Revolut può essere compatibile con PCI DSS?

4

Fondamentalmente, l'app Revolut mostra PAN e CVV per impostazione predefinita in-app e ha l'opzione "mostra PIN", come può essere conforme?

Ecco uno screenshot dall'app , ho visto l'app reale e rende PAN, CVV e PIN.

Aggiornamento 1

Uno dei problemi aggiuntivi è il modo in cui PAN, PIN e CVV entrano nell'app mobile.

Supponendo che non siano memorizzati nella cache (il che aprirebbe i propri set di problemi in un ambiente non protetto come un telefono Android + apre il problema della reinizializzazione di fabbrica) allora significa che vengono scaricati all'avvio di ogni applicazione,

significa che esiste un'API che qualcuno potrebbe teoricamente utilizzare per estrarre tutte le informazioni PAN / PIN / CVV a livello di programmazione,

lascia che questo affondi ...

Ciò renderebbe l'app per dispositivi mobili qualcosa di completamente diverso da un "equivalente morale di una scheda fisica", e qui stiamo parlando di un codice pin di accesso di 4 applicazioni che afaik non blocca l'account.

Qualcuno ha commentato:

The normal DSS rules that apply to processors and merchants aren't applied to cardholders.

Qualcuno ha risorse su cose che si applicano?

Oppure l'impresa di sicurezza emittente è una sorta di "gratuito per tutti" al momento, partendo dal presupposto che l'emittente dovrebbe essere preoccupato per la propria esposizione e non è necessario eseguire un audit di tali scelte a causa dell'impatto finanziario della frode è emittente e teoricamente solo emittente?

Suppongo che questo tipo di comportamento possa portare a violazioni e una caduta di fiducia nel mercato dei ewallet mobili, mi piacerebbe se qualcuno potesse mettere una taglia su questo, mi piacerebbe vedere un autorevole informato risposta.

    
posta bbozo 13.12.2016 - 12:49
fonte

1 risposta

5

In sostanza, non è necessario.

Sebbene i commercianti e i fornitori di servizi siano spesso obbligati contrattualmente ad essere conformi PCI-DSS, le applicazioni di pagamento tendono ad essere conformi agli standard PA-DSS (Payment Application Data Security) e certificate (se vogliono essere utilizzate dai commercianti che desiderano mantenere Conformità PCI-DSS).

Secondo il documento del Consiglio di sicurezza PCI, Applicazioni di accettazione dei pagamenti mobili e domande frequenti PA-DSS :

Applications used for payment-initiation—for example, those downloaded by consumers onto their mobile phones and used for consumers’ personal shopping—are seen as similar to the payment card in a consumer’s wallet.

Dato che Revolut non sta prendendo i pagamenti (beh, in realtà lo sono, ma questa è una funzione diversa da quella a cui ti stai riferendo), ma piuttosto come portafoglio digitale personale in questo caso, il PCI Security Council non lo fa Lo vedi come diverso dal portafoglio che hai in tasca.

    
risposta data 28.12.2016 - 23:33
fonte

Leggi altre domande sui tag