PCI DSS準拠のFintechモバイルアプリを開発する方法は?

公開: 2019-10-29

アプリがPayPalのような本格的なFintechアプリであろうと、ユーザーにサブスクリプションのアプリ内支払いを要求するNetflixのようなメディアストリーミングアプリであろうと、見逃せないことが1つあります。それはPCIDSSコンプライアンスです。

データ侵害につながるPCIセキュリティ標準の調査に失敗すると、料金、罰金、さらにはビジネスの損失などの壊滅的な経済的影響につながる可能性があります。 この記事では、フィンテックアプリのPCIコンプライアンスの基本をすべて網羅し、正しい開発方向への移行を支援します。

これは、PCIモバイル決済受け入れセキュリティガイドに必要なものです。

  1. PCI DSSとは何ですか?
  2. PCIコンプライアンス要件の範囲
  3. なぜPCIDSSコンプライアンスに焦点を合わせるのですか?
  4. PCIコンプライアンスを維持する方法は?
  5. 継続的なコンプライアンスの計画を立てる
  6. 結論
  7. PCIDSS準拠のFintechモバイルアプリ開発に関するFAQ

PCI DSSとは何ですか?

Payment Devices Ecosystem

PCIペイメントカード業界データセキュリティ標準(PCI DSS)は、業界では「カード会員データ」と呼ばれる、クレジットカードとデビットカードの詳細を保護することを目的とした非常に規範的な技術標準です。 PCI DSSの目的は、カード決済を受け入れる組織内のカード所有者のデータを保護することにより、ペイメントカードの観点から不正を節約することです。

PCIコンプライアンスは、情報技術サービスを中心としています。 組織内でコンプライアンスを達成する目的で割り当てられたIT主導のコンプライアンスマネージャーは、PCIコンプライアンスモバイルアプリ開発プロセスがPCIDSS要件チェックリストを確実に満たすためにソフトウェア開発者の経験と知識を必要としました。

現在参加しているPCIDSSの定義を踏まえて、フィンテックアプリの特定のPCI開発要件を調べてみましょう。

PCIコンプライアンス要件の範囲

Fintechアプリの開発プロセスに影響を与えるPCIDSS要件のほとんどは、要件3、4、および6に該当します。これらの要件は、カード会員データの保存、暗号化手法、アクセス制御、およびネットワークセキュリティを対象としています。 PCIスコープガイダンスを完全に理解するために、3つすべてを個別に調べてみましょう。

PCI開発要件3:保存されたカード会員データを保護する

カード所有者のデータは、ペイメントカードで処理、印刷、保存、または送信される情報を示します。 カードによる支払いを受け入れるアプリは、データがカードに印刷されているかローカルに保存されているかに関係なく、カード所有者のデータを保護し、不正使用を防止することになっています。

一般に、カード所有者のデータは、ビジネスニーズを満たすために絶対に必要になるまで保存しないでください。 磁気ストライプに記載されている機密データは絶対に保存しないでください。PANの詳細を保存する必要がある場合は、読み取り不能にする必要があります。 要件3を検討するPCIコンプライアンスチェックリストで説明する必要のあるその他の事項を次に示します。

3.1

データの保存と保持の時間は、データ保持ポリシーのドキュメントとして、法律上およびビジネス上の目的に応じて制限する必要があります。 不要なデータはすべて、少なくとも四半期ごとに削除する必要があります。

3.2

機密性の高い認証データは、暗号化されている場合でも、承認後に保存しないでください。 ただし、実行可能なビジネス上の正当性があり、データが安全な方法で保存されている場合、発行者は認証データを保存できます。

3.3

PANは、表示時にマスクする必要があります。 表示する必要があるのは、最初の6桁または最後の4桁だけです。

3.43.4

PANは、保存されている場所ではどこでも読み取り不能にする必要があります。これには、デジタルメディア、ログ、バックアップメディア、およびワイヤレスネットワークから受信したデータが含まれます。 Appinventivでこの時点で提案するテクノロジーソリューションには、完全なPANの強力な一方向ハッシュ関数、強力な暗号化、高度に保護された保存済みパッドを備えたインデックストークンなどが含まれます。

3.5

カード会員データの暗号化に使用されるキーは、誤用や開示から保護する必要があります。

3.6

企業は、カード所有者のデータの暗号化に使用される暗号化キーの適切なキー管理手順とプロセスを完全に文書化して実装する必要があります。

PCI開発要件4:パブリックでオープンなネットワークを介したカード所有者のデータの送信を暗号化する

ハッカーがオープンなパブリックネットワークを介したカード所有者のデータの送信を傍受することは特に不可能ではなく、アプリのプライベートデータをハッカーから保護することは非常に重要です。 これを行う1つの方法は、データの暗号化を使用することです。

4.1

アプリ開発会社は、iOSアプリのTLS / SSLピン留めやAndroidソリューションなどの強力なセキュリティプロトコルと暗号化を使用して、パブリックネットワークを介した送信中にカード所有者の機密データを保護する必要があります。

4.2

保護されていないPANは、エンドユーザーのメッセージングテクノロジーによって送信されるべきではありません。

PCI開発要件6:安全なアプリケーションの開発と保守

フィンテックアプリのPCI要件は、 PCI DSSモバイルアプリコンプライアンスの範囲内であると見なされる外部および内部アプリケーションの開発に関するものです。これは、カード所有者のデータ処理、保存、および送信するすべての開発済みアプリを表します。

Fintech開発会社が外部組織で使用するために作成したPCI支払いアプリケーションは、支払いアプリケーションデータセキュリティ標準(PA-DSS)に準拠し、PA-QSAによって評価される必要があります。

6.1

6.1要件に準拠するには、ソフトウェア開発サイクルで使用されるライブラリとツールの適切に文書化されたソフトウェア資産登録が必要です。 ソフトウェア資産台帳内のすべての項目には、次のものが含まれている必要があります。

  • バージョン番号
  • ソフトウェアが使用される方法と場所
  • それらが提供する機能の明確な説明。

ソフトウェアライブラリとツールは頻繁に更新されるため、レジスタを継続的にレビューし、最新の状態に保つことが最も重要です。

ソフトウェア資産レジスターが確立されたら、脆弱性と更新されたリリースの通知を送信するために、レジスター内のすべてのアイテムを定期的に監視するプロセスを実装する必要があります。

要件6.1では、リスクランキングも求められています。これは、資産台帳内のアイテムで識別されるすべての脆弱性に割り当てる必要があります。 脆弱性はリスク評価されるべきであり、「重大」、「高」、「中」または「低」と呼ばれるリスク評価ラベルでラベル付けされなければなりません。 これらのリスクレベルは、パッチの優先順位付けに役立ちます。

6.2

この要件は、脆弱性の監視に基づいて構築されており、ベンダーのリリース日から1か月以内に対処し、適用するクリティカルレベルのセキュリティパッチを要求します。

低レベルで評価された脆弱性パッチは、リリースから2〜3か月以内に適用する必要があります。

パッチが特定され、規定の時間内に組み込まれるようにするために、パッチリリースの監視とパッチ適用プロセスのログを維持する必要があります。

6.3

業界のベストプラクティスに基づいたソフトウェア開発ライフサイクルを使用する必要があります。 ソフトウェア開発ライフサイクルのすべての部分は、開発の概念化、設計、調査、およびアプリテストプロセスでモバイルアプリのセキュリティとPCI要件にどのように対処するかについての詳細とともに文書化する必要があります。

PCIペイメントアプリケーション開発ドキュメントは、アプリがカード会員データを処理、共有、保存する方法の一部をカバーするのに十分な説明が必要です。 6.3準拠を実現するには、サードパーティの開発者でも理解できるようにドキュメントを十分に説明できるようにすることを目的とする必要があります。

開発者が開発ライフサイクルを順守していることを確認するために、すべての開発段階の完了を文書化し、開発プロセスの監査を定期的に実施する必要があります。

  • 6.3.1:アプリケーションがエンドユーザーにリリースされる前に、テストまたはカスタムアプリのアカウント、パスワード、およびユーザーIDSを削除する必要があります。
  • 6.3.2:コーディングの脆弱性がある場合は、リリースする前にカスタムコードを確認して特定する必要があります。

6.4

ソフトウェア開発会社は、システムコンポーネントに加えられたすべての変更について、変更管理プロセスに従う必要があります。 これらのプロセスには、次の要件が含まれている必要があります。

  • 実稼働環境とは異なる開発およびテスト環境
  • 開発/テスト環境と本番環境の間で設定された異なる義務
  • 本番データを開発またはテストに使用してはなりません
  • テストデータは、アクティブになる前、または本番環境に入る前に、システムのコンポーネントから削除する必要があります。

6.5

Fintechソフトウェア開発会社と金融アプリ開発者は、アプリのコーディング言語に合わせた安全なコーディング方法のトレーニングを受ける必要があります。 コーディング手法は、業界のベストプラクティスに基づいている必要があり、チームがそれらを完全に遵守できるように文書化する必要があります。

6.6

インターネットを介してアクセスできるWebアプリのように、一般に公開されている支払いアプリは、Webアプリケーションファイアウォール(WAF)または厳格なWebアプリケーション脆弱性スキャンプロセスのいずれかを介して保護する必要があります。

このPCI要件の重要性と、それがセキュリティ制御の最小レベルをどのように設定するかを考慮すると、Webアプリケーションセキュリティ内で「ベルトアンドブレース」アプローチを選択するセキュリティ意識の高い組織がいくつかあります。

なぜPCIDSSコンプライアンスに焦点を合わせるのですか?

大手金融サービスプロバイダーと協力する必要のある新しい企業や新興企業にとって、PCIDSSは交渉の余地がありません。

準拠を検討する必要がある理由は、PCIがクライアントや他の組織への信頼性を高め、示すことに加えて、対策を改善するという事実にあります。

スタートアップが完全なPCIDSSコンプライアンス監査を受けることは重要ではありませんが、これはおそらくコストがかかりますが、合理的な観点から支援し、ボールを動かすための正しい相談を受けることは有益です。

このようなコンサルテーションは品質セキュリティ評価者として知られており、組織がクレジットカード情報をどのように処理するかについて評価を行うのを支援するために、PCIセキュリティ標準評議会によって準備および認定されています。

これらの評価者は、最も圧倒的なコンプライアンス要件に対する真のソリューションを見てきましたので、特に新しい企業に役立ちます。

PCIコンプライアンスを維持する方法は?

PCI DSSコンプライアンスの段階は、2つの部分に分けることができます。最初の部分は、PCI DSSコンプライアンス状態を達成することです。これは、 PCIコンプライアンスチェックリストを作成することで保証できます。2番目の部分は、PCIを維持することです。 DSSコンプライアンスの状態。

2番目の部分– PCI DSSでコンプライアンスを維持することは、多くの場合、コンプライアンスが単にPCIDSS監査チェックリストに従うことであるという誤解のために達成するのが難しい状態です。 コンプライアンスを維持するための公式は、継続的なPCIコンプライアンス状態を提供するプロセスを開発することです。

セキュリティプロセスの詳細な記録を保持し、管理者の監視を実装することは、自己満足がシステムに入らないようにし、PCIDSSコンプライアンス状態をいつでも確認できるようにするために必要なアプローチです。

継続的なコンプライアンスの計画を立てる

継続的なコンプライアンスにより、作業環境が標準に達し、クライアント情報を保護するのに適していることが保証されます。 コンプライアンスには、チェックリストのすべての要件を満たすだけではありません。 操作を適切に変更できるように、これらの必需品が特定のアジェンダにどのように適用されるかを考慮する必要があります。 継続的なコンプライアンスを保証するために対策を講じることができるいくつかの段階には、次のものがあります。

  1. アクセス制御の計画
  2. PCI要件に合わせるためのポリシー開発
  3. 詳細な記録の保持と維持
  4. 監視管理
  5. 脆弱性を測定するための定期的なテスト

結論

エンドユーザーのセキュリティからビジネスの将来に至るまで、PCI DSSコンプライアンスの適切な実装と保守に取り組むためには、コンプライアンスの手続きを完全に理解しているフィンテックアプリ開発会社に連絡する必要があります。 会社はあなたの出身地にある場合もあれば、世界の他の地域にある場合もあります。たとえば、米国のフィンテックアプリ開発会社を選択できます 質の高い結果を得るために最良のものを選択するようにしてください。 いずれにせよ、何かを確定する前に、代理店の専門知識と知識を確認してください。

PCIDSS準拠のFintechモバイルアプリ開発に関するFAQ

Q. PCIコンプライアンスレベルとは何ですか?

PCI DSSは、ビジネスを行うために自動車所有者のデータを保存、使用、または送信するすべての組織に必要です。 ただし、要件はビジネストランザクションによって異なります。これにより、コンプライアンスが4つのレベルに分けられます。

レベル4:マーチャントの処理は年間20,000トランザクション未満です

レベル3:マーチャントの処理は、年間20,000〜100万トランザクションの範囲です

レベル2:マーチャントの処理は年間100万から600万のトランザクションです

レベル1:マーチャントの処理は年間600万件以上のトランザクションです。

Q. PCI DSSとは何ですか?

これは、情報を保存するアプリケーション内および組織内のカード所有者のデータを保護することを目的とした法律で義務付けられている一連の標準です。

Q. PCIコンプライアンスはFintechアプリビジネスにとって何を意味しますか?

PCIに準拠しているFintechアプリビジネスは、プロセスのためにユーザーのカードの詳細を回避するために法的に準備されています。 PCIに準拠していないフィンテック企業は、カード所有者の機密データを回避することを許可されておらず、料金、罰金、さらには事業の損失などの深刻な経済的影響に直面する可能性があります。 これらの結果、フィンテックアプリのPCIコンプライアンスソフトウェア開発は絶対に必要です。

Q. PCI準拠になるにはどうすればよいですか?

PCIコンプライアンスチェックリストに含める必要がある主なものは5つあります。

  1. コンプライアンスレベルの分析
  2. 自己問診への記入
  3. 必要な変更を加える/欠点を埋める
  4. コンプライアンスの証明を完了する
  5. 書類の提出

Q.ペイメントゲートウェイを使用する場合、PCI DSS証明書は必要ですか?

はい、必須です。 支払いゲートウェイの統合では、実際に支払い情報をより注目に値する、またはより少ない程度で管理するため、PCIDSS証明書を取得する必要がなくなりません。 いずれの場合も、アプリケーションまたはサイトに支払いゲートウェイを追加する方法によって、コンプライアンスの程度が決まります。

Q. PADSSとPCIDSSの関係は何ですか?

PA DSSは、支払いの承認と決済にカード情報を使用するモバイル決済アプリケーションの開発者とインテグレーター向けの標準です。 PA DSSコンプライアンスを達成するには、アプリをサードパーティに販売、配布、またはライセンス供与する必要があります。 PA DSSのコンプライアンスは、2つのフェーズに分かれています–

Phases of PA-DSS

PA DSSの要件を順守することは、PCIDSSに準拠するのに役立ちます。