1. ホーム
  2. 質問と答え
  3. モバイルアプリでPCI-DSSをどこから始めるのですか?

モバイルアプリでPCI-DSSをどこから始めるのですか?

2015-12-04 36 views
8

独自のお支払い処理ソリューションを備えたクライアント用のモバイルアプリ(iOSとAndroid)を開発しています。このアプリは一般公開されており、個人の携帯電話で使用されます。モバイルアプリでPCI-DSSをどこから始めるのですか?

アプリはSOAP API経由で支払い処理ソリューションとインターフェースしなければなりません。ユーザーの支払いカードの詳細を入力し、そのAPIに渡す必要があります。 iframe内にウェブサイトを埋め込むことはできません。この特定のAPIを使用する必要があります。つまり、アプリでは(簡単に)ユーザーの支払いカードの詳細を所有して処理する必要があります。

アプリは、詳細を収集する(ユーザーが電話のキーボードでそれらをタップすることにより)、APIを介して送信し、できるだけ早く破棄する必要があります。トランザクションを完了するのに必要な時間を超えてデータを格納することはなく、API経由でクライアントのサーバーにデータを送信することはありません。私たちはサーバー上にデータを保存することは決してありません。ログに書き込まないように注意し、一般的にはアプリケーションの所有する短期間の間、放射性廃棄物のように扱います。

私たちは、クライアントのシステムがPCI DSSに関して何をしていても何でもしていることを前もって(少なくとも今は)想定しています。もちろん、アプリと支払いサーバーの間のトラフィックは暗号化されています。

私たちはPCI DSSに関して必要なことを理解するのに苦労しています。われわれはコンプライアンスを達成するためにコンサルタントを使うことは本当に喜ばしいことですが、私たちが誰と話すのかは分かりません。私たちがオンラインで簡単に見つけることができるもの(PCI自体の素材を含む)は、微妙に異なるシナリオに関連しているようです。あるいはiframeのようなものを使って問題を回避するようアドバイスします。

正直言って、私たちはいくつかの明確な指針を見つけ出すことがどれほど難しいかに驚いています。多くのアプリがカードの詳細を処理します。これは確かに共通の問題でなければなりません。

だから、私たちの質問:私たちは、特定のシナリオに関連する専門家の助言を得るために行くべき

  2. 完全に非公式に、私たちは適切な資格のあるアドバイスを後で取得するつもりであると理解しています。私たちは、電話にインストールされている主要なロガーについて心配する必要があるかどうか疑問に思っています。それは本当に事実ですか、あるいは私たちはあまりにも遠くに行くのですか?
  3. 紛失している魔法の弾丸がありますか?たとえば、既に準拠していることが判明しているライブラリですか?

ご協力いただきありがとうございました。

出典

2015-12-04 Fanjita

+1

PCIアドバイスは認定「QSAs」から来ており、評議会はリストを管理しています:https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php –

+0

ベスト・プラクティスに従ってアプリケーションを開発し、それをクライアントに伝え、必要なドキュメンテーションとコードレビュータスクを実行する責任を明確にします。 –

+0

第三者が1つ以上のクライアントに対してこれを開発している場合は、PA-DSSも適用される場合があります。 –

答えて

1

私はあなたの痛みを感じます、あなたはクレジットカードの詳細を取るような何かを持っていると思うでしょうが、悲しいことにそうではないプロセスを通してあなたを導くのに役立つ豊富な簡潔な情報があります。

最初の質問では、QSAを見つける必要があります。PCI council websiteをチェックしてください。私は少し買い物をお勧めします、品質と価格は異なります、あなたはあなたのシナリオに精通した誰かが欲しいでしょう。私が提示した意見を使う前に、公式の指導を受けるべきだと言います。

あなたの2番目の質問では、まずPCIは契約ベースであると言います。これは完全にあなたのクライアントの責任です(商人銀行や支払い処理業者との契約にもよるが)。あなたの契約がPCI準拠のソリューションを提供する必要があると言っていない場合、あなたはそれを暗示したり、目的に合っていれば、弁護士にとっては問題になるかもしれないことに注意します。実践的状況に応じていくつかのオプションがあります私は自分のベストを尽くすよので、それはここでは少しトリッキー取得します。

  • クライアントは、コードやシステムを管理していない場合、彼らはそれの結果を受け取りますサービスプロバイダーとみなされる可能性があり、最低限、サービスプロバイダーにはSAQ Dが必要です。
  • クライアントにソースコードを与えて実装すれば、それは完全に責任があります。範囲があれば、コードレビュー、侵入テストなどを行う必要があります。
  • お客様のクライアントにアプリをシステムに接続したい場合、PCIの詳細を担当したくない場合は、PA-DSSに準拠する必要があります。

最終的には、あなたのクライアントが取ることができるPCIの範囲に依存します。あなたが取るコースにかかわらず、非常に最小限のSAQ Aが必要です(PCIの適合性を証明する必要があります)。あなたはドン場合は悪夢の面では

が、私はPAN(CC番号)は、サーバーに触れるとネイティブアプリケーションのためではなく、Webアプリケーションのために、それは一言で言えば、完全な範囲、SAQ Dだか分からないはい、それは」悪夢です既に安全な設定があります。最高のシナリオはSAQ Aですが、iFrameが必要です。もしそれがSAQ A-EPでは不可能なのであれば、直接POSTでそれを使うことができます。そうすればSOAPインターフェースでOKかもしれません。アプリ。私はアプリがSAQ AとA-EPを使うことができる「電子商取引」とみなされているかどうかは分かりませんが、SAQ Cが必要な場合は、要件6を見てください。

最後の質問については、spreedly.comをチェックしてください。複数のゲートウェイへのPCI準拠の接続が役立つ場合があります。

幸運を祈る!最終的にやることを決めたことを聞くことは素晴らしいことです。

出典

2015-12-06 13:14:47 Richard

+0

私はこれをSAQ Cで見ました。それはあなたのためではないと思います。 https://pciguru.wordpress.com/2015/12/07/using-saq-c/ – Richard

関連する問題

 関連する問題