我的桌面应用程序是不是在 PCI 认证范围内？ [关闭]

Posted 2023-02-22

【中文标题】我的桌面应用程序是不是在 PCI 认证范围内？ [关闭]

【英文标题】：Is my desktop app in scope for PCI certification? [closed]我的桌面应用程序是否在 PCI 认证范围内？ [关闭]

【发布时间】：2012-01-20 14:48:56

【问题描述】：

我有一个专门在桌面上运行的支付处理客户端。操作员输入支付数据并单击按钮，我的应用程序通过安全通道将数据发送到支付网关。我的应用从不存储敏感的支付数据，尽管它会加密并保存商家的网关登录信息。

我在范围内吗？如果我是，为什么当以相同的方式执行完全相同的功能时，网络浏览器超出范围？

【参考方案1】：

如果运营商输入信用卡卡号，则可以；您的软件既接受又传输持卡人数据，因此它、运行它的机器以及它所连接的任何网络都在 PCI 范围内，因此必须符合要求。

问：To whom does PCI apply?答： PCI 适用于所有组织或 商家，无论大小或 接受的交易数量， 传输或存储任何持卡人 数据。换一种说法，如果有的话 该组织的客户 使用支付宝直接向商家付款 信用卡或借记卡，然后 PCI DSS 要求适用

仅当使用浏览器输入卡详细信息的人是卡的所有者而不是第 3 方商家时，浏览器才在范围内。 PCI 仅适用于商家和其他处理实体，不适用于发卡计划的客户。

【讨论】：

那么运营商代表客户使用网络浏览器下订单的情况呢？许多客户使用他们的电子商务系统进行电话订购。

在我看来，运营商受雇于商家，商家对发卡机构负有 PCI 义务，并且由于运营商接受卡数据，因此所有这些都属于 PCI 范围。看看@security.stackexchange.com/questions/2922/…

我仍然在这里摸不着头脑。我想我应该问一下我的申请是否在 PA-DSS 认证的范围内。认证机构告诉我我这样做了，但我越想越没有。

【参考方案2】：

您的应用处理卡号并参与卡交易的授权和/或结算。如果您将其作为现成软件提供，则它在 PA-DSS 的范围内。

安装您的应用并在其环境中运行它的组织在 PCI-DSS 的范围内。