編寫PCI兼容組件需要什麼？

Question

我有一個WPF應用程序，我們已經整合了信用卡處理功能。我們目前正在將信用信息刷入/輸入到WPF Web瀏覽器的網頁中以滿足PCI合規性要求。顯然這沒問題，因爲Web瀏覽器組件符合PCI標準，我們的代碼從不處理信用卡信息。

我非常討厭這樣的設計，很想寫一個獨立的，符合PCI標準的WPF控件/組件，我們可以插上而不是Web瀏覽器組件。如果我們的應用程序的代碼可以使用瀏覽器，而本身沒有通過PCI認證，那麼它可以使用我們自己的PCI認證的程序集，而不必通過PCI認證？所有新的控件/程序集都會收集卡片信息，並通過WCF服務將其安全地發送到遠程安全服務器。它不會存儲信用卡或在本地進行任何處理。我被告知這樣做需要像9個月的審查過程，這就是爲什麼我們使用瀏覽器方法。

有人可以給我怎樣才能做到這一點總體思路？

• 它可以用C＃/ WPF編寫嗎？
• 是否有代碼有特殊的安全措施落實 （如CAS）？
• 程序集是否需要被模糊處理？
• 一旦它被寫入，那麼你需要做什麼？

Answer 1

儘管與PCI-DSS存在大量重疊，您正在尋找的正式名稱是PA-DSS（支付應用程序數據安全標準）。在解決您的問題的最佳途徑

一種策略是卡入口/卡處理部分分離出來，以一個完全獨立的解決方案。這個單獨的解決方案最終將成爲通過PA-DSS認證的'應用'。一旦通過認證，你會嵌入到你的更大的項目（這不會改變較大項目的PCI法規遵從）

優勢分離出來就會變得清晰的，你看看PA-DSS。其中一個標準是，需要重新編譯應用程序的任何更改都需要重新驗證應用程序。這不是你想經常做的事情！

幫助簡化流程的另一個策略是考慮「內部」應用程序（不分發給客戶端）不需要通過PA-DSS認證（儘管如果他們處理的話仍然屬於PCI-DSS卡數據顯然）。因此，在您的域中使用web服務可能會讓事情變得更容易。例如，您可以託管「付款條目詳細信息」網頁，然後在主應用中使用指向付款輸入頁面的標準網頁瀏覽器。這可能會讓您繞過PA-DSS認證（儘管仍然需要您現在託管的網頁的PCI認證）

無論您決定什麼，最好的建議是在您合理掌握之後立即參與QSA你想要的設計。該QSA將提供哪些領域可能會導致合規性問題的建議，最終其QSA會，只要你碰那個踢了水平CC數據簽署合規