¿Cómo desarrollar una aplicación móvil Fintech compatible con PCI DSS?

Publicado: 2019-10-29

Ya sea que su aplicación sea una aplicación Fintech completa como PayPal o si es una aplicación de transmisión de medios como Netflix que solicita a los usuarios que paguen las suscripciones en la aplicación, hay una cosa que no puede perderse: el cumplimiento de PCI DSS.

La falta de atención a los estándares de seguridad PCI que conducen a la filtración de datos puede tener consecuencias financieras devastadoras, como tarifas, multas e incluso la pérdida de negocios. Este artículo abarca todos los conceptos básicos del cumplimiento de PCI para la aplicación fintech para ayudar a avanzar en la dirección de desarrollo correcta.

Esto es lo que implicaría nuestra guía de seguridad de aceptación de pago móvil PCI:

  1. ¿Qué es PCI DSS?
  2. Alcance de los requisitos de cumplimiento de PCI
  3. ¿Por qué centrarse en el cumplimiento de PCI DSS?
  4. ¿Cómo mantener el cumplimiento de PCI?
  5. Establecimiento de un plan para el cumplimiento continuo
  6. Conclusión
  7. Preguntas frecuentes sobre el desarrollo de aplicaciones móviles Fintech compatibles con PCI DSS

¿Qué es PCI DSS?

Payment Devices Ecosystem

El estándar de seguridad de datos de la industria de tarjetas de pago PCI (PCI DSS) es un estándar técnico muy prescriptivo que está dirigido a proteger los detalles de las tarjetas de crédito y débito, denominados en la industria "datos del titular de la tarjeta". El objetivo de PCI DSS es evitar fraudes en términos de tarjetas de pago asegurando los datos de los titulares de tarjetas dentro de las organizaciones que aceptan pagos con tarjeta.

El cumplimiento de PCI se centra en los servicios de tecnología de la información. Los gerentes de cumplimiento dirigidos por TI que se asignan con el propósito de lograr el cumplimiento dentro de las organizaciones deben tener la experiencia y los conocimientos necesarios como desarrollador de software para garantizar que el proceso de desarrollo de aplicaciones móviles de cumplimiento de PCI cumpla con la lista de verificación de requisitos de PCI DSS.

Con la definición de lo que es PCI DSS ahora atendida, veamos los requisitos de desarrollo de PCI específicos de la aplicación fintech.

Alcance de los requisitos de cumplimiento de PCI

La mayoría de los requisitos de PCI DSS que afectan el proceso de desarrollo de la aplicación Fintech se incluyen en los Requisitos 3, 4 y 6. Estos requisitos cubren el almacenamiento de datos del titular de la tarjeta, las prácticas de encriptación, el control de acceso y la seguridad de la red. Analicemos los tres individualmente para obtener una comprensión completa de la guía de alcance de PCI.

Requisito de desarrollo PCI 3: Proteger los datos almacenados del titular de la tarjeta

Los datos del titular de la tarjeta denotan información que se procesa, imprime, almacena o transmite en la tarjeta de pago. Se supone que las aplicaciones que aceptan pagos con tarjetas protegen los datos de los titulares de tarjetas y evitan el uso no autorizado, independientemente de si los datos están impresos en la tarjeta o almacenados localmente.

En general, no se deben almacenar datos de titulares de tarjetas hasta que sea absolutamente necesario para satisfacer las necesidades comerciales. Los datos confidenciales mencionados en la banda magnética nunca deben almacenarse y, en caso de que tenga que almacenar los detalles del PAN, debe volverse ilegible. Aquí hay algunas otras cosas que deben tenerse en cuenta en la lista de verificación de cumplimiento de PCI que analiza el requisito 3.

3.1

El almacenamiento de datos y el tiempo de retención deben estar limitados de acuerdo con los fines legales y comerciales, como documentos en la política de retención de datos. Todos los datos innecesarios deben eliminarse al menos cada trimestre.

3.2

Los datos confidenciales de autenticación no deben almacenarse después de la autorización, incluso si están encriptados. Sin embargo, los emisores pueden almacenar los datos de autenticación si existe una justificación comercial viable y los datos se almacenan de manera segura.

3.3

PAN debe estar enmascarado cuando se muestre. Los primeros seis o los últimos cuatro dígitos son los únicos que debe mostrar.

3.4

El PAN debe volverse ilegible donde sea que se almacene, esto incluye medios digitales, registros, medios de respaldo y los datos recibidos de redes inalámbricas. Las soluciones tecnológicas que proponemos para este punto en Appinventiv incluyen una fuerte función de hash unidireccional del PAN completo, criptografía fuerte, token de índice con almohadillas almacenadas de alta seguridad, etc.

3.5

Las claves que se utilizan para el cifrado de los datos del titular de la tarjeta deben protegerse contra el uso indebido y la divulgación.

3.6

Las empresas deben documentar completamente e implementar el procedimiento y el proceso de gestión de claves adecuados para las claves criptográficas que se utilizan para el cifrado de los datos de los titulares de tarjetas.

Requisito de desarrollo de PCI 4: cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas y abiertas

No es particularmente imposible para los piratas informáticos interceptar la transmisión de los datos de los titulares de tarjetas a través de las redes públicas abiertas y es muy importante proteger los datos privados de la aplicación de ellos. Una forma de hacerlo es mediante el cifrado de los datos .

4.1

Las empresas de desarrollo de aplicaciones deben utilizar fuertes protocolos de seguridad y criptografía como TLS/ SSL Pinning en las aplicaciones de iOS y las soluciones de Android para proteger los datos confidenciales de los titulares de tarjetas durante su transmisión a través de la red pública.

4.2

Las tecnologías de mensajería de los usuarios finales nunca deben enviar PAN sin protección.

Requisito de desarrollo PCI 6: Desarrollar y mantener aplicaciones seguras

Los requisitos de PCI para la aplicación fintech se refieren al desarrollo de aplicaciones externas e internas que se consideran dentro del alcance del cumplimiento de la aplicación móvil PCI DSS ; esto significa cada aplicación desarrollada que procesa, almacena y transmite los datos de los titulares de tarjetas.

Las aplicaciones de pago PCI creadas por las empresas de desarrollo Fintech para su uso por organizaciones externas deben cumplir con el Estándar de seguridad de datos de aplicaciones de pago (PA-DSS) y deben ser evaluadas por PA-QSA.

6.1

El cumplimiento del requisito 6.1 exige un registro de activos de software debidamente documentado de bibliotecas y herramientas, que se utilizan en el ciclo de desarrollo de software. Cada elemento dentro del registro de activos de software debe incluir:

  • Un número de versión
  • Cómo y dónde se usa el software
  • Explicación clara de la función que brindan.

Dado que las bibliotecas y herramientas de software se actualizan con frecuencia, es de suma importancia que el registro se revise continuamente y se mantenga actualizado.

Una vez que se establece un registro de activos de software, se debe implementar un proceso para monitorear regularmente cada elemento en el registro para enviar notificaciones de vulnerabilidades y versiones actualizadas.

El requisito 6.1 también exige una clasificación de riesgo, que debe asignarse para cada vulnerabilidad que se identifique en los elementos del registro de activos. Se debe evaluar el riesgo de las vulnerabilidades y se deben etiquetar con una etiqueta de calificación de riesgo denominada "Crítico", "Alto", "Medio" o "Bajo". Estos niveles de riesgo luego ayudarían con la priorización de parches.

6.2

Este requisito se basa en el monitoreo de vulnerabilidades y exige que los parches de seguridad de nivel crítico se aborden y apliquen dentro de un mes a partir de la fecha de lanzamiento del proveedor.

Los parches de vulnerabilidades que se clasifican en los niveles bajos deben aplicarse en 2 a 3 meses después del lanzamiento.

Se debe mantener un registro del proceso de monitoreo y aplicación de parches para garantizar que los parches se identifiquen e incorporen dentro del tiempo estipulado.

6.3

Requiere utilizar un ciclo de vida de desarrollo de software basado en las mejores prácticas de la industria. Cada parte del ciclo de vida del desarrollo de software debe documentarse con detalles sobre cómo se abordan los requisitos de PCI y la seguridad de las aplicaciones móviles en los procesos de desarrollo de conceptualización, diseño, investigación y prueba de aplicaciones.

El documento de desarrollo de la aplicación de pago PCI debe ser lo suficientemente descriptivo para cubrir partes de cómo la aplicación procesa, comparte y almacena los datos del titular de la tarjeta. Para lograr el cumplimiento de 6.3, el objetivo debe ser hacer que la documentación sea lo suficientemente descriptiva para que incluso los desarrolladores externos la entiendan.

Para asegurarse de que los desarrolladores se adhieren al ciclo de vida del desarrollo, se debe documentar la finalización de cada etapa de desarrollo y se deben realizar auditorías del proceso de desarrollo con regularidad.

  • 6.3.1: Las cuentas, las contraseñas y los IDS de usuario de la aplicación de prueba o personalizada deben eliminarse antes de que las aplicaciones se lancen a los usuarios finales.
  • 6.3.2: Los códigos personalizados deben revisarse antes de su lanzamiento para identificar las vulnerabilidades de codificación, si las hubiera.

6.4

Las empresas de desarrollo de software deben seguir el proceso de control de cambios para todos los cambios realizados en los componentes del sistema. Estos procesos deben incluir los siguientes requisitos:

  • Diferentes entornos de desarrollo y prueba de los entornos de producción.
  • Diferentes funciones establecidas entre el entorno de desarrollo/prueba y el de producción
  • Los datos de producción no deben utilizarse para el desarrollo o las pruebas.
  • Los datos de prueba deben eliminarse de los componentes del sistema antes de que se activen o entren en producción.

6.5

Requiere que la empresa de desarrollo de software Fintech y los desarrolladores de aplicaciones financieras se capaciten en los métodos de codificación seguros que están alineados con los lenguajes de codificación de la aplicación. Las técnicas de codificación deben basarse en las mejores prácticas de la industria y deben documentarse para garantizar que el equipo las siga en su totalidad.

6.6

Las aplicaciones de pago de cara al público, como las aplicaciones web a las que se puede acceder a través de Internet, deben protegerse a través de un Firewall de aplicaciones web (WAF) o mediante un proceso estricto de análisis de vulnerabilidades de aplicaciones web.

Teniendo en cuenta la importancia de este requisito de PCI y cómo establece un nivel mínimo de controles de seguridad, hay algunas organizaciones conscientes de la seguridad que optan por el enfoque de "cinturón y llaves" dentro de la seguridad de su aplicación web.

¿Por qué centrarse en el cumplimiento de PCI DSS?

Para empresas nuevas o nuevas empresas que necesitan colaborar con grandes proveedores de servicios financieros, PCI DSS no es negociable.

Las razones por las que deberían considerar el cumplimiento radica en el hecho de que PCI mejora las medidas además de aumentar y mostrar credibilidad a los clientes y otras organizaciones.

Si bien no es importante que una startup pase por una auditoría completa de cumplimiento de PCI DSS, que posiblemente sea costosa, es beneficioso obtener la consulta correcta para ayudar desde un punto de vista razonable y hacer que la pelota avance.

Estas consultas se conocen como asesores de seguridad de calidad y han sido preparadas y certificadas por el PCI Security Standards Council para ayudar a las organizaciones a realizar evaluaciones sobre cómo manejan la información de tarjetas de crédito.

Estos evaluadores son particularmente útiles para las empresas nuevas, ya que han visto soluciones genuinas para los requisitos de cumplimiento más abrumadores.

¿Cómo mantener el cumplimiento de PCI?

Las etapas del cumplimiento de PCI DSS se pueden dividir en dos partes: la primera parte es lograr un estado de cumplimiento de PCI DSS, que se puede asegurar mediante la creación de una lista de verificación de cumplimiento de PCI , y la segunda parte es mantener un estado de cumplimiento de PCI DSS. Estado de cumplimiento del DSS.

La segunda parte: cumplir con PCI DSS es un estado difícil de lograr, a menudo debido a las suposiciones erróneas de que el cumplimiento se trata simplemente de seguir la lista de verificación de auditoría de PCI DSS. La fórmula para mantener el cumplimiento es desarrollar procesos que brinden un estado continuo de cumplimiento de PCI.

Mantener registros detallados de los procesos de seguridad e implementar la supervisión de la administración es un enfoque necesario para evitar que la autocomplacencia ingrese al sistema y garantizar que se pueda verificar un estado de cumplimiento de PCI DSS en cualquier momento.

Establecimiento de un plan para el cumplimiento continuo

El cumplimiento continuo garantiza que su entorno de trabajo cumpla con los estándares y sea apto para proteger la información del cliente. El cumplimiento incluye más que cumplir con todos los requisitos de una lista de verificación. Debe considerar cómo se aplican estas necesidades a su agenda particular para que pueda cambiar las operaciones de manera adecuada. Algunas etapas que puede tomar para garantizar el cumplimiento continuo incluyen:

  1. Un plan para el control de acceso
  2. Desarrollo de políticas para alinearse con los requisitos de PCI
  3. Mantener y mantener registros detallados
  4. Gestión de supervisión
  5. Pruebas periódicas para medir vulnerabilidades

Conclusión

Dado que todo, desde la seguridad de los usuarios finales hasta el futuro de su negocio, depende de la implementación y el mantenimiento correctos del cumplimiento de PCI DSS, necesitaría ponerse en contacto con una empresa de desarrollo de aplicaciones de tecnología financiera que comprenda las formalidades del cumplimiento de manera interna. La empresa puede estar ubicada en su área natal, o puede estar en cualquier otra parte del mundo, por ejemplo, puede elegir empresas de desarrollo de aplicaciones fintech en EE . UU . Asegúrate de elegir lo mejor para tener resultados de calidad. En cualquier caso, compruebe la experiencia y el conocimiento de la agencia antes de finalizar cualquier cosa.

Preguntas frecuentes sobre el desarrollo de aplicaciones móviles Fintech compatibles con PCI DSS

P. ¿Cuáles son los niveles de cumplimiento de PCI?

PCI DSS es requerido por todas las organizaciones que almacenan, usan o transmiten datos de los titulares de automóviles para llevar a cabo sus negocios. Pero los requisitos varían según las transacciones comerciales, lo que divide el cumplimiento en cuatro niveles.

Nivel 4: el procesamiento comercial es inferior a 20 000 transacciones al año

Nivel 3: el procesamiento comercial está en el rango de 20 000 a 1 millón de transacciones al año

Nivel 2: el procesamiento comercial es de 1 a 6 millones de transacciones al año

Nivel 1: el procesamiento comercial es más de 6 millones de transacciones anuales.

P. ¿Qué es PCI DSS?

Es un conjunto de estándares exigidos por ley dirigidos a asegurar los datos de los tarjetahabientes dentro de la aplicación y dentro de la organización que guarda la información.

P. ¿Qué significa el cumplimiento de PCI para el negocio de aplicaciones Fintech?

Un negocio de aplicaciones Fintech que cumple con PCI está legalmente preparado para evitar los detalles de la tarjeta de los usuarios para su proceso. Las empresas Fintech que no cumplen con PCI no pueden trabajar con los datos confidenciales de los titulares de tarjetas y pueden enfrentar graves consecuencias financieras como tarifas, multas e incluso la pérdida de negocios. Consecuencias como estas hacen que el desarrollo de software de cumplimiento de PCI para aplicaciones fintech sea absolutamente imprescindible.

P. ¿Cómo cumplir con PCI?

Hay cinco cosas principales que deben incluirse en su lista de verificación de cumplimiento de PCI:

  1. Análisis de su nivel de cumplimiento
  2. Llenado del Cuestionario de Autoevaluación
  3. Hacer los cambios necesarios/llenar las deficiencias
  4. Completar una atestación de cumplimiento
  5. archivo de papeleo

P. ¿Se requiere el certificado PCI DSS cuando se utiliza la pasarela de pago?

Sí, es obligatorio. La integración de la pasarela de pago no te exime de la necesidad de adquirir un certificado PCI DSS ya que en realidad gestionas la información de pago en mayor o menor grado. En cualquier caso, la forma en que agregue una pasarela de pago a su aplicación o sitio caracterizará el grado de cumplimiento.

P. ¿Cuál es la relación entre PA DSS y PCI DSS?

El PA DSS es el estándar para desarrolladores e integradores de aplicaciones de pago móvil que utilizan la información de la tarjeta para la autorización y liquidación de pagos. Para lograr el cumplimiento de las PA DSS, las aplicaciones deben venderse, distribuirse o licenciarse a terceros. El cumplimiento de PA DSS se divide en dos fases:

Phases of PA-DSS

Cumplir con los requisitos de PA DSS es lo que lo ayudará a cumplir con PCI DSS.