Chúng tôi đang phát triển một ứng dụng dành cho thiết bị di động (iOS và Android) cho khách hàng có giải pháp xử lý thanh toán của riêng mình. Ứng dụng này là công khai và sẽ được người tiêu dùng cá nhân sử dụng trên điện thoại của họ.Bắt đầu với PCI-DSS trong ứng dụng dành cho thiết bị di động ở đâu?
Ứng dụng phải giao tiếp với giải pháp xử lý thanh toán qua API SOAP. Chúng tôi cần chấp nhận thông tin chi tiết về thẻ thanh toán của người dùng và chuyển chúng qua API đó. Chúng tôi không có tùy chọn nhúng trang web của họ vào khung nội tuyến hoặc bất kỳ thứ gì như thế; chúng tôi phải sử dụng API cụ thể này, điều đó có nghĩa là ứng dụng của chúng tôi sẽ không thể tránh khỏi (tóm tắt) sở hữu và xử lý chi tiết thẻ thanh toán của người dùng.
Tất cả ứng dụng cần làm là thu thập chi tiết (bằng cách để người dùng chạm vào chúng trên bàn phím điện thoại), gửi chúng qua API và sau đó loại bỏ chúng nhanh nhất có thể. Nó sẽ không lưu trữ dữ liệu vượt quá thời gian thực hiện để hoàn tất giao dịch và sẽ không gửi dữ liệu ở bất kỳ đâu ngoại trừ trên API tới máy chủ của khách hàng. Chúng tôi sẽ không bao giờ có dữ liệu trên các máy chủ của chúng tôi, chúng tôi sẽ cẩn thận không bao giờ viết nó vào nhật ký, và nói chung chúng tôi sẽ coi nó như chất thải phóng xạ trong thời gian ngắn đó là sở hữu của ứng dụng.
Chúng ta có thể giả định một cách an toàn (ít nhất là bây giờ) rằng hệ thống của khách hàng đã làm bất cứ điều gì họ cần làm liên quan đến PCI DSS. Và tất nhiên lưu lượng truy cập giữa ứng dụng và máy chủ thanh toán được mã hóa.
Chúng tôi đang cố gắng nắm bắt những gì chúng tôi cần làm liên quan đến PCI DSS và chúng tôi đánh giá cao bất kỳ gợi ý nào để giúp chúng tôi bắt đầu. Chúng tôi rất vui vì (thực sự muốn) sử dụng một nhà tư vấn để giúp chúng tôi đạt được sự tuân thủ - nhưng chúng tôi thậm chí không biết chúng tôi đang nói chuyện với ai. Tất cả mọi thứ chúng ta có thể dễ dàng tìm thấy trực tuyến (bao gồm cả tài liệu từ chính PCI) dường như liên quan đến các kịch bản khác nhau, hoặc khuyên chúng tôi tránh vấn đề bằng cách sử dụng một cái gì đó như khung nội tuyến, không phải là một lựa chọn cho chúng tôi.
Thành thật mà nói, chúng tôi rất ngạc nhiên khi thấy nó khó có thể tìm thấy một số gợi ý rõ ràng. Rất nhiều ứng dụng xử lý chi tiết thẻ! Điều này chắc chắn phải là một vấn đề phổ biến.
Vì vậy, câu hỏi của chúng tôi:
- đâu chúng ta nên đi để có được những lời khuyên chuyên gia liên quan đến kịch bản đặc biệt của chúng tôi?
- Hoàn toàn không chính thức, và trên sự hiểu biết rằng chúng ta sẽ nhận được tư vấn đủ điều kiện sau này ... bao nhiêu cơn ác mộng chúng ta nên mong đợi điều này? Chúng tôi đã có quan điểm tự hỏi liệu chúng ta có cần phải lo lắng về các logger chính được cài đặt trên điện thoại hay không. Đó thực sự là trường hợp, hay chúng ta đi quá xa?
- Có một viên đạn ma thuật mà chúng tôi đang thiếu hay không - một thư viện đã được biết là tuân thủ, chẳng hạn?
Rất cám ơn vì bất kỳ trợ giúp nào bạn có thể cung cấp cho chúng tôi.
Tư vấn PCI xuất phát từ "QSA" được chứng nhận, hội đồng duy trì danh sách: https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php –
Tùy chọn tốt nhất là phát triển ứng dụng theo các phương pháp hay nhất sau đó hoàn toàn nó ra cho khách hàng và làm cho nó rõ ràng trách nhiệm của mình để thực hiện các tài liệu cần thiết và các nhiệm vụ xem xét mã. –
Nếu là bên thứ ba bạn đang phát triển điều này cho hơn 1 khách hàng, PA-DSS cũng có thể được áp dụng. –