Quale standard PCI (s) un'app di pagamento (per smartphone) deve essere conforme per essere approvato da PCI SSC?

Naviga le tue risposte
1

Siamo un'azienda che sviluppa app per i fornitori di servizi di pagamento e in una delle nostre app i titolari di carta devono inserire i dati della carta di pagamento (come PAN, PIN 2, CVV, data di scadenza) per fare un CNP (carta non presente ) transazione di pagamento e PAN vengono memorizzati per facilitare l'immissione dei dati nell'uso futuro.

Gli standard principali che stiamo cercando di rispettare sono PA DSS (v3.0) e PCI DSS.

Voglio sapere se c'è qualche altro standard che dovremmo rispettare. Ad esempio, la comunicazione tra le app e i servizi back - end deve essere protetta. C'è uno standard per questo? Dovremmo applicare PCI P2PE alle nostre app?

    
posta anonim 22.11.2015 - 05:48
fonte

1 risposta

1

Solo un QSA può darti una risposta qualificata, ma posso darti una comprensione.

Sembra che tu debba definire ulteriormente il tuo ambito, hai bisogno sia di PA-DSS che di PCI-DSS? Probabilmente ti servirà solo se offri un servizio e fornisci il software a terze parti da controllare e utilizzare. È così?

Tuttavia, per rispondere alle tue domande, è probabilmente necessario rispettare altri standard di sicurezza come OWASP o un equivalente e standard di implementazione come TLS 1.2. Gli standard PCI impongono ciò che tali standard devono essere. La mia comprensione è che P2PE è per le transazioni con carta presente.

Il titolo di questo post accenna all'approvazione da parte del PCI SSC, ma non è necessaria la sua approvazione, è necessaria solo l'approvazione del cliente. Dato che i tuoi clienti sono fornitori di servizi di pagamento, sono probabilmente esperti in PCI, quindi puoi semplicemente chiedere loro ciò che richiedono da te. Ricorda che PCI è basato sul contratto.

Altrimenti, dalla tua descrizione sarai aperto a ogni aspetto della conformità PCI che potrebbe essere un processo piuttosto doloroso. Vale la pena di utilizzare un QSA per aiutarti a definire il tuo ambito, se non lo hai già fatto, quindi non stai perseguendo standard che potresti non aver bisogno.

Buona fortuna!

    
risposta data 24.11.2015 - 16:49
fonte

Leggi altre domande sui tag

È necessario aggiornare JRE in un server Apache Tomcat? Generazione di una richiesta di firma del certificato per un server web Apache su un sottodominio?