我正在開發一個Android應用程序(本機),其中包含一個用於在酒店\出租車等上預定的模塊。 我打算從我的應用程序的屏幕接受付款詳細信息(金額,信用卡號碼,有效日期等),並通過API調用將它們傳遞到我的中間層(託管在公司場所中的IIS服務器中)。然後我的中間層會調用支付網關API並將支付信息傳遞給他們進行處理。
移動應用與中間層以及中間層到支付網關之間的通信通過安全通道(Https)進行。我不會在移動設備或中間層存儲任何付款信息。與移動應用程序支付相關的PCI DSS兼容
我的問題是: 1.要實現上述場景,我(我的公司)必須符合PCI DSS嗎? 2.如果我直接通過移動應用程序調用支付網關API而不是通過中間層進行路由,那麼PIC DSS是否仍然需要兼容?我希望,由於該應用程序在Google Play中,因此PCI要求將不適用於此。
任何建議/澄清,非常感謝。謝謝。
standards documentation指出,如果您「」存儲,處理或傳輸持卡人數據「,您需要符合PCI標準。很明顯,您傳輸卡數據,因此您需要符合PCI規範。
通過使用第三方託管支付服務,您可以輕鬆避免使用應用程序未提供訂單頁和卡片捕獲的服務。貝寶是最流行的例子,但也有其他人喜歡BlueSnap,Zooz,Cybersource,BrainTree等。
成爲符合PCI規範的努力與您解決方案的複雜性有關。卡片流過的軟件/ IT層越多,遵守標準越難。如果您在應用程序和處理器之間實現直接通信(如您所建議的那樣),則應該很容易達到兼容性。基本上所有你需要做的就是填寫自我評估問題併發送給你的處理器。
謝謝Tal!你的回答非常有幫助。 –
除了Tal的答案,重要的是要看你的客戶在PCI級別的水平。
http://usa.visa.com/clients-partners/acquirers/data-security/pci-dss-compliance.jsp
的PCI要求,需要滿足可根據您的商戶的信用卡交易行爲的改變程度。
如果您希望爲應用程序使用某些信息(對於忠誠計劃),最好使用具有標記化實現的VAULT。 https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf
作爲一種實踐,重要的是有一個數據路徑圖(信息如何流動)來了解您在應用程序中遇到的漏洞。這將有助於審查您需要整合的安全性,以保護客戶數據。
我* *強烈建議您與合格的法律顧問藉此達到一些其他的論壇,或者也許,因爲沒有這些編程問題的。話雖如此,我的理解是,#1絕對需要符合PCI DSS,#2將取決於網關API的性質。 Google Play與問題無關,因爲您直接接受信用卡信息。 – CommonsWare
感謝您的時間和答覆。 –
這個問題似乎是題外話題,因爲它是關於安全而不是編程 –