Соответствие PCI DSS в отношении оплаты мобильного приложения

Я разрабатываю приложение для Android (родное), которое содержит модуль для бронирования отелей, такси и т. Д. Я планирую принять платежные данные (сумму, номер кредитной карты, дату истечения срока действия и т. Д.) С экрана моего приложения и передать их на мой средний уровень (размещенный на сервере IIS в помещении моей компании) через вызов API. Затем мой средний уровень будет вызывать API платежного шлюза и передавать им информацию о платеже для обработки.
Связь между мобильным приложением и промежуточным уровнем, и промежуточным уровнем с платежным шлюзом осуществляется через защищенные каналы (Https). Я не храню платежную информацию ни на мобильном, ни на среднем уровне.

У меня следующие вопросы: 1. Должен ли я (моя компания) соответствовать требованиям PCI DSS для реализации описанного выше сценария? 2. Если я напрямую вызываю API платежного шлюза через мобильное приложение, а не маршрутизирую через средний уровень, будет ли по-прежнему требоваться совместимость с PIC DSS? Я надеюсь, что, поскольку приложение находится в Google Play, требования PCI здесь применяться не будут.

Приветствуются любые предложения / разъяснения. Спасибо.


pci-dss
person Apsara Wanasinghe    schedule 01.03.2014    source источник
comment
Я настоятельно призываю вас обсудить это на каком-нибудь другом форуме или, возможно, с квалифицированным юрисконсультом, поскольку ни один из этих вопросов не относится к программированию. При этом я понимаю, что №1 определенно требует соответствия PCI DSS, а №2 будет немного зависеть от характера API шлюза. Google Play не имеет никакого отношения к этому, поскольку вы принимаете данные кредитной карты напрямую.   -  person CommonsWare    schedule 01.03.2014
comment
Спасибо за ваше время и ответ.   -  person Apsara Wanasinghe    schedule 01.03.2014
comment
Этот вопрос кажется не по теме, потому что он касается безопасности, а не программирования.   -  person John Conde    schedule 01.03.2014

Ответы (2)


arrow_upward
3
arrow_downward

В документации по стандартам говорится, что вы должны соответствовать требованиям PCI, если вы "магазин, обрабатывать или передавать данные держателей карт ». Понятно, что вы передаете данные карты, следовательно, вы должны соответствовать требованиям PCI.
Вы можете легко избежать соблюдения требований, используя стороннюю платежную службу, где страница заказа и захват карты не обслуживаются вашим приложением. PayPal - самый популярный пример, но есть и другие, такие как BlueSnap, Zooz, Cybersource, BrainTree и т. Д.
Усилия по обеспечению соответствия PCI зависят от сложности вашего решения. Чем больше программных / ИТ-слоев проходит через карту, тем сложнее будет добиться соответствия. Если вы реализуете прямую связь между приложением и процессором (как вы предложили), это должно быть довольно легко стать совместимым. По сути, все, что вам нужно сделать, это заполнить анкету для самооценки и отправить ее своему обработчику.

person Tal    schedule 02.03.2014
comment
Спасибо Таль! Ваш ответ очень полезен. - person Apsara Wanasinghe; 02.03.2014

arrow_upward
0
arrow_downward

Помимо ответа Таля, важно посмотреть на уровень вашего клиента на уровне PCI.

http://usa.visa.com/clients-partners/acquirers/data-security/pci-dss-compliance.jsp

Уровень требований PCI, которым необходимо удовлетворить, может измениться в зависимости от поведения транзакции по кредитной карте вашего продавца.

Если вы предпочитаете использовать часть информации (для программы лояльности) для своего приложения, лучше использовать VAULT с реализацией токенизации. https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf

На практике важно иметь схему пути к данным (как потоки информации), чтобы понимать, с какими уязвимостями вы столкнетесь в своем приложении. Это поможет проверить безопасность, которую вам необходимо включить для защиты данных клиентов.

https://www.voltage.com/wp-content/uploads/Voltage_WP_SecureData_Streamlining_InformationProtection_DataCentricSecurityApproach.pdf

person Muditha sumanathunga    schedule 17.09.2015