Los nuevos estándares de tarjetas de crédito, incluyendo PA-DSS, pueden ser bastante confusos para las compañías de software.
Mi pregunta es la siguiente: si su compañía de software diseña un sistema de software POS (como nosotros) que utiliza un procesador de tarjetas de crédito de terceros instalado localmente (que es compatible con PA-DSS) para cifrar, transmitir y procesar las tarjetas de crédito, ¿Nuestro sistema POS tiene que pasar la certificación PA-DSS entonces?
Los usuarios finales ingresan los datos en nuestra pantalla de UI / Pago diseñada en nuestra aplicación. Nunca almacenamos esta información en ningún momento en una base de datos, archivos de texto, etc. de ningún tipo. La información se toma de la interfaz del usuario y se carga en las variables de la RAM y luego se pasa al sistema de software de terceros a través de su API instalada localmente. El procesador de terceros luego encripta, envía y procesa la información de la tarjeta de crédito y cumple con las PA-DSS.
Entonces, debemos serlo ya que no almacenamos, transmitimos ni procesamos los datos de la tarjeta de crédito. Estamos transmitiendo la información de la tarjeta de crédito solo desde la RAM a una llamada API.
La información adicional a continuación se agregó a la pregunta - 2011
Me han dicho que no es posible que un sistema de software sea compatible con pci dss. Me han dicho que el cumplimiento de PCI DSS incluye el entorno total del comerciante, incluida la infraestructura de red, el análisis de virus, las limitaciones de acceso a Internet de los servidores que contienen datos de titulares de tarjetas y más. Tengo entendido que un sistema de software, como parte de la certificación propia o que se adhiere a los estándares solo puede ser compatible con pa dss . Al menos, este es mi entendimiento personal actual de todos modos.
El problema con los requisitos de pa dss para los desarrolladores de software y las compañías de software es que no existe una definición adecuada de la palabra "transmitido".
Las normas dicen:
"PCI DSS se aplica donde se almacenan, procesan o transmiten los datos de la cuenta"
Bueno, en base a eso, no almacenamos ninguna información del titular de la tarjeta, no procesamos ninguna información del titular de la tarjeta y no transmitimos ninguna información a través de una red o de Internet.
El problema es que "Transmitido" puede interpretarse literalmente como cualquier cosa y debe definirse de manera adecuada. La transferencia de datos de un byte a otro se puede transmitir, moviéndolos de un dominio de aplicación a otro, moviendo datos a través de una red local o moviéndose a través de Internet.
Al leer los estándares, tengo la impresión de que las personas que escribieron estos estándares para el cumplimiento de pa dss no están muy familiarizados con el software y que su intención real era que el término "transmitido" significara mover datos a través de una red o El internet, que por supuesto no estamos haciendo.
No creo que hayan significado "transmitido" para significar, no muevas datos de una ubicación de dirección de memoria a otra o no pases datos a una biblioteca dll compatible con pa-dss.
Espero que debido a que no estemos almacenando, procesando o transmitiendo datos a través de una red o de Internet, no se esperaría que pasáramos una certificación de $ 20,000 solo para poder llamar a una biblioteca de DLL segura de las PA DSS para procesar nuestras tarjetas. .