Cum să dezvoltați o aplicație mobilă Fintech compatibilă cu PCI DSS?

Indiferent dacă aplicația dvs. este o aplicație Fintech cu drepturi depline, cum ar fi PayPal, sau dacă sunteți o aplicație de streaming media precum Netflix , care le cere utilizatorilor să plătească în aplicație pentru abonamente, există un lucru pe care nu vă puteți permite să-l ratați - Conformitatea PCI DSS.

Eșecul de a analiza standardele de securitate PCI care duc la încălcarea datelor poate duce la consecințe financiare devastatoare, cum ar fi taxe, amenzi și chiar pierderi de afaceri. Acest articol cuprinde toate elementele de bază ale conformității PCI pentru aplicația fintech pentru a ajuta la trecerea în direcția corectă de dezvoltare.

Iată ce ar presupune ghidul nostru de securitate PCI pentru acceptarea plăților mobile:

1. Ce este PCI DSS?
2. Domeniul de aplicare al cerințelor de conformitate PCI
3. De ce să se concentreze pe conformitatea PCI DSS?
4. Cum se menține conformitatea PCI?
5. Stabilirea unui plan de conformitate continuă
6. Concluzie
7. Întrebări frecvente despre dezvoltarea aplicațiilor mobile Fintech compatibile cu PCI DSS

Ce este PCI DSS?

Standardul de securitate a datelor din industria cardurilor de plată PCI (PCI DSS) este un standard tehnic puternic prescriptiv, care vizează protejarea detaliilor cardurilor de credit și de debit, denumite în industrie „date deținătorului de card”. Scopul PCI DSS este de a salva fraudele în ceea ce privește cardurile de plată prin securizarea datelor deținătorilor de carduri în cadrul organizațiilor care acceptă fie plăți cu cardul.

Conformitatea PCI se concentrează în jurul serviciilor de tehnologia informației. Managerii de conformitate direcționați de IT care sunt desemnați cu scopul de a obține conformitatea în cadrul organizațiilor ar trebui să aibă experiență și cunoștințe necesare dezvoltatorului de software pentru a se asigura că procesul de dezvoltare a aplicațiilor mobile conform PCI îndeplinește lista de verificare a cerințelor PCI DSS.

Odată cu definirea a ceea ce este PCI DSS, să ne uităm la cerințele specifice de dezvoltare PCI ale aplicației fintech.

Domeniul de aplicare al cerințelor de conformitate PCI

Cele mai multe dintre cerințele PCI DSS care afectează procesul de dezvoltare a aplicațiilor Fintech se încadrează în cerințele 3, 4 și 6. Aceste cerințe acoperă stocarea datelor deținătorilor de card, practicile de criptare, controlul accesului și securitatea rețelei. Să le analizăm pe toate trei în mod individual pentru a înțelege complet ghidul pentru domeniul PCI.

Cerința de dezvoltare PCI 3: Protejați datele stocate ale titularului de card

Datele deținătorului cardului denotă informații care sunt procesate, tipărite, stocate sau transmise pe cardul de plată. Aplicațiile care acceptă plata prin carduri ar trebui să protejeze datele deținătorilor de card și să prevină utilizarea neautorizată – indiferent dacă datele sunt tipărite pe card sau stocate local.

În general, datele deținătorilor de card nu trebuie stocate până când nu sunt absolut necesare pentru satisfacerea nevoilor de afaceri. Datele sensibile menționate pe banda magnetică nu ar trebui să fie niciodată stocate și în cazul în care va trebui să stocați detaliile PAN, acestea ar trebui să devină ilizibile. Iată câteva alte lucruri care ar trebui luate în considerare în lista de verificare a conformității PCI care analizează cerința 3.

3.1

Durata de stocare și păstrare a datelor ar trebui limitată în funcție de scopurile legale și de afaceri, conform documentelor din politica de păstrare a datelor. Toate datele inutile ar trebui eliminate cel puțin o dată pe trimestru.

3.2

Datele de autentificare sensibile nu ar trebui să fie stocate după autorizare, chiar dacă sunt criptate. Cu toate acestea, emitenții pot stoca datele de autentificare dacă există o justificare comercială viabilă și datele sunt stocate într-un mod sigur.

3.3

PAN ar trebui să fie mascat atunci când este afișat. Primele șase sau ultimele patru cifre sunt singurele pe care ar trebui să le afișați.

3.4

PAN-ul ar trebui să devină imposibil de citit oriunde este stocat - aceasta include mediile digitale, în jurnale, mediile de rezervă și datele primite din rețelele wireless. Soluțiile tehnologice pe care le propunem pentru acest punct la Appinventiv includ o funcție de hash puternică unidirecțională a PAN complet, criptografie puternică, index token cu pad-uri stocate foarte securizate etc.

3.5

Cheile care sunt utilizate pentru criptarea datelor deținătorului cardului ar trebui protejate împotriva utilizării greșite și a dezvăluirii.

3.6

Companiile ar trebui să documenteze complet și să implementeze procedura și procesul adecvat de gestionare a cheilor pentru cheile criptografice care sunt utilizate pentru criptarea datelor deținătorilor de carduri.

Cerința 4 de dezvoltare PCI: Criptați transmiterea datelor deținătorilor de carduri prin rețele publice deschise

Nu este imposibil ca hackerii să intercepteze transmiterea datelor deținătorilor de carduri prin rețelele publice deschise și este foarte important să protejăm datele private ale aplicației de acestea. O modalitate de a face acest lucru este prin criptarea datelor .

4.1

Companiile de dezvoltare de aplicații ar trebui să utilizeze protocoale de securitate puternice și criptografie, cum ar fi fixarea TLS/ SSL în aplicația iOS și soluții Android, care protejează datele sensibile ale deținătorilor de card în timpul transmiterii acestora prin rețeaua publică.

4.2

PAN-urile neprotejate nu ar trebui să fie niciodată trimise de tehnologiile de mesagerie ale utilizatorilor finali.

Cerința 6 de dezvoltare PCI: Dezvoltați și mențineți aplicații securizate

Cerințele PCI pentru aplicația fintech sunt în ceea ce privește dezvoltarea aplicației externe și interne, care este considerată a fi în domeniul de aplicare al aplicației mobile PCI DSS - aceasta reprezintă fiecare aplicație dezvoltată care procesează, stochează și transmite datele deținătorilor de carduri.

Aplicațiile de plată PCI care sunt create de companiile de dezvoltare Fintech pentru a fi utilizate de organizații externe ar trebui să respecte Standardul de securitate a datelor aplicațiilor de plată (PA-DSS) și ar trebui să fie evaluate de PA-QSA.

6.1

Conformitatea cu cerința 6.1 necesită un registru de active software documentat corespunzător al bibliotecilor și instrumentelor, care sunt utilizate în ciclul de dezvoltare a software-ului. Fiecare articol din registrul de active software ar trebui să includă:

• Un număr de versiune
• Cum și unde este utilizat software-ul
• Explicație clară a funcției pe care o oferă.

Deoarece bibliotecile și instrumentele software sunt actualizate frecvent, este de primă importanță ca registrul să fie revizuit în mod continuu și să fie ținut la zi.

Odată ce este stabilit un registru al activelor software, ar trebui implementat un proces pentru a monitoriza în mod regulat fiecare articol din registru pentru trimiterea notificărilor privind vulnerabilitățile și versiunile actualizate.

Cerința 6.1 solicită, de asemenea, o clasificare a riscurilor, care ar trebui să fie atribuită pentru fiecare vulnerabilitate care este identificată în elementele din registrul activelor. Vulnerabilitățile ar trebui să fie evaluate de risc și trebuie să fie etichetate cu eticheta de evaluare a riscului numită „Critic”, „Ridicat”, „Mediu” sau „Scăzut”. Aceste niveluri de risc ar ajuta apoi la prioritizarea corecțiilor.

6.2

Această cerință se bazează pe monitorizarea vulnerabilităților și necesită ca patch-urile de securitate la nivel critic să fie abordate și aplicate în termen de o lună de la data lansării furnizorului.

Patch-urile cu vulnerabilități care sunt evaluate la niveluri scăzute ar trebui aplicate în 2 până la 3 luni de la lansare.

Un jurnal al procesului de monitorizare și corecție a eliberării de corecții trebuie menținut pentru a se asigura că patch-urile sunt identificate și încorporate în timpul prevăzut.

6.3

Necesită utilizarea unui ciclu de viață de dezvoltare a software-ului care se bazează pe cele mai bune practici din industrie. Fiecare parte a ciclului de viață al dezvoltării software ar trebui să fie documentată cu detalii despre modul în care cerințele PCI și securitatea aplicațiilor mobile sunt abordate în procesele de conceptualizare, proiectare, cercetare și testare a aplicațiilor .

Documentul de dezvoltare a aplicației de plată PCI ar trebui să fie suficient de descriptiv pentru a acoperi părți din modul în care aplicația procesează, partajează și stochează datele deținătorului cardului. Pentru a atinge conformitatea cu 6.3, scopul ar trebui să fie de a face documentația suficient de descriptivă pentru ca până și dezvoltatorii terți să o înțeleagă.

Pentru a ne asigura că dezvoltatorii aderă la ciclul de viață al dezvoltării, finalizarea fiecărei etape de dezvoltare ar trebui să fie documentată și ar trebui efectuate audituri ale procesului de dezvoltare în mod regulat.

• 6.3.1: Conturile de testare sau personalizate pentru aplicații, parolele și IDS-urile utilizatorului ar trebui eliminate înainte ca aplicațiile să fie lansate pentru utilizatorii finali.
• 6.3.2: Codurile personalizate ar trebui revizuite înainte de a fi lansate pentru a identifica vulnerabilitățile de codare, dacă există.

6.4

Companiile de dezvoltare de software ar trebui să urmeze procesul de control al schimbărilor pentru toate modificările aduse componentelor sistemului. Aceste procese trebuie să includă următoarele cerințe:

• Diferite medii de dezvoltare și testare față de mediile de producție
• Diferite sarcini stabilite între mediul de dezvoltare/test și producție
• Datele de producție nu trebuie utilizate pentru dezvoltare sau testare
• Datele de testare trebuie eliminate din componentele sistemului înainte ca acesta să devină activ sau să intre în producție.

6.5

Este necesar ca compania de dezvoltare de software Fintech și dezvoltatorii de aplicații financiare să fie instruiți în metodele de codare sigure care sunt aliniate cu limbajele de codare ale aplicației. Tehnicile de codificare ar trebui să se bazeze pe cele mai bune practici ale industriei și ar trebui să fie documentate pentru a se asigura că echipa le respectă în întregime.

6.6

Aplicațiile de plată care se confruntă cu publicul, cum ar fi aplicațiile web care pot fi accesate prin internet, ar trebui protejate fie printr-un Web Application Firewall (WAF), fie printr-un proces strict de scanare a vulnerabilităților aplicațiilor web.

Având în vedere importanța acestei cerințe PCI și modul în care stabilește un nivel minim de controale de securitate, există unele organizații conștiente de securitate care optează pentru abordarea „centru și bretele” în cadrul securității aplicațiilor lor web.

De ce să se concentreze pe conformitatea PCI DSS?

Pentru companiile noi sau startup-urile care trebuie să colaboreze cu mari furnizori de servicii financiare, PCI DSS nu este negociabil.

Motivele pentru care ar trebui să ia în considerare respectarea constă în faptul că PCI îmbunătățește măsurile pe lângă creșterea și credibilitatea față de clienți și alte organizații.

Deși nu este important ca un startup să treacă printr-un audit complet de conformitate cu PCI DSS, care este posibil costisitor, este benefic să obțineți consultanța corectă pentru a ajuta dintr-un punct de vedere rezonabil și pentru a pune mingea în mișcare.

Asemenea consultări sunt cunoscute ca evaluatori de securitate a calității și au fost pregătite și certificate de Consiliul pentru Standarde de Securitate PCI pentru a ajuta organizațiile să efectueze evaluări cu privire la modul în care gestionează informațiile despre cardul de credit.

Acești evaluatori sunt deosebit de utili pentru companiile noi, deoarece au văzut soluții autentice pentru cele mai copleșitoare cerințe de conformitate.

Cum se menține conformitatea PCI?

Etapele conformității PCI DSS pot fi considerate împărțite în două părți: prima parte este realizarea unei stări de conformitate PCI DSS - care poate fi asigurată prin crearea unei liste de verificare a conformității PCI - iar a doua parte este menținerea unui PCI Starea de conformitate DSS.

A doua parte – menținerea conformității cu PCI DSS este o stare dificil de atins, adesea din cauza presupunerilor greșite că conformitatea se referă la pur și simplu urmarirea listei de verificare a auditului PCI DSS. Formula pentru menținerea conformității este de a dezvolta procese care oferă o stare continuă de conformitate cu PCI.

Păstrarea înregistrărilor detaliate ale proceselor de securitate și implementarea supravegherii managementului este o abordare necesară pentru a împiedica mulțumirea să intre în sistem și pentru a asigura că starea de conformitate cu PCI DSS poate fi verificată în orice moment.

Stabilirea unui plan de conformitate continuă

Conformitatea continuă asigură că mediul dumneavoastră de lucru este la standarde și potrivit pentru a proteja informațiile despre clienți. Conformitatea include mai mult decât îndeplinirea tuturor cerințelor dintr-o listă de verificare. Trebuie să luați în considerare modul în care aceste necesități se aplică agendei dvs. particulare, astfel încât să puteți schimba operațiunile în mod corespunzător. Câteva etape pe care le puteți lua măsuri pentru a garanta conformitatea continuă includ:

1. Un plan pentru controlul accesului
2. Dezvoltarea politicilor pentru a se alinia cu cerințele PCI
3. Păstrarea și menținerea unei înregistrări detaliate
4. Managementul Supravegherii
5. Testare regulată pentru a măsura vulnerabilitățile

Concluzie

Având în vedere totul, de la securitatea utilizatorilor finali până la viitorul afacerii dvs., care se bazează pe implementarea și întreținerea corectă a conformității PCI DSS, ar trebui să luați legătura cu o companie de dezvoltare de aplicații fintech care înțelege formalitățile conformității din interior. Compania poate fi localizată în zona dvs. natală sau poate fi în orice altă parte a lumii, de exemplu, puteți alege companii de dezvoltare de aplicații fintech din SUA . Asigurați-vă că alegeți cel mai bun pentru a avea rezultate de calitate. În orice caz, verificați expertiza și cunoștințele agenției înainte de a finaliza orice.

Întrebări frecvente despre dezvoltarea aplicațiilor mobile Fintech compatibile cu PCI DSS

Î. Care sunt nivelurile de conformitate PCI?

PCI DSS este cerut de toate organizațiile care stochează, folosesc sau transmit datele deținătorilor de mașini pentru a-și desfășura activitatea. Dar cerințele variază în funcție de tranzacțiile comerciale – ceea ce împarte conformitatea în patru niveluri.

Nivelul 4: procesarea comerciantului este mai mică de 20.000 de tranzacții anual

Nivelul 3: procesarea comerciantului este în intervalul de la 20.000 la 1 milion de tranzacții anual

Nivelul 2: procesarea comerciantului este între 1 și 6 milioane de tranzacții anual

Nivelul 1: procesarea comerciantului este de peste 6 milioane de tranzacții anual.

Î. Ce este PCI DSS?

Este un set de standarde impuse de lege care vizează securizarea datelor deținătorilor de carduri în cadrul aplicației și în cadrul organizației care salvează informațiile.

Î. Ce înseamnă conformitatea PCI pentru afaceri cu aplicații Fintech?

O afacere cu aplicații Fintech care respectă PCI este pregătită din punct de vedere legal să rezolve detaliile cardului utilizatorilor pentru procesul lor. Companiile Fintech care nu sunt conforme cu PCI nu au voie să rezolve datele sensibile ale deținătorilor de carduri și se pot confrunta cu consecințe financiare grave, cum ar fi – taxe, amenzi și chiar pierderea afacerii. Consecințele ca acestea fac ca dezvoltarea de software de conformitate PCI pentru aplicațiile fintech să aibă o necesitate absolută.

Î. Cum să devii compatibil PCI?

Există cinci lucruri principale care ar trebui incluse în lista de verificare a conformității PCI:

1. Analiza nivelului dvs. de conformitate
2. Completarea chestionarului de autoevaluare
3. Efectuarea modificărilor necesare / completarea deficiențelor
4. Completarea unei atestări de conformitate
5. Depunerea actelor

Î. Este necesar certificatul PCI DSS atunci când utilizați Gateway de plată?

Da, este necesar. Integrarea gateway-ului de plată nu vă scutește de nevoia de a obține un certificat PCI DSS, deoarece gestionați de fapt informațiile de plată într-un grad mai demn sau mai mic. În orice caz, modul în care adăugați o poartă de plată aplicației sau site-ului dvs. va caracteriza gradul de conformitate.

Î. Care este relația dintre PA DSS și PCI DSS?

PA DSS este standardul pentru dezvoltatorii și integratorii de aplicații de plată mobilă care utilizează informațiile cardului pentru autorizarea și decontarea plăților. Pentru a atinge conformitatea cu PA DSS, aplicațiile trebuie vândute, distribuite sau licențiate către terți. Conformitatea PA DSS este împărțită în două faze -

Respectarea cerințelor PA DSS este ceea ce vă va ajuta să deveniți conform PCI DSS.