Я разрабатываю приложение для Android (родное), которое содержит модуль для бронирования отелей, такси и т. Д. Я планирую принять платежные данные (сумму, номер кредитной карты, дату истечения срока действия и т. Д.) С экрана моего приложения и передать их на мой средний уровень (размещенный на сервере IIS в помещении моей компании) через вызов API. Затем мой средний уровень будет вызывать API платежного шлюза и передавать им информацию о платеже для обработки.
Связь между мобильным приложением и промежуточным уровнем, и промежуточным уровнем с платежным шлюзом осуществляется через защищенные каналы (Https). Я не храню платежную информацию ни на мобильном, ни на среднем уровне.
У меня следующие вопросы: 1. Должен ли я (моя компания) соответствовать требованиям PCI DSS для реализации описанного выше сценария? 2. Если я напрямую вызываю API платежного шлюза через мобильное приложение, а не маршрутизирую через средний уровень, будет ли по-прежнему требоваться совместимость с PIC DSS? Я надеюсь, что, поскольку приложение находится в Google Play, требования PCI здесь применяться не будут.
Приветствуются любые предложения / разъяснения. Спасибо.