我的桌面应用程序是不是在 PCI 认证范围内? [关闭]
Posted
技术标签:
【中文标题】我的桌面应用程序是不是在 PCI 认证范围内? [关闭]【英文标题】:Is my desktop app in scope for PCI certification? [closed]我的桌面应用程序是否在 PCI 认证范围内? [关闭] 【发布时间】:2012-01-20 14:48:56 【问题描述】:我有一个专门在桌面上运行的支付处理客户端。操作员输入支付数据并单击按钮,我的应用程序通过安全通道将数据发送到支付网关。我的应用从不存储敏感的支付数据,尽管它会加密并保存商家的网关登录信息。
我在范围内吗?如果我是,为什么当以相同的方式执行完全相同的功能时,网络浏览器超出范围?
【问题讨论】:
【参考方案1】:如果运营商输入信用卡卡号,则可以;您的软件既接受又传输持卡人数据,因此它、运行它的机器以及它所连接的任何网络都在 PCI 范围内,因此必须符合要求。
问:To whom does PCI apply?答: PCI 适用于所有组织或 商家,无论大小或 接受的交易数量, 传输或存储任何持卡人 数据。换一种说法,如果有的话 该组织的客户 使用支付宝直接向商家付款 信用卡或借记卡,然后 PCI DSS 要求适用
仅当使用浏览器输入卡详细信息的人是卡的所有者而不是第 3 方商家时,浏览器才在范围内。 PCI 仅适用于商家和其他处理实体,不适用于发卡计划的客户。
【讨论】:
那么运营商代表客户使用网络浏览器下订单的情况呢?许多客户使用他们的电子商务系统进行电话订购。 在我看来,运营商受雇于商家,商家对发卡机构负有 PCI 义务,并且由于运营商接受卡数据,因此所有这些都属于 PCI 范围。看看@security.stackexchange.com/questions/2922/… 我仍然在这里摸不着头脑。我想我应该问一下我的申请是否在 PA-DSS 认证的范围内。认证机构告诉我我这样做了,但我越想越没有。【参考方案2】:您的应用处理卡号并参与卡交易的授权和/或结算。如果您将其作为现成软件提供,则它在 PA-DSS 的范围内。
安装您的应用并在其环境中运行它的组织在 PCI-DSS 的范围内。
【讨论】:
以上是关于我的桌面应用程序是不是在 PCI 认证范围内? [关闭]的主要内容,如果未能解决你的问题,请参考以下文章