I nuovi standard delle carte di credito, compreso PA-DSS, possono essere abbastanza confusi per le aziende di software.
La mia domanda è questa: se la tua azienda di software progetta un sistema software POS (come facciamo noi) che utilizza un processore di terze parti installato su scheda di terze parti (compatibile con PA-DSS) per crittografare, trasmettere ed elaborare le carte di credito, il nostro sistema POS deve quindi passare la certificazione PA-DSS?
Gli utenti finali inseriscono i dati nella nostra interfaccia utente / pagamento personalizzata nella nostra applicazione. Non archiviamo mai queste informazioni in qualsiasi momento in un database, file di testo ecc. Di alcun tipo. Le informazioni sono prese dall'interfaccia utente e caricate in variabili nella RAM e quindi passate al sistema software di terze parti tramite l'API installata localmente. Il processore di terze parti quindi crittografa, invia ed elabora le informazioni della carta di credito e sono conformi PA-DSS.
Quindi, dobbiamo essere poiché non stiamo memorizzando, trasmettendo o elaborando i dati della carta di credito. Stiamo trasmettendo le informazioni della carta di credito solo dalla RAM a una chiamata API.
Informazioni aggiuntive di seguito aggiunte alla domanda - 2011
Mi è stato detto che non è possibile che un sistema software sia conforme. Mi è stato detto che la conformità PCI DSS include l'ambiente commerciale totale compresa l'infrastruttura di rete, la scansione antivirus, i limiti di accesso a Internet dei server che contengono i dati dei titolari di carta e altro ancora. Sono a conoscenza del fatto che un sistema software, come parte della certificazione o aderendo agli standard, può essere solo pa dss compliant . Almeno, questa è la mia attuale comprensione personale comunque.
Il problema con i requisiti di pa dss per gli sviluppatori di software e le società di software è che non esiste una definizione appropriata della parola "trasmessa".
Gli standard dicono:
"PCI DSS si applica ovunque i dati dell'account vengono memorizzati, elaborati o trasmessi"
Bene, sulla base di ciò, non stiamo memorizzando alcuna informazione sul titolare della carta, non stiamo elaborando alcuna informazione sul titolare della carta e non stiamo trasmettendo alcuna informazione attraverso una rete o Internet.
Il problema è che "Trasmesso" può essere interpretato letteralmente come qualcosa e deve essere definito in modo appropriato. Spostare i dati da un byte all'altro potrebbe essere trasmesso, spostandolo da un dominio di applicazione a un altro, spostando i dati attraverso una rete locale o spostandosi attraverso Internet stesso.
Leggendo gli standard, ho l'impressione che le persone che hanno redatto questi standard per la conformità di paSS non abbiano molta familiarità con il software e che il loro vero intento fosse quello di avere il termine "trasmesso" per spostare i dati attraverso una rete o Internet, che ovviamente non stiamo facendo.
Non credo che intendessero "trasmessi" per significare, non spostare i dati da un indirizzo di memoria a un altro o non passare dati a una libreria di dll compatibile con pa-dss.
Spero che non archiviamo, elaboriamo o trasmettiamo dati su un netowrk o su Internet che non ci si aspetterebbe di passare una certificazione di $ 20.000 solo per poter chiamare una libreria di librerie dll PA DSS sicura per elaborare le nostre carte .