• 홈페이지
  • 조항
  • App
  • PCI DSS를 준수하는 Fintech 모바일 앱을 개발하는 방법은 무엇입니까?

PCI DSS를 준수하는 Fintech 모바일 앱을 개발하는 방법은 무엇입니까?

게시 됨: 2019-10-29

앱이 PayPal과 같은 본격적인 Fintech 앱이든 사용자에게 구독에 대해 인앱 결제를 요청하는 Netflix 와 같은 미디어 스트리밍 앱이든 간에 놓쳐서는 안 되는 것이 하나 있습니다. 바로 PCI DSS 규정 준수입니다.

데이터 침해로 이어지는 PCI 보안 표준을 조사하지 않으면 수수료, 벌금, 심지어 사업 손실과 같은 엄청난 재정적 결과를 초래할 수 있습니다. 이 기사는 핀테크 앱이 올바른 개발 방향으로 나아가는 데 도움이 되는 PCI 규정 준수의 모든 기본 사항을 다룹니다.

PCI 모바일 결제 승인 보안 가이드에는 다음이 포함됩니다.

  1. PCI DSS란 무엇입니까?
  2. PCI 규정 준수 요구 사항의 범위
  3. PCI DSS 규정 준수에 중점을 두는 이유는 무엇입니까?
  4. PCI 규정 준수를 유지하는 방법은 무엇입니까?
  5. 지속적인 규정 준수 계획 수립
  6. 결론
  7. PCI DSS를 준수하는 Fintech 모바일 앱 개발에 대한 FAQ

PCI DSS란 무엇입니까?

Payment Devices Ecosystem

PCI 지불 카드 산업 데이터 보안 표준(PCI DSS)은 업계에서 '카드 소지자 데이터'라고 하는 신용 ​​및 직불 카드 세부 정보를 보호하기 위한 매우 규범적인 기술 표준입니다. PCI DSS의 목표는 카드 지불을 수락하는 조직 내부의 카드 소지자의 데이터를 보호하여 지불 카드와 관련된 사기를 방지하는 것입니다.

PCI 규정 준수는 정보 기술 서비스를 중심으로 합니다. 조직 내에서 규정 준수를 달성하기 위해 할당된 IT 지시 규정 준수 관리자는 PCI 규정 준수 모바일 앱 개발 프로세스 가 PCI DSS 요구 사항 체크리스트를 충족하는지 확인하는 데 필요한 소프트웨어 개발자 경험과 지식이 있어야 합니다.

현재 PCI DSS가 무엇인지 정의하고 핀테크 앱의 특정 PCI 개발 요구 사항을 살펴보겠습니다.

PCI 규정 준수 요구 사항의 범위

Fintech 앱 개발 프로세스에 영향을 미치는 대부분의 PCI DSS 요구 사항은 요구 사항 3, 4 및 6에 해당합니다. 이러한 요구 사항은 카드 소유자 데이터의 저장, 암호화 관행, 액세스 제어 및 네트워크 보안에 적용됩니다. PCI 범위 지침을 완전히 이해하기 위해 세 가지 모두를 개별적으로 살펴보겠습니다.

PCI 개발 요구 사항 3: 저장된 카드 소유자 데이터 보호

카드 소지자의 데이터는 결제 카드에 처리, 인쇄, 저장 또는 전송되는 정보를 나타냅니다. 카드를 통한 결제를 허용하는 앱은 데이터가 카드에 인쇄되어 있든 로컬에 저장되어 있든 상관없이 카드 소지자의 데이터를 보호하고 무단 사용을 방지해야 합니다.

일반적으로 비즈니스 요구 사항을 충족하는 데 절대적으로 필요할 때까지 카드 소지자의 데이터를 저장해서는 안 됩니다. 마그네틱 띠에 언급된 민감한 데이터는 절대 저장해서는 안 되며 PAN 세부 정보를 저장해야 하는 경우 읽을 수 없도록 해야 합니다. 다음은 요구 사항 3을 조사하는 PCI 규정 준수 체크리스트에서 설명되어야 하는 몇 가지 다른 사항입니다.

3.1

데이터 보관 및 보존 기간은 데이터 보존 정책의 문서와 같이 법률 및 비즈니스 목적에 따라 제한되어야 합니다. 모든 불필요한 데이터는 적어도 분기마다 제거되어야 합니다.

3.2

민감한 인증 데이터는 암호화된 경우에도 승인 후 저장해서는 안 됩니다. 그러나 실행 가능한 비즈니스 정당성이 있고 데이터가 안전한 방식으로 저장되는 경우 발급자는 인증 데이터를 저장할 수 있습니다.

3.3

PAN은 표시될 때 마스크되어야 합니다. 처음 6자리 또는 마지막 4자리만 표시해야 합니다.

3.4

PAN은 디지털 미디어, 로그, 백업 미디어 및 무선 네트워크에서 수신한 데이터가 포함된 저장 위치에 관계없이 읽을 수 없도록 해야 합니다. 이 시점에 Appinventiv에서 제안하는 기술 솔루션에는 완전한 PAN의 강력한 단방향 해시 기능, 강력한 암호화, 고도로 안전한 저장 패드가 있는 인덱스 토큰 등이 포함됩니다.

3.5

카드 소지자 데이터의 암호화에 사용되는 키는 오용 및 공개로부터 보호되어야 합니다.

3.6

회사는 카드 소지자의 데이터 암호화에 사용되는 암호화 키에 대한 적절한 키 관리 절차 및 프로세스를 완전히 문서화하고 구현해야 합니다.

PCI 개발 요구 사항 4: 공개 네트워크를 통한 카드 소유자 데이터 전송 암호화

해커가 개방된 공용 네트워크를 통해 카드 소지자의 데이터 전송을 가로채는 것은 특히 불가능하지 않으며 앱의 개인 데이터를 보호하는 것이 매우 중요합니다. 이를 수행하는 한 가지 방법 은 데이터를 암호화하는 것 입니다.

4.1

앱 개발 회사공용 네트워크를 통해 전송되는 동안 카드 소지자의 민감한 데이터를 보호하는 iOS 앱 및 Android 솔루션의 TLS/ SSL Pinning과 같은 강력한 보안 프로토콜 및 암호화를 사용해야 합니다.

4.2

보호되지 않는 PAN은 최종 사용자의 메시징 기술에 의해 전송되어서는 안 됩니다.

PCI 개발 요구 사항 6: 보안 애플리케이션 개발 및 유지 관리

핀테크 앱에 대한 PCI 요구 사항PCI DSS 모바일 앱 규정 준수 범위로 간주되는 외부 및 내부 응용 프로그램의 개발 측면입니다. 이는 카드 소지자의 데이터처리, 저장 및 전송 하는 모든 개발된 앱을 나타냅니다 .

핀테크 개발 회사 가 외부 기관에서 사용하기 위해 만든 PCI 결제 애플리케이션은 PA-DSS(Payment Application Data Security Standard)를 준수해야 하며 PA-QSA에서 평가해야 합니다.

6.1

6.1 요구 사항을 준수하려면 소프트웨어 개발 주기에 사용되는 라이브러리 및 도구의 적절하게 문서화된 소프트웨어 자산 등록이 필요합니다. 소프트웨어 자산 등록부의 모든 항목에는 다음이 포함되어야 합니다.

  • 버전 번호
  • 소프트웨어 사용 방법 및 위치
  • 그들이 제공하는 기능에 대한 명확한 설명.

소프트웨어 라이브러리와 도구는 자주 업데이트되므로 레지스터를 지속적으로 검토하고 최신 상태로 유지하는 것이 가장 중요합니다.

소프트웨어 자산 등록이 설정되면 취약성과 업데이트된 릴리스에 대한 알림을 보내기 위해 등록의 모든 항목을 정기적으로 모니터링하는 프로세스를 구현해야 합니다.

요구 사항 6.1은 또한 자산 등록 내의 항목에서 식별된 모든 취약성에 대해 할당되어야 하는 위험 순위를 요구합니다. 취약성은 위험을 평가해야 하며 "중요", "높음", "중간" 또는 "낮음"이라는 위험 등급 레이블로 레이블을 지정해야 합니다. 이러한 위험 수준은 패치 우선 순위 지정에 도움이 됩니다.

6.2

이 요구 사항은 취약성 모니터링을 기반으로 하며 공급업체 릴리스 날짜로부터 1개월 이내에 해결되고 적용되어야 하는 중요 수준 보안 패치를 요구합니다.

낮은 수준으로 평가된 취약점 패치는 릴리스 후 2~3개월 내에 적용해야 합니다.

패치 릴리스 모니터링 및 패치 프로세스에 대한 로그를 유지 관리하여 패치가 규정된 시간 내에 식별되고 통합되도록 해야 합니다.

6.3

이를 위해서는 업계의 모범 사례를 기반으로 하는 소프트웨어 개발 수명 주기를 사용해야 합니다. 소프트웨어 개발 수명 주기의 모든 부분은 모바일 앱 보안 및 PCI 요구 사항이 개발의 개념화, 디자인, 연구 및 앱 테스트 프로세스 에서 어떻게 처리되는지에 대한 세부 정보와 함께 문서화되어야 합니다 .

PCI 결제 애플리케이션 개발 문서는 앱이 카드 소지자 데이터를 처리, 공유 및 저장하는 방법의 일부를 다룰 만큼 충분히 설명해야 합니다. 6.3 준수를 달성하려면 제3자 개발자도 이해할 수 있도록 문서를 설명하는 것이 목표여야 합니다.

개발자가 개발 수명 주기를 준수하고 있는지 확인하려면 모든 개발 단계의 완료를 문서화하고 개발 프로세스에 대한 감사를 정기적으로 수행해야 합니다.

  • 6.3.1: 애플리케이션이 최종 사용자에게 출시되기 전에 테스트 또는 사용자 정의 앱 계정, 비밀번호 및 사용자 IDS를 제거해야 합니다.
  • 6.3.2: 사용자 지정 코드는 배포하기 전에 검토하여 코딩 취약점이 있는 경우 이를 식별해야 합니다.

6.4

소프트웨어 개발 회사는 시스템 구성 요소에 대한 모든 변경 사항에 대해 변경 제어 프로세스를 따라야 합니다. 이러한 프로세스에는 다음 요구 사항이 포함되어야 합니다.

  • 프로덕션 환경과 다른 개발 및 테스트 환경
  • 개발/테스트 및 프로덕션 환경 간에 설정된 다른 의무
  • 프로덕션 데이터를 개발 또는 테스트에 사용해서는 안 됩니다.
  • 테스트 데이터는 활성화되거나 프로덕션에 들어가기 전에 시스템 구성 요소에서 제거해야 합니다.

6.5

Fintech 소프트웨어 개발 회사와 금융 앱 개발자 는 앱의 코딩 언어와 일치하는 보안 코딩 방법에 대한 교육을 받아야 합니다. 코딩 기술은 업계의 모범 사례를 기반으로 해야 하며 팀이 이를 완전히 따를 수 있도록 문서화해야 합니다.

6.6

인터넷을 통해 액세스할 수 있는 웹 앱과 같이 대중을 대상으로 하는 결제 앱은 WAF(웹 응용 프로그램 방화벽) 또는 엄격한 웹 응용 프로그램 취약성 검사 프로세스를 통해 보호되어야 합니다.

이 PCI 요구 사항의 중요성과 이것이 최소 수준의 보안 제어를 설정하는 방법을 고려할 때 웹 애플리케이션 보안 내에서 "벨트 앤 브레이스" 접근 방식을 선택하는 보안 의식이 있는 조직이 있습니다.

PCI DSS 규정 준수에 중점을 두는 이유는 무엇입니까?

대형 금융 서비스 제공업체와 협력해야 하는 신규 회사 또는 신생 기업의 경우 PCI DSS는 협상 대상이 아닙니다.

그들이 규정 준수를 고려해야 하는 이유는 PCI가 고객 및 기타 조직에 대한 신뢰도를 높이고 보여주는 것 외에도 조치를 개선한다는 사실에 있습니다.

스타트업이 전체 PCI DSS 준수 감사를 통과하는 것은 중요하지 않으며 이는 비용이 많이 들 수 있지만 합리적인 관점에서 지원하고 공을 움직이게 하려면 올바른 상담을 받는 것이 좋습니다.

이러한 상담을 품질 보안 평가자라고 하며 조직이 신용 카드 정보를 처리하는 방법에 대한 평가를 수행하는 데 도움이 되도록 PCI 보안 표준 위원회에서 준비하고 인증했습니다.

이러한 평가자는 가장 압도적인 규정 준수 요구 사항에 대한 진정한 솔루션을 보았기 때문에 새로운 회사에 특히 유용합니다.

PCI 규정 준수를 유지하는 방법은 무엇입니까?

PCI DSS 준수 단계는 두 부분으로 나눌 수 있습니다. 첫 번째 부분은 PCI 준수 체크리스트 작성을 통해 보장할 수 있는 PCI DSS 준수 상태를 달성하는 것이고 두 번째 부분은 PCI를 유지 관리하는 것입니다. DSS 준수 상태.

두 번째 부분 - PCI DSS에서 규정 준수를 유지하는 것은 달성하기 어려운 상태입니다. 이는 종종 규정 준수가 PCI DSS 감사 체크리스트를 따르는 것이라는 잘못된 가정 때문입니다. 규정 준수를 유지하기 위한 공식은 지속적인 PCI 규정 준수 상태를 제공하는 프로세스를 개발하는 것입니다.

보안 프로세스에 대한 자세한 기록을 유지하고 경영진의 감독을 구현하는 것은 시스템에 안주하지 않고 PCI DSS 준수 상태를 언제든지 확인할 수 있도록 하는 데 필요한 접근 방식입니다.

지속적인 규정 준수 계획 수립

지속적인 규정 준수를 통해 작업 환경이 표준에 부합하고 클라이언트 정보를 보호하기에 적합합니다. 규정 준수에는 체크리스트의 모든 요구 사항을 충족하는 것 이상이 포함됩니다. 작업을 적절하게 변경할 수 있도록 이러한 필수 사항을 특정 의제에 적용하는 방법을 고려해야 합니다. 지속적인 규정 준수를 보장하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다.

  1. 접근 통제를 위한 계획
  2. PCI 요구 사항에 부합하는 정책 개발
  3. 세부 기록 유지 및 유지
  4. 감독 관리
  5. 취약점을 측정하기 위한 정기적인 테스트

결론

PCI DSS 규정 준수의 올바른 구현 및 유지 관리를 기반으로 하는 최종 사용자의 보안에서 비즈니스의 미래에 이르기까지 모든 것이 규정 준수의 형식을 완전히 이해 하는 핀테크 앱 개발 회사 에 연락해야 합니다. 회사는 귀하의 모국에 위치하거나 세계의 다른 지역에 있을 수 있습니다. 예를 들어 미국에서 핀테크 앱 개발 회사를 선택할 수 있습니다 . 최상의 결과를 얻으려면 최선을 선택하십시오. 어떤 경우든 최종 결정을 내리기 전에 기관의 전문 지식과 지식을 확인하십시오.

PCI DSS를 준수하는 Fintech 모바일 앱 개발에 대한 FAQ

Q. PCI 규정 준수 수준은 무엇입니까?

PCI DSS는 비즈니스 수행을 위해 자동차 소유자의 데이터를 저장, 사용 또는 전송하는 모든 조직에 필요합니다. 그러나 요구 사항은 규정 준수를 네 가지 수준으로 나누는 비즈니스 트랜잭션에 따라 다릅니다.

레벨 4: 판매자 처리가 연간 20,000건 미만의 거래입니다.

레벨 3: 가맹점 처리가 연간 20,000~100만 건의 거래 범위에 있습니다.

수준 2: 판매자 처리는 연간 100만~600만 건의 거래입니다.

레벨 1: 판매자 처리는 연간 6백만 건 이상의 거래입니다.

Q. PCI DSS란 무엇입니까?

정보를 저장하는 애플리케이션 및 조직 내부에서 카드 소지자의 데이터를 보호하기 위해 법률에서 요구하는 일련의 표준입니다.

Q. 핀테크 앱 비즈니스에서 PCI 규정 준수는 무엇을 의미합니까?

PCI를 준수하는 Fintech 앱 비즈니스는 프로세스를 위해 사용자의 카드 세부 정보를 처리할 법적 준비가 되어 있습니다. PCI를 준수하지 않는 핀테크 회사는 카드 소지자의 민감한 데이터를 처리할 수 없으며 수수료, 벌금, 비즈니스 손실과 같은 심각한 재정적 결과에 직면할 수 있습니다. 이러한 결과는 핀테크 앱을 위한 PCI 컴플라이언스 소프트웨어 개발 이 절대적으로 필요합니다.

Q. PCI 규격이 되려면 어떻게 해야 합니까?

PCI 규정 준수 체크리스트에 포함되어야 하는 5가지 주요 사항이 있습니다.

  1. 규정 준수 수준 분석
  2. 자기 평가 설문지 작성
  3. 필요한 변경/ 부족한 부분 채우기
  4. 준수 증명 완료
  5. 서류 접수

Q. 지불 게이트웨이를 사용할 때 PCI DSS 인증서가 필요합니까?

예, 필수입니다. 지불 게이트웨이 통합은 실제로 지불 정보를 더 주목할만한 정도로 관리하기 때문에 PCI DSS 인증서를 취득해야 하는 필요성을 덜어주지 않습니다. 어떤 경우든 애플리케이션이나 사이트에 지불 게이트웨이를 추가하는 방식에 따라 규정 준수 정도가 결정됩니다.

Q. PA DSS와 PCI DSS의 관계는 무엇입니까?

PA DSS 는 카드 정보를 결제 승인 및 결제에 사용하는 모바일 결제 애플리케이션 개발자 및 통합자를 위한 표준입니다. PA DSS 규정을 준수하려면 앱을 제3자에게 판매, 배포 또는 라이선스해야 합니다. PA DSS 준수는 두 단계로 나뉩니다.

Phases of PA-DSS

PA DSS의 요구 사항을 준수하면 PCI DSS를 준수하는 데 도움이 됩니다.