我需要实施一个允许移动APP针对支付网关服务进行支付的解决方案。
我发送的数据是卡详细信息和付款数据本身。
每次要付款都输入卡片详细信息是不切实际的,所以...所以我分析了以下替代方案:
将数据卡保存到智能手机中。被安全放弃。
使用第三方存储卡数据,例如PayPal Vault。通过将数据分配给第三方来放弃。
将卡数据保存在自己的“中央服务器”上并使用令牌策略。这样做的缺点是这个基础设施应该满足[PCI-DSS法规] [1]
在智能手机上保存部分数据卡,在中央服务(基础设施)中保存休息,例如移动设备中PAN的一半,另一半在智能手机上。
根据第四种选择:
问题是,如果仅存储部分数据卡,该中央服务是否也应符合PCI-DSS标准?
谢谢
答案 0 :(得分:1)
这是一个非常有趣的方法。从我的角度来看,将数据存储在手机上实际上比在服务器端更安全(因为丢失单个移动设备的影响远远小于中央数据库被破坏的影响)。
然而,PCI DSS非常清楚,遗憾的是这并没有为这种创造力留下太多空间。基本上,如果您的系统(以及移动应用程序作为其一部分)处理卡数据,则需要遵守PCI DSS规则:
PCI DSS适用于支付卡中涉及的所有实体 处理 - 包括商人,加工商,金融机构, 和服务提供商,以及存储的所有其他实体, 处理或传输持卡人数据和/或敏感认证 数据。持卡人数据和敏感认证数据定义为 如下:
帐户数据
- 持卡人资料包括:*
- 主要帐号(PAN)
- 持卡人姓名
- 到期日期
- 服务代码
- 敏感认证数据包括:
- 完整的跟踪数据(磁条数据或芯片上的等效数据)
- CAV2 / CVC2 / CVV2 / CID
- PIN / PIN块
请参阅PCI Standards Council v3 doc
考虑到上述情况,您有两种选择: