我们能否在不违反 PCI 合规性的情况下将 BIN 号和信用卡号的最后 4 位数字发送到后端服务器
Can we send BIN number and last 4 digits of Credit Card number to BackEnd Server without violating PCI compliance
我在应用程序中有一个基于信用卡的交易功能,该应用程序由我们的节点 js 后端通过 HTTPS 提供支持。我们正在使用 Client SDK 生成发送到我们后端服务器的卡令牌,该服务器将使用 Server SDK 将令牌连同其他详细信息发送到支付网关,以便向客户收费。交易成功后,我从服务器 side.On 客户端的支付网关收到良好的详细信息以及 BIN 号和信用卡的最后 4 位数字,我们正在使用 Card.IO SDK 收集信用卡详细信息,如 16 - 数字、CVV 和 Exp。 MM/YY。
我的问题是 - 如果我将 BIN 号码(信用卡的前 6 位数字)和信用卡的后 4 位数字连同卡令牌一起传递到我的服务器以进行实际交易,是否会违反 PCI 合规性?
在您的建议或结论的背景下,我将非常感谢任何在线引用或参考。
发送截断的 PAN(最多前 6 位和卡号的后 4 位)会使您的后端服务器超出 PCI-DSS 的范围 (source),
可以访问完整卡数据的应用程序 通常 属于 PA-DSS 认证范围,但是对于移动应用程序(不仅仅用于执行卡支付)- 这些可以原谅
有关详细信息,请参阅 PA-DSS 清单:https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf
我在应用程序中有一个基于信用卡的交易功能,该应用程序由我们的节点 js 后端通过 HTTPS 提供支持。我们正在使用 Client SDK 生成发送到我们后端服务器的卡令牌,该服务器将使用 Server SDK 将令牌连同其他详细信息发送到支付网关,以便向客户收费。交易成功后,我从服务器 side.On 客户端的支付网关收到良好的详细信息以及 BIN 号和信用卡的最后 4 位数字,我们正在使用 Card.IO SDK 收集信用卡详细信息,如 16 - 数字、CVV 和 Exp。 MM/YY。 我的问题是 - 如果我将 BIN 号码(信用卡的前 6 位数字)和信用卡的后 4 位数字连同卡令牌一起传递到我的服务器以进行实际交易,是否会违反 PCI 合规性? 在您的建议或结论的背景下,我将非常感谢任何在线引用或参考。
发送截断的 PAN(最多前 6 位和卡号的后 4 位)会使您的后端服务器超出 PCI-DSS 的范围 (source),
可以访问完整卡数据的应用程序 通常 属于 PA-DSS 认证范围,但是对于移动应用程序(不仅仅用于执行卡支付)- 这些可以原谅
有关详细信息,请参阅 PA-DSS 清单:https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf