使用HTTPS Web应用程序实现移动支付的安全

Question

我希望具有PCI遵从性知识的专家能够帮助回答这个问题。

由于跨平台的原因，我们正在考虑将移动支付与基于HTML5 5的应用程序集成。在考虑了本地应用程序、Square和其他应用程序之后，我们正在考虑简单地插入一个HTTPS页面，该页面直接从支付网关(如Beanstream)中提取。这是为了让我们的客户接受信用卡支付，而我们的公司是两手空空的任何敏感数据。

有人能详细说明安全风险吗？例如，在iPhone或安卓设备上进行密钥记录的风险是什么？

谢谢。

Answer 1

如果您使用第三方作为支付处理器，那么您不需要直接与信用卡数据进行交互，而PCI并不适用于您。这对你真的很好，因为要满足所有的要求是很昂贵的，即使你的软件是100%的抱怨。有许多支付服务将客户重定向到支付处理器，amazon，paypal支付流程等。对于初创企业来说，这些都是很好的服务，因为它们几乎没有安全需求。这是因为您的系统中的漏洞所造成的安全影响很小。然而，当你的公司变得足够大的时候。然后，您可以获得一个更好的交易利率成为PCI投诉。

在风险方面，比如设备上的恶意软件。对此你真的无能为力，PCI也不会让你承担任何责任。如果有什么事情，信用卡行业会想办法将这些事情归咎于客户。一个很好的例子是芯片和销的责任问题。底线是信用卡行业希望商家成功。

Answer 2

是在移动浏览器中加载或使用HTML5画布加载的WebView应用程序。浏览器充当沙箱，但是使用WebView打开的HTML5App不再具有相同的安全性，但是可以通过遵循下面链接中列出的一些准则来保证它的安全性。

http://www.acsac.org/2011/openconf/modules/request.php?module=oc_program&action=view.php&a=&id=111&type=2&OPENCONF=e319837c671fd746a922ba2662e19fca

其中一些重点是：

1. 在All视图中加载的所有页面都应该来自您同意信任的源。因此，加载facebook页面、论坛页面或类似页面是不安全的。
2. 仅在webview中加载受信任的页。为所有其他在web浏览器中打开的
3. 确保HTML 5应用程序具有最小的权限(除非绝对需要，否则不要允许访问手机中的摄像头或联系人)。
4. 不要在你的应用程序中加载任何有广告的页面，除非你愿意相信它们，我认为你不应该因为一个接受付款的应用程序。即使广告是在你的前一个页面上发布的，而不是在支付页面(输入信用卡)上，安卓和iPhone中的iPhone模式允许访问多个页面的内容.(详细说明请参阅链接)。

底线:应用程序应该只在你绝对信任的网页视图中加载页面。

我检查PCI遵从性文档，目前没有关于如何在移动应用程序中接受PCI数据的明确指南，他们正在为其创建指南(截至2011年12月)。在此之前，尽可能多地遵循PCI准则，比如永远不要在电话和其他设备上存储私有数据。

我希望上面的内容是有帮助的。在过去的3-4天里，我一直在搜索在WebView中打开的HTML5应用程序的doe遵从性指南。

谢谢,