كيفية تطوير تطبيق Fintech Mobile متوافق مع PCI DSS؟

نشرت: 2019-10-29

سواء كان تطبيقك عبارة عن تطبيق Fintech متكامل مثل PayPal أو ما إذا كنت أحد تطبيقات بث الوسائط مثل Netflix التي تطلب من المستخدمين الدفع داخل التطبيق مقابل الاشتراكات ، فهناك شيء واحد لا يمكنك تفويته - PCI DSS Compliance.

يمكن أن يؤدي الفشل في النظر في معايير أمان PCI التي تؤدي إلى خرق البيانات إلى عواقب مالية مدمرة مثل الرسوم والغرامات وحتى فقدان الأعمال. تشمل هذه المقالة جميع أساسيات توافق PCI لتطبيق fintech للمساعدة في التحرك في اتجاه التطوير الصحيح.

هذا ما يستتبعه دليل أمان قبول الدفع عبر الهاتف المحمول عبر PCI:

  1. ما هو PCI DSS؟
  2. نطاق متطلبات التوافق مع PCI
  3. لماذا التركيز على الامتثال PCI DSS؟
  4. كيف تحافظ على امتثال PCI؟
  5. وضع خطة للامتثال المستمر
  6. استنتاج
  7. أسئلة وأجوبة حول تطوير تطبيقات الهاتف المحمول المتوافقة مع PCI DSS

ما هو PCI DSS؟

Payment Devices Ecosystem

معيار أمان بيانات صناعة بطاقات الدفع PCI (PCI DSS) هو معيار تقني إلزامي بشدة موجه لحماية تفاصيل بطاقة الائتمان والخصم ، المشار إليها في الصناعة باسم "بيانات حامل البطاقة". الهدف من PCI DSS هو حفظ عمليات الاحتيال فيما يتعلق ببطاقات الدفع عن طريق تأمين بيانات حاملي البطاقات داخل المؤسسات التي تقبل إما مدفوعات البطاقات.

مراكز الامتثال PCI حول خدمات تكنولوجيا المعلومات. يجب أن يكون لدى مديري الامتثال الموجهين بتكنولوجيا المعلومات والمُعينين بغرض تحقيق الامتثال داخل المؤسسات خبرة ومعرفة مطور برامج مطلوبة لضمان أن عملية تطوير تطبيقات الأجهزة المحمولة للامتثال لـ PCI تفي بقائمة مراجعة متطلبات PCI DSS.

مع تعريف ما هو PCI DSS الذي حضره الآن ، دعونا نلقي نظرة على متطلبات تطوير PCI الخاصة بتطبيق fintech.

نطاق متطلبات التوافق مع PCI

تندرج معظم متطلبات PCI DSS التي تؤثر على عملية تطوير تطبيقات Fintech ضمن المتطلبات 3 و 4 و 6. تغطي هذه المتطلبات تخزين بيانات حامل البطاقة وممارسات التشفير والتحكم في الوصول وأمن الشبكة. دعونا نلقي نظرة على كل منهم الثلاثة بشكل فردي للحصول على فهم كامل لتوجيه نطاق PCI.

متطلبات تطوير PCI 3: حماية بيانات حامل البطاقة المخزنة

تشير بيانات حامل البطاقة إلى المعلومات التي تتم معالجتها أو طباعتها أو تخزينها أو نقلها على بطاقة الدفع. من المفترض أن تحمي التطبيقات التي تقبل الدفع من خلال البطاقات بيانات حاملي البطاقات وتمنع الاستخدام غير المصرح به - بغض النظر عما إذا كانت البيانات مطبوعة على البطاقة أو مخزنة محليًا.

بشكل عام ، لا ينبغي تخزين بيانات حاملي البطاقات حتى تصبح ضرورية للغاية لتلبية احتياجات العمل. لا ينبغي أبدًا تخزين البيانات الحساسة المذكورة على الشريط المغناطيسي ، وفي حال اضطررت إلى تخزين تفاصيل PAN ، فيجب جعلها غير قابلة للقراءة. فيما يلي بعض الأشياء الأخرى التي يجب أخذها في الاعتبار في قائمة التحقق من توافق PCI مع مراعاة المتطلبات 3.

3.1

يجب تحديد وقت تخزين البيانات والاحتفاظ بها وفقًا للأغراض القانونية والتجارية ، مثل المستندات الموجودة في سياسة الاحتفاظ بالبيانات. يجب إزالة جميع البيانات غير الضرورية كل ثلاثة أشهر على الأقل.

3.2

يجب عدم تخزين بيانات المصادقة الحساسة بعد الترخيص ، حتى لو كانت مشفرة. على الرغم من ذلك ، يمكن للمصدرين تخزين بيانات المصادقة إذا كان هناك مبرر تجاري قابل للتطبيق ويتم تخزين البيانات بطريقة آمنة.

3.3

يجب إخفاء PAN عند عرضها. الأرقام الستة الأولى أو الأربعة الأخيرة هي الوحيدة التي يجب عليك عرضها.

3.4

يجب جعل PAN غير قابل للقراءة أينما تم تخزينه - وهذا يشمل الوسائط الرقمية والسجلات والوسائط الاحتياطية والبيانات الواردة من الشبكات اللاسلكية. تشمل الحلول التقنية التي نقترحها لهذه النقطة في Appinventiv وظيفة تجزئة قوية أحادية الاتجاه لشبكة PAN الكاملة ، وتشفير قوي ، ورمز مؤشر مع منصات مخزنة بدرجة عالية من الأمان ، وما إلى ذلك.

3.5

يجب حماية المفاتيح المستخدمة لتشفير بيانات حامل البطاقة من سوء الاستخدام والكشف.

3.6

يجب على الشركات توثيق وتنفيذ إجراءات إدارة المفاتيح المناسبة والعملية الخاصة بمفاتيح التشفير المستخدمة لتشفير بيانات حاملي البطاقات.

متطلبات تطوير PCI 4: تشفير نقل بيانات حاملي البطاقات عبر الشبكات العامة والمفتوحة

ليس من المستحيل بشكل خاص على المتسللين اعتراض نقل بيانات حاملي البطاقات عبر الشبكات العامة المفتوحة ومن المهم جدًا حماية بيانات التطبيق الخاصة منها. طريقة واحدة للقيام بذلك هي من خلال تشفير البيانات .

4.1

يجب على شركات تطوير التطبيقات استخدام بروتوكولات أمان وتشفير قوية مثل TLS / SSL Pinning في تطبيق iOS وحلول Android التي تحمي البيانات الحساسة لحاملي البطاقات أثناء نقلها عبر الشبكة العامة.

4.2

لا ينبغي أبدًا إرسال PANs غير المحمية بواسطة تقنيات مراسلة المستخدمين النهائيين.

متطلبات تطوير PCI 6: تطوير التطبيقات الآمنة والمحافظة عليها

تتعلق متطلبات PCI لتطبيق fintech بتطوير التطبيقات الخارجية والداخلية التي تعتبر ضمن نطاق امتثال تطبيق الهاتف المحمول PCI DSS - وهذا يمثل كل تطبيق مطور يقوم بمعالجة بيانات حاملي البطاقات وتخزينها ونقلها .

يجب أن تتوافق تطبيقات الدفع عبر PCI التي أنشأتها شركات تطوير التكنولوجيا المالية لاستخدامها من قبل المؤسسات الخارجية مع معيار أمان بيانات تطبيقات الدفع (PA-DSS) ، ويجب تقييمها بواسطة PA-QSA.

6.1

يستدعي الامتثال للمتطلب 6.1 تسجيل أصول برمجية موثقة بشكل صحيح للمكتبات والأدوات ، والتي تُستخدم في دورة تطوير البرامج. يجب أن يتضمن كل عنصر داخل سجل أصول البرنامج ما يلي:

  • رقم الإصدار
  • كيف وأين يتم استخدام البرامج
  • شرح واضح للوظيفة التي يقدمونها.

نظرًا لأنه يتم تحديث مكتبات وأدوات البرامج بشكل متكرر ، فمن الأهمية بمكان مراجعة السجل باستمرار وتحديثه.

بمجرد إنشاء سجل أصول البرنامج ، يجب تنفيذ عملية لمراقبة كل عنصر في السجل بانتظام لإرسال إخطار بالثغرات الأمنية والإصدارات المحدثة.

يتطلب المتطلب 6.1 أيضًا تصنيفًا للمخاطر ، والذي يجب تعيينه لكل ثغرة أمنية تم تحديدها في البنود الموجودة في سجل الأصول. يجب تقييم نقاط الضعف بالمخاطر ويجب تسميتها بتصنيف مخاطر يسمى "حرج" أو "مرتفع" أو "متوسط" أو "منخفض". ستساعد مستويات المخاطر هذه بعد ذلك في تحديد أولويات الترقيع.

6.2

يعتمد هذا المطلب على مراقبة الثغرات الأمنية ويتطلب معالجة التصحيحات الأمنية ذات المستوى الحرج وتطبيقها في غضون شهر واحد من تاريخ إصدار البائع.

يجب تطبيق تصحيحات الثغرات الأمنية المصنفة بمستويات منخفضة خلال شهرين إلى ثلاثة أشهر من الإصدار.

يجب الاحتفاظ بسجل لعملية مراقبة إصدار الترقيع والترقيع لضمان تحديد التصحيحات ودمجها في الوقت المحدد.

6.3

يتطلب استخدام دورة حياة تطوير البرامج التي تستند إلى أفضل ممارسات الصناعة. يجب توثيق كل جزء من دورة حياة تطوير البرامج بتفاصيل حول كيفية معالجة متطلبات أمان تطبيقات الأجهزة المحمولة ومتطلبات PCI في عمليات وضع المفاهيم والتصميم والبحث واختبار التطبيقات .

يجب أن يكون مستند تطوير تطبيق الدفع عبر PCI وصفيًا بدرجة كافية لتغطية أجزاء من كيفية معالجة التطبيق لبيانات حامل البطاقة ومشاركتها وتخزينها. من أجل تحقيق التوافق 6.3 ، يجب أن يكون الهدف هو جعل الوثائق وصفية بما يكفي حتى يفهمها مطورو الطرف الثالث.

من أجل التأكد من التزام المطورين بدورة حياة التطوير ، يجب توثيق إكمال كل مرحلة من مراحل التطوير وإجراء عمليات تدقيق لعملية التطوير بانتظام.

  • 6.3.1: يجب إزالة حسابات التطبيق الاختبارية أو المخصصة وكلمات المرور ومعرفات هوية المستخدم قبل طرح التطبيقات للمستخدمين النهائيين.
  • 6.3.2: يجب مراجعة الرموز المخصصة قبل إطلاقها لتحديد نقاط الضعف في الترميز ، إن وجدت.

6.4

يجب أن تتبع شركات تطوير البرمجيات عملية التحكم في التغيير لجميع التغييرات التي تم إجراؤها على مكونات النظام. يجب أن تتضمن هذه العمليات المتطلبات التالية:

  • بيئات تطوير واختبار مختلفة عن بيئات الإنتاج
  • يتم تعيين واجبات مختلفة بين بيئة التطوير / الاختبار وبيئة الإنتاج
  • يجب عدم استخدام بيانات الإنتاج للتطوير أو الاختبار
  • يجب إزالة بيانات الاختبار من مكونات النظام قبل أن يصبح نشطًا أو يدخل حيز الإنتاج.

6.5

يتطلب ذلك من شركة تطوير برمجيات Fintech ومطوري التطبيقات المالية أن يتدربوا على طرق التشفير الآمنة التي تتماشى مع لغات الترميز الخاصة بالتطبيق. يجب أن تكون تقنيات الترميز على أساس أفضل ممارسات الصناعة ويجب توثيقها للتأكد من أن الفريق يتبعها بالكامل.

6.6

يجب حماية تطبيقات الدفع التي تواجه الجمهور ، مثل تطبيقات الويب التي يمكن الوصول إليها عبر الإنترنت إما من خلال جدار حماية تطبيق الويب (WAF) أو عبر عملية فحص صارمة لنقاط الضعف في تطبيق الويب.

بالنظر إلى أهمية متطلبات PCI هذه وكيفية تحديدها لمستوى أدنى من ضوابط الأمان ، هناك بعض المنظمات الواعية بالأمن التي تختار نهج "الحزام والأقواس" ضمن أمان تطبيقات الويب الخاصة بهم.

لماذا التركيز على الامتثال PCI DSS؟

بالنسبة للشركات أو الشركات الناشئة الجديدة التي تحتاج إلى التعاون مع مزودي الخدمات المالية الكبار ، فإن PCI DSS غير قابل للتفاوض.

تكمن الأسباب المتعلقة بدفعهم في التفكير في الامتثال إلى حقيقة أن PCI يحسن الإجراءات بالإضافة إلى زيادة وإظهار المصداقية للعملاء والمنظمات الأخرى.

في حين أنه ليس من المهم أن تمر شركة ناشئة بتدقيق امتثال PCI DSS كامل ، والذي قد يكون مكلفًا ، إلا أنه من المفيد الحصول على الاستشارة الصحيحة للمساعدة من وجهة نظر معقولة وتحريك الكرة.

تُعرف مثل هذه المشاورات باسم مقيّمي أمن الجودة وقد تم إعدادها واعتمادها من قبل مجلس معايير أمان PCI لمساعدة المنظمات في إجراء تقييمات حول كيفية تعاملها مع معلومات بطاقة الائتمان.

هؤلاء المقيّمون مفيدون بشكل خاص للشركات الجديدة لأنهم رأوا حلولاً حقيقية لمتطلبات الامتثال الأكثر صعوبة.

كيف تحافظ على امتثال PCI؟

يمكن حساب مراحل امتثال PCI DSS إلى جزأين: الجزء الأول هو تحقيق حالة الامتثال PCI DSS - والتي يمكن ضمانها من خلال إنشاء قائمة تحقق امتثال PCI - والجزء الثاني هو الحفاظ على PCI حالة الامتثال لـ DSS.

الجزء الثاني - الحفاظ على الامتثال في PCI DSS هو حالة يصعب تحقيقها ، غالبًا بسبب الافتراضات الخاطئة بأن الامتثال يتعلق ببساطة باتباع قائمة مراجعة تدقيق PCI DSS. تتمثل صيغة الحفاظ على الامتثال في تطوير العمليات التي تقدم حالة متوافقة مع PCI.

يعد الاحتفاظ بسجلات تفصيلية للعمليات الأمنية ، وتنفيذ إشراف الإدارة نهجًا ضروريًا لمنع الرضا عن الدخول إلى النظام والتأكد من إمكانية التحقق من حالة الامتثال لـ PCI DSS في أي وقت.

وضع خطة للامتثال المستمر

يضمن الامتثال المستمر أن تكون بيئة العمل لديك مطابقة للمعايير ومناسبة لحماية معلومات العميل. يشمل الامتثال أكثر من تلبية جميع المتطلبات في قائمة التحقق. تحتاج إلى التفكير في كيفية تطبيق هذه الضروريات على جدول أعمالك الخاص حتى تتمكن من تغيير العمليات بشكل مناسب. تتضمن بعض المراحل التي يمكنك اتخاذها لضمان الامتثال المستمر ما يلي:

  1. خطة للتحكم في الوصول
  2. تطوير السياسة للتوافق مع متطلبات PCI
  3. الاحتفاظ بسجلات مفصلة والاحتفاظ بها
  4. إدارة الرقابة
  5. اختبار منتظم لقياس نقاط الضعف

استنتاج

مع كل شيء بدءًا من أمان المستخدمين النهائيين إلى مستقبل أعمالك في التنفيذ الصحيح والحفاظ على امتثال PCI DSS ، ستحتاج إلى الاتصال بشركة تطوير تطبيقات fintech التي تتفهم إجراءات الامتثال من الداخل إلى الخارج. يمكن أن تكون الشركة موجودة في منطقتك الأم ، أو يمكن أن تكون في أي جزء آخر من العالم ، على سبيل المثال ، يمكنك اختيار شركات تطوير تطبيقات التكنولوجيا المالية في الولايات المتحدة الأمريكية . تأكد من اختيار الأفضل للحصول على نتائج عالية الجودة. على أي حال ، تحقق من خبرة الوكالة ومعرفتها قبل الانتهاء من أي شيء.

أسئلة وأجوبة حول تطوير تطبيقات الهاتف المحمول المتوافقة مع PCI DSS

س: ما هي مستويات الامتثال PCI؟

مطلوب PCI DSS من قبل جميع المؤسسات التي تخزن بيانات حاملي السيارات أو تستخدمها أو تنقلها لإجراء أعمالها. لكن المتطلبات تختلف وفقًا للمعاملات التجارية - التي تقسم الامتثال إلى أربعة مستويات.

المستوى 4: معالجة التاجر أقل من 20000 معاملة سنويًا

المستوى 3: معالجة التاجر في حدود 20000 إلى 1 مليون معاملة سنويًا

المستوى 2: معالجة التاجر تتراوح بين 1 إلى 6 ملايين معاملة سنويًا

المستوى 1: معالجة التاجر أكثر من 6 ملايين معاملة سنويًا.

س: ما هو PCI DSS؟

هي مجموعة من المعايير التي يتطلبها القانون والموجهة لتأمين بيانات حاملي البطاقات داخل التطبيق وداخل المؤسسة التي تحفظ المعلومات.

س: ماذا يعني التوافق مع PCI لأعمال تطبيقات Fintech؟

إن شركة تطبيقات Fintech التي تتوافق مع PCI مستعدة قانونًا للتغلب على تفاصيل بطاقة المستخدمين في عمليتهم. لا يُسمح لشركات Fintech غير المتوافقة مع PCI بالتعامل مع البيانات الحساسة لحاملي البطاقات ويمكن أن تواجه عواقب مالية وخيمة مثل الرسوم والغرامات وحتى فقدان الأعمال. عواقب مثل هذه تجعل تطوير برامج الامتثال PCI لتطبيقات fintech أمرًا لا بد منه.

س: كيف تصبح متوافقًا مع PCI؟

هناك خمسة أشياء رئيسية يجب تضمينها في قائمة التحقق الخاصة بامتثال PCI:

  1. تحليل مستوى الامتثال الخاص بك
  2. تعبئة استمارة التقييم الذاتي
  3. عمل التغييرات اللازمة / سد النواقص
  4. استكمال إفادة استيفاء
  5. إيداع الأوراق

س: هل شهادة PCI DSS مطلوبة عند استخدام بوابة الدفع؟

نعم ، مطلوب. لا يعفيك تكامل بوابة الدفع من الحاجة إلى الحصول على شهادة PCI DSS لأنك تدير بالفعل معلومات الدفع بدرجة ملحوظة أو أقل. على أي حال ، فإن الطريقة التي تضيف بها بوابة دفع إلى تطبيقك أو موقعك ستحدد درجة الامتثال.

س: ما العلاقة بين PA DSS و PCI DSS؟

يعتبر PA DSS هو المعيار للمطورين ومدمجي تطبيقات الدفع عبر الهاتف المحمول الذين يستخدمون معلومات البطاقة للمصادقة وتسوية المدفوعات. من أجل تحقيق الامتثال PA DSS ، يجب بيع التطبيقات أو توزيعها أو ترخيصها لأطراف ثالثة. ينقسم امتثال PA DSS إلى مرحلتين -

Phases of PA-DSS

إن الالتزام بمتطلبات PA DSS هو ما سيساعدك على أن تصبح متوافقًا مع PCI DSS.