投稿者:Roman Denisenko、シニアテストエンジニア
私の仕事の詳細のため、「モバイルアプリケーションが優れているため、銀行カードによる支払いの可能性を追加する予定です。 しかし、PCI PA-DSS標準については少し心配しています。 私たちは何をすべきか?」 私の生活を楽にするために、私はPCI PA-DSS標準と世界中の何百万もの携帯電話にある通常のモバイルアプリケーションとの関係を説明する記事を書くことにしました。
最初に、 PCI PA-DSSが何であり、何を食べているかを思い出しましょう。 PA-DSS規格は、 PCI SSC (ペイメントカード業界セキュリティ規格審議会)によって開発されたもので、 PCI DSS規格の要件を個々のアプリケーションに適合させたものです。 この規格は、カード所有者のデータを処理するすべてのアプリケーションに適用されます。 その主な機能は、認証済みの支払いアプリケーションをPCI DSS標準で動作するインフラストラクチャにシームレスに統合する可能性を実現することです。 したがって、PCI DSS認定企業は、追加のチェックなしでインフラストラクチャ内でPA-DSS認定ソフトウェアを使用できます。
PCI DSSとは異なり、PA-DSS認定は最終的なものではないため、ソフトウェア製品の製造者は自分の製品を認定するかどうかを自ら決定するため、潜在的な購入者の責任の一部を肩代わりしてPCI SSCに移すことに注意してください。
公式資料によると、 SSCはすべてのモバイルアプリケーションを3つのカテゴリに分類します。
1. カテゴリー1 。 PTS規格に準拠していると認識されたモバイルデバイス(PoS端末など)でのみ機能する支払いアプリケーション。
2. カテゴリー2.次のすべての基準を満たすモバイルアプリケーション:
a。 モバイル決済アプリケーションは、特定の機器にバンドルされたターンキーソリューションとして提供されます。
b。 モバイルデバイスは、支払いを受け付けるように特別に設計されており、この機能のみを実行します。
c。 モバイルアプリケーションは、対象となるモバイルデバイスのキットにインストールされ、PCI DSS規格への準拠と互換性の維持を可能にする環境を提供します。
3. カテゴリー3.あらゆる家庭用ハンドヘルドデバイス(スマートフォン、タブレット、PDAなど)で実行される他のすべての支払いアプリケーション。その機能は支払いの受け入れだけに限定されません。
運が悪く、アプリケーションが最初の2つのカテゴリに当てはまる場合、残念ながらPA-DSS標準に該当します。 そして、ここですべてがすでにあなたが認定されるかどうかに依存します。
ただし、アプリケーションが一般ユーザー向けに開発され、モバイル市場で利用できる場合(たとえば、これはオンラインストアの単なるモバイルバージョンです)、3番目のカテゴリに属し、PA-DSS標準に準拠する必要はありません。
PCI SSCがモバイルアプリケーションに固有のセキュリティ標準をまだ発行していない理由の質問に対する答えは、PCIコミュニティ会議の1つで与えられました。どんな標準を作成しても、リリース前でも時代遅れになります。」
それでも、PCI SSCは先を見据えて、PA-DSSの推奨事項を考慮してアプリケーションを開発することをお勧めします。彼にはまだ準備ができていません。 このため、PCI SSCは開発者および商業担当者向けのガイドをいくつか公開しています 。
さらに、モバイルアプリケーションを介してカードの支払いを正しく処理する方法を示す特別なパンフレットが公式Webサイトに表示されます。 その中で、PCI SSCはP2PEソリューションを使用して送信データの傍受を回避することを推奨しています。この場合、カード所有者データはモバイルアプリケーションを介して既に暗号化された形式で送信されます。
最後に、私が言いたいのは、私たちの日常生活を楽にする便利で便利なモバイルアプリケーションを作成することです! ただし、保護システムを回避しようとする人が常にいることを忘れないでください。