Le regole PCI-DSS richiedono generalmente che qualsiasi PAN memorizzato sia crittografato in modo tale da non richiedere uno, ma due autenticatori da decrittografare.
In pratica, ciò significherebbe normalmente che anche se si intende che l'utente finale è l'unico con una copia crittografata, ciò sarebbe insufficiente dal punto di vista normativo. "Chi" ha una copia è irrilevante, a questo riguardo. Se la decrittografia può essere eseguita con una singola chiave dal fornitore (cioè, tu), e non puoi affermare che il dispositivo su cui è memorizzato è crittografato (ovvero, un client che risponde con un vero / falso sulla crittografia del filesystem in seguito a una richiesta di transazione non è attualmente una funzionalità di qualsiasi dispositivo mobile di cui sono a conoscenza), quindi non sarà possibile dichiarare i dispositivi dell'utente fuori campo durante un controllo PCI.
Uno scenario potrebbe funzionare: se si dispone di un'applicazione che genera e protegge la propria chiave per l'archiviazione delle informazioni della carta e che quindi può rispondere all'applicazione di pagamento lato server con un token per le carte utilizzate in precedenza in quel sito, allora puoi (probabilmente) soddisfare i requisiti di base. Finché l'applicazione lato server è in grado di archiviare e recuperare in modo soddisfacente il PAN al momento della presentazione di un token di riferimento durante la transazione, stai bene. Tuttavia, anche in quel caso il CVC o CVV deve essere fornito manualmente dall'utente, che non è esplicitamente permesso di essere memorizzato insieme al PAN.
Possibile anche l'archiviazione da parte dell'utente finale della propria carta, ma nessun programma o applicazione può essere autorizzato a richiedere i dati all'utente finale e si aspetta di ricevere la risposta automaticamente, a meno che non si memorizzi una chiave univoca per quel server utente -side per la decrittazione del PAN. Questo è il motivo per cui la strategia attuale prevede che Android e Apple memorizzino i "dettagli della carta" e i campi di compilazione automatica quando riconoscono una richiesta di compilare i dati della transazione. Questo dovrebbe andar bene, ma un auditor pedante potrebbe facilmente chiedere di avere un modo per confermare che il dispositivo dell'utente finale funziona solo con un filesystem crittografato.
Per farla breve: vuoi effettivamente solo una pagina in cui il browser mobile di qualcuno può lavorare con "compilazione automatica" in modo amichevole. Otterrai gli stessi risultati, senza doversi preoccupare dei limiti di archiviazione PCI PAN aggiuntivi.