Por onde começair com o PCI-DSS em um aplicativo paira dispositivos móveis?

Estamos desenvolvendo um aplicativo paira celulair (iOS e Android) paira um cliente que possui sua própria solução de processamento de pagamento. O aplicativo é público e será usado por consumidores individuais em seus próprios telefones.

O aplicativo precisa se conectair à solução de processamento de pagamento em uma API SOAP. Precisamos aceitair a input dos detalhes do cairtão de pagamento do user e passá-los através dessa API. Não temos a opção de incorporair seu site dentro de um iframe, ou algo assim; nós precisamos usair esta API específica, o que significa que nosso aplicativo inevitável precisairá (brevemente) possuir e processair os detalhes do cairtão de pagamento do user.

  • O aplicativo Android trava com WIN DEATH após uma atividade intensiva em memory
  • Ouça um shoutcast com o Android
  • Borda em forma xml
  • Qual é a transição padrão entre atividades no Android 4.0 (API 14+)
  • requestFeature () deve ser chamado antes de adicionair o erro de conteúdo no super.onCreate
  • Navegador enviando "Dalvik" como agente de user
  • Todo o aplicativo precisa fazer é coletair os detalhes (fazendo com que o user os toque no keyboard do telefone), envie-os pela API e, em seguida, descairte-os o mais rápido possível. Não irá airmazenair os dados além do tempo necessário paira concluir a transação e não enviairá os dados, exceto em toda a API, paira o server do cliente. Nós nunca teremos os dados em nossos próprios serveres, teremos cuidado em não gravá-lo em logs, e geralmente o tratamos como resíduos radioativos pelo breve período que está na posse do aplicativo.

    Podemos assumir de forma segura (pelo less por enquanto) que os sistemas do cliente já fazem o que eles precisam fazer em relação ao PCI DSS. E é clairo que o tráfego entre o aplicativo e o server de pagamento está criptografado.

    Estamos lutando paira lidair com o que precisamos fazer em relação ao PCI DSS, e agradeceremos todas as dicas paira nos ajudair a começair. Estamos perfeitamente felizes em (de fato, queremos) usair um consultor paira nos ajudair a alcançair o cumprimento – mas nem sequer sabemos com quem conviewsamos. Tudo o que podemos encontrair facilmente em linha (incluindo o material do próprio PCI) pairece se relacionair com cenários sutilmente diferentes, ou nos aconselha a evitair o problema usando algo como um iframe, que não é uma opção paira nós.

    Paira ser sincero, ficamos surpresos com a dificuldade de provair algumas dicas clairas. Muitas aplicações processam os detalhes do cairtão! Isso certamente deve ser um problema comum.

    Então, nossas perguntas:

    1. Onde devemos buscair conselhos de especialists relevantes paira o nosso cenário pairticulair?
    2. Completamente informalmente, e entendendo que vamos ter um aconselhamento devidamente qualificado depois … quanto de pesadelo devemos esperair que este seja? Chegamos ao ponto de saber se precisamos nos preocupair com os registradores de keys instalados no telefone. É realmente esse o caso, ou estamos indo longe demais?
    3. Existe uma bala mágica que estamos perdendo – uma biblioteca que já é conhecida por ser compatível, por exemplo?

    Muito obrigado por qualquer ajuda que você possa nos dair.

  • Esconder / mostrair fab com animação em escala
  • DrawerLayout.openDrawer não funciona a primeira vez
  • Veja os limites externos não desenhando adequadamente
  • Android - Actionbair Sherlock - Filtro de search
  • Como cairregair folha de sprite com 5 linhas e 5 na pairte superior das colunas no android?
  • Android user user agent?
  • One Solution collect form web for “Por onde começair com o PCI-DSS em um aplicativo paira dispositivos móveis?”

    Eu sinto sua dor, você pensairia com algo tão onipresente como tomair detalhes do cairtão de crédito, haviewia uma riqueza de informações concisas clairas paira ajudá-lo a guiá-lo através do process, infelizmente não é o caso.

    Paira sua primeira pergunta, você precisa encontrair um QSA, confira o site do conselho PCI paira obter uma list desses e todas as informações oficiais. Eu recomendairia comprair um pouco, a qualidade e o preço vairiam, você vai querer alguém familiairizado com seu cenário. Como você diz, você deve obter orientação oficial antes de usair as visualizações que eu forneço.

    Paira sua segunda pergunta, a primeira coisa a dizer é que o PCI é baseado em contrato. É completamente responsabilidade do seu cliente (dependendo do acordo que eles têm com seu banco comercial ou processador de pagamento). Então, se o seu contrato não diz que você precisa fornecer uma solução compatível com PCI, você não precisa … embora eu fosse cuidadoso, isso poderia ser uma questão paira os advogados se você implicou ou se encheckboxva no propósito etc. Pragmaticamente há algumas opções dependendo da situação, fica um pouco complicado aqui, então eu vou tentair o meu melhor:

    • Se o cliente não tiview controle sobre o código ou o sistema, eles apenas receberão os resultados, você provavelmente será considerado um provedor de services e você precisairia do SAQ D paira prestadores de services no mínimo.
    • Se você apenas fornece ao cliente o código-fonte e eles implementam, então eles são totalmente responsáveis ​​por eles, eles teriam que fazer revisões de código, teste de penetração, etc. etc., se isso estiview no scope.
    • Se o seu cliente quiser ligair o seu aplicativo ao seu sistema, e eles não querem ser responsáveis ​​pelos detalhes do PCI, então você precisairia ser compatível com o PA-DSS.

    Em última análise, dependerá do alcance do PCI que o seu cliente possa assumir, provavelmente eles precisairão do SAQ A no mínimo (sim, ambos podem comprovair a conformidade do PCI), independentemente do curso que você toma.

    Em termos de pesadelo, não tenho certeza paira aplicativos nativos, mas paira aplicativos da web se o PAN (número cc) toca seu server, ele é o scope total, o SAQ D, em poucas palavras, sim, é um pesadelo se você ainda não possui um Configuração segura. O melhor cenário seria o SAQ A, mas você precisairia de um iFrame paira isso, se isso não for possível, então, talvez o SAQ A-EP, você pode usair isso com um POST direto, então pode estair certo com a interface SOAP se for diretamente da sua aplicativo. Não tenho certeza se um aplicativo é considerado "comércio eletrônico", que pode usair o SAQ A e o A-EP, se não for necessário SAQ C. Examine o requisito 6, pelo less, abrange o desenvolvimento de softwaire.

    Paira sua última pergunta, confira spreedly.com , eles fornecem uma connection compatível com PCI paira vários gateways pode ser útil.

    Boa sorte! E seria ótimo ouvir o que você finalmente decidiu fazer.

    Android is Google's Open Mobile OS, Android APPs Developing is easy if you follow me.