Bắt đầu với PCI-DSS trong ứng dụng dành cho thiết bị di động ở đâu?

Question

Chúng tôi đang phát triển một ứng dụng dành cho thiết bị di động (iOS và Android) cho khách hàng có giải pháp xử lý thanh toán của riêng mình. Ứng dụng này là công khai và sẽ được người tiêu dùng cá nhân sử dụng trên điện thoại của họ.

Ứng dụng phải giao tiếp với giải pháp xử lý thanh toán qua API SOAP. Chúng tôi cần chấp nhận thông tin chi tiết về thẻ thanh toán của người dùng và chuyển chúng qua API đó. Chúng tôi không có tùy chọn nhúng trang web của họ vào khung nội tuyến hoặc bất kỳ thứ gì như thế; chúng tôi phải sử dụng API cụ thể này, điều đó có nghĩa là ứng dụng của chúng tôi sẽ không thể tránh khỏi (tóm tắt) sở hữu và xử lý chi tiết thẻ thanh toán của người dùng.

Tất cả ứng dụng cần làm là thu thập chi tiết (bằng cách để người dùng chạm vào chúng trên bàn phím điện thoại), gửi chúng qua API và sau đó loại bỏ chúng nhanh nhất có thể. Nó sẽ không lưu trữ dữ liệu vượt quá thời gian thực hiện để hoàn tất giao dịch và sẽ không gửi dữ liệu ở bất kỳ đâu ngoại trừ trên API tới máy chủ của khách hàng. Chúng tôi sẽ không bao giờ có dữ liệu trên các máy chủ của chúng tôi, chúng tôi sẽ cẩn thận không bao giờ viết nó vào nhật ký, và nói chung chúng tôi sẽ coi nó như chất thải phóng xạ trong thời gian ngắn đó là sở hữu của ứng dụng.

Chúng ta có thể giả định một cách an toàn (ít nhất là bây giờ) rằng hệ thống của khách hàng đã làm bất cứ điều gì họ cần làm liên quan đến PCI DSS. Và tất nhiên lưu lượng truy cập giữa ứng dụng và máy chủ thanh toán được mã hóa.

Chúng tôi đang cố gắng nắm bắt những gì chúng tôi cần làm liên quan đến PCI DSS và chúng tôi đánh giá cao bất kỳ gợi ý nào để giúp chúng tôi bắt đầu. Chúng tôi rất vui vì (thực sự muốn) sử dụng một nhà tư vấn để giúp chúng tôi đạt được sự tuân thủ - nhưng chúng tôi thậm chí không biết chúng tôi đang nói chuyện với ai. Tất cả mọi thứ chúng ta có thể dễ dàng tìm thấy trực tuyến (bao gồm cả tài liệu từ chính PCI) dường như liên quan đến các kịch bản khác nhau, hoặc khuyên chúng tôi tránh vấn đề bằng cách sử dụng một cái gì đó như khung nội tuyến, không phải là một lựa chọn cho chúng tôi.

Thành thật mà nói, chúng tôi rất ngạc nhiên khi thấy nó khó có thể tìm thấy một số gợi ý rõ ràng. Rất nhiều ứng dụng xử lý chi tiết thẻ! Điều này chắc chắn phải là một vấn đề phổ biến.

Vì vậy, câu hỏi của chúng tôi:

1. đâu chúng ta nên đi để có được những lời khuyên chuyên gia liên quan đến kịch bản đặc biệt của chúng tôi?
2. Hoàn toàn không chính thức, và trên sự hiểu biết rằng chúng ta sẽ nhận được tư vấn đủ điều kiện sau này ... bao nhiêu cơn ác mộng chúng ta nên mong đợi điều này? Chúng tôi đã có quan điểm tự hỏi liệu chúng ta có cần phải lo lắng về các logger chính được cài đặt trên điện thoại hay không. Đó thực sự là trường hợp, hay chúng ta đi quá xa?
3. Có một viên đạn ma thuật mà chúng tôi đang thiếu hay không - một thư viện đã được biết là tuân thủ, chẳng hạn?

Rất cám ơn vì bất kỳ trợ giúp nào bạn có thể cung cấp cho chúng tôi.

Answer 1

Tôi cảm thấy đau đớn của bạn, bạn sẽ nghĩ đến thứ gì đó phổ biến như lấy thông tin thẻ tín dụng sẽ có rất nhiều thông tin ngắn gọn để giúp bạn hướng dẫn bạn trong suốt quá trình.

Đối với câu hỏi đầu tiên của bạn, bạn cần tìm một QSA, hãy xem PCI council website để biết danh sách những người và tất cả thông tin chính thức. Tôi khuyên bạn nên mua sắm xung quanh một chút, chất lượng và giá cả khác nhau, bạn sẽ muốn ai đó quen thuộc với kịch bản của bạn. Như bạn nói, bạn sẽ nhận được hướng dẫn chính thức trước khi sử dụng các chế độ xem mà tôi cung cấp.

Đối với câu hỏi thứ hai của bạn, điều đầu tiên cần nói là PCI dựa trên hợp đồng.Đó hoàn toàn là trách nhiệm của khách hàng của bạn (tùy thuộc vào thỏa thuận họ có với ngân hàng thương gia hoặc bộ phận xử lý thanh toán của họ). Vì vậy, nếu hợp đồng của bạn không nói rằng bạn cần cung cấp giải pháp tuân thủ PCI, bạn không phải ... mặc dù tôi sẽ cẩn thận điều này có thể là vấn đề đối với luật sư nếu bạn đã ngụ ý hoặc phù hợp với mục đích, v.v. Thực tế có một vài tùy chọn tùy thuộc vào tình huống, nó hơi phức tạp một chút ở đây vì vậy tôi sẽ cố gắng hết sức mình:

• Nếu khách hàng không kiểm soát mã hoặc hệ thống, họ chỉ nhận được kết quả của nó , bạn có thể được coi là một nhà cung cấp dịch vụ và bạn sẽ cần SAQ D cho các nhà cung cấp dịch vụ ở mức tối thiểu.
• Nếu bạn chỉ cung cấp cho khách hàng mã nguồn và họ thực hiện, thì họ hoàn toàn chịu trách nhiệm, họ sẽ phải thực hiện đánh giá mã, kiểm tra thâm nhập v.v. nếu đó là phạm vi.
• Nếu khách hàng của bạn muốn cắm ứng dụng của bạn vào hệ thống của họ và họ không muốn chịu trách nhiệm về chi tiết PCI của nó thì bạn sẽ cần phải tuân thủ PA-DSS.

Cuối cùng nó phụ thuộc vào phạm vi PCI mà khách hàng của bạn có thể thực hiện, họ có thể sẽ cần SAQ A ở mức tối thiểu (có thể bạn cần chứng minh tuân thủ PCI), bất kể bạn học gì.

Về cơn ác mộng, tôi không chắc chắn về ứng dụng gốc nhưng đối với ứng dụng web nếu PAN (số cc) chạm vào máy chủ của bạn là phạm vi đầy đủ, SAQ D, tóm lại, đó là một cơn ác mộng nếu bạn không ' t đã có một thiết lập an toàn. Kịch bản tốt nhất sẽ là SAQ A, nhưng bạn sẽ cần một iFrame cho điều đó, nếu điều đó là không thể thì có lẽ SAQ A-EP, bạn có thể sử dụng nó với POST trực tiếp để có thể ổn với giao diện SOAP nếu đó là trực tiếp từ ứng dụng. Tôi không chắc chắn nếu một ứng dụng được coi là 'thương mại điện tử' có thể sử dụng SAQ A và A-EP, nếu không bạn có thể cần SAQ C. Hãy xem xét yêu cầu 6 ít nhất, nó bao gồm phát triển phần mềm.

Đối với câu hỏi cuối cùng của bạn, hãy xem spreedly.com, chúng cung cấp kết nối PCI tương thích với nhiều cổng có thể hữu ích.

Chúc may mắn! Và thật tuyệt khi nghe những gì cuối cùng bạn quyết định làm.