Какие технологии использовать, чтобы максимально защитить приложение под Android для оплаты пластиковыми картами?

Question

[akimovpro]

Необходимо создать приложение для оплаты различных услуг пластиковыми картам (привязка карты из приложения, далее только ввод CVV кода для подтверждения) через REST API? Что предусмотреть?

SSL, например, обязательно, обфускация кода, минимальное хранение данных в устройстве. Что ещё?

Comments

[KonstantinYan]

Используйте специальное SDK для приема платежей в мобилках
cloudpayments.ru/Docs/MobileSDK

Answer 1

[Sergey]

По-моему проще всего сделать вебгейт и приложение будет своеобразным браузером к этому вебгейту — всю обработку и хранение информации проводите на сервере, на клиенте достаточно лишь хранить токен.

Comments

[akimovpro]

Ок, тоже склонялся к этому решению. Что ещё учесть надо?

[Sergey]

Да ничего собственно больше.

Answer 2

[marazmiki]

Никто не позволит Вам так делать. К терминалам обслуживания карт (коим в данном случае и будет являться смартфон) предъявляются жёсткие требования по безопасности. Погуглите на досуге PCI DSS, там всё сказано.

Comments

[akimovpro]

Как же тогда работает любое другое аналогичное приложение, типа Яндекс.денег, QIWI Wallet или iPay?

[Sergey]

Они как раз всю информацию обрабатывают на сервере.

[marazmiki]

Разве Яндекс.деньги, QIWI Wallet или iPay работают с пластиком?

[marazmiki]

Да, разумеется, на клиенте логика такого плана недопустима. Но своим сообщением я хотел сказать, что ни одна МПС не даст вот так просто работать с банковскими картами. Положения PCI DSS должны быть соблюдены для банковских карт.

А Яндекс.деньки сотоварищи — они сами себе платёжная система и сами себе придумывают регламент.

[akimovpro]

Ну может тогда просто так же всё делать на сервер и не передавать никаких данных о карте из мобильного приложения и все нормативы будут выполнены?

[marazmiki]

Хранить тоже нельзя