我正在开发一个Android应用程序(本机),其中包含一个模块,可以预订酒店\出租车等。 我打算从我的应用程序的屏幕上接受付款细节(金额,信用卡号,到期日期等),并通过API调用将它们传递到我的中间层(在我公司场所的IIS服务器中托管)。然后我的中间层将调用支付网关API,并将支付信息传递给他们进行处理 移动应用程序到中间层和中间层到支付网关之间的通信通过安全通道(Https)进行。我没有在移动设备或中间层存储任何支付信息。
我的问题是: 1.为实现上述方案,我(我公司)是否必须符合PCI DSS标准? 2.如果我通过移动应用程序直接呼叫支付网关API而不是通过中间层路由,那么是否仍然需要符合PIC DSS?我希望由于该应用程序是在Google Play中,因此PCI要求不适用于此。
非常感谢任何建议/澄清。感谢。
答案 0 :(得分:3)
如果“存储,处理或传输持卡人数据”,则standards documentation表明您需要符合PCI标准。很明显,您传输卡数据,因此您需要符合PCI标准 您可以通过使用第三方托管支付服务轻松避免合规,其中您的应用程序不提供订单页面和卡片捕获。 PayPal是最受欢迎的例子,但还有其他如BlueSnap,Zooz,Cybersource,BrainTree等。 成为PCI兼容的努力与解决方案的复杂性有关。卡流经的软件/ IT层越多,获得合规的难度就越大。如果您在应用程序和处理器之间实现直接通信(如您所建议的那样),那么它应该很容易变得合规。基本上你需要做的就是填写自我评估提问者并将其发送给你的处理器。
答案 1 :(得分:0)
除了Tal的答案之外,重要的是要看一下PCI级别的客户级别。
http://usa.visa.com/clients-partners/acquirers/data-security/pci-dss-compliance.jsp
需要满足的PCI要求水平可能会根据您商家的信用卡交易行为而有所变化。
如果您更喜欢为您的应用程序使用一些信息(用于忠诚度计划),最好使用带有标记化实现的VAULT。 https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf
作为一种惯例,重要的是有一个数据路径图(信息如何流动)来了解您将在应用程序中遇到的漏洞。这将有助于检查您需要合并的安全性,以保护客户数据。