Secure Mobile Payments tramite l'app Web HTTPS

4

Spero che un esperto con conoscenza della conformità PCI possa contribuire a rispondere a questa domanda.

Stiamo valutando l'integrazione dei pagamenti mobili con la nostra applicazione che è basata su HTML5 per motivi multipiattaforma. Dopo aver considerato le app native, Square e altri, stiamo considerando semplicemente l'inserimento di una pagina HTTPS prelevata direttamente da un gateway di pagamento (come Beanstream). Questo per consentire ai nostri clienti di accettare un pagamento con carta di credito, mentre la nostra azienda è priva di dati sensibili.

Qualcuno può elaborare i rischi per la sicurezza? Ad esempio, qual è il rischio di keylogging su un iPhone o dispositivo Android?

Grazie.

    
posta crockpotveggies 09.12.2011 - 23:17
fonte

2 risposte

3

Se utilizzi una terza parte come processore di pagamento, non è necessario interagire direttamente con i dati della carta di credito e lì per PCI-DSS non si applica a te . Questo è davvero positivo per te perché è costoso soddisfare tutti i requisiti, anche se il tuo software è al 100% di reclamo. Ci sono un certo numero di servizi di pagamento che reindirizzano il cliente al processore di pagamento, Amazon FPS, paypal paypal, ecc. Questi sono ottimi servizi per le start-up, perché non hanno praticamente requisiti di sicurezza. Questo perché c'è pochissimo impatto sulla sicurezza causato da un difetto nel tuo sistema. Tuttavia, quando la tua azienda diventa abbastanza grande. Quindi puoi ottenere un tasso migliore per le transazioni diventando un reclamo PCI.

In termini di rischi, come malware sul dispositivo. Non c'è davvero molto che tu possa fare al riguardo, e il PCI-DSS non ti terrà responsabile. Se qualcosa del settore delle carte di credito cerca il modo di incolpare il cliente di tali cose. Un buon esempio sono i problemi Responsabilità di chip e pin . La linea di fondo è che l'industria delle carte di credito vuole che i commercianti abbiano successo.

    
risposta data 10.12.2011 - 00:40
fonte
4

L'applicazione HTML5 è caricata in un browser mobile o utilizzando WebView Canvas. I browser fungono da sandbox, ma un'applicazione HTML 5 aperta tramite WebView non ha più la stessa sicurezza, ma può essere resa più sicura seguendo alcune delle linee guida elencate nel link sottostante.

link

Alcuni dei punti salienti:

  1. Tutte le pagine che carichi nella webview dovrebbero provenire da una fonte accetti di fidarti. Quindi caricare una pagina Facebook o una pagina del forum o pagina simile non è sicura.
  2. Carica solo la pagina fidata nella webview. Per tutti gli altri si aprono nel browser web
  3. Assicurati che l'app HTML 5 abbia un minimo autorizzazioni (non consentire l'accesso alla fotocamera o ai contatti nel telefono a meno che non sia assolutamente necessario).
  4. Non caricare alcuna pagina nella tua app che ha pubblicità a meno che tu non voglia fidarti di loro, quale io non dovresti pensare a un'app che accetta il pagamento. Anche se il l'annuncio è stato pubblicato su una delle pagine precedenti e non sul pagamento pagina (inserisci carte di credito), il modello WebView in Android e iPhone consente l'accesso attraverso il contenuto di più pagine ... (vedere il collegamento per spiegazione dettagliata).

Bottomline: l'app dovrebbe caricare solo pagine in webview di cui ti fidi assolutamente.

Controllo i documenti di conformità PCI, non ci sono linee guida esplicite attuali su come accettare i dati PCI in un'applicazione mobile e stanno lavorando alla creazione di linee guida per questo (a partire da dicembre 2011). Fino ad allora, segui il maggior numero possibile di linee guida PCI, come non memorizzare mai dati privati sul telefono e altri.

Spero che quanto sopra sia stato utile. Ho cercato linee guida per la conformità PCI per l'app HTML 5 aperta in WebView negli ultimi 3-4 giorni.

Grazie,

    
risposta data 07.01.2012 - 00:40
fonte

Leggi altre domande sui tag