与移动应用支付相关的 PCI DSS 合规

Question

我正在开发一个 Android 应用程序（本机），其中包含一个用于预订酒店\出租车等的模块。 我计划从我的应用程序屏幕上接受付款详细信息（金额、信用卡号、到期日等），并通过 API 调用将它们传递到我的中间层（托管在我公司场所的 IIS 服务器中）。然后我的中间层将调用支付网关 API 并将支付信息传递给它们进行处理。
移动应用程序与中间层以及中间层与支付网关之间的通信都是通过安全通道 (Https) 进行的。我没有在移动设备或中间层存储任何支付信息。

我的问题是： 1. 要实施上述方案，我（我的公司）是否必须符合 PCI DSS？ 2. 如果我直接通过移动应用调用支付网关API而不是通过中间层路由，是否还需要PIC DSS兼容？我希望由于该应用程序在 Google Play 中，因此 PCI 要求将不适用于此处。

非常感谢任何建议/澄清。谢谢。

Answer 1

standards documentation 声明如果您“存储、处理或传输持卡人数据”，您需要符合 PCI 标准。很明显，您传输卡数据，因此您需要符合 PCI 标准。
您可以通过使用第三方托管的支付服务轻松避免合规，其中您的应用程序不提供订单页面和卡捕获服务。 PayPal 是最受欢迎的示例，但还有其他示例，例如 BlueSnap、Zooz、Cyber​​source、BrainTree 等。
成为 PCI 兼容的努力与您的解决方案的复杂性有关。卡流经的软件/IT 层越多，就越难获得合规性。如果您在应用程序和处理器之间实现直接通信（如您所建议的那样），那么它应该很容易变得合规。基本上你需要做的就是填写自我评估问题并将其发送给你的处理器。

Answer 2

除了 Tal 的回答之外，重要的是要在 PCI 级别上查看您的客户端级别。

http://usa.visa.com/clients-partners/acquirers/data-security/pci-dss-compliance.jsp

需要满足的 PCI 要求级别可能会根据您商户的信用卡交易行为而变化。

如果您更喜欢将某些信息（用于忠诚度计划）用于您的应用程序，最好使用带有标记化实现的 VAULT。 https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf

作为一种实践，重要的是要有一个数据路径图（信息如何流动），以了解您将在应用程序中遇到哪些漏洞。这将有助于检查您为保护客户数据而需要加入的安全性。

https://www.voltage.com/wp-content/uploads/Voltage_WP_SecureData_Streamlining_InformationProtection_DataCentricSecurityApproach.pdf