• Beranda
  • Artikel
  • App
  • Bagaimana Mengembangkan Aplikasi Seluler Fintech yang Sesuai PCI DSS?

Bagaimana Mengembangkan Aplikasi Seluler Fintech yang Sesuai PCI DSS?

Diterbitkan: 2019-10-29

Apakah aplikasi Anda adalah aplikasi Fintech lengkap seperti PayPal atau apakah Anda adalah aplikasi streaming media seperti Netflix yang meminta pengguna untuk membayar langganan dalam aplikasi, ada satu hal yang tidak boleh Anda lewatkan – Kepatuhan PCI DSS.

Kegagalan untuk melihat standar keamanan PCI yang mengarah pada pelanggaran data dapat menyebabkan konsekuensi keuangan yang menghancurkan seperti biaya, denda, dan bahkan kehilangan bisnis. Artikel ini mencakup semua dasar kepatuhan PCI untuk aplikasi fintech untuk membantu bergerak ke arah pengembangan yang benar.

Inilah yang diperlukan oleh panduan keamanan penerimaan pembayaran seluler PCI kami:

  1. Apa itu PCI DSS?
  2. Cakupan Persyaratan Kepatuhan PCI
  3. Mengapa fokus pada kepatuhan PCI DSS?
  4. Bagaimana Menjaga Kepatuhan PCI?
  5. Menetapkan Rencana Untuk Kepatuhan Berkelanjutan
  6. Kesimpulan
  7. FAQ Tentang Pengembangan Aplikasi Seluler Fintech yang sesuai dengan PCI DSS

Apa itu PCI DSS?

Payment Devices Ecosystem

Standar Keamanan Data Industri Kartu Pembayaran PCI (PCI DSS) adalah standar teknis yang sangat preskriptif yang diarahkan untuk melindungi detail kartu kredit dan debit, yang disebut dalam industri sebagai 'data pemegang kartu'. Tujuan PCI DSS adalah untuk menyelamatkan penipuan dalam hal kartu pembayaran dengan mengamankan data pemegang kartu di dalam organisasi yang menerima pembayaran kartu.

Kepatuhan PCI berpusat pada layanan Teknologi Informasi. Manajer kepatuhan yang diarahkan TI yang ditugaskan dengan tujuan mencapai kepatuhan di dalam organisasi harus memiliki pengalaman dan pengetahuan pengembang perangkat lunak yang diperlukan untuk memastikan bahwa proses pengembangan aplikasi seluler kepatuhan PCI memenuhi daftar periksa persyaratan PCI DSS.

Dengan definisi PCI DSS yang sekarang hadir, mari kita lihat persyaratan pengembangan PCI spesifik aplikasi fintech.

Cakupan Persyaratan Kepatuhan PCI

Sebagian besar persyaratan PCI DSS yang memengaruhi proses pengembangan aplikasi Fintech termasuk dalam Persyaratan 3, 4, dan 6. Persyaratan ini mencakup penyimpanan data pemegang kartu, praktik enkripsi, kontrol akses, dan keamanan jaringan. Mari kita lihat ketiganya satu per satu untuk mendapatkan pemahaman lengkap tentang panduan ruang lingkup PCI.

Persyaratan Pengembangan PCI 3: Lindungi Data Pemegang Kartu yang Tersimpan

Data pemegang kartu menunjukkan informasi yang diproses, dicetak, disimpan, atau dikirimkan pada kartu pembayaran. Aplikasi yang menerima pembayaran melalui kartu seharusnya melindungi data pemegang kartu dan mencegah penggunaan yang tidak sah – terlepas dari apakah data tersebut dicetak pada kartu atau disimpan secara lokal.

Umumnya, tidak ada data pemegang kartu yang harus disimpan sampai benar-benar diperlukan untuk memenuhi kebutuhan bisnis. Data sensitif yang disebutkan pada strip magnetik tidak boleh disimpan dan jika Anda harus menyimpan detail PAN, data tersebut harus dibuat tidak dapat dibaca. Berikut adalah beberapa hal lain yang harus diperhitungkan dalam daftar periksa kepatuhan PCI dengan melihat persyaratan 3.

3.1

Waktu penyimpanan dan penyimpanan data harus dibatasi sesuai dengan tujuan hukum dan bisnis, sebagai dokumen dalam kebijakan penyimpanan data. Semua data yang tidak perlu harus dibersihkan setidaknya setiap kuartal.

3.2

Data otentikasi sensitif tidak boleh disimpan setelah otorisasi, meskipun dienkripsi. Padahal, penerbit dapat menyimpan data otentikasi jika ada pembenaran bisnis yang layak dan data disimpan dengan cara yang aman.

3.3

PAN harus ditutup-tutupi saat ditampilkan. Enam digit pertama atau empat digit terakhir adalah satu-satunya yang harus Anda tampilkan.

3.4

PAN harus dibuat tidak dapat dibaca di mana pun disimpan – ini termasuk media digital, dalam log, media cadangan, dan data yang diterima dari jaringan nirkabel. Solusi teknologi yang kami usulkan untuk poin ini di Appinventiv termasuk fungsi hash satu arah yang kuat dari PAN lengkap, kriptografi yang kuat, token indeks dengan bantalan tersimpan yang sangat aman, dll.

3.5

Kunci yang digunakan untuk enkripsi data pemegang kartu harus dilindungi dari penyalahgunaan dan pengungkapan.

3.6

Perusahaan harus sepenuhnya mendokumentasikan dan menerapkan prosedur dan proses manajemen kunci yang sesuai untuk kunci kriptografi yang digunakan untuk enkripsi data pemegang kartu.

Persyaratan Pengembangan PCI 4: Enkripsikan transmisi data pemegang kartu melalui jaringan publik dan terbuka

Bukan tidak mungkin bagi peretas untuk mencegat transmisi data pemegang kartu melalui jaringan publik yang terbuka dan sangat penting untuk melindungi data pribadi aplikasi dari mereka. Salah satu cara untuk melakukannya adalah melalui enkripsi data .

4.1

Perusahaan pengembang aplikasi harus menggunakan protokol keamanan dan kriptografi yang kuat seperti TLS/ SSL Pinning di aplikasi iOS dan solusi Android yang melindungi data sensitif pemegang kartu selama transmisinya melalui jaringan publik.

4.2

PAN yang tidak dilindungi tidak boleh dikirim oleh teknologi pesan pengguna akhir.

Persyaratan Pengembangan PCI 6: Mengembangkan dan Memelihara Aplikasi yang Aman

Persyaratan PCI untuk aplikasi fintech adalah dalam hal pengembangan aplikasi eksternal dan internal yang dianggap berada dalam lingkup kepatuhan aplikasi seluler PCI DSS – ini berarti setiap aplikasi yang dikembangkan yang memproses, menyimpan, dan mengirimkan data pemegang kartu.

Aplikasi pembayaran PCI yang dibuat oleh perusahaan pengembang Fintech untuk digunakan oleh organisasi eksternal harus mematuhi Standar Keamanan Data Aplikasi Pembayaran (PA-DSS), dan harus dinilai oleh PA-QSA.

6.1

Kepatuhan dengan persyaratan 6.1 memerlukan daftar aset perangkat lunak yang terdokumentasi dengan baik dari perpustakaan dan alat, yang digunakan dalam siklus pengembangan perangkat lunak. Setiap item di dalam daftar aset perangkat lunak harus mencakup:

  • Nomor versi
  • Bagaimana dan di mana perangkat lunak digunakan
  • Penjelasan yang jelas tentang fungsi yang mereka berikan.

Karena perpustakaan perangkat lunak dan alat sering diperbarui, sangat penting bahwa register ditinjau terus menerus dan selalu diperbarui.

Setelah daftar aset perangkat lunak dibuat, sebuah proses harus diterapkan untuk memantau secara teratur setiap item dalam daftar untuk mengirimkan pemberitahuan kerentanan dan rilis yang diperbarui.

Persyaratan 6.1 juga memerlukan peringkat risiko, yang harus ditetapkan untuk setiap kerentanan yang diidentifikasi dalam item dalam daftar aset. Kerentanan harus dinilai risikonya dan harus diberi label dengan label peringkat risiko yang disebut "Kritis", "Tinggi", "Sedang", atau "Rendah". Tingkat risiko ini kemudian akan membantu dengan memprioritaskan patching.

6.2

Persyaratan ini dibangun di atas pemantauan kerentanan dan menuntut patch keamanan tingkat kritis untuk ditangani dan diterapkan dalam waktu satu bulan dari tanggal rilis vendor.

Patch kerentanan yang dinilai pada level rendah harus diterapkan dalam 2 hingga 3 bulan setelah rilis.

Sebuah log dari patching rilis pemantauan dan proses patching harus dipelihara untuk memastikan bahwa patch diidentifikasi dan dimasukkan dalam waktu yang ditentukan.

6.3

Ini membutuhkan penggunaan siklus hidup pengembangan perangkat lunak yang didasarkan pada praktik terbaik industri. Setiap bagian dari siklus hidup pengembangan perangkat lunak harus didokumentasikan dengan detail tentang bagaimana keamanan aplikasi seluler dan persyaratan PCI ditangani dalam proses konseptualisasi, desain, penelitian, dan pengujian aplikasi pengembangan.

Dokumen pengembangan aplikasi pembayaran PCI harus cukup deskriptif untuk mencakup bagian tentang bagaimana aplikasi memproses, membagikan, dan menyimpan data pemegang kartu. Untuk mencapai kepatuhan 6.3, tujuannya harus membuat dokumentasi cukup deskriptif bahkan bagi pengembang pihak ketiga untuk memahaminya.

Untuk memastikan bahwa pengembang mengikuti siklus hidup pengembangan, penyelesaian setiap tahap pengembangan harus didokumentasikan dan audit proses pengembangan harus dilakukan secara teratur.

  • 6.3.1: Akun aplikasi uji atau kustom, kata sandi, dan ID Pengguna harus dihapus sebelum aplikasi dirilis ke pengguna akhir.
  • 6.3.2: Kode kustom harus ditinjau sebelum dirilis untuk mengidentifikasi kerentanan pengkodean, jika ada.

6.4

Perusahaan pengembang perangkat lunak harus mengikuti proses kontrol perubahan untuk semua perubahan yang dilakukan pada komponen sistem. Proses ini harus mencakup persyaratan berikut:

  • Lingkungan pengembangan dan pengujian yang berbeda dari lingkungan produksi
  • Tugas yang berbeda ditetapkan antara pengembangan/pengujian dan lingkungan produksi
  • Data produksi tidak boleh digunakan untuk pengembangan atau pengujian
  • Data uji harus dihapus dari komponen sistem sebelum menjadi aktif atau masuk ke produksi.

6.5

Ini membutuhkan perusahaan pengembangan perangkat lunak Fintech dan pengembang aplikasi keuangan untuk dilatih dalam metode pengkodean aman yang selaras dengan bahasa pengkodean aplikasi. Teknik pengkodean harus berdasarkan praktik terbaik industri dan harus didokumentasikan untuk memastikan bahwa tim mengikutinya secara keseluruhan.

6.6

Aplikasi pembayaran yang menghadap publik, seperti aplikasi web yang dapat diakses melalui internet harus dilindungi baik melalui Web Application Firewall (WAF) atau melalui proses Pemindaian Kerentanan Aplikasi Web yang ketat.

Mempertimbangkan pentingnya persyaratan PCI ini dan bagaimana hal itu menetapkan tingkat kontrol keamanan minimum, ada beberapa organisasi yang sadar akan keamanan yang memilih pendekatan "ikat pinggang dan kawat gigi" dalam keamanan aplikasi web mereka.

Mengapa fokus pada kepatuhan PCI DSS?

Untuk perusahaan baru atau startup yang perlu berkolaborasi dengan penyedia layanan keuangan besar, PCI DSS tidak dapat dinegosiasikan.

Alasan mengapa mereka harus mempertimbangkan untuk patuh terletak pada kenyataan bahwa PCI meningkatkan tindakan selain meningkatkan dan menunjukkan kredibilitas kepada klien dan organisasi lain.

Meskipun tidak penting bagi startup untuk menjalani audit kepatuhan PCI DSS penuh, yang mungkin memakan biaya, ada baiknya mendapatkan konsultasi yang tepat untuk membantu dari sudut pandang yang masuk akal dan membuat bola bergerak.

Konsultasi semacam itu dikenal sebagai penilai keamanan kualitas dan telah disiapkan serta disertifikasi oleh Dewan Standar Keamanan PCI untuk membantu organisasi melakukan penilaian tentang cara mereka menangani informasi kartu kredit.

Penilai ini sangat berguna bagi perusahaan baru karena mereka telah melihat solusi asli untuk persyaratan kepatuhan yang paling banyak.

Bagaimana Menjaga Kepatuhan PCI?

Tahapan kepatuhan PCI DSS dapat dihitung untuk dibagi menjadi dua bagian: Bagian pertama adalah untuk mencapai status kepatuhan PCI DSS – yang dapat dipastikan melalui pembuatan daftar periksa kepatuhan PCI – dan bagian kedua adalah mempertahankan PCI status kepatuhan DSS.

Bagian kedua – tetap patuh dalam PCI DSS adalah keadaan yang sulit untuk dicapai, seringkali karena asumsi yang salah bahwa kepatuhan hanya mengikuti daftar periksa audit PCI DSS. Rumus untuk mempertahankan kepatuhan adalah dengan mengembangkan proses yang memberikan status kepatuhan PCI yang berkelanjutan.

Menyimpan catatan rinci tentang proses keamanan, dan menerapkan pengawasan manajemen adalah pendekatan yang diperlukan untuk menjaga rasa puas diri agar tidak memasuki sistem dan memastikan bahwa status kepatuhan PCI DSS dapat diverifikasi kapan saja.

Menetapkan Rencana Untuk Kepatuhan Berkelanjutan

Kepatuhan berkelanjutan memastikan bahwa lingkungan kerja Anda memenuhi standar dan sesuai untuk menjaga informasi klien. Kepatuhan mencakup lebih dari sekadar memenuhi semua persyaratan pada daftar periksa. Anda perlu mempertimbangkan bagaimana kebutuhan ini berlaku untuk agenda khusus Anda sehingga Anda dapat mengubah operasi dengan tepat. Beberapa tahapan yang dapat Anda ambil untuk menjamin kepatuhan berkelanjutan meliputi:

  1. Rencana untuk Kontrol Akses
  2. Pengembangan Kebijakan untuk Menyelaraskan dengan Persyaratan PCI
  3. Menyimpan dan Memelihara Catatan Terperinci
  4. Manajemen Pengawasan
  5. Pengujian Reguler untuk Mengukur Kerentanan

Kesimpulan

Dengan segalanya, mulai dari keamanan pengguna akhir hingga bisnis Anda di masa depan dengan penerapan dan pemeliharaan kepatuhan PCI DSS yang tepat, Anda perlu menghubungi perusahaan pengembangan aplikasi fintech yang memahami formalitas kepatuhan luar dalam. Perusahaan dapat berlokasi di daerah asal Anda, atau dapat berada di bagian lain dunia, misalnya, Anda dapat memilih perusahaan pengembang aplikasi fintech di AS . Pastikan Anda memilih yang terbaik untuk mendapatkan hasil yang berkualitas. Bagaimanapun, periksa keahlian dan pengetahuan agensi sebelum menyelesaikan apa pun.

FAQ Tentang Pengembangan Aplikasi Seluler Fintech yang sesuai dengan PCI DSS

T. Apa Tingkat Kepatuhan PCI?

PCI DSS diperlukan oleh semua organisasi yang menyimpan, menggunakan, atau mengirimkan data pemegang mobil untuk menjalankan bisnis mereka. Tetapi persyaratannya bervariasi sesuai dengan transaksi bisnis – yang membagi kepatuhan dalam empat tingkat.

Level 4: pemrosesan pedagang kurang dari 20.000 transaksi setiap tahun

Level 3: pemrosesan pedagang berada di kisaran 20.000 hingga 1 juta transaksi setiap tahun

Level 2: pemrosesan pedagang adalah antara 1 hingga 6 juta transaksi setiap tahun

Level 1: pemrosesan pedagang lebih dari 6 juta transaksi setiap tahun.

T. Apa itu PCI DSS?

Ini adalah seperangkat standar yang disyaratkan oleh undang-undang yang ditujukan untuk mengamankan data pemegang kartu di dalam aplikasi dan di dalam organisasi yang menyimpan informasi tersebut.

T. Apa Arti Kepatuhan PCI untuk Bisnis Aplikasi Fintech?

Bisnis aplikasi Fintech yang sesuai dengan PCI secara hukum disiapkan untuk menangani detail kartu pengguna untuk proses mereka. Perusahaan Fintech yang tidak mematuhi PCI tidak diizinkan untuk menangani data sensitif pemegang kartu dan dapat menghadapi konsekuensi keuangan yang parah seperti – biaya, denda, dan bahkan kehilangan bisnis. Konsekuensi seperti ini membuat pengembangan perangkat lunak kepatuhan PCI untuk aplikasi tekfin mutlak harus dimiliki.

T. Bagaimana menjadi PCI Compliant?

Ada lima hal utama yang harus disertakan dalam daftar periksa kepatuhan PCI Anda:

  1. Analisis tingkat kepatuhan Anda
  2. Pengisian Kuesioner Penilaian Diri
  3. Membuat perubahan yang diperlukan/mengisi kekurangan
  4. Menyelesaikan pengesahan kepatuhan
  5. Pengarsipan dokumen

T. Apakah Sertifikat PCI DSS Diperlukan Saat Menggunakan Gateway Pembayaran?

Ya, itu wajib. Integrasi gateway pembayaran tidak membebaskan Anda dari kebutuhan untuk memperoleh sertifikat PCI DSS karena Anda benar-benar mengelola informasi pembayaran ke tingkat yang lebih penting atau lebih rendah. Bagaimanapun, cara Anda menambahkan gateway pembayaran ke aplikasi atau situs Anda akan mencirikan tingkat kepatuhan.

T. Apa Hubungan antara PA DSS dan PCI DSS?

PA DSS adalah standar untuk pengembang dan integrator aplikasi pembayaran seluler yang menggunakan informasi kartu untuk otorisasi dan penyelesaian pembayaran. Untuk mencapai kepatuhan PA DSS, aplikasi harus dijual, didistribusikan, atau dilisensikan kepada pihak ketiga. Kepatuhan PA DSS dibagi menjadi dua fase –

Phases of PA-DSS

Mematuhi persyaratan PA DSS adalah yang akan membantu Anda menjadi sesuai dengan PCI DSS.