ایگزیکٹو کا خلاصہ
ایک علاقائی ریٹیل چین کو برانچ کی سطح کی ادائیگی کی کارروائی کے لیے PCI سے تصدیق شدہ، EMVCo کے مطابق اینڈرائیڈ ٹیبلٹ کی ضرورت ہے۔ اس کے بعد کیا $280,000 ہارڈ ویئر کی ناکامی، 11 ہفتوں کا دوبارہ اسپن، اور اسباق زیادہ تر OEM بروشر دستاویز نہیں کریں گے۔ اس کیس اسٹڈی میں آرکیٹیکچر کے فیصلوں، ناکامی، درستگی، اور سیکیورٹی انجینئرنگ کی حقیقتوں کا احاطہ کیا گیا ہے جو مالیاتی ٹیبلٹ کو اس ڈیوائس سے الگ کرتے ہیں جو محض اس کے سرٹیفیکیشن آڈٹ کو پاس کرتا ہے۔
بینک کیا سوچتے ہیں کہ وہ خرید رہے ہیں۔
ایک اسکیمیٹک کو چھونے سے پہلے ہم ہر کلائنٹ کو سچ بتاتے ہیں: PCI PTS، EMVCo L1/L2، Android Enterprise، اور MDM کی تعمیل سیکیورٹی کی ضمانت نہیں ہے۔ وہ ذمہ داری کی منتقلی کا طریقہ کار ہیں۔
مزید پڑھئے: رگڈ ٹیبلٹ کیس اسٹڈی
پی ٹی ایس سرٹیفیکیشن ایک سنیپ شاٹ ہے، شیلڈ نہیں۔ PCI PTS v6 آلہ کو ایک مقررہ وقت پر تصدیق کرتا ہے۔ کوئی بھی فرم ویئر اپ ڈیٹ — بشمول سیکیورٹی پیچ — دوبارہ سرٹیفیکیشن کو متحرک کرتا ہے۔ زیادہ تر OEMs دوبارہ تصدیق کے اخراجات سے بچنے کے لیے فرم ویئر کو لاک کر دیتے ہیں۔ بینکنگ ٹیبلٹس معمول کے مطابق اینڈرائیڈ سیکیورٹی پیچ پر 18-24 ماہ پیچھے چلتے ہیں۔ ڈیوائس "PCI کے مطابق" ہے۔ دانا بے نشان ہے۔ یہ دونوں حقائق اس وقت تک ساتھ رہتے ہیں جب تک کہ کوئی خلاف ورزی گفتگو پر مجبور نہ ہو جائے۔
مکمل MDM کے ساتھ Android Enterprise آف لائن تعیناتیوں کو ختم کر دیتا ہے۔ معیاری اسٹیک مستقل کلاؤڈ کنیکٹوٹی فرض کرتا ہے۔ کم کنیکٹیویٹی والے ماحول میں، ہمارا ڈیٹا دکھاتا ہے a 30-40% زیادہ فیلڈ میں ناکامی کی شرح بمقابلہ بند AOSP تعمیرات۔ جب MDM گھر پر فون نہیں کر پاتا ہے تو آلات رات کے وقت ریبوٹس پر اینٹ لگاتے ہیں۔
خریدار سوچتے ہیں کہ وہ حفاظت خرید رہے ہیں۔ وہ اصل میں لاک ان اور مستقبل میں دوبارہ سرٹیفکیٹ درد خرید رہے ہیں۔
کلائنٹ کی ضروریات اور معیاری گولیاں بینکنگ میں کیوں ناکام ہوتی ہیں۔
کلائنٹ نے کیا پوچھا
مختصر یہ بینکنگ کے لیے مالیاتی درجے کے اینڈرائیڈ ٹیبلٹ کے لیے معیاری تھا:
- برانچ میں آنے والے صارفین کے لیے 10 انچ کا FHD IPS ڈسپلے
- انٹیگریٹڈ NFC ریڈر، سمارٹ کارڈ ریڈر، eKYC ٹیبلٹ ہارڈویئر ورک فلو کے لیے ہائی ریزولوشن فرنٹ کیمرہ
- LTE/5G کنیکٹیویٹی، ہارڈویئر لیول انکرپشن، محفوظ بوٹ
- PCI DSS + EMV ٹیبلٹ انٹیگریشن، 5+ سالہ پروڈکشن لائف سائیکل
تعمیل چیک لسٹ (اور اس میں کیا شامل نہیں ہے)
- PCI DSS 4.0.1 - ضرورت 6.4.3 خریدار کو "مطابق" ڈیوائس پر بھی فریق ثالث کوڈ کے لیے ذمہ دار رکھتی ہے
- EMVCo L1/L2 - کنٹرول شدہ لیب کے حالات میں کنٹیکٹ لیس کارکردگی کی تصدیق کرتا ہے، دھاتی شیلفنگ یا موٹروں سے حقیقی دنیا کی EMI نہیں
- عیسوی / ایف سی سی - فرم ویئر سپلائی چین کی سالمیت یا صفر دن کے کرنل کی نمائش کے بارے میں کچھ نہیں کہتا ہے۔
- لوڈ، اتارنا Android انٹرپرائز - گوگل پلے سروسز کی ضرورت ہے۔ آف لائن فرسٹ آرکیٹیکچرز سے مطابقت نہیں رکھتا
- علاقائی ٹیلی کام سرٹیفیکیشن - زیادہ تر APAC اور MENA مارکیٹوں میں PVT میں 4-8 ہفتوں کا اضافہ کرتا ہے۔
سرٹیفیکیشن کا نقشہ علاقے سے مماثل نہیں ہے۔ یہی فرق ہے جہاں زیادہ تر بینکنگ ٹیبلٹ ڈویلپمنٹ پروجیکٹس ناکام ہو جاتے ہیں۔
سسٹم آرکیٹیکچر اور ایس او سی سلیکشن
ہم نے میڈیا ٹیک پر Qualcomm کا انتخاب کیوں کیا۔
مالیاتی ٹیبلٹ کے لیے SoC کا انتخاب ایک لائف سائیکل فیصلہ ہے، بینچ مارک کا فیصلہ نہیں۔ ہم نے چار معیاروں کے خلاف دونوں پلیٹ فارمز کا جائزہ لیا:
- TEE معیار - GlobalPlatform API کی تعمیل، تیسرے فریق کی سیکورٹی لیب کی توثیق کی گہرائی
- لائف سائیکل کی دستیابی - مالیاتی ہارڈویئر کو 5-7 سال کی سپلائی ونڈو کی ضرورت ہے۔ صارفین MediaTek SKUs میں یہ گارنٹی نہیں ہے۔
- اینڈرائیڈ اپ گریڈ کا راستہ - ایک ایسا ایس او سی جو کرنل سپورٹ وسط تعیناتی فورسز سے محروم ہو جاتا ہے خریدار پر دوبارہ تصدیق کرتا ہے۔
- کرپٹو ایکسلریشن — ہارڈ ویئر کی تیز رفتار خفیہ کاری 9 گھنٹے کی بیٹری کی زندگی اور مالی کام کے بوجھ کے تحت 6 کے درمیان فرق ہے۔
آف لائن پہلی تعیناتیوں کے لیے، یہ کیلکولس شفٹ ہو جاتا ہے — نیچے سافٹ ویئر سیکشن میں شامل ہے۔
ہارڈ ویئر بلاک آرکیٹیکچر
ایک محفوظ اینڈرائیڈ ٹیبلیٹ OEM پروجیکٹ کے لیے سب سسٹم کے انضمام میں ایک دوسرے پر انحصار شامل ہے جو زیادہ تر بلاک ڈایاگرام چھپاتے ہیں:
- SOC → TEE یہاں رہتی ہے؛ تمام ذیلی نظاموں کو چلاتا ہے۔
- سرایت شدہ محفوظ عنصر (eSE) → مین اے پی سے الگ تھلگ؛ EMV کرپٹوگرافک آپریشنز اور ادائیگی کی کلید کا ذخیرہ
- این ایف سی کنٹرولر → براہ راست eSE کے ساتھ انٹرفیس؛ اینٹینا کی جگہ کا تعین وہ جگہ ہے جہاں زیادہ تر ٹیمیں مشکل میں پڑ جاتی ہیں۔
- فنگر پرنٹ ماڈیول → بائیو میٹرک eKYC؛ TEE کو محفوظ چینل درکار ہے۔
- LTE/5G ماڈیول → مداخلت کو روکنے کے لیے RF اینٹینا کو NFC اینٹینا سے الگ کرنا چاہیے۔
انضمام کا خطرہ تعاملات میں ہے، اجزاء میں نہیں۔
سیکیورٹی انجینئرنگ: ہارڈ ویئر، فرم ویئر اور OS
TEE، محفوظ بوٹ اور حقیقی حملے کے منظرنامے۔
اس بینکنگ اینڈرائیڈ ٹیبلیٹ کے لیے تین خطرے کے منظرناموں نے ہمارے حفاظتی فن تعمیر کو تشکیل دیا:
فرم ویئر سے چھیڑ چھاڑ - جسمانی رسائی کے ساتھ حملہ آور ادائیگی کی سالمیت کی جانچ کو نظرانداز کرتے ہوئے فرم ویئر میں ترمیم کرتا ہے۔ دفاع: تصدیق شدہ بوٹ چین ہارڈ ویئر میں لنگر انداز؛ کوئی وقفہ بوٹ کو مکمل طور پر روک دیتا ہے۔
این ایف سی ریلے حملے — 30 سینٹی میٹر کے اندر متعدد قارئین کے ساتھ اعلی کثافت خوردہ میں، غیر فعال حملہ آور ریلے کو روکنے کی کوشش کر سکتے ہیں۔ دفاع: ادائیگی کی تمام کارروائیاں eSE کے اندر ہوتی ہیں۔ ادائیگی کی کلید کبھی بھی مین ایپلیکیشن پروسیسر تک نہیں پہنچتی ہے۔
ڈیوائس کی چوری وسط سیشن - دفاع: بائیو میٹرک بائنڈنگ کے ساتھ ہارڈ ویئر کی حمایت یافتہ کی اسٹور؛ MDM-مطابق ریموٹ وائپ TEE-انفورسڈ لاک کے ساتھ جو OS ریفلیش سے بچ جاتا ہے۔
محفوظ عنصر اور NFC ادائیگی کی خفیہ کاری
ایمبیڈڈ محفوظ عنصر تین فنکشنز کو ہینڈل کرتا ہے جو سافٹ ویئر کو نہیں دیے جا سکتے ہیں: EMV کرپٹوگرافک آپریشنز، ادائیگی کی کلید اسٹوریج (کیز eSE کے باہر سادہ متن میں کبھی موجود نہیں ہوتی ہیں)، اور NFC ٹرانزیکشن آئسولیشن جہاں eSE مکمل طور پر AP کو نظرانداز کرتے ہوئے NFC کنٹرولر سے براہ راست بات چیت کرتا ہے۔ یہی وہ چیز ہے جو ایک محفوظ ادائیگی والے ٹیبلٹ کو آرکیٹیکچرل طور پر پیمنٹ ایپ والے صارف ڈیوائس سے مختلف بناتی ہے۔
او ایس لیول لاک ڈاؤن
- کیوسک موڈ - سنگل ایپلیکیشن لاک؛ ترتیبات، ایپ ڈراور، یا براؤزر تک رسائی نہیں ہے۔
- محدود اجازتیں۔ - NFC اور کیمرہ صرف تصدیق شدہ ادائیگی کی درخواست کے لیے قابل رسائی ہے۔
- MDM ہم آہنگ بینکنگ ٹیبلٹ - تعمیل کی رپورٹنگ کے لیے ریموٹ لاک، وائپ، اور آڈٹ ٹریل
تفصیل کے ابتدائی رہنما کبھی بھی ذکر نہیں کرتے: TEE کلید کی فراہمی کے لیے ایک فیکٹری-تازہ، ڈیوائس-منفرد تصدیقی سلسلہ کا استعمال کرنا چاہیے — کبھی بھی ڈویلپمنٹ کیز کو دوبارہ استعمال نہیں کیا گیا۔ ڈیو کیز کو جانچ کی سہولت کے لیے EVT یونٹس میں جلایا جاتا ہے، اگر PVT میں واضح طور پر تبدیل نہیں کیا جاتا ہے، تو فیلڈ میں خاموشی سے ریموٹ اٹیسٹیشن ناکام ہو جاتی ہے۔ یہ آلہ ہر لیب ٹیسٹ پاس کرتا ہے اور تعیناتی کے بعد خفیہ طور پر ناقابل تصدیق ہے۔
پی سی بی اور پی سی بی اے انجینئرنگ برائے مالی اعتبار
ناکامی جس کی لاگت $280,000 ہے۔
2024-2025 کے پروڈکشن رن میں، ہم نے NFC اینٹینا کو براہ راست بیٹری پیک - معیاری اسمارٹ فون لے آؤٹ پر رکھا۔ Qualcomm NFC کنٹرولر اور eSE کا امتزاج ثابت ہوا۔ ڈی وی ٹی انکلوژر پلاسٹک کا تھا۔ ہم نے 10,000 ٹیپ سائیکل چلائے۔ ہم نے EMVCo لیب سرٹیفیکیشن پاس کیا۔ DVT سائن آف صاف تھا۔
PVT نے ایک الگ کہانی سنائی۔
پہلی 800 یونٹ پروڈکشن رن اصل اسٹورز میں چلی گئی — میٹل شیلفنگ، ریفریجریشن موٹرز، قربت میں متعدد NFC ریڈرز۔ فیلڈ میں ناکامی کی شرح: 22٪. تقریباً چار میں سے ایک لین دین کا وقت ختم ہو رہا ہے۔
بنیادی وجہ: فائنل میٹل چیسس، حقیقی آپریٹنگ سائیکل کے تحت بیٹری کا پھول جانا، اور 0.8 ملی میٹر چپکنے والی رواداری نے NFC اینٹینا کی گونج والی فریکوئنسی کو تقریباً تبدیل کر دیا۔ 350 kHz - کم سے کم ISO 14443 سے کم از کم مارجنل ریڈر فیلڈز میں کپلنگ گتانک چھوڑنے کے لیے کافی ہے۔ اینٹینا کو پلاسٹک کے پروٹوٹائپ کے لیے بنایا گیا تھا۔ پیداوار نے اسے مار ڈالا۔
درست کریں: ٹیون ایبل امپیڈینس میچنگ نیٹ ورک، ڈیڈیکیٹڈ فیرائٹ شیلڈ، اور میٹل کیپ آؤٹ زون کے ساتھ پی سی بی کی نئی نظرثانی۔ 11 ہفتے۔ ~$280,000 NRE میں، سکریپ، اور دوبارہ سرٹیفیکیشن کو تیز کرنا۔ پہلے سال کا حجم کا معاہدہ ختم ہو گیا تھا۔
"لیب پلاسٹک کے پروٹو ٹائپ کے برابر ہے۔ پیداوار دھات کے علاوہ رواداری کے برابر ہے۔ وہ مختلف جانور ہیں۔"
NFC اینٹینا پلیسمنٹ: وہ اصول جو گائیڈز میں ظاہر نہیں ہوتا ہے۔
اس ناکامی کے بعد ہمارا پروٹوکول، اب غیر گفت و شنید: ریئر کور پلیسمنٹ، بیٹری پیک سے کم از کم 8–10 ملی میٹر آفسیٹ، میٹل کیپ آؤٹ زون کے لیے وقف۔ یہاں تک کہ 1 ملی میٹر قریب، یا چپکنے والی یا پینٹ کی پیداوار میں فرق، کیو فیکٹر کو کافی حد تک ختم کر دیتا ہے جس سے وقفے وقفے سے ناکامیاں پیدا ہوتی ہیں جو DVT کو پاس کرتی ہیں اور اسٹورز میں ناکام ہوجاتی ہیں۔
پیداوار کے تغیر کے لیے دو حل: ایک ٹیون ایبل میچنگ نیٹ ورک (زیادہ پہلے سے لاگت آتی ہے) یا زیادہ ڈیزائن شدہ فیلڈ طاقت (ٹریڈس EMI کمپلائنس ہیڈ روم)۔ کوئی صاف جواب نہیں — صرف منظم تجارت۔ وہ ٹیمیں جو سمارٹ فون اینٹینا لے آؤٹ کو کاپی کرتی ہیں اسے PVT میں دریافت کرتی ہیں، پہلے نہیں۔
مالیاتی گریڈ این ایف سی کے لیے ملٹی لیئر پی سی بی ڈیزائن
- 6-8 پرت کا اسٹیک - RF نشانات کے لیے کنٹرول شدہ رکاوٹ؛ >10% انحراف NFC جوڑے فاصلے کو ناپے سے متاثر کرتا ہے۔
- EMI شیلڈنگ - NFC کنٹرولر پر RF کین، کیپ آؤٹ پریمیٹر کے ساتھ ساتھ گراؤنڈ سلائی ویاس
- eSE پاور ہوائی جہاز کی تنہائی - وقف شدہ گراؤنڈ پوور AP پاور شور کے ذریعے سائیڈ چینل کے رساو کو روکتا ہے۔
- اینٹینا علیحدگی - باہمی جوڑے کو کم سے کم کرنے کے لیے مخالف ڈیوائس کے کناروں پر NFC اور LTE/5G اینٹینا
مالیاتی ماحول مخالف RF ماحول ہیں۔ محفوظ ٹیبلیٹ پی سی بی ڈیزائن اسٹور کے لیے موزوں ہے، لیب کے لیے نہیں۔
فیلڈ کی تیاری: پائیداری اور مالیاتی ڈیوائس پاور مینجمنٹ
روزانہ تجارتی استعمال کے لیے بنایا گیا ہے۔
مالیاتی گولیاں صنعتی ہارڈویئر نہیں ہیں، لیکن انہیں روزانہ سزا کا سامنا کرنا پڑتا ہے۔ غیر گفت و شنید:
- 1 میٹر ڈراپ تعمیل - برانچ کا عملہ ڈراپ ڈیوائسز
- 10,000+ USB داخل کرنے کے چکر - ایک بندرگاہ جو 5 سالہ لائف سائیکل ڈیوائس پر 3,000 سائیکلوں پر ناکام ہوجاتی ہے، فیلڈ سروس کا مسئلہ ہے۔
- دھندلا، پتلا، پیشہ ورانہ ختم - گاہک کا سامنا کرنے والا ہارڈ ویئر جس کو سالوں سے ہینڈلنگ کے دوران قابل اعتبار نظر آنے کی ضرورت ہے۔
بیٹری کی حقیقت کوئی بھی بروشر میں نہیں ڈالتا
سپیک شیٹس 8,000 mAh سیل پر 12-15 گھنٹے کا دعوی کرتی ہیں۔ حقیقی مالیاتی کام کے بوجھ کے تحت — فل ڈسک انکرپشن، مسلسل NFC پولنگ، EMV ٹرانزیکشن لاگنگ، TEE کلیدی آپریشنز — اصل اعداد و شمار یہ ہیں 7-9.5 گھنٹے.
خلا کیوں: StrongBox اور TEE محفوظ پروسیسرز فعال کلیدی آپریشنز کے دوران مرکزی AP جیسی گہری نیند کی حالتوں میں داخل نہیں ہو سکتے۔ اس کی لاگت 15-25% اضافی ڈرین بمقابلہ سافٹ ویئر کی اسٹور ہے۔ 24/7 کیوسک تعیناتیوں میں، خریداروں کو 12 ماہ کے اندر پتہ چلتا ہے کہ انہیں بیرونی بیٹری پیک یا سویپ پروگرام کی ضرورت ہے۔ مالی کام کے بوجھ کے تحت 8 گھنٹے کا منصوبہ بنائیں۔ اگر آپ کو 12 کی ضرورت ہے تو، اضافی طاقت کا منصوبہ بنائیں۔
سافٹ ویئر حسب ضرورت اور انٹرپرائز انٹیگریشن
اینڈرائیڈ انٹرپرائز - ایک اہم انتباہ کے ساتھ
ہمیشہ آن لائن شہری تعیناتیوں کے لیے Android Enterprise ایک صحیح فریم ورک ہے: کیوسک کنفیگریشن، EMM انٹیگریشن، تصدیق شدہ بوٹ چین کے ساتھ محفوظ OTA اپ ڈیٹس۔ انتباہ کنیکٹوٹی انحصار ہے - ہر عنصر قابل اعتماد نیٹ ورک تک رسائی حاصل کرتا ہے۔
اینڈرائیڈ انٹرپرائز کو مکمل طور پر کب چھوڑنا ہے۔
غیر معتبر سیلولر اور رات کے وقت بجلی کی کٹوتیوں کے ساتھ آف لائن پہلی تعیناتیوں کے لیے، معیاری اسٹیک فعال طور پر مؤثر تھا۔ MDM چیک انز ناکام ہونے پر آلات ریبوٹ پر بریک ہو گئے۔ ٹی ای ای کی تصدیق ان بیٹریوں کو تازہ کرتی ہے جو چارج سائیکل مکمل نہیں کر سکتیں۔
اس کے بجائے بھیجنے والا فن تعمیر:
- مضبوط باکس (SoC ہارڈویئر کی اسٹور) eSE کی جگہ لے رہا ہے - TSM کی فراہمی پر انحصار نہیں ہے۔
- ایچ سی ای سی پی او سی ماڈل کے تحت ایکوائرر سائیڈ ٹوکنائزیشن کے ساتھ
- وقت کے پابند کرپٹوگرام کے ساتھ مقامی آف لائن ٹوکن کیش؛ کنیکٹوٹی کی واپسی پر روزانہ دوبارہ مطابقت پذیری
- AOSP مقفل - کوئی گوگل پلے سروسز نہیں، کسٹم SELinux پالیسی، صرف تصدیق شدہ بوٹ
نتائج: 30-40% کم BOM لاگت, 2× بیٹری لائف آف لائن، مقامی مرکزی بینک سرٹیفیکیشن اور PCI CPoC پاس کیا۔ ٹریڈ آف: سافٹ ویئر کی زیادہ پیچیدگی اور حاصل کنندہ کے ٹوکن والٹ پر زیادہ انحصار۔
معیاری اسٹیک شہری ہمیشہ آن لائن بینکوں کے لیے مثالی ہے۔ آف لائن پہلی تعیناتیوں کے لیے، یہ غلط نقطہ آغاز ہے۔
توثیق کا روڈ میپ: EVT → DVT → PVT برائے Fintech آلات
مالیاتی ٹیبلیٹ کی ترقی میں توقع کا سب سے بڑا فرق: کلائنٹس 3-4 ماہ (اسمارٹ فون ٹائم لائنز) کی توقع کرتے ہیں۔ PCI PTS، EMVCo، اور کسٹم TEE کے ساتھ بینکنگ گریڈ ہارڈ ویئر میں 7-11 مہینے لگتے ہیں۔
EVT — 4–6 ہفتے، 10–50 یونٹس: فنکشنل توثیق، TEE پروویژننگ، اصلی چیسس میں اینٹینا کا ابتدائی برتاؤ۔ یہاں سرپرائزز قابل انتظام ہیں - ٹولنگ ابھی تک پابند نہیں ہے۔
DVT — 8–12 ہفتے، 50–200 یونٹس: مکمل ماحولیاتی جانچ: ڈراپ، EMI، تھرمل، بیٹری سائیکل، 10,000+ NFC ٹرانزیکشن سوٹ۔ EMVCo اور PCI PTS کے لیے تھرڈ پارٹی لیب سائن آف۔ کسی بھی ہارڈویئر میں تبدیلی لیب کی قطار کے کچھ حصوں کو دوبارہ شروع کرتی ہے۔
PVT - 6-10 ہفتے، پائلٹ پروڈکشن چل رہا ہے: جہاں حقیقی پیداوار میں فرق ہوتا ہے۔ DVT سائن آف PVT کی کامیابی کی ضمانت نہیں دیتا ہے — اوپر $280k کی ناکامی DVT-کلین تھی اور PVT-کم ہو گئی تھی۔ ریجنل ٹیلی کام کی منظوری کے لیے حتمی دوبارہ جمع کرانے میں 4-6 ہفتوں کا اضافہ ہوتا ہے۔
کل: 7-11 ماہ۔ اس کو تجویز میں رکھیں۔ جو کلائنٹ اسے قبول کرتے ہیں وہ پروگرام چلانے کے لیے لیس ہیں۔
بڑے پیمانے پر پیداوار اور سیکورٹی کے زیر کنٹرول مینوفیکچرنگ
ایس ایم ٹی اسمبلی اور کوالٹی کنٹرول
- فائن پچ BGA - سیکورٹی کے اہم اجزاء پر 100% ایکس رے معائنہ؛ نمونے نہیں
- eSE ٹریس ایبلٹی - ہر محفوظ عنصر کو اس کے یونٹ میں سیریلائز اور ٹریک کیا گیا ہے۔ تحویل کا سلسلہ تعمیل کی ضرورت ہے۔
- این ایف سی اینٹینا اسمبلی - چپکنے والی موٹائی ایک کنٹرول شدہ متغیر ہے؛ اسمبلی جیگس کیپ آؤٹ جیومیٹری کو نافذ کرتے ہیں۔
سیکیورٹی کے زیر کنٹرول فرم ویئر کی فراہمی
فیکٹری کا فرش خطرے کی سطح ہے۔ ہمارا پروویژننگ پروٹوکول:
- منفرد ڈیوائس ID فیکٹری میں جلا دی گئی — کوئی مشترکہ کلیدی مواد کی اصل نہیں ہے۔
- HSM کے ذریعے دستخط شدہ پروڈکشن فرم ویئر؛ سائننگ کلید کبھی بھی پروڈکشن نیٹ ورک کو نہیں چھوتی ہے۔
- فی آلہ تازہ TEE تصدیقی سرٹیفکیٹ؛ ترقی کا سلسلہ واضح طور پر یونٹ کے جہازوں سے پہلے منسوخ کر دیا گیا۔
- مینوفیکچرنگ ٹیلی میٹری ٹرانزٹ اور آرام میں خفیہ کردہ
ایک آلہ جو ہر ہارڈویئر ٹیسٹ پاس کرتا ہے اور دوبارہ استعمال شدہ ڈیولپمنٹ اٹیسٹیشن کلید کے ساتھ بھیجتا ہے وہ فیلڈ میں پہلے دن ریموٹ تصدیق میں ناکام ہو جاتا ہے۔
کلیدی انجینئرنگ چیلنجز اور ہم نے انہیں کیسے حل کیا۔
| چیلنج | رسک | حل | نتیجہ |
| PVT پر NFC اینٹینا ڈیٹیوننگ | 22٪ فیلڈ میں ناکامی؛ $280k دوبارہ اسپن لاگت | نافذ کردہ ٹیون ایبل میچنگ، 8–10 ملی میٹر آفسیٹ، اور سخت کیپ آؤٹ زونز۔ | سے ناکامی کی شرح گر گئی۔ 22% سے <3%. |
| آف لائن مارکیٹوں میں ہمیشہ آن لائن MDM | ڈیوائس بریکنگ؛ 30-40% زیادہ ناکامی کی شرح | میں منتقل کیا گیا۔ AOSP + StrongBox + HCE + CPoC فن تعمیر | 2× بیٹری کی زندگی; 30-40% کم BOM لاگت۔ |
| 18-24 ماہ پیچ وقفہ | بے پیچ دانا؛ غلط تعمیل کی حیثیت | OTA کے ساتھ TEE سے تصدیق شدہ دستخط + معاہدوں میں سخت پیچ SLA۔ | مضبوط، موجودہ سیکورٹی کرنسی حاصل کی. |
| PVT پیداوار کا خاتمہ | پہلی لاٹ پر 18% سکریپ/دوبارہ کام | پروڈکشن چیسس اینٹینا ٹیسٹنگ متعارف کرائی پری پی وی ٹی. | <3% دوبارہ کام تمام بعد کی پیداوار میں چلتا ہے. |
| CISO معاہدے میں رکاوٹ | پائلٹ 6-12 ماہ تک رکے رہے۔ | ادا شدہ پائلٹ + مشترکہ ذمہ داری میٹرکس + تھرڈ پارٹی قلم کی جانچ۔ | بعد کے حصولی چکروں میں نمایاں سرعت۔ |
حقیقی اسٹیک ہولڈرز: اصل میں کمرے میں کون ہے۔
CISO سب سے مشکل بلاکر ہے. سرکاری اعتراض: "انضمام کا خطرہ۔" اصل خوف: ذاتی ذمہ داری اگر ان کے منظور شدہ ہارڈ ویئر پر خلاف ورزی ہوتی ہے۔ وہ ریگولیٹر کو جواب دیتے ہیں۔ ایک سرٹیفیکیشن دستاویز اس خوف کو منتقل نہیں کرتی ہے - فریق ثالث کی رسائی ٹیسٹ کی رپورٹ اور واضح مشترکہ ذمہ داری میٹرکس کرتے ہیں۔
CTO/IT آپریشنز اینڈرائیڈ کے ٹکڑے ہونے کی فکر۔ معاہدہ 5 سالہ پیچ SLA اصل سوال کا جواب دیتا ہے: جب SoC Android سپورٹ کھو دیتا ہے تو کیا ہوتا ہے؟
حصولی / CFO قیمت اعتراض کرنے والے کے طور پر پیش کرتا ہے۔ اصل تشویش: پوشیدہ TCO — بیٹری سویپ پروگرامز، دوبارہ سرٹیفکیٹ کے اخراجات، NFC فیلڈ سروس۔ ROI سلائیڈ پورے آلے کی زندگی بھر کی لاگت کے مقابلے میں کیش ہینڈلنگ لاگت میں کمی کی مقدار بتاتی ہے۔
قانونی معاوضے کی شقوں کے ساتھ معاہدے کے مرحلے پر ظاہر ہوتا ہے زیادہ تر OEM معاہدوں کا احاطہ نہیں کیا جاتا ہے۔ بجٹ کا وقت۔
ایک رکے ہوئے معاہدے کو اصل میں کیا بند کرتا ہے: 4-6 ہفتے کا ادا شدہ پائلٹ، 20-50 یونٹس، مکمل لین دین لاگنگ، مشترکہ ذمہ داری میٹرکس پہلے سے متفق ہے۔ ہر رکا ہوا معاہدہ جو آگے بڑھا وہ پائلٹ کے بعد ایسا ہی ہوا۔ یہ مارکیٹنگ کے دعووں کو ثبوت میں بدل دیتا ہے۔
24 مہینوں میں کیا آ رہا ہے: ضرورت جس کے لیے کوئی بھی تیار نہیں ہے۔
2026 کے اوائل میں لائیو RFPs کی بنیاد پر — تجزیہ کار کی پیشن گوئی نہیں — ایک ضرورت ظاہر ہو رہی ہے کہ زیادہ تر مالیاتی ٹیبلٹ OEM مینوفیکچررز پورا کرنے کے لیے لیس نہیں ہیں۔
پوسٹ کوانٹم کرپٹوگرافی اب ایک پروکیورمنٹ لائن آئٹم ہے۔
خریداروں کو واضح طور پر NIST PQC الگورتھم کی ضرورت ہوتی ہے — FIPS 203 (ML-KEM)، FIPS 204 (ML-DSA)، FIPS 205 (SLH-DSA) — کلیدی تبادلے، دستخطوں، اور مکمل ڈسک انکرپشن کے لیے ہارڈ ویئر اور فرم ویئر میں۔ یہ CISA کی جنوری 2026 کی رہنمائی کی پیروی کرتا ہے جس میں PQC کے قابل مصنوعات کو وفاقی اینڈ پوائنٹ سیکیورٹی میں لازمی قرار دیا گیا ہے۔ بینک وفاقی پروکیورمنٹ کو دیکھ رہے ہیں اور زبان کو اپنے RFPs میں کاپی کر رہے ہیں۔
بیان کردہ ڈرائیور: "فصل-اب-بعد میں-ڈیکرپٹ-بعد" حملے، جہاں آج پکڑے گئے مالیاتی ڈیٹا کو خفیہ طور پر متعلقہ کوانٹم کمپیوٹر کے موجود ہونے کے بعد ڈکرپشن کے لیے رکھا جاتا ہے۔ ریگولیٹرز اسے 2035 کا مسئلہ نہیں بلکہ قریبی مدت کے آپریشنل رسک کے طور پر دیکھ رہے ہیں۔
PQC کے ساتھ: TEE کے اندر رن ٹائم سائیڈ چینل کی بے ضابطگی کا پتہ لگانا - کرپٹو آپریشنز کے دوران مانیٹرنگ پاور، EM، اور ٹائمنگ دستخطوں کا پتہ لگانا روہمر کی مختلف حالتوں، گھڑی کی خرابی، اور فرم ویئر امپلانٹس کا پتہ لگانا۔
لائیو RFPs میں وہ سوالات جو 2023 میں موجود نہیں تھے: "کیا TEE PQC کیز کی تصدیق کر سکتا ہے؟ آپ کی پوسٹ کوانٹم مائیگریشن ٹائم لائن کیا ہے؟ کیا ہارڈ ویئر روٹ آف ٹرسٹ 2028 تک CRQC مزاحم الگورتھم کو سپورٹ کرتا ہے؟"
پی کیو سی تھرمل اور پاور ہیڈ روم کے بغیر ڈیزائن کیے گئے ہارڈ ویئر پلیٹ فارمز کو 2028 سے پہلے مکمل دوبارہ ڈیزائن کا سامنا کرنا پڑتا ہے۔ 2027 کے مسئلے کے طور پر اس کا علاج کرنے والے OEM سرٹیفیکیشن کو پورا کرنے کے لیے ہنگامی ٹائم لائنز پر ہوں گے جو خریدار آج معاہدوں میں لکھ رہے ہیں۔
نتیجہ: محفوظ مالیاتی ٹیبلٹ کی ترقی کے لیے درحقیقت کیا ضرورت ہے۔
مالیاتی ٹیبلیٹ جو سرٹیفیکیشن پاس کرتا ہے اور فیلڈ میں کارکردگی کا مظاہرہ کرتا ہے کے درمیان فرق ہارڈ ویئر کا فرق نہیں ہے۔ یہ ایک انجینئرنگ کلچر گیپ ہے۔
پانچ چیزیں ایسی تعیناتیوں کو الگ کرتی ہیں جو کامیاب نہیں ہوتی ہیں:
آرکیٹیکچر تعیناتی کے سیاق و سباق سے مماثل ہے۔ - ہمیشہ آن لائن اربن بینکنگ کے لیے TEE + eSE + Android Enterprise؛ StrongBox + HCE + AOSP آف لائن پہلے۔ آڈیٹر کی چیک لسٹ فن تعمیر کا مختصر نہیں ہے۔
NFC اینٹینا فرسٹ آرڈر ڈیزائن کی رکاوٹ کے طور پر — 8–10 ملی میٹر آفسیٹ رول اور میٹل کیپ آؤٹ زون کا فیصلہ پی سی بی کے لے آؤٹ کے پابند ہونے سے پہلے کیا جاتا ہے، نہ کہ پی وی ٹی کی پیداوار کے خاتمے کے بعد۔
پہلے دن سے ایماندارانہ توثیق کی ٹائم لائنز - بینکنگ گریڈ ڈیوائس کے لیے 7-11 ماہ۔ تجویز میں یہ نمبر غلط کلائنٹس کو فلٹر کرتا ہے اور صحیح لوگوں کے ساتھ اعتبار پیدا کرتا ہے۔
سیکیورٹی کے زیر کنٹرول مینوفیکچرنگ - فی آلہ تازہ تصدیقی چابیاں، HSM کے دستخط شدہ فرم ویئر، تحویل کی eSE سلسلہ۔ فیکٹری فلور خطرے کے ماڈل کا حصہ ہے۔
پوسٹ کوانٹم روڈ میپ پہلے ہی لکھا ہوا ہے۔ - PQC لائیو RFPs اور CISA رہنمائی میں ہے۔ کوئی بھی فنٹیک ٹیبلٹ ODM جو 2026 تک نقل مکانی کے راستے کو واضح نہیں کرسکتا ہے اس کی پیداواری زندگی ختم ہونے سے پہلے دوبارہ وضاحت کی جائے گی۔
مارکیٹ میں PCI سرٹیفکیٹ اور ایک مخصوص شیٹ والے دکانداروں کی کمی نہیں ہے۔ یہ ایسے انجینئرنگ پارٹنرز کی کمی ہے جنہوں نے پروگرام کو چلایا، ناکامیوں کو جذب کیا، اور اس کے بعد آنے والے ہر پروجیکٹ میں ان اسباق کو شامل کیا۔
اکثر پوچھے گئے سوالات
بینکنگ گریڈ اینڈرائیڈ ٹیبلٹ کی ترقی میں درحقیقت کتنا وقت لگتا ہے؟
حقیقت پسندانہ EVT → DVT → PVT سائیکل PCI PTS، EMVCo، اور حسب ضرورت TEE سرٹیفیکیشن کی ضرورت والے آلات کے لیے 7-11 ماہ کا ہے۔ کلائنٹ اسمارٹ فون کی ٹائم لائنز کی بنیاد پر 3-4 ماہ کی توقع رکھتے ہیں۔ یہ فرق کسی بھی ہارڈ ویئر پر نظرثانی کے بعد لازمی تیسری پارٹی لیب کی دوبارہ جانچ سے آتا ہے۔
مالی کام کے بوجھ کے تحت بیٹری کی حقیقی زندگی کیا ہے؟
8,000 mAh سیل پر: 7-9.5 گھنٹے مسلسل مالی کام کے بوجھ کے تحت۔ مخصوص شیٹس صارفین کے مخلوط استعمال کے تحت 12-15 گھنٹے کا حوالہ دیتے ہیں۔ StrongBox اور TEE پروسیسر فعال کلیدی آپریشنز کے دوران گہری نیند نہیں لے سکتے ہیں - جس کی قیمت 15-25% اضافی ہے۔ کیوسک کی تعیناتیوں میں اضافی طاقت کا منصوبہ۔
کیا PCI PTS سرٹیفیکیشن کافی ہے؟
نہیں، یہ وقت میں ایک وقت پر آلہ کی تصدیق کرتا ہے۔ بعد میں فرم ویئر کی تبدیلیوں کے لیے دوبارہ سرٹیفیکیشن کی ضرورت پڑ سکتی ہے۔ یہ OS پیچ کیڈنس، فرم ویئر سپلائی چین سیکیورٹی، یا جاری TEE تصدیق کی صحت کا اندازہ نہیں کرتا ہے۔ اسے ایک بیس لائن فلٹر کے طور پر سمجھیں، جاری گارنٹی نہیں۔
ہمیں ایمبیڈڈ محفوظ عنصر کی بجائے HCE + StrongBox کب استعمال کرنا چاہیے؟
آف لائن پہلی تعیناتیوں کے لیے جہاں ESE کی فراہمی کے لیے TSM کنیکٹیویٹی کی ضمانت نہیں دی جا سکتی۔ HCE ایکوائرر سائیڈ ٹوکنائزیشن (CPoC ماڈل) کے ساتھ 30-40% کم BOM اور 2× بیٹری لائف آف لائن فراہم کرتا ہے، زیادہ سافٹ ویئر کی پیچیدگی اور ایکوائرر سائیڈ ٹوکن والٹ ذمہ داری کی قیمت پر۔
پوسٹ کوانٹم کرپٹوگرافی اب RFPs میں کیوں ظاہر ہو رہی ہے؟
NIST نے FIPS 203/204/205 کو حتمی شکل دی اور CISA نے جنوری 2026 میں PQC مینڈیٹ جاری کیا۔ بینک ان کو خریداری میں شامل کر رہے ہیں۔ TEE میں PQC سپورٹ کے بغیر ہارڈ ویئر کو 2028 سے پہلے دوبارہ ڈیزائن کے دباؤ کا سامنا ہے۔
دراصل بینک کی سیکیورٹی ٹیم کے ساتھ کیا معاہدہ بند ہوتا ہے؟
CISO کا اصل خوف ذاتی ذمہ داری ہے۔ فریق ثالث کی قلمی جانچ کی رپورٹ، واضح مشترکہ ذمہ داری کا میٹرکس، اور 20-50 یونٹس کے ساتھ 4-6 ہفتے کا ادا شدہ پائلٹ OEM دعووں کو ثبوت میں تبدیل کرتا ہے جس پر سیکیورٹی ٹیم کارروائی کر سکتی ہے۔ اکیلے سرٹیفیکیشن ان سودوں کو بند نہیں کرتے ہیں۔
