È conforme PCI per inviare i dati della carta di credito al server senza salvarli lì?

No. Non è possibile gestire PCI senza soddisfare i requisiti PCI-DSS per la gestione di PCI. Non archiviarlo vuol dire che non devi preoccuparti dei requisiti di archiviazione, ma cose come la segmentazione della rete e la sicurezza del server si applicano ancora, anche se transita solo attraverso il tuo server.

Difficile conoscere la configurazione esatta ma usare un linguaggio come "invia i dettagli della carta di credito" solleva gli allarmi. Suggerirei che si inserisca nel "Processo di deposito e trasmissione" dei dati. Sarei MOLTO sospettoso di qualsiasi risposta in senso contrario e a prima vista il 90% delle aziende che pensano di non archiviare i dati in realtà una volta scansionati e testati. Spiacente potrebbe non essere stata la risposta che volevi ma è onesta

PCI DSS applies to all entities ... that store, process or transmit cardholder data.

( PCI DSS v2 Introduzione)

Se elabori i dettagli della carta di credito, sei soggetto a PCI.

Se trasmetti i dettagli della carta di credito, sei soggetto a PCI.

La crittografia SSL / di rete è uno dei requisiti per soddisfare PCI DSS (Requisito 4). Ce ne sono altri; dovrai valutare cosa stai facendo per determinare a chi devi prestare attenzione. Dovresti consultare i Questionari di autovalutazione per determinare quale ambito si applica a te.

Se il server non rientra nel tuo ambito e sei interessato solo con l'app sul tuo iDevice, probabilmente stai scrivendo un'applicazione di pagamento e devi preoccuparti di Conformità PA-DSS . È più serio, non ci sono autocertificazioni per le applicazioni di pagamento e nessuna organizzazione può utilizzare un'applicazione di pagamento non approvata senza violare il PCI DSS.