我有一个专门在桌面上运行的支付处理客户端。运算符(operator)输入支付数据并单击按钮,我的应用程序通过安全通道将数据发送到支付网关。我的应用程序从不存储敏感的支付数据,尽管它确实加密并保存了商家的网关登录信息。
我在范围内吗?如果是的话,当网络浏览器以相同的方式执行完全相同的功能时,为什么会超出范围?
最佳答案
如果运算符(operator)输入信用卡卡号,则可以;您的软件既接受又传输持卡人数据,因此它、运行它的机器及其连接的任何网络都在 PCI 范围内,因此必须兼容。
Q: To whom does PCI apply?
A: PCI applies to ALL organizations or merchants, regardless of size or number of transactions, that accepts, transmits or stores any cardholder data. Said another way, if any customer of that organization ever pays the merchant directly using a credit card or debit card, then the PCI DSS requirements apply
仅当使用浏览器输入卡详细信息的人是卡的所有者而不是第三方商家时,浏览器才不在范围内。 PCI 仅适用于商户和其他处理实体,不适用于发卡计划的客户。
关于paypal - 我的桌面应用程序是否在 PCI 认证范围内?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8511084/