在移动应用程序中,从哪里开始使用PCI-DSS?

我们正在为拥有自己的付款处理解决scheme的客户开发移动应用程序(iOS和Android)。 该应用程序是面向公众的,将由个人用户在自己的手机上使用。

该应用程序必须通过SOAP API与支付处理解决scheme进行交互。 我们需要接受用户付款卡详细信息的input,并通过该API传递。 我们没有select在iframe中embedded他们的网站,或者类似的东西; 我们必须使用这个特定的API,这意味着我们的应用程序将不可避免地(简要地)拥有和处理用户的支付卡细节。

所有的应用程序需要做的是收集细节(通过让用户在电话的键盘上敲击他们),通过API发送,然后尽可能快地丢弃它们。 它不会将数据存储在完成事务所花费的时间之外,也不会将除了API之外的任何数据发送到客户端的服务器。 我们永远不会在自己的服务器上拥有这些数据,我们将永远不会将数据写入日志,而且一般情况下,我们会在短时间内将其视为应用程序中的放射性废物。

我们可以放心地(至less现在)假设客户的系统已经做了他们需要做的关于PCI DSS的任何事情。 当然,应用程序和支付服务器之间的stream量是encryption的。

我们正在努力掌握PCI DSS所需要做的事情,我们希望有任何帮助我们开始的指针。 我们非常乐意(确实想)使用顾问来帮助我们达成合规 – 但我们甚至不知道我们会与谁谈话。 我们可以在网上很容易地find的东西(包括来自PCI本身的材料)似乎与细微差别的情况有关,或者build议我们通过使用iframe之类的东西避免这个问题,这对我们来说不是一种select。

说实话,我们感到惊讶的是要find一些明确的指针是多么困难。 许多应用程序做处理卡细节! 这肯定是一个普遍的问题。

所以,我们的问题:

  1. 我们应该去哪里获得与我们特定情况相关的专家build议?
  2. 完全是非正式的,而且我们的理解是,我们将在晚些时候获得适当的合格build议……我们应该期望这会有多less噩梦? 我们想知道是否需要担心安装在手机上的键盘logging器。 这是真的吗,还是我们太过分了?
  3. 是否有一个我们失踪的灵丹妙药 – 例如,已经知道符合的图书馆?

非常感谢您给我们提供的任何帮助。

Related of "在移动应用程序中,从哪里开始使用PCI-DSS?"

我觉得你的痛苦,你会想像一个无处不在的信用卡细节,会有大量清晰简洁的信息来帮助你指导你完成整个过程,可悲的是,情况并非如此。

对于你的第一个问题,你需要find一个QSA,查看PCI委员会的网站上列出了这些和所有的官方信息。 我会build议购物一下,质量和价格确实有所不同,你会希望有人熟悉你的情况。 正如你所说,在使用我提供的观点之前,你应该得到官方的指导。

对于第二个问题,首先要说的是PCI是基于合同的。 这完全是你的客户的责任(取决于他们与他们的商业银行或支付处理器的协议)。 所以如果你的合同没有说你需要提供符合PCI规定的解决scheme,你不需要…虽然我会小心的,如果你暗示它或适合的目的,这可能是律师的事情等。实际上有几个select取决于情况,这里有点棘手,所以我会尽我所能:

  • 如果客户无法控制代码或系统,他们只会收到结果,您可能会被视为服务提供商,您至less需要为服务提供商提供SAQ D.
  • 如果你只是给客户端的源代码,他们的实施,然后他们完全负责,他们将不得不做的代码审查,渗透testing等,如果这是在范围内。
  • 如果您的客户希望将您的应用程序插入到他们的系统中,并且他们不希望对PCI的详细信息负责,那么您需要符合PA-DSS标准。

最终,它将取决于客户可以采用的PCI范围,无论您采用什么课程,他们都可能需要最低限度的SAQ A(是的,您可能都需要certificate符合PCI)。

就恶梦而言,我不确定本地应用程序,但对于networking应用程序如果PAN(cc数字)接触到您的服务器,它是全范围,SAQ D,简而言之如果你还没有一个噩梦安全的设置。 最好的情况是SAQ A,但是你需要一个iFrame,如果这是不可能的,那么也许SAQ A-EP,你可以直接使用POST,所以如果直接来自你的SOAP接口应用程序。 我不确定一个应用程序是否被认为是可以使用SAQ A和A-EP的“电子商务”,如果不是的话,您可能需要SAQ C.至less要求6,它包含软件开发。

对于你的最后一个问题,请查看spreedly.com ,他们提供了一个PCI连接到多个网关可能是有用的。

祝你好运! 听听你最终决定做什么,真是太好了。