Shrnutí
Regionální maloobchodní řetězec potřeboval tablet s Androidem s certifikací PCI a standardem EMVCo pro zpracování plateb na úrovni pobočky. Následovalo selhání hardwaru v hodnotě 280 000 dolarů, 11týdenní opakované testování a poučení, která většina brožur OEM nezdokumentuje. Tato případová studie se zabývá architektonickými rozhodnutími, selháním, opravou a bezpečnostními aspekty, které odlišují finanční tablet od zařízení, které pouze prošlo certifikačním auditem.
Co si banky myslí, že kupují
Pravda, kterou říkáme každému klientovi, než se dotkneme schématu: Shoda s PCI PTS, EMVCo L1/L2, Android Enterprise a MDM nepředstavuje bezpečnostní záruku. Jedná se o mechanismus přenosu odpovědnosti.
Přečtěte si také: Případová studie odolného tabletu
Certifikace PTS je spíše momentka než štít. PCI PTS v6 certifikuje zařízení v pevně stanoveném časovém bodě. Jakákoli aktualizace firmwaru – včetně bezpečnostní záplaty – spouští opětovnou certifikaci. Většina výrobců OEM uzamyká firmware, aby se vyhnula nákladům na opětovnou certifikaci. Bankovní tablety běžně mají 18–24 měsíců zpoždění s bezpečnostními záplatami pro Android. Zařízení je „kompatibilní s PCI“. Jádro je bez záplaty. Tyto dva fakty existují vedle sebe, dokud si k nim nedojde v důsledku narušení bezpečnosti.
Android Enterprise s plnohodnotným MDM ruší offline nasazení. Standardní stack předpokládá neustálé připojení ke cloudu. V prostředích s nízkým počtem připojení naše data ukazují O 30–40 % vyšší míra poruchovosti pole versus uzamčené sestavení AOSP. Zařízení se při nočním restartu zablokují, když se MDM nemůže dovolat domů.
Kupující si myslí, že si kupují bezpečí. Ve skutečnosti si kupují vázanost a budoucí problémy s opětovným získáváním certifikátů.
Požadavky klientů a proč standardní tablety v bankovnictví selhávají
Co klient požadoval
Zadání bylo standardní pro finanční tablet s Androidem pro bankovnictví:
- 10palcový FHD IPS displej pro zaškolení zákazníků v pobočce
- Integrovaná čtečka NFC, čtečka čipových karet, přední kamera s vysokým rozlišením pro hardwarové pracovní postupy tabletu eKYC
- Připojení LTE/5G, šifrování na hardwarové úrovni, zabezpečené spouštění
- Integrace tabletů PCI DSS + EMV, životní cyklus výroby 5+ let
Kontrolní seznam pro dodržování předpisů (a co nezahrnuje)
- PCI DSS 4.0.1 — Požadavek 6.4.3 ponechává kupujícího odpovědným za kód třetí strany i na „kompatibilním“ zařízení
- EMVCo L1/L2 — certifikuje bezkontaktní výkon v kontrolovaných laboratorních podmínkách, nikoliv reálné elektromagnetické rušení z kovových regálů nebo motorů
- CE/FCC — neříká nic o integritě dodavatelského řetězce firmwaru ani o vystavení jádra zero-day
- Android Enterprise doporučeno — vyžaduje služby Google Play; nekompatibilní s architekturami zaměřenými na offline přístup
- Regionální telekomunikační certifikace — přidává 4–8 týdnů k PVT ve většině trhů Asie a Tichomoří a Blízkého východu a Severní Afriky
Mapa certifikací neodpovídá danému území. Právě v této mezeře selhává většina projektů vývoje bankovních tabletů.
Výběr architektury systému a SoC
Proč jsme si vybrali Qualcomm před MediaTekem
Výběr SoC pro finanční tablet je rozhodnutím o životním cyklu, nikoli rozhodnutím o srovnání. Obě platformy jsme hodnotili podle čtyř kritérií:
- Kvalita TEE — Shoda s API GlobalPlatform, hloubka validace bezpečnostními laboratořemi třetích stran
- Dostupnost životního cyklu — finanční hardware vyžaduje dodací lhůtu 5–7 let; spotřebitelské SKU MediaTek tuto záruku nemají
- Cesta k upgradu na Android — SoC, který ztratí podporu jádra uprostřed nasazení, nutí kupujícího k opětovné certifikaci
- Akcelerace kryptoměn — hardwarově akcelerované šifrování představuje rozdíl mezi 9 hodinami výdrže baterie a 6 hodinami při finanční zátěži
U nasazení primárně offline se tento kalkul mění – je popsán v níže uvedené části o softwaru.
Architektura hardwarových bloků
Integrace subsystémů pro projekt OEM pro zabezpečené tablety s Androidem zahrnuje vzájemné závislosti, které většina blokových diagramů skrývá:
- SoC → TEE zde sídlí; řídí všechny subsystémy
- Vestavěný zabezpečený prvek (eSE) → izolované od hlavního přístupového bodu; kryptografické operace EMV a úložiště platebních klíčů
- NFC ovladač → propojuje se přímo s eSE; umístění antény v tomto bodě je problém většiny týmů
- Modul otisků prstů → biometrický eKYC; vyžaduje zabezpečený kanál k TEE
- LTE/5G modul → RF anténa musí být izolována od NFC antény, aby se zabránilo rušení
Riziko integrace spočívá v interakcích, nikoli v komponentách.
Bezpečnostní inženýrství: Hardware, firmware a operační systém
TEE, zabezpečené spuštění a scénáře reálných útoků
Naši bezpečnostní architekturu pro tento bankovní tablet s Androidem formovaly tři scénáře hrozeb:
Manipulace s firmwarem — útočník s fyzickým přístupem nainstaluje upravený firmware a obejde tak kontroly integrity plateb. Obrana: ověřený bootovací řetězec ukotvený v hardwaru; jakékoli přerušení zcela zastaví bootování.
Útoky na NFC relé — v maloobchodních prodejnách s vysokou hustotou prodeje a více čtečkami do 30 cm se pasivní útočníci mohou pokusit o zachycení přenosů. Obrana: všechny platební operace se provádějí uvnitř eSE; platební klíč se nikdy nedostane k hlavnímu aplikačnímu procesoru.
Krádež zařízení uprostřed relace — Ochrana: hardwarově podporované úložiště klíčů s biometrickou vazbou; vzdálené mazání kompatibilní s MDM se zámkem vynuceným pomocí TEE, který přežije i přeprogramování operačního systému.
Šifrování plateb Secure Element a NFC
Vestavěný bezpečnostní prvek zvládá tři funkce, které nelze delegovat na software: kryptografické operace EMV, ukládání platebních klíčů (klíče nikdy neexistují v prostém textu mimo eSE) a izolaci NFC transakcí, kde eSE komunikuje přímo s řadičem NFC a zcela obchází přístupový bod. To je to, co architektonicky odlišuje bezpečný platební tablet od spotřebitelského zařízení s platební aplikací.
Uzamčení na úrovni operačního systému
- Režim kiosku — uzamčení jedné aplikace; žádný přístup k nastavení, složce s aplikacemi ani prohlížeči
- Omezená oprávnění — NFC a fotoaparát přístupné pouze ověřené platební aplikaci
- Bankovní tablet kompatibilní s MDM — vzdálené zamykání, vymazávání a auditní záznamy pro hlášení o shodě s předpisy
V detailních příručkách pro začátečníky se nikdy nezmiňují: Zřizování klíčů TEE musí používat ověřovací řetězec jedinečný pro dané zařízení, který je k dispozici od výrobce – nikdy se nesmí používat opakovaně používané vývojové klíče. Vývojářské klíče vypálené do jednotek EVT pro usnadnění testování, pokud nejsou explicitně nahrazeny v PVT, způsobují tiché selhání vzdálené ověření v terénu. Zařízení projde všemi laboratorními testy a po nasazení je kryptograficky neověřitelné.
Inženýrství desek plošných spojů a desek plošných spojů pro finanční spolehlivost
Selhání, které stálo 280 000 dolarů
V rámci výrobní série z let 2024–2025 jsme umístili anténu NFC přímo nad bateriový blok – standardní rozložení pro chytré telefony. Osvědčila se kombinace řadiče Qualcomm NFC a eSE. Kryt DVT byl plastový. Vyzkoušeli jsme 10 000 cyklů klepnutí. Prošli jsme certifikací laboratoře EMVCo. Schválení DVT proběhlo bez problémů.
PVT vyprávěl jiný příběh.
První výrobní série 800 kusů šla do skutečných obchodů – kovové regály, chladicí motory, několik čteček NFC v blízkosti. Míra selhání v provozu: 22%Téměř u každé čtvrté transakce vyprší časový limit.
Hlavní příčina: finální kovové šasi, nabobtnání baterie za reálných provozních cyklů a tolerance lepidla 0.8 mm posunuly rezonanční frekvenci antény NFC přibližně o 350 kHz — natolik, aby se vazební koeficient snížil pod minimum ISO 14443 v okrajových čtecích polích. Anténa byla naladěna pro plastový prototyp. Výroba ji zničila.
Oprava: Nová revize desky plošných spojů s laditelnou impedanční přizpůsobovací sítí, vyhrazeným feritovým stíněním a kovovou zónou ochrany. 11 týdnů. ~280 000 dolarů v oblasti NRE, šrotu a urychlené recertifikace. První roční objemová smlouva byla ztracena.
„Laboratoř se rovná plastovému prototypu. Výroba se rovná kovu plus tolerancím. Jsou to jiná zvířata.“
Umístění antény NFC: Pravidlo, které se neobjevuje v průvodcích
Náš protokol po tomto neúspěchu, nyní neobchodovatelný: umístění zadního krytu, minimální odsazení 8–10 mm od bateriového bloku, vyhrazená kovová zóna pro uchování mimo dosah. I jen 1mm zašpinění nebo odchylka lepidla či barvy ve výrobě ničí Q-faktor natolik, že způsobují občasné poruchy, které projdou testem hluboké žilní trombózy a selhávají v obchodech.
Dvě řešení pro odchylky ve výrobě: laditelná přizpůsobovací síť (předem dražší) nebo předimenzovaná intenzita pole (ohrožuje prostor pro shodu s EMI). Neexistuje jasné řešení – pouze řízené kompromisy. Týmy, které kopírují rozvržení antén chytrých telefonů, to objevují až v PVT, ne dříve.
Vícevrstvý návrh desek plošných spojů pro NFC finanční třídy
- 6–8 vrstev — řízená impedance pro RF stopy; odchylka >10 % měřitelně ovlivňuje vazební vzdálenost NFC
- Stínění EMI — RF plechovky nad NFC řadičem, uzemnění propojení propojení podél obvodu ochrany
- Izolace napájecí roviny eSE — speciální uzemňovací systém zabraňuje úniku postranních kanálů v důsledku šumu napájení AP
- Oddělení antén — Antény NFC a LTE/5G na opačných stranách zařízení pro minimalizaci vzájemného propojení
Finanční prostředí je nehostinné prostředí s rádiovým zářením. Bezpečný design desek plošných spojů tabletu je optimalizován pro obchod, nikoli pro laboratoř.
Připravenost k provozu: Trvanlivost a finanční správa napájení zařízení
Vytvořeno pro každodenní komerční použití
Finanční tablety nejsou robustní průmyslový hardware, ale čelí každodennímu namáhání. Nevyhnutelné:
- Shoda s pádem z 1 metru — zařízení na odhazování odpadků zaměstnanců pobočky
- Více než 10 000 cyklů vkládání USB — port, který selže při 3,000 5 cyklech u zařízení s pětiletou životností, představuje problém vyžadující servis v terénu
- Matný, tenký, profesionální povrch — hardware orientovaný na zákazníka, který musí vypadat důvěryhodně i po letech používání
Realita o bateriích, kterou nikdo neuvádí v brožuře
Ve specifikacích se uvádí 12–15 hodin na baterii s kapacitou 8 000 mAh. Při reálném finančním zatížení – šifrování celého disku, nepřetržité dotazování NFC, protokolování transakcí EMV, operace s klíči TEE – je skutečný údaj... Hodiny 7-9.5.
Proč tato mezera: Bezpečné procesory StrongBox a TEE nemohou během aktivních operací s klíči přejít do stejných stavů hlubokého spánku jako hlavní přístupový bod. To představuje o 15–25 % vyšší vytížení než softwarové úložiště klíčů. V kioscích s nepřetržitým provozem kupující do 12 měsíců zjistí, že potřebují externí baterie nebo program pro výměnu baterií. V rámci finanční zátěže počítejte s 8 hodinami. Pokud potřebujete 12, počítejte s doplňkovým napájením.
Softwarové úpravy a podniková integrace
Android Enterprise – s jednou zásadní výhradou
Android Enterprise je ten správný framework pro neustále online nasazení v městských oblastech: konfigurace kiosků, integrace EMM, zabezpečené OTA aktualizace s ověřeným bootovacím řetězcem. Nevýhodou je závislost na konektivitě – každý prvek předpokládá spolehlivý přístup k síti.
Kdy úplně opustit Android Enterprise
Pro nasazení primárně offline s nespolehlivými mobilními sítěmi a nočními výpadky proudu byl standardní stack aktivně škodlivý. Zařízení se při restartu zablokovala, když selhaly kontroly MDM. Atestace TEE obnovuje vybité baterie, které nedokázaly dokončit cyklus nabití.
Architektura, která byla místo toho dodána:
- Trezor (Hardwarové úložiště klíčů SoC) nahrazující eSE – žádná závislost na zřizování TSM
- HCE s tokenizací na straně nabyvatele v rámci modelu CPoC
- Lokální offline mezipaměť tokenů s časově omezenými kryptogramy; denní synchronizace po obnovení připojení
- Uzamčený AOSP — žádné služby Google Play, vlastní zásady SELinuxu, pouze ověřené spuštění
výsledky: O 30–40 % nižší náklady na kusovník, 2× výdrž baterie offline, prošel certifikací místní centrální banky a certifikací PCI CPoC. Nevýhodou je větší složitost softwaru a větší závislost na tokenovém trezoru nabyvatele.
Standardní stack je ideální pro městské banky, které jsou vždy online. Pro nasazení zaměřená především na offline prostředí je to špatný výchozí bod.
Plán validace: EVT → DVT → PVT pro Fintech zařízení
Největší rozdíl v očekáváních u vývoje finančních tabletů: klienti očekávají 3–4 měsíce (harmonogramy pro chytré telefony). Hardware bankovní úrovně s PCI PTS, EMVCo a vlastním TEE trvá 7–11 měsíců.
EVT — 4–6 týdnů, 10–50 jednotek: Funkční validace, zřizování TEE, počáteční chování antény v reálném šasi. Překvapení jsou zde zvládnutelná – nástroje zatím nebyly schváleny.
Hluboká žilní trombóza (HŽT) — 8–12 týdnů, 50–200 jednotek: Kompletní testování vlivů prostředí: pád, EMI, tepelné testování, testování baterií, sada více než 10 000 NFC transakcí. Schválení laboratoří třetí strany pro EMVCo a PCI PTS. Jakákoli změna hardwaru restartuje části laboratorní fronty.
PVT — 6–10 týdnů, pilotní produkční série: Tam, kde se projeví skutečná odchylka od produkce. Schválení DVT nezaručuje úspěch PVT – výše uvedené selhání ve výši 280 000 USD bylo bez DVT a PVT se zhroutilo. Konečné opětovné podání prodlužuje dobu schválení regionálními telekomunikačními společnostmi o 4–6 týdnů.
Celkem: 7–11 měsíců. Uveďte to v návrhu. Klienti, kteří to přijmou, jsou vybaveni k realizaci programu.
Hromadná výroba a bezpečnostně řízená výroba
SMT montáž a kontrola kvality
- BGA s jemným roztečem — 100% rentgenová kontrola bezpečnostních komponentů; nikoli odběr vzorků
- sledovatelnost eSE — každý zabezpečený prvek serializovaný a sledovaný k jeho jednotce; řetězec úschovy je požadavkem shody
- Sestava NFC antény — tloušťka lepidla je řízená proměnná; montážní přípravky vynucují geometrii zabránění vniknutí
Zabezpečení řízeného zřizování firmwaru
Tovární hala je ohroženou plochou. Náš protokol pro zajišťování:
- Jedinečné ID zařízení vypálené v továrně – žádný sdílený klíčový materiál původu
- Produkční firmware podepsaný pomocí HSM; podpisový klíč se nikdy nedotýká produkční sítě
- Nový certifikát ověřování TEE pro každé zařízení; vývojový řetězec byl před odesláním jednotky explicitně zrušen
- Výrobní telemetrie šifrovaná během přenosu i v klidovém stavu
Zařízení, které projde všemi hardwarovými testy a je dodáváno s opakovaně použitým vývojovým atestačním klíčem, neprojde vzdálenou atestací hned první den v praxi.
Klíčové inženýrské výzvy a jak jsme je vyřešili
| Vyzvat | Riziko | Řešení | Výsledek |
| Rozladění NFC antény na PVT | 22% selhání pole; náklady na opětovné roztočení 280 tisíc dolarů | Implementováno laditelné porovnávání, offset 8–10 mm a přísné zóny zákazu vstupu. | Míra selhání klesla z 22 % až < 3 %. |
| Vždy online MDM na offline trzích | Zbrokávání zařízení; o 30–40 % vyšší míra selhání | Převedeno na AOSP + StrongBox + HCE + CPoC architektura. | 2× výdrž baterieO 30–40 % nižší náklady na kusovník. |
| 18–24měsíční zpoždění záplaty | Nezáplatované jádro; falešný stav shody | OTA s Podepisování ověřené TEE + striktní SLA pro opravy ve smlouvách. | Dosaženo robustní a aktuální bezpečnostní situace. |
| Propad výnosu PVT | 18% zmetkovitost/přepracování u první šarže | Zavedeno testování antén pro sériovou výrobu na podvozku před PVT. | <3% přepracování ve všech následujících výrobních sériích. |
| Blokování dohody s CISO | Piloti se zastavili na 6–12 měsíců | Placený pilotní projekt + matice sdílené odpovědnosti + testování perem třetí stranou. | Významné zrychlení v následných cyklech zadávání veřejných zakázek. |
Skuteční zainteresované strany: Kdo je ve skutečnosti v místnosti
CISO je nejtvrdším blokátorem. Oficiální námitka: „integrační riziko“. Skutečný strach: osobní odpovědnost v případě narušení bezpečnosti hardwaru, který schválili. Zodpovídají se regulačnímu orgánu. Certifikační dokument tento strach neodstraňuje – ano, zpráva o penetračním testu od třetí strany a explicitní matice sdílené odpovědnosti.
Technický ředitel / IT provoz obavy z fragmentace Androidu. Smluvní pětiletá SLA na opravy odpovídá na skutečnou otázku: co se stane, když SoC ztratí podporu pro Android?
Nákup / Finanční ředitel prezentuje se jako oponent cen. Skutečný problém: skryté celkové náklady na vlastnictví – programy výměny baterií, náklady na opětovné certifikace, servis NFC v terénu. Graf návratnosti investic kvantifikuje snížení nákladů na manipulaci s hotovostí oproti celkovým nákladům na životnost zařízení.
Právní objevuje se ve fázi smlouvy s doložkami o odškodnění, které většina smluv s OEM nepokrývá. Rozpočtový čas.
Co ve skutečnosti uzavírá pozastavený obchod: Placený pilotní projekt v délce 4–6 týdnů, 20–50 jednotek, kompletní protokolování transakcí, předem dohodnutá matice sdílené odpovědnosti. Každý pozastavený obchod, který se posunul vpřed, tak učinil až po pilotním projektu. Marketingová tvrzení se tak převádějí na důkazy.
Co přijde za 24 měsíců: Požadavek, na který nikdo není připraven
Na základě aktuálních výzev k nabídkám z počátku roku 2026 – nikoli prognóz analytiků – se objevuje jeden požadavek, který většina výrobců finančních tabletů OEM není schopna splnit.
Postkvantová kryptografie je nyní položkou v rámci zadávání veřejných zakázek.
Kupující výslovně požadují algoritmy NIST PQC – FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) a FIPS 205 (SLH-DSA) – v hardwaru a firmwaru pro výměnu klíčů, podpisy a šifrování celého disku. Toto opatření navazuje na pokyny CISA z ledna 2026, které nařizují produkty s podporou PQC v oblasti zabezpečení federálních koncových bodů. Banky sledují federální zadávání veřejných zakázek a kopírují toto znění do svých vlastních výzev k nabídkám.
Uvedeným hnací silou jsou útoky typu „sklízej-nyní-dešifruj-později“, kdy jsou finanční data zachycená dnes uchovávána k dešifrování, jakmile bude existovat kryptograficky relevantní kvantový počítač. Regulační orgány to vnímají jako krátkodobé operační riziko, nikoli jako problém roku 2035.
Vedle PQC: detekce anomálií postranních kanálů za běhu uvnitř TEE — monitorování výkonu, elektromagnetického záření a časových podpisů během krypto operací za účelem detekce variant Rowhammeru, závad hodin a implantátů firmwaru.
Otázky v aktuálních výzvách k podávání nabídek, které v roce 2023 neexistovaly: „Může TEE ověřit klíče PQC? Jaký je váš časový harmonogram postkvantové migrace? Podporuje hardwarový kořen důvěryhodnosti algoritmy odolné vůči CRQC do roku 2028?“
Hardwarové platformy navržené bez tepelné a energetické rezervy PQC čelí před rokem 2028 kompletní přepracované verzi. Výrobci OEM, kteří to považují za problém roku 2027, budou muset splnit nouzové podmínky, aby splnili certifikace, které kupující dnes zapisují do smluv.
Závěr: Co vývoj bezpečných finančních tabletů skutečně vyžaduje
Rozdíl mezi finančním tabletem, který projde certifikací, a tabletem, který funguje v terénu, není hardwarová mezera. Je to mezera v inženýrské kultuře.
Pět věcí odlišuje úspěšná nasazení od těch neúspěšných:
Architektura přizpůsobená kontextu nasazení — TEE + eSE + Android Enterprise pro neustále online bankovnictví ve městech; StrongBox + HCE + AOSP pro bankovnictví zaměřené na offline bankovnictví. Kontrolní seznam auditora není zadáním architektury.
NFC anténa jako konstrukční omezení prvního řádu — pravidlo odsazení 8–10 mm a zóna zakázání použití kovu se určují před schválením rozvržení plošných spojů, nikoli až po kolapsu PVT.
Poctivé časové harmonogramy ověření od prvního dne — 7–11 měsíců pro zařízení bankovní úrovně. Toto číslo v návrhu filtruje nesprávné klienty a buduje důvěryhodnost u těch správných.
Bezpečnostně řízená výroba — nové atestační klíče pro každé zařízení, firmware podepsaný HSM, řetězec úschovy eSE. Součástí modelu hrozeb je i výrobní hala.
Postkvantový plán již napsaný — PQC je v aktuálních RFP a pokynech CISA. Jakýkoli ODM pro fintech tablety, který do roku 2026 nedokáže sdělit cestu migrace, bude před ukončením svého produkčního životního cyklu přepracován.
Trh netrpí nedostatkem dodavatelů s certifikátem PCI a specifikací. Chybí mu také inženýrští partneři, kteří program spustili, absorbovali chyby a začlenili tyto poznatky do každého následujícího projektu.
Nejčastější dotazy
Jak dlouho ve skutečnosti trvá vývoj tabletu s Androidem na bankovní úrovni?
Realistický cyklus EVT → DVT → PVT je 7–11 měsíců pro zařízení vyžadující certifikaci PCI PTS, EMVCo a vlastní TEE. Klienti očekávají 3–4 měsíce na základě časových harmonogramů chytrých telefonů. Tato prodleva vyplývá z povinného opětovného testování třetí stranou po jakékoli revizi hardwaru.
Jaká je skutečná výdrž baterie při finanční zátěži?
Na baterii s kapacitou 8 000 mAh: 7–9.5 hodiny při trvalém finančním zatížení. Specifikace uvádějí 12–15 hodin při smíšeném používání spotřebiteli. Procesory StrongBox a TEE nemohou během aktivních operací s klávesami přejít do hlubokého spánku – to znamená o 15–25 % více spotřeby. V kioscích počítejte s doplňkovým napájením.
Stačí certifikace PCI PTS?
Ne. Certifikuje zařízení v určitém okamžiku. Následné změny firmwaru mohou vyžadovat opětovnou certifikaci. Nevyhodnocuje kadenci oprav operačního systému, zabezpečení dodavatelského řetězce firmwaru ani stav průběžné certifikace TEE. Považujte to za základní filtr, nikoli za trvalou záruku.
Kdy bychom měli použít HCE + StrongBox místo vloženého bezpečnostního prvku?
Pro offline nasazení, kde nelze zaručit konektivitu TSM pro zřizování eSE. HCE s tokenizací na straně nabyvatele (model CPoC) nabízí o 30–40 % nižší kusovník a 2× delší výdrž baterie offline, ale na úkor větší softwarové složitosti a odpovědnosti za tokenový trezor na straně nabyvatele.
Proč se postkvantová kryptografie objevuje v RFP právě teď?
NIST dokončil standardy FIPS 203/204/205 a CISA vydala mandáty PQC v lednu 2026. Banky je začleňují do zadávání veřejných zakázek s odvoláním na útoky typu „sklízej-nyní-dešifruj-později“. Hardware bez podpory PQC v TEE čelí tlaku na redesign před rokem 2028.
Co vlastně uzavírá dohodu s bezpečnostním týmem banky?
Skutečným strachem CISO je osobní odpovědnost. Zpráva o testu pera od třetí strany, explicitní matice sdílené odpovědnosti a 4–6týdenní placený pilotní program s 20–50 jednotkami promění tvrzení OEM v důkazy, na jejichž základě může bezpečnostní tým reagovat. Samotné certifikace tyto obchody neuzavřou.
