Como desenvolver um aplicativo móvel Fintech compatível com PCI DSS?

Se o seu aplicativo é um aplicativo Fintech completo como o PayPal ou se você é um aplicativo de streaming de mídia como o Netflix , que solicita aos usuários que paguem assinaturas no aplicativo, há uma coisa que você não pode perder – conformidade com PCI DSS.

A falha em analisar os padrões de segurança PCI que levam à violação de dados pode levar a consequências financeiras devastadoras, como taxas, multas e até perda de negócios. Este artigo abrange todos os conceitos básicos de conformidade com PCI para aplicativos fintech para ajudar a seguir na direção certa de desenvolvimento.

Isto é o que nosso guia de segurança de aceitação de pagamento móvel PCI implicaria:

1. O que é PCI-DSS?
2. Escopo dos Requisitos de Conformidade PCI
3. Por que focar na conformidade com o PCI DSS?
4. Como manter a conformidade com o PCI?
5. Estabelecendo um plano para conformidade contínua
6. Conclusão
7. Perguntas frequentes sobre o desenvolvimento de aplicativos móveis Fintech compatíveis com PCI DSS

O que é PCI-DSS?

O PCI Payment Card Industry Data Security Standard (PCI DSS) é um padrão técnico altamente prescritivo que se destina a proteger detalhes de cartões de crédito e débito, referidos no setor como 'dados do titular do cartão'. O objetivo do PCI DSS é evitar fraudes em termos de cartões de pagamento, protegendo os dados dos titulares de cartões dentro das organizações que aceitam pagamentos com cartão.

A conformidade com PCI gira em torno dos serviços de Tecnologia da Informação. Os gerentes de conformidade direcionados à TI que são designados com o objetivo de alcançar a conformidade dentro das organizações devem ter experiência e conhecimento de desenvolvedor de software necessários para garantir que o processo de desenvolvimento de aplicativos móveis de conformidade com PCI atenda à lista de verificação de requisitos do PCI DSS.

Com a definição do que é PCI DSS agora atendido, vejamos os requisitos específicos de desenvolvimento de PCI do aplicativo fintech.

Escopo dos Requisitos de Conformidade PCI

A maioria dos requisitos do PCI DSS que afetam o processo de desenvolvimento de aplicativos Fintech se enquadram nos Requisitos 3, 4 e 6. Esses requisitos abrangem o armazenamento de dados do titular do cartão, práticas de criptografia, controle de acesso e segurança da rede. Vamos analisar todos os três individualmente para obter uma compreensão completa da orientação do escopo do PCI.

Requisito de desenvolvimento PCI 3: proteger os dados armazenados do titular do cartão

Os dados do titular do cartão denotam informações que são processadas, impressas, armazenadas ou transmitidas no cartão de pagamento. Os aplicativos que aceitam pagamentos por meio de cartões devem proteger os dados dos titulares de cartões e impedir o uso não autorizado – independentemente de os dados serem impressos no cartão ou armazenados localmente.

Geralmente, nenhum dado do titular do cartão deve ser armazenado até que seja absolutamente necessário para atender às necessidades do negócio. Os dados sensíveis mencionados na tarja magnética nunca devem ser armazenados e caso você precise armazenar os dados do PAN, eles devem ser tornados ilegíveis. Aqui estão algumas outras coisas que devem ser consideradas na lista de verificação de conformidade do PCI, analisando o requisito 3.

3.1

O tempo de armazenamento e retenção de dados deve ser limitado de acordo com os fins legais e comerciais, conforme documentos na política de retenção de dados. Todos os dados desnecessários devem ser eliminados pelo menos a cada trimestre.

3.2

Os dados de autenticação confidenciais não devem ser armazenados após a autorização, mesmo que sejam criptografados. No entanto, os emissores podem armazenar os dados de autenticação se houver uma justificativa comercial viável e os dados forem armazenados de maneira segura.

3.3

PAN deve ser mascarado quando exibido. Os primeiros seis ou os últimos quatro dígitos são os únicos que você deve exibir.

3.4

O PAN deve ser tornado ilegível onde quer que seja armazenado – isso inclui mídia digital, em logs, mídia de backup e os dados recebidos de redes sem fio. As soluções de tecnologia que propomos para este ponto na Appinventiv incluem uma forte função de hash unidirecional do PAN completo, criptografia forte, token de índice com pads armazenados altamente seguros, etc.

3,5

As chaves usadas para a criptografia dos dados do titular do cartão devem ser protegidas contra uso indevido e divulgação.

3.6

As empresas devem documentar e implementar completamente o procedimento e o processo de gerenciamento de chaves apropriado para as chaves criptográficas usadas para a criptografia dos dados dos titulares de cartão.

Requisito de desenvolvimento PCI 4: criptografar a transmissão de dados dos titulares de cartão em redes públicas e abertas

Não é particularmente impossível para os hackers interceptar a transmissão dos dados dos titulares do cartão pelas redes públicas abertas e é muito importante proteger os dados privados do aplicativo deles. Uma maneira de fazer isso é através da criptografia dos dados .

4.1

As empresas de desenvolvimento de aplicativos devem usar protocolos de segurança e criptografia fortes, como TLS/ SSL Pinning em aplicativos iOS e soluções Android, protegendo os dados confidenciais dos titulares do cartão durante sua transmissão pela rede pública.

4.2

PANs desprotegidos nunca devem ser enviados pelas tecnologias de mensagens dos usuários finais.

Requisito de desenvolvimento PCI 6: desenvolver e manter aplicativos seguros

Os requisitos do PCI para aplicativos fintech são em termos de desenvolvimento de aplicativos externos e internos que são considerados no escopo da conformidade do aplicativo móvel PCI DSS – isso significa todos os aplicativos desenvolvidos que processam, armazenam e transmitem os dados dos titulares do cartão.

Os aplicativos de pagamento PCI que são criados pelas empresas de desenvolvimento Fintech para uso por organizações externas devem estar em conformidade com o Padrão de Segurança de Dados de Aplicativos de Pagamento (PA-DSS) e devem ser avaliados pelo PA-QSA.

6.1

A conformidade com o requisito 6.1 exige um registro de ativos de software devidamente documentado de bibliotecas e ferramentas, que são usadas no ciclo de desenvolvimento de software. Cada item dentro do registro de ativos de software deve incluir:

• Um número de versão
• Como e onde o software é usado
• Explicação clara da função que eles fornecem.

Uma vez que as bibliotecas e ferramentas de software são atualizadas com frequência, é de primordial importância que o registro seja revisado continuamente e mantido atualizado.

Uma vez que um registro de ativos de software é estabelecido, um processo deve ser implementado para monitorar regularmente cada item no registro para enviar notificação de vulnerabilidades e as versões atualizadas.

O requisito 6.1 também exige uma classificação de risco, que deve ser atribuída a cada vulnerabilidade identificada nos itens do registro de ativos. As vulnerabilidades devem ser avaliadas quanto ao risco e devem ser rotuladas com um rótulo de classificação de risco denominado como “Crítico”, “Alto”, “Médio” ou “Baixo”. Esses níveis de risco ajudariam na priorização da aplicação de patches.

6.2

Esse requisito se baseia no monitoramento de vulnerabilidades e exige que os patches de segurança de nível crítico sejam abordados e aplicados dentro de um mês da data de lançamento do fornecedor.

Os patches de vulnerabilidades classificados nos níveis baixos devem ser aplicados em 2 a 3 meses após o lançamento.

Um registro do monitoramento da liberação de patches e do processo de aplicação de patches deve ser mantido para garantir que os patches sejam identificados e incorporados dentro do prazo estipulado.

6.3

Requer o uso de um ciclo de vida de desenvolvimento de software baseado nas melhores práticas do setor. Cada parte do ciclo de vida de desenvolvimento de software deve ser documentada com detalhes sobre como a segurança de aplicativos móveis e os requisitos de PCI são abordados nos processos de desenvolvimento de conceituação, design, pesquisa e teste de aplicativos .

O documento de desenvolvimento do aplicativo de pagamento PCI deve ser descritivo o suficiente para cobrir partes de como o aplicativo processa, compartilha e armazena os dados do titular do cartão. Para alcançar a conformidade 6.3, o objetivo deve ser tornar a documentação descritiva o suficiente para que até mesmo os desenvolvedores terceirizados a entendam.

Para garantir que os desenvolvedores estejam aderindo ao ciclo de vida de desenvolvimento, a conclusão de cada estágio de desenvolvimento deve ser documentada e auditorias devem ser realizadas regularmente no processo de desenvolvimento.

• 6.3.1: As contas, senhas e IDs de usuário do aplicativo personalizado ou de teste devem ser removidos antes que os aplicativos sejam liberados para os usuários finais.
• 6.3.2: Os códigos personalizados devem ser revisados ​​antes do lançamento para identificar vulnerabilidades de codificação, se houver.

6.4

As empresas de desenvolvimento de software devem seguir o processo de controle de alterações para todas as alterações feitas nos componentes do sistema. Esses processos devem incluir os seguintes requisitos:

• Diferentes ambientes de desenvolvimento e teste dos ambientes de produção
• Diferentes deveres definidos entre desenvolvimento/teste e ambiente de produção
• Os dados de produção não devem ser usados ​​para desenvolvimento ou teste
• Os dados de teste devem ser removidos dos componentes do sistema antes de se tornarem ativos ou entrarem em produção.

6,5

Ele exige que a empresa de desenvolvimento de software Fintech e os desenvolvedores de aplicativos financeiros sejam treinados nos métodos de codificação seguros que estão alinhados com as linguagens de codificação do aplicativo. As técnicas de codificação devem ser baseadas nas melhores práticas do setor e devem ser documentadas para garantir que a equipe as siga em sua totalidade.

6.6

Os aplicativos de pagamento voltados para o público, como os aplicativos da Web que podem ser acessados ​​pela Internet, devem ser protegidos por meio de um Firewall de Aplicativo da Web (WAF) ou por meio de um processo rigoroso de Verificação de Vulnerabilidade de Aplicativo da Web.

Considerando a importância desse requisito do PCI e como ele define um nível mínimo de controles de segurança, existem algumas organizações conscientes da segurança que optam pela abordagem “cinto e suspensórios” na segurança de seus aplicativos da web.

Por que focar na conformidade com o PCI DSS?

Para novas empresas ou startups que precisam colaborar com grandes provedores de serviços financeiros, o PCI DSS não é negociável.

As razões pelas quais eles devem considerar a conformidade está no fato de que o PCI melhora as medidas, além de aumentar e mostrar credibilidade aos clientes e outras organizações.

Embora não seja importante para uma startup passar por uma auditoria completa de conformidade com o PCI DSS, o que possivelmente é caro, é benéfico obter a consulta correta para ajudar de um ponto de vista razoável e fazer a bola andar.

Essas consultas são conhecidas como avaliadores de segurança de qualidade e foram preparadas e certificadas pelo PCI Security Standards Council para ajudar as organizações a realizar avaliações sobre como lidam com informações de cartão de crédito.

Esses avaliadores são particularmente úteis para novas empresas, pois viram soluções genuínas para os requisitos de conformidade mais esmagadores.

Como manter a conformidade com o PCI?

As etapas de conformidade com o PCI DSS podem ser divididas em duas partes: a primeira parte é atingir um estado de conformidade com o PCI DSS – que pode ser assegurado por meio da criação de uma lista de verificação de conformidade com o PCI – e a segunda parte é manter uma conformidade com o PCI Estado de conformidade do DSS.

A segunda parte – manter a conformidade no PCI DSS é um estado difícil de alcançar, muitas vezes devido às suposições equivocadas de que a conformidade se trata simplesmente de seguir a lista de verificação de auditoria do PCI DSS. A fórmula para manter a conformidade é desenvolver processos que forneçam um estado contínuo de conformidade com PCI.

Manter registros detalhados dos processos de segurança e implementar a supervisão do gerenciamento é uma abordagem necessária para evitar que a complacência entre no sistema e garantir que um estado de conformidade com o PCI DSS possa ser verificado a qualquer momento.

Estabelecendo um plano para conformidade contínua

A conformidade contínua garante que seu ambiente de trabalho esteja de acordo com o padrão e adequado para proteger as informações do cliente. A conformidade inclui mais do que atender a todos os requisitos em uma lista de verificação. Você precisa considerar como essas necessidades se aplicam à sua agenda específica para que você possa alterar as operações adequadamente. Algumas etapas que você pode medir para garantir a conformidade contínua incluem:

1. Um plano para controle de acesso
2. Desenvolvimento de políticas para alinhar com os requisitos do PCI
3. Mantendo e mantendo registros detalhados
4. Gerenciamento de Supervisão
5. Testes regulares para medir vulnerabilidades

Conclusão

Com tudo, desde a segurança dos usuários finais até o futuro de seus negócios, dependendo da implementação e manutenção corretas da conformidade com o PCI DSS, você precisaria entrar em contato com uma empresa de desenvolvimento de aplicativos fintech que entendesse as formalidades de conformidade de dentro para fora. A empresa pode estar localizada em sua área nativa ou em qualquer outra parte do mundo, por exemplo, você pode escolher empresas de desenvolvimento de aplicativos fintech nos EUA . Certifique-se de escolher o melhor para ter resultados de qualidade. Em qualquer caso, verifique a experiência e o conhecimento da agência antes de finalizar qualquer coisa.

Perguntas frequentes sobre o desenvolvimento de aplicativos móveis Fintech compatíveis com PCI DSS

P. Quais são os Níveis de Conformidade PCI?

O PCI DSS é exigido por todas as organizações que armazenam, usam ou transmitem dados de titulares de veículos para conduzir seus negócios. Mas as exigências variam de acordo com as transações comerciais – o que divide a conformidade em quatro níveis.

Nível 4: o processamento do comerciante é inferior a 20.000 transações por ano

Nível 3: o processamento do comerciante está na faixa de 20.000 a 1 milhão de transações por ano

Nível 2: o processamento do comerciante é de 1 a 6 milhões de transações por ano

Nível 1: o processamento do comerciante é superior a 6 milhões de transações anualmente.

P. O que é PCI DSS?

É um conjunto de padrões exigidos por lei direcionados a proteger os dados do titular do cartão dentro do aplicativo e dentro da organização que salva as informações.

P. O que a conformidade com PCI significa para o Fintech App Business?

Um negócio de aplicativos Fintech que é compatível com PCI está legalmente preparado para contornar os detalhes do cartão dos usuários para seu processo. As empresas de fintech que não são compatíveis com PCI não têm permissão para contornar os dados confidenciais dos titulares de cartões e podem enfrentar graves consequências financeiras, como taxas, multas e até perda de negócios. Consequências como essas tornam o desenvolvimento de software de conformidade com PCI para aplicativos fintech uma necessidade absoluta.

P. Como se tornar compatível com PCI?

Há cinco coisas principais que devem ser incluídas em sua lista de verificação de conformidade com PCI:

1. Análise do seu nível de conformidade
2. Preenchimento do Questionário de Autoavaliação
3. Fazendo as mudanças necessárias/preenchendo as deficiências
4. Preenchendo um atestado de conformidade
5. Arquivamento de papelada

P. O certificado PCI DSS é necessário ao usar o gateway de pagamento?

Sim, é necessário. A integração do gateway de pagamento não o isenta da necessidade de adquirir um certificado PCI DSS, pois você gerencia as informações de pagamento em um grau mais notável ou menor. De qualquer forma, a maneira como você adiciona um gateway de pagamento ao seu aplicativo ou site caracterizará o grau de conformidade.

P. Qual é a relação entre o PA DSS e o PCI DSS?

O PA DSS é o padrão para desenvolvedores e integradores de aplicativos de pagamento móvel que usam as informações do cartão para autorização e liquidação de pagamentos. Para alcançar a conformidade com o PA DSS, os aplicativos devem ser vendidos, distribuídos ou licenciados a terceiros. A conformidade do PA DSS é dividida em duas fases –

Aderir aos requisitos do PA DSS é o que o ajudará a se tornar compatível com o PCI DSS.