planifiqueu energia suplementària en implementacions de quioscs.
És suficient amb la certificació PCI PTS?
No. Certifica el dispositiu en un moment donat. Els canvis posteriors de firmware poden requerir una recertificació. No avalua la cadència de pegats del sistema operatiu, la seguretat de la cadena de subministrament de firmware ni l'estat de l'atestat continu de TEE. Tracteu-lo com un filtre de referència, no com una garantia contínua.
Quan hauríem d'utilitzar HCE + StrongBox en lloc d'un element segur integrat?
Per a implementacions fora de línia on no es pot garantir la connectivitat de TSM per al subministrament d'eSE. HCE amb tokenització del costat de l'adquirent (model CPoC) ofereix una BOM entre un 30 i un 40% menys i una durada de la bateria del doble fora de línia, a costa d'una major complexitat del programari i responsabilitat de la caixa forta de tokens del costat de l'adquirent.
Per què la criptografia postquàntica apareix ara a les sol·licituds de propostes?
El NIST va finalitzar les normes FIPS 203/204/205 i la CISA va emetre mandats de PQC el gener de 2026. Els bancs les estan incorporant a les seves adquisicions, al·legant atacs de "collita ara-desxifra-més tard". El maquinari sense suport de PQC al TEE s'enfronta a la pressió de redisseny abans del 2028.
Què tanca realment un acord amb l'equip de seguretat d'un banc?
La veritable por del CISO és la responsabilitat personal. Un informe de prova de penetració de tercers, una matriu de responsabilitat compartida explícita i una prova pilot remunerada de 4 a 6 setmanes amb 20 a 50 unitats converteixen les reclamacions dels OEM en proves sobre les quals l'equip de seguretat pot actuar. Les certificacions per si soles no tanquen aquests acords.
