¿Las aplicaciones solo del lado del cliente están reguladas por PCI?

3

Considere una aplicación solo para el lado del cliente. Puede permitir que un usuario realice un pago redirigiéndolos al sitio web de la pasarela de pago, donde ingresan los detalles de la tarjeta de crédito. Si entiendo correctamente, en este caso, solo el proveedor de pagos debe ser compatible con PCI, ya que la aplicación en sí misma no sabe nada sobre la información de pago en absoluto.

Ahora, ¿qué pasa si la aplicación recuerda los detalles de la tarjeta de crédito (por conveniencia) y rellena automáticamente el formulario de pago en ese sitio web? Todo sucede en el lado del cliente. ¿Existen regulaciones sobre cómo debe almacenarse el número de la tarjeta en el cliente ? ¿Está bien recordarlo?

    
pregunta interphx 18.11.2016 - 14:21
fuente

2 respuestas

1

(Editado para reflejar la incertidumbre sobre la situación exacta)

Nota: no es un QSA, solo tiene algo de experiencia con PCI

PCI DSS es un estándar establecido por las compañías de pago: VISA, MasterCard y el resto. En general, no tiene la fuerza de las regulaciones gubernamentales (aunque algunas leyes estatales, en mi opinión, la consultan, consulte a su abogado local). Más bien, las Compañías de Pago requieren que cumpla con el PCI (si necesita ser certificado varía según su situación) cuando tenga una relación con ellos (directa o indirectamente) para procesar las tarjetas. La forma en que pueden obligarte a cumplir es, de nuevo directa o indirectamente, evitar que proceses las tarjetas si no lo haces.

Si no está procesando tarjetas, si es puramente cliente, si no tiene esta relación con ellos (o una relación con un proveedor de servicios de procesamiento de tarjetas que tiene una relación con ellos), no pueden exigirle que cumpla con ello.

Sin embargo, dicho esto, el PCI DSS es un BUEN estándar: debe hacer al menos lo que dice si está manejando números de tarjetas de crédito (PAN) en lo que respecta a la seguridad. Además, los PAN se consideran información de identificación personal (PII) para casi todos los estatutos de PII que conozco. Eso significa que si maneja números de tarjetas de crédito, debe cumplir con todas las reglas de PII. Nuevamente, sus estatutos locales pueden aplicarse aquí (al igual que los estatutos locales de sus clientes ...)

Si usted es comerciante y proporciona la aplicación, debe cumplir con PCI si va a recordar / almacenar números de tarjetas de crédito, incluso del lado del cliente. Si no es un comerciante, es probable que aún deba hacerlo, pero es posible que no tenga que hacerlo legalmente. Fuzzy.

    
respondido por el crovers 18.11.2016 - 16:10
fuente
1

Su aplicación procesa tarjetas, por lo que debe evaluarse según PCI-DSS. El hecho de que sea solo del lado del cliente o de que el proceso se realice en el servidor no cambia el hecho de que en algún momento, alguien ingresa un número de tarjeta de crédito a través de su aplicación.

En el caso de las aplicaciones del lado del cliente, tiene tres posibilidades :

  • SAQ A si tiene un IFRAME o redirige el agente de acceso al procesador
  • SAQ A-EP si aún no almacena datos del titular de la tarjeta pero utiliza algunos elementos del sitio del procesador en su aplicación (normalmente API y Javascript)
  • SAQ D-Merchant si almacena los datos (su caso).

El punto aquí es la protección de los datos del titular de la tarjeta de "algo" que accede a ellos cuando no debería. Imagine que almacena los datos en una tarjeta SD al aire libre y que estos datos están disponibles para otras aplicaciones, por lo general, no están lo suficientemente protegidos.

    
respondido por el WoJ 19.11.2016 - 23:23
fuente

Lea otras preguntas en las etiquetas