我在应用程序中有一个信用卡基本交易功能,该应用程序由我们的节点js后端通过HTTPS进行通信。我们使用Client SDK生成发送到我们后端服务器的卡令牌,后者将使用Server SDK将令牌以及其他详细信息发送到支付网关,以便向客户收费。交易成功后,我收到了很好的详细信息以及BIN号码和信用卡的最后4位数作为服务器端支付网关的响应。在客户端,我们使用Card.IO SDK收集信用卡详细信息,如16位数字, CVV和Exp。 MM / YY。 我的问题是 - 如果我将BIN号码(信用卡的前6位数字)和信用卡的最后4位数字以及卡片令牌传递给我的服务器进行实际交易,是否会违反PCI合规性? 在您的建议或结论的背景下,我将非常感谢任何在线引用或参考。
答案 0 :(得分:2)
发送截断的PAN(最多为卡号的前6位和后4位)会使后端服务器超出PCI-DSS的范围(source),
有权访问完整卡片数据 的应用程序属于PA-DSS认证的范围,但对于移动应用程序(不仅仅用于执行卡支付) - 这些可以免责
有关详细信息,请参阅PA-DSS核对表:https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf