PCI DSS移动应用程序支付和信用卡数据
PCI DSS移动应用程序支付和信用卡数据
提问于 2015-02-18 09:09:17
我需要实现一个解决方案,允许移动应用程序对支付网关服务进行支付。
我发送的数据是卡的细节和支付数据本身。
每次您想付款时输入卡的详细信息是不切实际的,so...so I已被分析了以下备选方案:
- 将数据卡保存到您的智能手机中。被保安抛弃了。
- 使用第三方存储卡数据,如PayPal库。通过将数据分配给第三方而丢弃。
- 将卡数据保存在自己的“中央服务器”上,并使用令牌策略。这有一个缺点,即这个基础设施应该完全填充DSS DSS规则。
- 将的一些数据卡保存在智能手机上,将rest保存在中央服务(基础结构)中,例如手机中的PAN的一半,智能手机上的另一半。
根据第四种选择:
问题是,如果只存储数据卡的部分,也应该满足PCI标准吗?
谢谢
回答 1
Stack Overflow用户
发布于 2015-03-02 09:13:56
这是一个非常有趣的方法。在我看来,在手机上存储数据实际上比在服务器端存储数据更安全,因为丢失单个移动设备的影响要比破坏中央数据库的影响小得多。
尽管如此,PCI是相当明确的,不幸的是没有为这种创造性留出太多的空间。基本上,如果您的系统(以及作为其一部分的移动应用程序)正在处理卡片数据,它需要遵守PCI DSS规则:
PCI DSS适用于涉及支付卡处理的所有实体--包括商家、处理器、金融机构和服务提供商,以及存储、处理或传输持卡人数据和/或敏感身份验证数据的所有其他实体。持卡人数据和敏感认证数据定义如下: 帐户数据
- 持卡人资料包括:*
- 主要帐号(PAN)
- 持卡人姓名
- 到期日
- 服务代码
- 敏感身份验证数据包括:
- 全轨数据(磁条数据或芯片上的等效数据)
- CAV2 2/CVC2/CVV2 2/CID
- 引脚/PIN块
请参阅PCI标准理事会v3文档
考虑到上述情况,您有两个选择:
- 将支付数据的处理外包给符合PCI协议的一方(免责声明:我正在为其中一人工作)
- 自己承担服从的责任。如果您可以限制受影响的范围,这并不一定如此困难。寻找早期的令牌化、去令牌代理、分隔的PCI区域(因此,您的大多数系统根本就看不到卡数据)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/28579684
复制相关文章
相似问题
腾讯云开发者
