Т.е., получается, если данные карты передаются с помощью вашего SDK только вашему серверу, то приложение как бы «выпадает» из моей инфраструктуры и мне ничего сертифицировать не надо?
Тогда в чей scope попадает передача карточных данных, введенных в моем мобильном приложении? В ваш? А как вы тогда проходите аудит на соответствие PCI DSS? Вряд ли вы можете показать аудитору все приложения, использующие указанный SDK. P2PE и токенизацию в API вы не используете. На чьи плечи ложится ответственность за мошеннические транзакции по номерам карт, украденным из приложений, использующих ваш SDK?
В статье сказано, что мое приложение не обязано сертифицироваться по PA DSS. Но про соответствие инфраструктуры моего магазина, в которой работает такое приложение, стандарту PCI DSS и необходимости прохождения аудита ничего не сказано. Можете пояснить?
Проясните, пожалуйста, такой момент. Допустим, у меня есть интернет-магазин, я реализовал мобильное приложение (клиент к своему магазину) и вставил в него ваш SDK, чтобы принимать карты к оплате прямо в приложении. Сертифицировать по стандарту PA-DSS мое приложение мне необязательно (он носит рекомендательный характер, о чем сказано в статье). Подпадает ли это приложение под PCI DSS?
Как написано в стандарте, PCI DSS распространяется на информационные инфраструктуры организаций, которые передают, хранят и обрабатывают карточные данные. Приложение стало частью моей информационной архитектуры? Думаю, да. Передаются ли карточные данные с помощью приложения? Точно да.
Соответственно, как я понимаю, приложение попадает в scope, который подлежит сертификации и должен проверяться на аудите. Более того, в scope попадают и сами устройства (т.е. смартфоны и планшеты) всех моих клиентов (ведь то, что устройство «не ворует» данные карточки, никак не подтверждено). Если что, я имею ввиду не ваш scope, как посредника (потому что вы предоставили только лишь SDK), а scope моего магазина. Означает ли это, что использование вашего SDK в моем мобильном приложении накладывает на меня обязанность проходить дорогостоящий аудит PCI DSS?
Так вот вопрос в том, прав ли я в своих рассуждениях, а если нет, то в чем ошибка? Только укажите, пожалуйста, ссылки на выдержки из стандартов или разъяснения этих стандартов, чтобы точно развеять заблуждения.
Тогда в чей scope попадает передача карточных данных, введенных в моем мобильном приложении? В ваш? А как вы тогда проходите аудит на соответствие PCI DSS? Вряд ли вы можете показать аудитору все приложения, использующие указанный SDK. P2PE и токенизацию в API вы не используете. На чьи плечи ложится ответственность за мошеннические транзакции по номерам карт, украденным из приложений, использующих ваш SDK?
Как написано в стандарте, PCI DSS распространяется на информационные инфраструктуры организаций, которые передают, хранят и обрабатывают карточные данные. Приложение стало частью моей информационной архитектуры? Думаю, да. Передаются ли карточные данные с помощью приложения? Точно да.
Соответственно, как я понимаю, приложение попадает в scope, который подлежит сертификации и должен проверяться на аудите. Более того, в scope попадают и сами устройства (т.е. смартфоны и планшеты) всех моих клиентов (ведь то, что устройство «не ворует» данные карточки, никак не подтверждено). Если что, я имею ввиду не ваш scope, как посредника (потому что вы предоставили только лишь SDK), а scope моего магазина. Означает ли это, что использование вашего SDK в моем мобильном приложении накладывает на меня обязанность проходить дорогостоящий аудит PCI DSS?
Так вот вопрос в том, прав ли я в своих рассуждениях, а если нет, то в чем ошибка? Только укажите, пожалуйста, ссылки на выдержки из стандартов или разъяснения этих стандартов, чтобы точно развеять заблуждения.