RevolutはPCI DSS=に準拠していますか?
基本的に、 Revolut app はPANとCVVをデフォルトでアプリ内に表示し、「PINを表示」オプションがあります。これをどのように準拠させることができますか?
これはアプリのスクリーンショットです 、実際のアプリを見たことがありますが、PAN、CVV、PINを実際にレンダリングします。
更新1
追加の問題の1つは、PAN、PIN、およびCVVがモバイルアプリにどのように入るかです。
それらがキャッシュされていないと仮定すると(Android電話+工場出荷時の再初期化の問題が発生するなど)、安全でない環境で独自の一連の問題が発生します)、すべてのアプリケーションでフェッチされることを意味します開始、
誰かが理論的にすべてのPAN/PIN/CVV情報をプログラムでプルするために使用できるAPIがあることを意味します
これを入れてください...
これは、モバイルアプリを「物理的なカードの道徳的同等物」とはまったく異なるものにします。ここでは、afaikがアカウントをロックアウトしない4つの長いアプリケーションログインPINコードについて話しています。
誰かがコメントしました:
プロセッサーと販売者に適用される通常のDSSルールは、カード所有者には適用されません。
誰かが適用することについてのリソースを持っていますか?
または、発行元のセキュリティエンタープライズは、発行者が自分自身のエクスポージャーについて懸念しているはずであり、詐欺の経済的影響が発行者と理論的には発行者だけですか?
私はこの種の行動が最終的にモバイルeウォレット市場での侵害と信頼の失墜につながると思います。誰かがこれに報奨金を置くことができれば私は大好きです、私は情報に基づいた権威ある答えを見たいです。
基本的に、そうである必要はありません。
販売者とサービスプロバイダーはしばしば契約上PCI-DSSに準拠する義務がありますが、ペイメントアプリケーションはPA-DSS(Payment Application Data Security Standards)に準拠し、認定される傾向があります(PCI-DSSを維持したい販売者が使用する場合)コンプライアンス)。
PCI Security Councilのドキュメントによると、 モバイル決済受付アプリケーションとPA-DSSのよくある質問 :
支払い開始に使用されるアプリケーション(たとえば、消費者が携帯電話にダウンロードし、個人の買い物に使用されるアプリケーション)は、消費者の財布にある支払いカードに似ていると見なされます。
Revolutは支払いを受けていない(まあ、実際はそうですが、それはあなたが言及しているものとは異なる機能です)が、この場合は個人のデジタルウォレットとして機能しているため、PCI Security Councilはあなたのポケットの中の財布とは少し違うように。