Va bene dal punto di vista di PCI DSS inviare le informazioni della carta di credito al mio server che poi invia direttamente a PayPal?

3

Attualmente sto sviluppando un'applicazione iOS che ha la possibilità di pagare un ordine (pulizia vestiti) tramite la scansione delle informazioni della carta di credito utilizzando la fotocamera del dispositivo. Non posso utilizzare Apple In-App Purchases (IAP) per questo, perché è un bene fisico non virtuale:

11.3 Apps using IAP to purchase physical goods or goods and services used outside of the application will be rejected

Questi pagamenti sono future payments nella terminologia PayPal, quindi non posso addebitare immediatamente la carta utente. Sfortunatamente, la versione attuale di PayPal Mobile SDK non ha un'opzione per utilizzare una carta di credito per questo:

When you integrate your mobile app with PayPal Mobile SDK 2.0, your customers can give permission to be billed multiple times in the future without logging into their PayPal account. PayPal payments (not credit cards) are supported.

Quindi ho implementato il prossimo approccio: un'app esegue la scansione della scheda utente e quindi invio PAN scansionato / ccv / nome del proprietario / data di scadenza tramite HTTPS (SSL) al mio server, che, a sua volta, li invia direttamente a PayPal a ottenere un token OAuth per il pagamento futuro. Non memorizzo queste informazioni da nessuna parte. Nei paragrafi 4.1 e 4.2 delle specifiche PCI DSS ho visto:

" Never send unprotected PANs by end-user messaging technologies"

Ma nel mio scenario non si tratta di una tecnologia di messaggistica degli utenti finali. PCI DSS dice che se il browser utilizza SSL è ok per inviare i dati attraverso di esso:

Requirement 4: Encrypt transmission of cardholder data across open, public networks

Come ho capito, non c'è differenza su quale client sto usando: browser o app mobile se crittogrado i miei dati, giusto?

La mia domanda è valida per questo processo o la mia app viola alcune regole di PCI DSS?

    
posta 23.10.2015 - 17:46
fonte

1 risposta

1

I dati PAN vengono crittografati in HTTPS e soddisfano il requisito finché l'API viene inviata tramite HTTPS e utilizzando TLS. SSL non è più supportato da PCI 3.1. A giugno 2016, TLSv1.0 (e probabilmente TLSv1.1) non saranno più supportati neanche. Detto questo, il vostro server è l'area di interesse per la maggior parte dei revisori PCI. Il server ha la capacità di leggere e decodificare i dati per l'elaborazione. Dovrai rivedere l'ampio elenco di requisiti per i sistemi in cui sono archiviati i dati dei titolari di carta. Una delle aree che dovrai assolutamente risolvere è la seguente:

Technical Guidelines for Protecting Stored Payment Card Data At a minimum, PCI DSS requires PAN to be rendered unreadable anywhere it is stored – including portable digital media, backup media, and in logs. Software solutions for this requirement may include one of the following:

  • One-way hash functions based on strong cryptography – also called hashed index, which displays only index data that point to records in the database where sensitive data actually reside.
  • Truncation – removing a data segment, such as showing only the last four digits.
  • Index tokens and securely stored pads – encryption algorithm that combines sensitive plain text data with a random key or “pad” that works only once.
  • Strong cryptography – with associated key management processes and procedures. Refer to the PCI DSS and PA-DSS Glossary of Terms, Abbreviations and Acronyms for the definition of “strong cryptography.”

Vedi: link

    
risposta data 23.10.2015 - 18:00
fonte

Leggi altre domande sui tag