Le app lato client sono regolate da PCI?

Naviga le tue risposte
3

Considera un'applicazione client-side-only. Può consentire a un utente di effettuare un pagamento reindirizzandoli al sito Web del gateway di pagamento, dove inseriscono i dati della carta di credito. Se ho capito bene, in questo caso solo il fornitore di servizi di pagamento deve essere conforme allo standard PCI, in quanto l'app stessa non sa nulla delle informazioni di pagamento.

Ora, cosa succede se l'app memorizza i dettagli della carta di credito (per comodità) e compila automaticamente il modulo di pagamento su quel sito? Il tutto avviene al lato client. Esistono norme relative al modo in cui il numero della carta deve essere memorizzato sul client ? Va bene ricordarlo per niente?

    
posta interphx 18.11.2016 - 14:21
fonte

2 risposte

1

(Modificato per riflettere l'incertezza sulla situazione esatta)

Nota: non un QSA, solo qualche esperienza PCI

PCI DSS è uno standard impostato dalle società di pagamento: VISA, MasterCard e il resto. In generale, non ha la forza dei regolamenti governativi (anche se alcune leggi statali, credo, fanno riferimento a questo - consultate il vostro avvocato locale). Piuttosto, le Società di pagamento richiedono che tu rispetti il PCI (se devi essere certificato varia in base alla tua situazione) quando hai una relazione con loro (direttamente o indirettamente) per elaborare le carte. Il modo in cui possono costringerti a rispettare è, di nuovo o indirettamente, impedirti di elaborare le carte se non lo fai.

Se non si elaborano le carte, se si è puramente cliente, se non si ha questa relazione con loro (o una relazione con un fornitore di servizi di elaborazione delle carte che ha una relazione con loro), allora non possono richiedere di rispettare con esso.

Tuttavia, detto questo, il PCI DSS è un BUON standard - dovresti fare almeno quello che dice se gestisci i numeri di carta di credito (PAN) per quanto riguarda la sicurezza. Inoltre, PAN è considerato Personal Identifying Information (PII) per quasi tutti gli statuti PII di cui sono a conoscenza. Ciò significa che se gestisci i numeri delle carte di credito, devi rispettare tutte le regole PII. Ancora una volta, i tuoi statuti locali possono essere applicati qui (come pure gli statuti locali dei tuoi clienti ...)

Se sei un commerciante e fornisci l'app, devi rispettare PCI se hai intenzione di ricordare / memorizzare i numeri delle carte di credito, anche lato client. Se non sei un commerciante, probabilmente dovresti, ma non farlo legalmente. Fuzzy.

    
risposta data 18.11.2016 - 16:10
fonte
1

La tua applicazione elabora le carte in modo che debbano essere valutate rispetto a PCI-DSS. Il fatto che sia solo lato client o che il processisng sia fatto sul server non cambia il fatto che a un certo punto qualcuno sta inserendo un numero di carta di credito tramite la tua applicazione.

Nel caso di applicazioni lato client hai tre possibilità :

  • SAQ A se hai un IFRAME o reindirizza il curtomer al processore
  • SAQ A-EP se ancora non si memorizzano dati di titolari di carta ma si utilizzano alcuni elementi dal sito del processore nella propria applicazione (in genere API e Javascript)
  • SAQ D-Commerciante se memorizzi i dati (il tuo caso).

Il punto qui è la protezione dei dati dei titolari di carta da "qualcosa" che li accede quando non dovrebbe. Immagina di archiviare i dati su una scheda SD all'aperto e che questi dati siano disponibili per altre applicazioni, in genere non è stato sufficientemente protetto.

    
risposta data 19.11.2016 - 23:23
fonte

Leggi altre domande sui tag

Proving di azzeramento Come accettare l'input dell'utente per l'utilizzo nel terminale in modo sicuro?