Applicazione PA-DSS e DTMF

1

Se l'applicazione di pagamento non memorizza alcuna informazione della carta di credito, deve essere PA-DSS? L'applicazione prende le informazioni della carta di credito tramite DTMF e pass-through tramite XML sicuro per l'elaborazione dei pagamenti.

Grazie RB

    
posta user103064 01.03.2016 - 20:43
fonte

2 risposte

1

L'archiviazione dei dati delle carte non è il fattore decisivo per l'ambito PA-DSS. Se l'applicazione gestisce i dati della carta, anche se non la memorizza, potrebbe essere in ambito.

Vedi p. 16 della guida al programma PA-DSS per "A quali applicazioni si applica PA-DSS?" sezione: link

Incluso in quella sezione c'è un elenco di tipi di applicazioni a cui non si applica.

  • Se vengono gestiti i dati delle carte, uno dei fattori principali è se la rete il software è COTS - stai distribuendo software non personalizzato su
    molti clienti? In tal caso, probabilmente si applica PA-DSS.
  • Se stai creando software personalizzato per un singolo cliente? PA-DSS probabilmente non si applica.
  • Se si ospiterà il software come servizio autonomamente e non si distribuiranno alcun componente, probabilmente il PA-DSS non si applica. Tuttavia, potresti trovarti nell'ambito di applicazione come fornitore di servizi e richiedere la convalida PCI DSS.

In caso di dubbio, è meglio parlare con un PA-QSA; questo è il tipo di valutatore che esegue convalide PA-DSS. Possono collaborare con te per verificare se la tua domanda è idonea.

Ho detto "probabile" in molti posti sopra perché, a seconda della posizione dell'applicazione nella catena di pagamento, di alcuni modelli di tokenizzazione, di altre soluzioni di "riduzione dell'ambito" ecc., può cambiare la situazione. Ad esempio, sono a conoscenza di alcune applicazioni di pagamento orientate al DTMF in cui il fornitore di soluzioni era in ambito PCI DSS stesso, ma non aveva bisogno della convalida PA-DSS sul proprio software a causa del modello di hosting.

    
risposta data 01.03.2016 - 21:53
fonte
0

Si noti che se si stanno trasferendo i dati della carta di credito a un altro fornitore di servizi è necessario monitorare i suoi stati di conformità

    
risposta data 02.03.2016 - 11:37
fonte

Leggi altre domande sui tag