我需要实现一个解决方案，以允许移动APP针对支付网关服务进行支付。

我发送的数据是卡的详细信息和付款数据本身。

每次要付款时都输入卡详细信息是不切实际的，所以...因此我被分析了以下几种选择：


将数据卡保存到智能手机中。被安全丢弃。
使用第三方存储卡数据，例如PayPal Vault。通过将数据分配给第三方来丢弃。
将卡数据保存在自己的“中央服务器”上并使用令牌策略。这样做的缺点是该基础结构应满足[PCI-DSS法规] [1]
将一些数据卡保存在智能手机上，并将其余的数据卡保存在中央服务（基础架构）中，例如，移动设备中PAN的一半，智能手机中的另一半。


根据第四种选择：

问题是，如果仅存储数据卡的一部分，该中央服务是否也应符合PCI-DSS标准？

谢谢

这是一个非常有趣的方法。从我的角度来看，将数据存储在手机上实际上（比起服务器端）更安全（因为批量丢失），因为丢失单个移动设备所造成的影响要比破坏中央数据库要少得多。

尽管如此，PCI DSS还是很清楚的，不幸的是并没有为这种创造力留出太多的空间。基本上，如果您的系统（以及作为其一部分的移动应用程序）正在处理卡数据，则需要遵守PCI DSS规则：


PCI DSS适用于支付卡中涉及的所有实体
处理-包括商人，处理者，金融机构，
和服务提供商以及所有其他存储实体，
处理或传输持卡人数据和/或敏感身份验证
数据。持卡人数据和敏感身份验证数据定义为
如下：

帐户资料


持卡人数据包括：*

主帐号（PAN）
持卡人姓名
截止日期
服务编号

敏感身份验证数据包括：

全磁道数据（磁条数据或芯片上的等效数据）
CAV2 / CVC2 / CVV2 / CID
密码/密码块




见PCI Standards Council v3 doc

考虑到上述情况，您有两种选择：


将支付数据的处理外包给PCI兼容方（免责声明：我正在为一个工作）
自己承担合规的负担。只要您可以限制受影响的范围，就不必这么难了。寻找早期的令牌化，代理解除令牌化，分离的PCI区域（因此您的大多数系统根本看不到卡数据）。