Las reglas de PCI-DSS generalmente requieren que cualquier PAN almacenado esté encriptado de tal manera que no requiera uno, sino dos autenticadores para descifrar.
En la práctica, esto normalmente significa que incluso si pretende que el usuario final sea el único con una copia cifrada, esto sería insuficiente desde el punto de vista normativo. "Quién" tiene una copia es irrelevante, a este respecto. Si el descifrado se puede lograr con una sola clave del proveedor (es decir, usted), y no puede afirmar que el dispositivo en el que está almacenado está cifrado (es decir, un cliente que responde con una respuesta verdadera / falsa sobre el cifrado del sistema de archivos después de una solicitud de transacción) actualmente no es una capacidad de ningún dispositivo móvil que conozca), entonces no tendrá forma de declarar que los dispositivos de usuario final están fuera del alcance durante una auditoría de PCI.
Un escenario podría funcionar: si tiene una aplicación que genera y asegura su propia clave para almacenar la información de la tarjeta, y que luego puede responder a su aplicación de pago del lado del servidor con un token para las tarjetas utilizadas anteriormente en ese sitio, entonces puede (probablemente) satisfacer los requisitos básicos. Siempre y cuando la aplicación del lado del servidor pueda almacenar y recuperar satisfactoriamente el PAN al enviar un token de referencia durante la transacción, está bien. Sin embargo, incluso en ese caso, el usuario debe proporcionar manualmente el CVC o CVV, lo que explícitamente no se puede almacenar junto con el PAN.
También es posible que el usuario final almacene su propia tarjeta, pero no se puede permitir que ningún programa o aplicación solicite esos datos al usuario final y espere recibir la respuesta automáticamente, a menos que almacene una clave única para ese servidor de usuario - Lado para el descifrado del PAN. Esta es la razón por la cual la estrategia actual es que Android y Apple almacenen "datos de la tarjeta" y campos de llenado automático cuando reconocen una solicitud para completar los datos de la transacción. Eso debería estar bien, pero un auditor pedante podría fácilmente exigirle que tenga alguna forma de confirmar que el dispositivo del usuario final solo funciona con un sistema de archivos cifrado.
En pocas palabras: de hecho, solo desea una página en la que el navegador móvil de alguien pueda trabajar con "autocompletar" de una manera amigable. Obtendrá los mismos resultados, sin tener que preocuparse por las limitaciones de almacenamiento PCI PAN adicionales.