¿Qué estándares de PCI debe cumplir una aplicación de pago (para teléfonos inteligentes) para que el SSC de PCI los apruebe?

Question

¿Qué estándares de PCI debe cumplir una aplicación de pago (para teléfonos inteligentes) para que el SSC de PCI los apruebe?

#1 de Richard (1 votos)

1

Somos una empresa que desarrollamos aplicaciones para proveedores de servicios de pago y, en una de nuestras aplicaciones, los titulares de tarjetas deben ingresar los datos de la tarjeta de pago (como PAN, PIN 2, CVV, Fecha de vencimiento) para hacer un CNP (Tarjeta no presente) ) la transacción de pago y PAN se almacenan para facilitar la entrada de datos en el futuro uso.

Los principales estándares que estamos tratando de cumplir son PA DSS (v3.0) así como PCI DSS.

Quiero saber si hay alguna otra norma que debamos cumplir. Por ejemplo, la comunicación entre las aplicaciones y los servicios de back-end debe ser segura. ¿Hay algún estándar para eso? ¿Debemos aplicar PCI P2PE a nuestras aplicaciones?

pci-dss

pregunta anonim 22.11.2015 - 05:48

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss

¿Es necesario actualizar JRE en un servidor Apache Tomcat? OpenVPN y ejecutar otros servicios en el mismo servidor

score 1 · Answer 1

Solo un QSA puede darle una respuesta calificada, pero puedo darle mi comprensión.

Parece que necesita definir mejor su alcance, ¿necesita tanto PA-DSS como PCI-DSS? Es probable que solo lo necesite si está ofreciendo un servicio, además de proporcionar el software a terceros para su control y uso. ¿Es ese el caso?

Pero para responder a sus preguntas, es probable que deba cumplir con otros estándares de seguridad como OWASP o un equivalente, y estándares de implementación como TLS 1.2. Los estándares de PCI determinarán cuáles deben ser esos estándares. Mi entendimiento es P2PE es para transacciones con tarjeta presente.

Su título en esta publicación menciona la aprobación del PCI SSC, pero no necesita su aprobación, solo necesita la aprobación de sus clientes. Dado que sus clientes son proveedores de servicios de pago, probablemente estén bien versados en PCI, por lo que solo puede preguntarles qué requieren de usted. Recuerde que PCI está basado en contratos.

De lo contrario, desde su descripción, estaría abierto a todos los aspectos del cumplimiento de PCI, lo que podría ser un proceso bastante doloroso. Valdría la pena contratar un QSA para ayudarlo a definir su alcance, si aún no lo ha hecho, por lo que no está cumpliendo con los estándares que posiblemente no necesite.

¡Buena suerte!