我有一个专门在桌面上运行的支付处理客户端。操作员输入支付数据并单击一个按钮,我的应用程序通过安全通道将数据发送到支付网关。我的应用从不存储敏感的支付数据,尽管它会加密并保存商家的网关登录信息。
我在范围内吗?如果我是,当以相同的方式执行完全相同的功能时,为什么网络浏览器超出范围?
问问题
460 次
2 回答
3
如果接线员输入信用卡卡号,则可以;您的软件都接受和传输持卡人数据,因此它、运行它的机器及其连接的任何网络都在 PCI 范围内,因此必须符合要求。
问:PCI 适用于谁?
答: PCI 适用于所有接受、 传输或存储任何持卡人数据的组织或商户,无论其交易规模或交易数量如何。换句话说,如果该组织的任何客户曾经使用信用卡或借记卡直接向商家付款,则适用 PCI DSS 要求
仅当使用浏览器输入卡详细信息的人是卡的所有者而不是第 3 方商家时,浏览器才在范围内。PCI 仅适用于商家和其他处理实体,不适用于发卡计划的客户。
于 2011-12-15T11:20:21.537 回答
0
您的应用程序处理卡号并参与卡交易的授权和/或结算。如果您将其作为现成软件提供,则它在 PA-DSS 的范围内。
安装您的应用程序并在其环境中运行它的组织属于 PCI-DSS 的范围。
于 2011-12-21T13:39:23.843 回答