pci-compliance

Wir entwickeln eine mobile App (iOS und Android) für einen Kunden, der über eine eigene Zahlungsverarbeitungslösung verfügt. Die App ist öffentlich zugänglich und wird von einzelnen Verbrauchern an ihren eigenen Telefonen genutzt.

Die App muss über eine SOAP-API mit der Zahlungsverarbeitungslösung verbunden sein. Wir müssen die Eingabe der Zahlungskartendetails des Benutzers akzeptieren und sie über diese API weitergeben. Wir haben keine Möglichkeit, ihre Website in einen iFrame oder ähnliches einzubetten. Wir müssen diese spezifische API verwenden, was bedeutet, dass unsere App die Zahlungskartendaten des Benutzers (kurz) unbedingt besitzen und verarbeiten muss.

Alles, was die App tun muss, ist, die Details zu sammeln (indem der Benutzer sie auf der Tastatur des Telefons eintippt), sie über die API zu senden und sie dann so schnell wie möglich zu verwerfen. Die Daten werden nicht über die für die Transaktion erforderliche Zeit hinaus gespeichert, und die Daten werden nicht an eine andere Stelle als über die API an den Server des Clients gesendet. Wir werden niemals die Daten auf unseren eigenen Servern haben, wir werden vorsichtig sein, sie niemals in Protokolle zu schreiben, und im Allgemeinen werden wir sie wie radioaktive Abfälle für die kurze Zeit behandeln, die sie im Besitz der App ist.

Wir können sicher davon ausgehen (zumindest für den Moment), dass die Systeme des Kunden bereits tun, was sie im Hinblick auf PCI DSS tun müssen. Und natürlich ist der Verkehr zwischen der App und dem Zahlungsserver verschlüsselt.

Wir haben Mühe, uns mit dem zu beschäftigen, was wir in Bezug auf PCI DSS tun müssen, und wir würden uns über Hinweise freuen, die uns beim Einstieg helfen. Wir sind sehr glücklich, einen Berater zu haben (zu wollen), der uns hilft, Compliance zu erreichen - aber wir wissen nicht wirklich, mit wem wir reden. Alles, was wir online leicht finden können (einschließlich Material von der PCI selbst) scheint sich auf subtil verschiedene Szenarien zu beziehen, oder rät uns, das Problem zu umgehen, indem wir etwas wie einen iframe verwenden, was für uns keine Option ist.

Um ehrlich zu sein, wir sind überrascht, wie schwer es ist, einige klare Hinweise zu finden. Viele Apps verarbeiten Kartendaten! Dies muss sicherlich ein häufiges Problem sein.

Also, unsere Fragen:

1. Wohin sollten wir gehen, um Expertenrat für unser spezielles Szenario zu erhalten?
2. Ganz informell und unter der Voraussetzung, dass wir später qualifizierte Beratung bekommen werden ... Wie viel von einem Albtraum sollten wir erwarten? Wir müssen uns fragen, ob wir uns Gedanken über die auf dem Telefon installierten Keylogger machen müssen. Ist das wirklich so, oder gehen wir zu weit?
3. Gibt es eine magische Kugel, die wir vermissen - eine Bibliothek, von der bereits bekannt ist, dass sie zum Beispiel kompatibel ist?

Vielen Dank für die Hilfe, die Sie uns geben können.

Ich fühle Ihren Schmerz, Sie würden mit etwas so allgegenwärtigem wie das Einnehmen von Kreditkartendetails denken, es würde eine Fülle von klaren, prägnanten Informationen geben, die Ihnen helfen, Sie durch den Prozess zu führen, leider nicht der Fall.

Für Ihre erste Frage müssen Sie eine QSA finden, besuchen Sie die PCI Rat Website für eine Liste dieser und aller offiziellen Information. Ich würde empfehlen, etwas einzukaufen, Qualität und Preisgestaltung variieren, Sie wollen jemanden, der mit Ihrem Szenario vertraut ist. Wie Sie sagen, sollten Sie eine offizielle Anleitung erhalten, bevor Sie die von mir bereitgestellten Ansichten verwenden.

Für Ihre zweite Frage ist das erste, was zu sagen ist, dass PCI vertragsbasiert ist. Es liegt in der Verantwortung Ihres Kunden (abhängig von der Vereinbarung mit der Händlerbank oder dem Zahlungsdienstleister). Also, wenn Ihr Vertrag nicht sagt, dass Sie eine PCI-konforme Lösung bereitstellen müssen, müssen Sie nicht ... obwohl ich vorsichtig wäre, könnte dies eine Angelegenheit für die Anwälte sein, wenn Sie es angedeutet haben oder einen passenden Zweck usw. Pragmatisch gibt es je nach Situation ein paar Optionen, hier wird es etwas schwierig, also werde ich mein Bestes geben:

• Wenn der Kunde keine Kontrolle über den Code oder das System hat, erhält er nur die Ergebnisse, Sie werden wahrscheinlich als Service Provider betrachtet und Sie benötigen mindestens SAQ D für Service Provider.
• Wenn Sie dem Kunden nur den Quellcode geben und ihn implementieren, dann sind sie voll verantwortlich dafür, dass sie Codeüberprüfungen, Penetrationstests usw. durchführen müssten, wenn das in Reichweite ist.
• Wenn Ihr Kunde Ihre App in Ihr System einbinden möchte und sie nicht für die PCI-Details verantwortlich sein möchten, müssen Sie PA-DSS-konform sein.

Letztendlich hängt es davon ab, welchen PCI-Umfang Ihr Kunde annehmen kann. Sie werden wahrscheinlich mindestens SAQ A benötigen (ja, Sie müssen beide die PCI-Konformität nachweisen), unabhängig davon, welchen Kurs Sie wählen.

In Bezug auf den Albtraum, bin ich nicht sicher für native Anwendungen, aber für Web-Anwendungen, wenn die PAN (cc-Nummer) Ihren Server berührt, ist es voller Umfang, SAQ D, in kurzen Worten ja, das ist ein Albtraum, wenn Sie nicht tun habe bereits ein sicheres Setup. Das beste Szenario wäre SAQ A, aber Sie würden einen iFrame dafür benötigen, wenn das nicht möglich ist, dann vielleicht SAQ A-EP, können Sie das mit einem direkten POST verwenden, so könnte es mit der SOAP-Schnittstelle in Ordnung sein, wenn das direkt von Ihrem ist App Ich bin mir nicht sicher, ob eine App als "E-Commerce" betrachtet wird, die SAQ A und A-EP verwenden kann, wenn Sie nicht SAQ C benötigen. Schauen Sie sich mindestens Anforderung 6 an, sie deckt Softwareentwicklung ab.

Für Ihre letzte Frage, schauen Sie sich spreedly.com an, da sie eine PCI-kompatible Verbindung zu mehreren Gateways bieten können.

Viel Glück! Und es wäre toll zu hören, was Sie letztendlich beschlossen haben.