编写PCI兼容组件需要什么？

Question

我有一个WPF应用程序，我们已经整合了信用卡处理功能。我们目前正在将信用信息刷入/输入到WPF Web浏览器的网页中以满足PCI合规性要求。显然这没问题，因为Web浏览器组件符合PCI标准，我们的代码从不处理信用卡信息。

我非常讨厌这样的设计，很想写一个独立的，符合PCI标准的WPF控件/组件，我们可以插上而不是Web浏览器组件。如果我们的应用程序的代码可以使用浏览器，而本身没有通过PCI认证，那么它可以使用我们自己的PCI认证的程序集，而不必通过PCI认证？所有新的控件/程序集都会收集卡片信息，并通过WCF服务将其安全地发送到远程安全服务器。它不会存储信用卡或在本地进行任何处理。我被告知这样做需要像9个月的审查过程，这就是为什么我们使用浏览器方法。

有人可以给我怎样才能做到这一点总体思路？

• 它可以用C＃/ WPF编写吗？
• 是否有代码有特殊的安全措施落实 （如CAS）？
• 程序集是否需要被模糊处理？
• 一旦它被写入，那么你需要做什么？

Answer 1

尽管与PCI-DSS存在大量重叠，您正在寻找的正式名称是PA-DSS（支付应用程序数据安全标准）。在解决您的问题的最佳途径

一种策略是卡入口/卡处理部分分离出来，以一个完全独立的解决方案。这个单独的解决方案最终将成为通过PA-DSS认证的'应用'。一旦通过认证，你会嵌入到你的更大的项目（这不会改变较大项目的PCI法规遵从）

优势分离出来就会变得清晰的，你看看PA-DSS。其中一个标准是，需要重新编译应用程序的任何更改都需要重新验证应用程序。这不是你想经常做的事情！

帮助简化流程的另一个策略是考虑“内部”应用程序（不分发给客户端）不需要通过PA-DSS认证（尽管如果他们处理的话仍然属于PCI-DSS卡数据显然）。因此，在您的域中使用web服务可能会让事情变得更容易。例如，您可以托管“付款条目详细信息”网页，然后在主应用中使用指向付款输入页面的标准网页浏览器。这可能会让您绕过PA-DSS认证（尽管仍然需要您现在托管的网页的PCI认证）

无论您决定什么，最好的建议是在您合理掌握之后立即参与QSA你想要的设计。该QSA将提供哪些领域可能会导致合规性问题的建议，最终其QSA会，只要你碰那个踢了水平CC数据签署合规