pci-compliance

___ tag123android ___ Android ist das mobile Betriebssystem von Google, das zum Programmieren oder Entwickeln von digitalen Geräten (Smartphones, Tablets, Automobile, Fernseher, Wear, Glass, IoT) verwendet wird. Verwenden Sie für Themen rund um Android Android-spezifische Tags wie android-intent, nicht intent, android-activity, nicht activity, android-adapter, nicht adapter usw. Bei anderen Fragen als der Entwicklung oder Programmierung, aber im Zusammenhang mit Android Framework, verwenden Sie Der Link: https://android.stackexchange.com. ___ tag123ios ___ iOS ist das mobile Betriebssystem, das auf dem Apple iPhone, iPod touch und iPad ausgeführt wird. Verwenden Sie dieses Tag [ios] für Fragen zur Programmierung auf der iOS-Plattform. Verwenden Sie die verwandten Tags [objective-c] und [swift] für Probleme, die für diese Programmiersprachen spezifisch sind. ___ tag123mobile ___ Das Tag Mobile sollte verwendet werden, um Fragen zu mobilen Computerproblemen zu markieren. Mobile Computing ist eine Form der Mensch-Computer-Interaktion, bei der erwartet wird, dass ein Computer während des normalen Gebrauchs transportiert wird. Beispiele sind Smartphones und Tablets. ___ qstntxt ___

Wir entwickeln eine mobile App (iOS und Android) für einen Kunden, der über eine eigene Zahlungsverarbeitungslösung verfügt. Die App ist öffentlich zugänglich und wird von einzelnen Verbrauchern an ihren eigenen Telefonen genutzt.

Die App muss über eine SOAP-API mit der Zahlungsverarbeitungslösung verbunden sein. Wir müssen die Eingabe der Zahlungskartendetails des Benutzers akzeptieren und sie über diese API weitergeben. Wir haben keine Möglichkeit, ihre Website in einen iFrame oder ähnliches einzubetten. Wir müssen diese spezifische API verwenden, was bedeutet, dass unsere App die Zahlungskartendaten des Benutzers (kurz) unbedingt besitzen und verarbeiten muss.

Alles, was die App tun muss, ist, die Details zu sammeln (indem der Benutzer sie auf der Tastatur des Telefons eintippt), sie über die API zu senden und sie dann so schnell wie möglich zu verwerfen. Die Daten werden nicht über die für die Transaktion erforderliche Zeit hinaus gespeichert, und die Daten werden nicht an eine andere Stelle als über die API an den Server des Clients gesendet. Wir werden niemals die Daten auf unseren eigenen Servern haben, wir werden vorsichtig sein, sie niemals in Protokolle zu schreiben, und im Allgemeinen werden wir sie wie radioaktive Abfälle für die kurze Zeit behandeln, die sie im Besitz der App ist.

Wir können sicher davon ausgehen (zumindest für den Moment), dass die Systeme des Kunden bereits tun, was sie im Hinblick auf PCI DSS tun müssen. Und natürlich ist der Verkehr zwischen der App und dem Zahlungsserver verschlüsselt.

Wir haben Mühe, uns mit dem zu beschäftigen, was wir in Bezug auf PCI DSS tun müssen, und wir würden uns über Hinweise freuen, die uns beim Einstieg helfen. Wir sind sehr glücklich, einen Berater zu haben (zu wollen), der uns hilft, Compliance zu erreichen - aber wir wissen nicht wirklich, mit wem wir reden. Alles, was wir online leicht finden können (einschließlich Material von der PCI selbst) scheint sich auf subtil verschiedene Szenarien zu beziehen, oder rät uns, das Problem zu umgehen, indem wir etwas wie einen iframe verwenden, was für uns keine Option ist.

Um ehrlich zu sein, wir sind überrascht, wie schwer es ist, einige klare Hinweise zu finden. Viele Apps verarbeiten Kartendaten! Dies muss sicherlich ein häufiges Problem sein.

Also, unsere Fragen:

  1. Wohin sollten wir gehen, um Expertenrat für unser spezielles Szenario zu erhalten?
  2. Ganz informell und unter der Voraussetzung, dass wir später qualifizierte Beratung bekommen werden ... Wie viel von einem Albtraum sollten wir erwarten? Wir müssen uns fragen, ob wir uns Gedanken über die auf dem Telefon installierten Keylogger machen müssen. Ist das wirklich so, oder gehen wir zu weit?
  3. Gibt es eine magische Kugel, die wir vermissen - eine Bibliothek, von der bereits bekannt ist, dass sie zum Beispiel kompatibel ist?

Vielen Dank für die Hilfe, die Sie uns geben können.

    
___ answer34117803 ___

Ich fühle Ihren Schmerz, Sie würden mit etwas so allgegenwärtigem wie das Einnehmen von Kreditkartendetails denken, es würde eine Fülle von klaren, prägnanten Informationen geben, die Ihnen helfen, Sie durch den Prozess zu führen, leider nicht der Fall.

Für Ihre erste Frage müssen Sie eine QSA finden, besuchen Sie die PCI Rat Website für eine Liste dieser und aller offiziellen Information. Ich würde empfehlen, etwas einzukaufen, Qualität und Preisgestaltung variieren, Sie wollen jemanden, der mit Ihrem Szenario vertraut ist. Wie Sie sagen, sollten Sie eine offizielle Anleitung erhalten, bevor Sie die von mir bereitgestellten Ansichten verwenden.

Für Ihre zweite Frage ist das erste, was zu sagen ist, dass PCI vertragsbasiert ist. Es liegt in der Verantwortung Ihres Kunden (abhängig von der Vereinbarung mit der Händlerbank oder dem Zahlungsdienstleister). Also, wenn Ihr Vertrag nicht sagt, dass Sie eine PCI-konforme Lösung bereitstellen müssen, müssen Sie nicht ... obwohl ich vorsichtig wäre, könnte dies eine Angelegenheit für die Anwälte sein, wenn Sie es angedeutet haben oder einen passenden Zweck usw. Pragmatisch gibt es je nach Situation ein paar Optionen, hier wird es etwas schwierig, also werde ich mein Bestes geben:

  • Wenn der Kunde keine Kontrolle über den Code oder das System hat, erhält er nur die Ergebnisse, Sie werden wahrscheinlich als Service Provider betrachtet und Sie benötigen mindestens SAQ D für Service Provider.
  • Wenn Sie dem Kunden nur den Quellcode geben und ihn implementieren, dann sind sie voll verantwortlich dafür, dass sie Codeüberprüfungen, Penetrationstests usw. durchführen müssten, wenn das in Reichweite ist.
  • Wenn Ihr Kunde Ihre App in Ihr System einbinden möchte und sie nicht für die PCI-Details verantwortlich sein möchten, müssen Sie PA-DSS-konform sein.

Letztendlich hängt es davon ab, welchen PCI-Umfang Ihr Kunde annehmen kann. Sie werden wahrscheinlich mindestens SAQ A benötigen (ja, Sie müssen beide die PCI-Konformität nachweisen), unabhängig davon, welchen Kurs Sie wählen.

>

In Bezug auf den Albtraum, bin ich nicht sicher für native Anwendungen, aber für Web-Anwendungen, wenn die PAN (cc-Nummer) Ihren Server berührt, ist es voller Umfang, SAQ D, in kurzen Worten ja, das ist ein Albtraum, wenn Sie nicht tun habe bereits ein sicheres Setup. Das beste Szenario wäre SAQ A, aber Sie würden einen iFrame dafür benötigen, wenn das nicht möglich ist, dann vielleicht SAQ A-EP, können Sie das mit einem direkten POST verwenden, so könnte es mit der SOAP-Schnittstelle in Ordnung sein, wenn das direkt von Ihrem ist App Ich bin mir nicht sicher, ob eine App als "E-Commerce" betrachtet wird, die SAQ A und A-EP verwenden kann, wenn Sie nicht SAQ C benötigen. Schauen Sie sich mindestens Anforderung 6 an, sie deckt Softwareentwicklung ab.

>

Für Ihre letzte Frage, schauen Sie sich spreedly.com an, da sie eine PCI-kompatible Verbindung zu mehreren Gateways bieten können.

Viel Glück! Und es wäre toll zu hören, was Sie letztendlich beschlossen haben.

    
___ tag123pcidss ___ Der Datensicherheitsstandard der Payment Card Industry ist ein weltweiter Informationssicherheitsstandard, der vom Payment Card Industry Security Standards Council (PCI SSC) zusammengestellt wird. ___ tag123picicompliance ___ Der Datensicherheitsstandard für Zahlungskarten (PCI DSS) ist eine Reihe von Anforderungen, die sicherstellen sollen, dass ALLE Unternehmen, die Kreditkarteninformationen verarbeiten, speichern oder übermitteln, eine sichere Umgebung aufrechterhalten. ___ qstnhdr ___ Wo kann ich mit PCI-DSS in einer mobilen App beginnen? ___
5
Antworten

Hosting einer PCI-kompatiblen App in Azure

Ich möchte eine Anwendung unter Windows Azure hosten, in der die Kreditkarteninformationen von Benutzern gespeichert sind, die für den Kauf von Abonnements für eine monatliche Gebühr bezahlen. Ich müsste die Kartendaten nur so sicher wie möglich...
23.06.2012, 05:30
1
Antwort

Braintree gehostete Felder Beispiel

Ich versuche, den Rahmen von Hosted Fields von Braintree zu umgehen. Es wurde erst vor ein paar Tagen veröffentlicht und ist noch in der Beta. Ich schaute auf die Dokumente. Ich bekomme die allgemeine Idee, aber es wäre schön, ein kleines Arb...
19.05.2015, 22:56
1
Antwort

Wo kann ich mit PCI-DSS in einer mobilen App beginnen?

Wir entwickeln eine mobile App (iOS und Android) für einen Kunden, der über eine eigene Zahlungsverarbeitungslösung verfügt. Die App ist öffentlich zugänglich und wird von einzelnen Verbrauchern an ihren eigenen Telefonen genutzt. Die App mus...
04.12.2015, 12:37