2011-10-26 17 views
7

Appstoreはこの制限を回避する方法を教えてください。 CVV2の詳細は、iOSデバイス上にローカルに保存できますが、それでもPCI準拠ですか?ローカルでCVV2の詳細を暗号化し、ユーザーだけが鍵を持っていますか? PANのような残りのクレジットカードの詳細はサーバー側に保存されますが、AppstoreはどのようにしてCVV2を保存できますか?

+0

私は混乱しています。アップルはいつiOSデバイスにクレジットカード情報を保存するのですか? –

+0

多分私は私の質問を変えるべきです。しかし、いくつかのアプリを購入するとき、Appstoreはクレジットカードの詳細を再度入力する必要はないことに注意してください。 iTunesアカウントのパスワードだけで動作します。どのようにクレジットカードの詳細を保存せずに可能ですか? – ngzhongcai

答えて

13

短い答え:

あなたの発行銀行は、すべてのトランザクションとセキュリティコードの検証を必要としません。

LONG ANSWER:

カードのセキュリティコードと磁気ストライプデータは、PCI DSSで保存することが許可されていません。また、VISA(およびおそらく他のネットワーク)は、厳密にそれらの貯蔵を禁止:このデータを記憶

http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html

商人は多額の罰金で打たれ、プロセッサによって落下させることができます。これは私のクライアントに起こった。

アップルの電子商取引システムは、アカウントが作成されたとき、または新しいデバイスが既存のアカウントにアクセスするときにセキュリティコードを要求します。で使用する

https://discussions.apple.com/thread/2594628?start=0&tstart=0

いくつかの発行銀行はセキュリティコードが必要になります。両方の事例では、彼らのプラットフォームは、顧客のアイデンティティ(ユーザ名+パスワード+セキュリティコード)を検証するための処理ネットワークを持つゼロドルの取引を開始します各取引そのような場合、iTunes Storeはコードの入力を求めます。

xixoniaは、アップルのインフラストラクチャ内で個人情報がトークン化されているということは間違いありません。すべての資格情報と財務データが高度に保護され監視されているシステムの内部ネットワークに暗号化されて渡されるため、ほとんどのサーバーではセキュリティ保護されたデータにアクセスできません。

さらに、AppleやAmazonなどの大手小売業者は、不正使用のパターンを探すサードパーティの不正検出および防止技術を使用しています。

「それはビジネス 正当な理由がある場合にセンシティブ認証データを保存するために サービスを発行するサポート発行体や企業のために許容され、データが安全に保存されている」

簡単購入とその後の取引されていますNOTビジネス上の正当性。

該当するユースケースはバッチトランザクションです。購入中、カードは、カードが有効であり、資金が利用可能であることを確認するために承認される。発行銀行は、通常、取引金額をカード保有者の口座から預け入れるが、取り下げはしない。後続の取り引き取引の間、商人はプロセッサーに落ち着き、資金が移転される。これは、次の理由で発生する可能性があります。

  • 発行銀行で必要となる(音声認証など)。
  • 支払いネットワークでは、それが必要です(American Expressなどで使用されていた場合など)。
  • 販売者は、取引金額(例:レストランの情報)を把握していません。
  • マーチャントは、支払いネットワーク(モバイルオペレータなど)に永続的に接続していません。

このルートのトリガーに行くMUCH PCI DSSの下でより高い精査。 Google CheckoutやPayPalなどの第三者チェックアウトシステムを使用している販売者は、最小限の治療(SAQ A)を受けます。 ANYカード会員データを保存する商人は&磁気ストライプデータはさらに厳しいセキュリティコードを保持するためのSAQ D.

代替コントロールの重荷を持っている:

  • データは、ベストプラクティスを使用して格納する必要があります(無作為化されたsalt +強力な暗号化暗号+制限付きキー+必須アクセスコントロール+監査されたアクセス)。
  • データは、設定された猶予期間(通常は1日または2日)後に自動的に削除する必要があります。
  • データを確実に上書きし、それを可能にするメディア(ほとんどのソリッドステートドライブのウェアレベリング機構がこれを防止する)。
+0

ありがとうございます。バッチ処理では、CVVSデータの再入力は必要ありません。 – ngzhongcai

+0

しかし、私はまだ彼らがモバイル機器のPCI制限を回避する方法について困惑しています。 – ngzhongcai

関連する問題