【发布时间】:2011-10-19 18:45:06
【问题描述】:
我正在考虑构建一个支付应用程序,该应用程序将从应用程序中捕获信用卡信息并使用 HTTPS POST(第三方支付网关)来执行信用卡交易。
由于此应用程序正在捕获信用卡信息,所以我需要使该应用程序符合 PCI 标准吗?如果是,怎么做?
谢谢。
【问题讨论】:
【发布时间】:2011-10-19 18:45:06
【问题描述】:
答案是肯定的。
请参阅此链接http://www.pcicomplianceguide.org/pcifaqs.php 进行澄清。
根据网站
支付卡行业数据安全标准 (PCI DSS) 是一组要求,旨在确保所有处理、存储或传输信用卡信息的公司都维护一个安全的环境。基本上任何具有商家 ID (MID) 的商家。 支付卡行业安全标准委员会 (PCI SSC) 于 2006 年 9 月 7 日成立,旨在管理支付卡行业 (PCI) 安全标准的持续发展,重点是提高整个交易过程中的支付账户安全性。 PCI DSS 由 PCI SSC (www.pcisecuritystandards.org) 管理和管理,这是一个由主要支付卡品牌(Visa、MasterCard、American Express、Discover 和 JCB.)创建的独立机构。 值得注意的是,支付品牌和收单机构负责执行合规性,而不是 PCI 委员会。
【讨论】:
-
由于这是一个iPhone应用程序,所以我能想到的唯一安全问题是使用https传输信用卡信息。我需要在 iPhone 应用程序中包含哪些其他安全功能才能使其符合 PCI 标准?
-
您需要 PCI 来存储信用卡详细信息,而不是用于处理
-
那么我可以假设对于 iPhone 应用程序只需要调用 HTTPS 连接到支付网关(authorize.net)进行信用卡交易吗? iPhone 应用程序只是捕获(用户键入或通过信用卡读卡器捕获)信用卡详细信息,而不在应用程序中存储任何信用卡信息。
-
如果在将信用卡信息传递给支付网关之前先通过我的网络服务器怎么样? Web 服务器是否需要符合 PCI 标准?谢谢。
-
请参考en.wikipedia.org/wiki/… :)