Come sviluppare un'app mobile Fintech conforme a PCI DSS?

Pubblicato: 2019-10-29

Sia che la tua app sia un'app Fintech a tutti gli effetti come PayPal o che tu sia un'app di streaming multimediale come Netflix che chiede agli utenti di pagare in-app per gli abbonamenti, c'è una cosa che non puoi permetterti di perdere: la conformità PCI DSS.

Il mancato esame degli standard di sicurezza PCI che portano alla violazione dei dati può portare a conseguenze finanziarie devastanti come commissioni, multe e persino la perdita di affari. Questo articolo comprende tutte le nozioni di base sulla conformità PCI per l'app fintech per aiutare a muoversi nella giusta direzione di sviluppo.

Questo è ciò che comporterebbe la nostra guida alla sicurezza dell'accettazione dei pagamenti mobili PCI:

  1. Cos'è il PCI DSS?
  2. Ambito dei requisiti di conformità PCI
  3. Perché concentrarsi sulla conformità PCI DSS?
  4. Come mantenere la conformità PCI?
  5. Stabilire un piano per la conformità continua
  6. Conclusione
  7. Domande frequenti sullo sviluppo di app mobili Fintech conformi a PCI DSS

Cos'è il PCI DSS?

Payment Devices Ecosystem

Il PCI Payment Card Industry Data Security Standard (PCI DSS) è uno standard tecnico fortemente prescrittivo volto a proteggere i dettagli delle carte di credito e di debito, denominato nel settore "dati del titolare della carta". L'obiettivo di PCI DSS è salvare le frodi in termini di carte di pagamento proteggendo i dati dei titolari di carta all'interno delle organizzazioni che accettano pagamenti con carta.

La conformità PCI è incentrata sui servizi di tecnologia dell'informazione. I responsabili della conformità diretti all'IT che sono assegnati allo scopo di ottenere la conformità all'interno delle organizzazioni dovrebbero aver richiesto esperienza e conoscenza di sviluppatori di software per garantire che il processo di sviluppo di app mobili per la conformità PCI soddisfi l'elenco di controllo dei requisiti PCI DSS.

Con la definizione di ciò che è ora PCI DSS, esaminiamo i requisiti di sviluppo PCI specifici dell'app fintech.

Ambito dei requisiti di conformità PCI

La maggior parte dei requisiti PCI DSS che influiscono sul processo di sviluppo delle app Fintech rientrano nei requisiti 3, 4 e 6. Questi requisiti riguardano l'archiviazione dei dati dei titolari di carta, le pratiche di crittografia, il controllo dell'accesso e la sicurezza della rete. Esaminiamoli tutti e tre individualmente per ottenere una comprensione completa della guida dell'ambito PCI.

Requisito di sviluppo PCI 3: protezione dei dati dei titolari di carta archiviati

I dati del titolare della carta denotano informazioni che vengono elaborate, stampate, archiviate o trasmesse sulla carta di pagamento. Le app che accettano pagamenti tramite carte dovrebbero proteggere i dati dei titolari di carta e impedire l'uso non autorizzato, indipendentemente dal fatto che i dati siano stampati sulla carta o memorizzati localmente.

In generale, i dati dei titolari di carta non devono essere archiviati fino a quando non è assolutamente necessario per soddisfare le esigenze aziendali. I dati sensibili citati sulla banda magnetica non devono mai essere conservati e nel caso in cui si debba memorizzare i dettagli del PAN, questi dovrebbero essere resi illeggibili. Ecco alcune altre cose che dovrebbero essere prese in considerazione nell'elenco di controllo di conformità PCI esaminando il requisito 3.

3.1

Il tempo di conservazione e conservazione dei dati dovrebbe essere limitato in base alle finalità legali e commerciali, come documenti nella politica di conservazione dei dati. Tutti i dati non necessari dovrebbero essere eliminati almeno ogni trimestre.

3.2

I dati di autenticazione sensibili non devono essere archiviati dopo l'autorizzazione, anche se crittografati. Tuttavia, gli emittenti possono archiviare i dati di autenticazione se esiste una valida giustificazione aziendale e i dati sono archiviati in modo sicuro.

3.3

PAN dovrebbe essere mascherato quando visualizzato. Le prime sei o le ultime quattro cifre sono le uniche che dovresti visualizzare.

3.4

Il PAN dovrebbe essere reso illeggibile ovunque sia archiviato, inclusi i supporti digitali, i registri, i supporti di backup ei dati ricevuti dalle reti wireless. Le soluzioni tecnologiche che proponiamo a questo punto in Appinventiv includono una forte funzione hash unidirezionale del PAN completo, crittografia avanzata, token di indice con pad memorizzati altamente sicuri, ecc.

3.5

Le chiavi utilizzate per la crittografia dei dati dei titolari di carta dovrebbero essere protette contro l'uso improprio e la divulgazione.

3.6

Le aziende dovrebbero documentare e implementare completamente la procedura e il processo di gestione delle chiavi appropriati per le chiavi crittografiche utilizzate per la crittografia dei dati dei titolari di carta.

Requisito di sviluppo PCI 4: crittografare la trasmissione dei dati dei titolari di carta su reti pubbliche aperte

Non è particolarmente impossibile per gli hacker intercettare la trasmissione dei dati dei titolari di carta su reti pubbliche aperte ed è molto importante proteggere da loro i dati privati ​​dell'app . Un modo per farlo è attraverso la crittografia dei dati .

4.1

Le società di sviluppo di app dovrebbero utilizzare solidi protocolli di sicurezza e crittografia come TLS/ SSL Pinning nell'app iOS e soluzioni Android per salvaguardare i dati sensibili dei titolari di carta durante la loro trasmissione sulla rete pubblica.

4.2

I PAN non protetti non devono mai essere inviati dalle tecnologie di messaggistica degli utenti finali.

Requisito di sviluppo PCI 6: sviluppo e manutenzione di applicazioni sicure

I requisiti PCI per l'app fintech riguardano lo sviluppo di un'applicazione esterna e interna che è considerata nell'ambito della conformità dell'app mobile PCI DSS : ciò rappresenta ogni app sviluppata che elabora, archivia e trasmette i dati dei titolari di carta.

Le applicazioni di pagamento PCI create dalle società di sviluppo Fintech per l'uso da parte di organizzazioni esterne dovrebbero essere conformi allo standard di sicurezza dei dati delle applicazioni di pagamento (PA-DSS) e dovrebbero essere valutate da PA-QSA.

6.1

La conformità al requisito 6.1 richiede un registro delle risorse software adeguatamente documentato di librerie e strumenti, che vengono utilizzati nel ciclo di sviluppo del software. Ogni elemento all'interno del registro delle risorse software dovrebbe includere:

  • Un numero di versione
  • Come e dove viene utilizzato il software
  • Spiegazione chiara della funzione che forniscono.

Poiché le librerie e gli strumenti software vengono aggiornati frequentemente, è di primaria importanza che il registro sia rivisto continuamente e sia mantenuto aggiornato.

Una volta stabilito un registro delle risorse software, dovrebbe essere implementato un processo per monitorare regolarmente ogni elemento nel registro per l'invio di notifiche di vulnerabilità e rilasci aggiornati.

Il requisito 6.1 prevede anche una graduatoria di rischio, che dovrebbe essere assegnata per ogni vulnerabilità identificata nelle voci all'interno del registro delle attività. Le vulnerabilità devono essere valutate in base al rischio e devono essere etichettate con un'etichetta di valutazione del rischio denominata "Critico", "Alto", "Medio" o "Basso". Questi livelli di rischio aiuterebbero quindi con la definizione delle priorità delle patch.

6.2

Questo requisito si basa sul monitoraggio della vulnerabilità e richiede che le patch di sicurezza di livello critico vengano affrontate e applicate entro un mese dalla data di rilascio del fornitore.

Le patch di vulnerabilità classificate a livelli bassi dovrebbero essere applicate entro 2 o 3 mesi dal rilascio.

Un registro del monitoraggio del rilascio delle patch e del processo di applicazione delle patch dovrebbe essere mantenuto per garantire che le patch siano identificate e incorporate entro il tempo stabilito.

6.3

Richiede l'utilizzo di un ciclo di vita di sviluppo software basato sulle migliori pratiche del settore. Ogni parte del ciclo di vita dello sviluppo del software dovrebbe essere documentata con dettagli su come la sicurezza delle app mobili e i requisiti PCI vengono affrontati nei processi di concettualizzazione, progettazione, ricerca e test delle app di sviluppo.

Il documento di sviluppo dell'applicazione di pagamento PCI dovrebbe essere sufficientemente descrittivo da coprire parti di come l'app elabora, condivide e archivia i dati dei titolari di carta. Al fine di ottenere la conformità 6.3, l'obiettivo dovrebbe essere quello di rendere la documentazione sufficientemente descrittiva per essere compresa anche dagli sviluppatori di terze parti.

Per assicurarsi che gli sviluppatori aderiscano al ciclo di vita dello sviluppo, è necessario documentare il completamento di ogni fase di sviluppo e condurre regolarmente audit del processo di sviluppo.

  • 6.3.1: Gli account, le password e gli ID utente dell'app di prova o personalizzati devono essere rimossi prima che le applicazioni vengano rilasciate agli utenti finali.
  • 6.3.2: I codici personalizzati dovrebbero essere rivisti prima del rilascio per identificare eventuali vulnerabilità di codifica.

6.4

Le società di sviluppo software dovrebbero seguire il processo di controllo delle modifiche per tutte le modifiche apportate ai componenti del sistema. Questi processi devono includere i seguenti requisiti:

  • Ambienti di sviluppo e test diversi dagli ambienti di produzione
  • Diversi compiti impostati tra sviluppo/test e ambiente di produzione
  • I dati di produzione non devono essere utilizzati per lo sviluppo o il test
  • I dati di test devono essere rimossi dai componenti del sistema prima che diventino attivi o entrino in produzione.

6.5

Richiede che la società di sviluppo software Fintech e gli sviluppatori di app finanziarie siano formati sui metodi di codifica sicuri che sono allineati con i linguaggi di codifica dell'app. Le tecniche di codifica dovrebbero basarsi sulle migliori pratiche del settore e dovrebbero essere documentate per garantire che il team le segua nella loro interezza.

6.6

Le app di pagamento rivolte al pubblico, come le app Web a cui è possibile accedere tramite Internet, dovrebbero essere protette tramite un Web Application Firewall (WAF) o tramite un rigoroso processo di scansione delle vulnerabilità delle applicazioni Web.

Considerando l'importanza di questo requisito PCI e il modo in cui imposta un livello minimo di controlli di sicurezza, ci sono alcune organizzazioni attente alla sicurezza che optano per l'approccio "cintura e bretelle" all'interno della sicurezza delle loro applicazioni web.

Perché concentrarsi sulla conformità PCI DSS?

Per le nuove aziende o startup che hanno bisogno di collaborare con grandi fornitori di servizi finanziari, PCI DSS non è negoziabile.

Le ragioni per cui dovrebbero considerare di essere conformi risiedono nel fatto che PCI migliora le misure oltre ad aumentare e mostrare credibilità ai clienti e alle altre organizzazioni.

Sebbene non sia importante per una startup sottoporsi a un audit di conformità PCI DSS completo, che potrebbe essere costoso, è utile ottenere la consulenza corretta per assistere da un punto di vista ragionevole e far muovere la palla.

Tali consultazioni sono note come valutatori della sicurezza della qualità e sono state preparate e certificate dal PCI Security Standards Council per aiutare le organizzazioni a condurre valutazioni su come gestiscono le informazioni sulle carte di credito.

Questi valutatori sono particolarmente utili per le nuove aziende poiché hanno visto soluzioni autentiche per i requisiti di conformità più schiaccianti.

Come mantenere la conformità PCI?

Le fasi della conformità PCI DSS possono essere suddivise in due parti: la prima parte consiste nel raggiungere uno stato di conformità PCI DSS, che può essere assicurato attraverso la creazione di una checklist di conformità PCI , e la seconda parte consiste nel mantenere un PCI Stato di conformità DSS.

La seconda parte: mantenere la conformità in PCI DSS è uno stato difficile da raggiungere, spesso a causa dell'idea sbagliata che la conformità riguardi semplicemente il rispetto della checklist di audit PCI DSS. La formula per mantenere la conformità è sviluppare processi che forniscano uno stato costante di conformità PCI.

Tenere registrazioni dettagliate dei processi di sicurezza e implementare la supervisione della direzione è un approccio necessario per evitare che l'autocompiacimento entri nel sistema e garantire che uno stato di conformità PCI DSS possa essere verificato in qualsiasi momento.

Stabilire un piano per la conformità continua

La conformità continua garantisce che l'ambiente di lavoro sia conforme agli standard e idoneo a proteggere le informazioni dei clienti. La conformità include più che soddisfare tutti i requisiti di una lista di controllo. È necessario considerare come queste necessità si applicano alla propria agenda particolare in modo da poter modificare le operazioni in modo appropriato. Alcune fasi che puoi prendere per garantire la conformità continua includono:

  1. Un piano per il controllo degli accessi
  2. Sviluppo delle politiche per allinearsi ai requisiti PCI
  3. Tenere e mantenere una documentazione dettagliata
  4. Gestione della supervisione
  5. Test regolari per misurare le vulnerabilità

Conclusione

Con tutto, dalla sicurezza degli utenti finali al futuro della tua azienda, basato sulla corretta implementazione e manutenzione della conformità PCI DSS, dovresti metterti in contatto con una società di sviluppo di app fintech che comprenda le formalità della conformità alla perfezione. L'azienda può essere situata nella tua zona natale o in qualsiasi altra parte del mondo, ad esempio puoi scegliere società di sviluppo di app fintech negli Stati Uniti . Assicurati di scegliere il meglio per avere risultati di qualità. In ogni caso verificare la competenza e la conoscenza dell'agenzia prima di finalizzare qualsiasi cosa.

Domande frequenti sullo sviluppo di app mobili Fintech conformi a PCI DSS

D. Quali sono i livelli di conformità PCI?

PCI DSS è richiesto da tutte le organizzazioni che archiviano, utilizzano o trasmettono i dati dei titolari di auto per condurre la propria attività. Ma i requisiti variano in base alle transazioni commerciali, il che divide la conformità in quattro livelli.

Livello 4: l'elaborazione del commerciante è inferiore a 20.000 transazioni all'anno

Livello 3: l'elaborazione del commerciante è compresa tra 20.000 e 1 milione di transazioni all'anno

Livello 2: l'elaborazione del commerciante è compresa tra 1 e 6 milioni di transazioni all'anno

Livello 1: l'elaborazione del commerciante è di oltre 6 milioni di transazioni all'anno.

D. Che cos'è PCI DSS?

Si tratta di un insieme di standard richiesti dalla legge diretti a proteggere i dati dei titolari di carta all'interno dell'applicazione e all'interno dell'organizzazione che salva le informazioni.

D. Cosa significa conformità PCI per il business delle app Fintech?

Un'azienda di app Fintech conforme allo standard PCI è legalmente preparata a aggirare i dettagli delle carte degli utenti per il loro processo. Le società fintech che non sono conformi allo standard PCI non sono autorizzate a aggirare i dati sensibili dei titolari di carta e possono affrontare gravi conseguenze finanziarie come commissioni, multe e persino la perdita di affari. Le conseguenze in quanto queste rendono lo sviluppo di software di conformità PCI per le app fintech un must assoluto.

D. Come diventare PCI Compliant?

Ci sono cinque cose principali che dovrebbero essere incluse nella tua checklist di conformità PCI:

  1. Analisi del tuo livello di conformità
  2. Compilazione del questionario di autovalutazione
  3. Apportare le modifiche necessarie/riempire le carenze
  4. Completamento di un'attestazione di conformità
  5. Archiviazione di pratiche burocratiche

D. È richiesto il certificato PCI DSS quando si utilizza il gateway di pagamento?

Sì, è obbligatorio. L'integrazione del gateway di pagamento non ti esonera dalla necessità di acquisire un certificato PCI DSS poiché in realtà gestisci le informazioni di pagamento in misura più degna di nota o minore. In ogni caso, il modo in cui aggiungi un gateway di pagamento alla tua applicazione o sito caratterizzerà il grado di conformità.

D. Qual è la relazione tra PA DSS e PCI DSS?

Il PA DSS è lo standard per gli sviluppatori e gli integratori di applicazioni di pagamento mobile che utilizzano i dati della carta per l'autorizzazione e il regolamento dei pagamenti. Per ottenere la conformità PA DSS, le app devono essere vendute, distribuite o concesse in licenza a terzi. La compliance del PA DSS si articola in due fasi –

Phases of PA-DSS

Aderire ai requisiti di PA DSS è ciò che ti aiuterà a diventare conforme a PCI DSS.