编写符合PCI标准的程序集需要什么
本文关键字:程序集 什么 标准 PCI | 更新日期: 2023-09-27 18:22:40
我有一个WPF应用程序,我们已经将信用卡处理集成到其中。我们目前正在WPF网络浏览器中将信用信息刷入/键入网页,以满足PCI合规性要求。显然这是可以的,因为网络浏览器组件是PCI兼容的,我们的代码从不处理信用卡信息。
我非常讨厌这种设计,我很想写一个独立的、符合PCI的WPF控制/组件,我们可以插入它,而不是web浏览器组件。如果我们的应用程序的代码可以在没有经过PCI认证的情况下使用浏览器,那么它可以使用我们自己的PCI认证组件,而不是经过PCI认证,对吗?它所要做的所有新控件/程序集都是收集卡信息,并通过WCF服务将其安全地发送到远程安全服务器。它不会在本地存储信用卡或对其进行任何处理。有人告诉我,这样做需要9个月的审查过程,这就是我们采用浏览器方法的原因。
有人能给我一个大概的想法吗?
- 它能用C#/WPF编写吗
- 代码是否必须执行特殊的安全措施(如CAS)
- 程序集是否必须进行模糊处理
- 一旦写好了,你该怎么办
尽管与PCI-DSS有大量重叠,但您要查找的正式名称是PA-DSS(支付应用程序数据安全标准)。
解决问题的最佳方法之一是将卡片录入/卡片处理部分分离为一个完全独立的解决方案。这个单独的解决方案最终将是通过PA-DSS认证的"应用程序"。一旦获得认证,您将把它嵌入到您的大型项目中(这不会改变大型项目的PCI合规性)
当您深入研究PA-DSS时,将其分离的优势将变得显而易见。其中一个标准是,任何需要重新编译应用程序的更改都需要重新认证应用程序。这不是你想经常做的事情!
另一个有助于简化流程的策略是考虑"内部"应用程序(不分发给客户)不需要经过PA-DSS认证(尽管如果它们显然处理卡数据,则仍属于PCI-DSS)。因此,在您的域中使用Web服务可能会使事情变得更容易。例如,你可以托管一个"付款条目详细信息"网页,然后在主应用程序中使用标准的网络浏览器指向你的付款条目页面。这可能会让你绕过PA-DSS认证(尽管你现在托管的网页仍然需要PCI认证)
无论你做什么决定,最好的建议是,一旦你对你的预期设计有了合理的把握,就让QSA参与进来。QSA将就哪些领域可能导致合规问题提供建议,最终由QSA签署您的合规