独自のお支払い処理ソリューションを備えたクライアント用のモバイルアプリ(iOSとAndroid)を開発しています。このアプリは一般公開されており、個人の携帯電話で使用されます。モバイルアプリでPCI-DSSをどこから始めるのですか?
アプリはSOAP API経由で支払い処理ソリューションとインターフェースしなければなりません。ユーザーの支払いカードの詳細を入力し、そのAPIに渡す必要があります。 iframe内にウェブサイトを埋め込むことはできません。この特定のAPIを使用する必要があります。つまり、アプリでは(簡単に)ユーザーの支払いカードの詳細を所有して処理する必要があります。
アプリは、詳細を収集する(ユーザーが電話のキーボードでそれらをタップすることにより)、APIを介して送信し、できるだけ早く破棄する必要があります。トランザクションを完了するのに必要な時間を超えてデータを格納することはなく、API経由でクライアントのサーバーにデータを送信することはありません。私たちはサーバー上にデータを保存することは決してありません。ログに書き込まないように注意し、一般的にはアプリケーションの所有する短期間の間、放射性廃棄物のように扱います。
私たちは、クライアントのシステムがPCI DSSに関して何をしていても何でもしていることを前もって(少なくとも今は)想定しています。もちろん、アプリと支払いサーバーの間のトラフィックは暗号化されています。
私たちはPCI DSSに関して必要なことを理解するのに苦労しています。われわれはコンプライアンスを達成するためにコンサルタントを使うことは本当に喜ばしいことですが、私たちが誰と話すのかは分かりません。私たちがオンラインで簡単に見つけることができるもの(PCI自体の素材を含む)は、微妙に異なるシナリオに関連しているようです。あるいはiframeのようなものを使って問題を回避するようアドバイスします。
正直言って、私たちはいくつかの明確な指針を見つけ出すことがどれほど難しいかに驚いています。多くのアプリがカードの詳細を処理します。これは確かに共通の問題でなければなりません。
だから、私たちの質問:私たちは、特定のシナリオに関連する専門家の助言を得るために行くべき
- ?
- 完全に非公式に、私たちは適切な資格のあるアドバイスを後で取得するつもりであると理解しています。私たちは、電話にインストールされている主要なロガーについて心配する必要があるかどうか疑問に思っています。それは本当に事実ですか、あるいは私たちはあまりにも遠くに行くのですか?
- 紛失している魔法の弾丸がありますか?たとえば、既に準拠していることが判明しているライブラリですか?
ご協力いただきありがとうございました。
PCIアドバイスは認定「QSAs」から来ており、評議会はリストを管理しています:https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php –
ベスト・プラクティスに従ってアプリケーションを開発し、それをクライアントに伝え、必要なドキュメンテーションとコードレビュータスクを実行する責任を明確にします。 –
第三者が1つ以上のクライアントに対してこれを開発している場合は、PA-DSSも適用される場合があります。 –