จะพัฒนาแอพ Fintech Mobile ที่รองรับ PCI DSS ได้อย่างไร

เผยแพร่แล้ว: 2019-10-29

ไม่ว่าแอปของคุณจะเป็นแอป Fintech เต็มรูปแบบเช่น PayPal หรือว่าคุณเป็นแอปสตรีมสื่ออย่าง Netflix ที่ขอให้ผู้ใช้ชำระเงินในแอปสำหรับการสมัครรับข้อมูล มีสิ่งหนึ่งที่คุณไม่ควรพลาด - การปฏิบัติตามข้อกำหนด PCI DSS

ความล้มเหลวในการดูมาตรฐานความปลอดภัย PCI ซึ่งนำไปสู่การละเมิดข้อมูลสามารถนำไปสู่ผลกระทบทางการเงินที่ร้ายแรง เช่น ค่าธรรมเนียม ค่าปรับ และแม้กระทั่งการสูญเสียธุรกิจ บทความนี้ครอบคลุมพื้นฐานทั้งหมดของการปฏิบัติตาม PCI สำหรับแอพ fintech เพื่อช่วยในทิศทางการพัฒนาที่ถูกต้อง

นี่คือสิ่งที่คู่มือความปลอดภัยการยอมรับการชำระเงินผ่านมือถือ PCI ของเราจะนำมาซึ่ง:

  1. PCI DSS คืออะไร?
  2. ขอบเขตของข้อกำหนดการปฏิบัติตาม PCI
  3. เหตุใดจึงเน้นที่การปฏิบัติตาม PCI DSS
  4. จะรักษาการปฏิบัติตามมาตรฐาน PCI ได้อย่างไร
  5. จัดทำแผนเพื่อการปฏิบัติตามอย่างต่อเนื่อง
  6. บทสรุป
  7. คำถามที่พบบ่อยเกี่ยวกับการพัฒนาแอพ Fintech Mobile App ที่สอดคล้องกับ PCI DSS

PCI DSS คืออะไร?

Payment Devices Ecosystem

มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน PCI (PCI DSS) เป็นมาตรฐานทางเทคนิคที่กำหนดไว้อย่างเข้มงวดซึ่งมุ่งเป้าไปที่การปกป้องรายละเอียดบัตรเครดิตและบัตรเดบิต ซึ่งในอุตสาหกรรมนี้เรียกว่า 'ข้อมูลผู้ถือบัตร' จุดมุ่งหมายของ PCI DSS คือการบันทึกการฉ้อโกงในแง่ของบัตรชำระเงิน โดยการรักษาความปลอดภัยข้อมูลผู้ถือบัตรภายในองค์กรที่ยอมรับการชำระเงินด้วยบัตร

ศูนย์การปฏิบัติตาม PCI เกี่ยวกับบริการเทคโนโลยีสารสนเทศ ผู้จัดการการปฏิบัติตามข้อกำหนดที่ควบคุมโดย IT ซึ่งได้รับมอบหมายโดยมีวัตถุประสงค์เพื่อให้เป็นไปตามข้อกำหนดภายในองค์กร ควรมีประสบการณ์และความรู้สำหรับนักพัฒนาซอฟต์แวร์เพื่อให้มั่นใจ ว่า กระบวนการพัฒนาแอป บนอุปกรณ์เคลื่อนที่ที่สอดคล้อง กับ PCI ตรงตามรายการตรวจสอบข้อกำหนด PCI DSS

ด้วยคำจำกัดความของสิ่งที่ PCI DSS เข้าร่วมในขณะนี้ ให้เราดูข้อกำหนดการพัฒนา PCI เฉพาะของแอป fintech

ขอบเขตของข้อกำหนดการปฏิบัติตาม PCI

ข้อกำหนด PCI DSS ส่วนใหญ่ที่ส่งผลต่อกระบวนการพัฒนาแอป Fintech อยู่ภายใต้ข้อกำหนด 3, 4 และ 6 ข้อกำหนดเหล่านี้ครอบคลุมการจัดเก็บข้อมูลผู้ถือบัตร หลักปฏิบัติในการเข้ารหัส การควบคุมการเข้าถึง และความปลอดภัยเครือข่าย ให้เราพิจารณาทั้งสามอย่างเป็นรายบุคคลเพื่อทำความเข้าใจแนวทางขอบเขต PCI อย่างสมบูรณ์

ข้อกำหนดในการพัฒนา PCI 3: ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้

ข้อมูลของผู้ถือบัตรแสดงถึงข้อมูลที่ประมวลผล พิมพ์ จัดเก็บ หรือส่งผ่านบัตรชำระเงิน แอปที่รับชำระเงินผ่านบัตรควรปกป้องข้อมูลของผู้ถือบัตรและป้องกันการใช้งานโดยไม่ได้รับอนุญาต ไม่ว่าข้อมูลจะพิมพ์ลงบนบัตรหรือจัดเก็บไว้ในเครื่องก็ตาม

โดยทั่วไปแล้ว ไม่ควรจัดเก็บข้อมูลของผู้ถือบัตรจนกว่าจะมีความจำเป็นอย่างยิ่งต่อการตอบสนองความต้องการทางธุรกิจ ข้อมูลสำคัญที่กล่าวถึงบนแถบแม่เหล็กไม่ควรถูกจัดเก็บ และในกรณีที่คุณจะต้องจัดเก็บรายละเอียด PAN ข้อมูลนั้นก็จะไม่สามารถอ่านได้ ต่อไปนี้คือสิ่งอื่น ๆ ที่ควรนำมาพิจารณาในรายการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI โดยพิจารณาถึงข้อกำหนด 3

3.1

เวลาจัดเก็บและเก็บรักษาข้อมูลควรจำกัดตามวัตถุประสงค์ทางกฎหมายและทางธุรกิจ ดังเอกสารในนโยบายการเก็บรักษาข้อมูล ข้อมูลที่ไม่จำเป็นทั้งหมดควรถูกล้างอย่างน้อยทุกไตรมาส

3.2

ข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อนไม่ควรจัดเก็บหลังจากการอนุญาต แม้ว่าจะมีการเข้ารหัสก็ตาม แม้ว่าผู้ออกบัตรสามารถจัดเก็บข้อมูลการรับรองความถูกต้องได้หากมีเหตุผลทางธุรกิจที่เป็นไปได้และข้อมูลถูกจัดเก็บในลักษณะที่ปลอดภัย

3.3

PAN ควรปิดบังเมื่อแสดง หกหลักแรกหรือสี่หลักสุดท้ายเป็นตัวเลขเดียวที่คุณควรแสดง

3.4

PAN ควรแสดงผลให้อ่านไม่ได้ไม่ว่าจะอยู่ที่ใดก็ตาม ซึ่งรวมถึงสื่อดิจิทัล ในบันทึก สื่อสำรองข้อมูล และข้อมูลที่ได้รับจากเครือข่ายไร้สาย โซลูชันเทคโนโลยีที่เรานำเสนอสำหรับประเด็นนี้ที่ Appinventiv นั้นรวมถึงฟังก์ชันแฮชทางเดียวที่แข็งแกร่งของ PAN ที่สมบูรณ์ การเข้ารหัสที่รัดกุม โทเค็นดัชนีพร้อมแพดที่เก็บไว้ที่มีความปลอดภัยสูง ฯลฯ

3.5

กุญแจที่ใช้ในการเข้ารหัสข้อมูลผู้ถือบัตรควรได้รับการปกป้องจากการใช้ในทางที่ผิดและการเปิดเผย

3.6

บริษัทต่างๆ ควรจัดทำเอกสารและดำเนินการตามขั้นตอนและขั้นตอนการจัดการคีย์ที่เหมาะสมและกระบวนการสำหรับคีย์การเข้ารหัสซึ่งใช้สำหรับการเข้ารหัสข้อมูลของผู้ถือบัตรอย่างครบถ้วน

ข้อกำหนดในการพัฒนา PCI 4: เข้ารหัสการส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด

ไม่ใช่เรื่องที่เป็นไปไม่ได้สำหรับแฮกเกอร์ที่จะสกัดกั้นการส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายสาธารณะที่เปิดกว้าง และเป็นสิ่งสำคัญมากในการ ปกป้องข้อมูลส่วนตัวของแอป จากพวกเขา วิธีหนึ่งที่จะทำได้คือผ่าน การเข้ารหัสข้อมูล

4.1

บริษัทพัฒนาแอพ ควรใช้โปรโตคอลความปลอดภัยที่แข็งแกร่งและการเข้ารหัส เช่น TLS/ SSL Pinning ในแอพ iOS และ Android เพื่อปกป้องข้อมูลที่ละเอียดอ่อนของผู้ถือบัตรในระหว่างการส่งผ่านเครือข่ายสาธารณะ

4.2

เทคโนโลยีการส่งข้อความของผู้ใช้ปลายทางไม่ควรส่ง PAN ที่ไม่มีการป้องกัน

ข้อกำหนดการพัฒนา PCI 6: พัฒนาและบำรุงรักษาแอปพลิเคชันที่ปลอดภัย

ข้อกำหนดของ PCI สำหรับ แอพ fintech นั้นอยู่ในเงื่อนไขของการพัฒนาแอปพลิเคชันภายนอกและภายในซึ่งถือว่าอยู่ในขอบเขตของการ ปฏิบัติตามข้อกำหนดของแอพ มือถือ PCI DSS ซึ่งย่อมาจากแอพที่พัฒนาแล้วทุกอันซึ่ง ประมวลผล จัดเก็บ และส่งข้อมูล ของผู้ถือบัตร

แอปพลิเคชันการชำระเงิน PCI ที่สร้างขึ้นโดย บริษัทพัฒนา Fintech เพื่อใช้งานโดยองค์กรภายนอกควรเป็นไปตามมาตรฐานความปลอดภัยข้อมูลแอปพลิเคชันการชำระเงิน (PA-DSS) และควรได้รับการประเมินโดย PA-QSA

6.1

การปฏิบัติตามข้อกำหนด 6.1 เรียกร้องให้มีการลงทะเบียนสินทรัพย์ซอฟต์แวร์ของไลบรารีและเครื่องมือที่มีการจัดทำเอกสารอย่างถูกต้อง ซึ่งใช้ในวงจรการพัฒนาซอฟต์แวร์ ทุกรายการในการลงทะเบียนสินทรัพย์ซอฟต์แวร์ควรประกอบด้วย:

  • หมายเลขรุ่น
  • ซอฟต์แวร์ใช้อย่างไรและที่ไหน
  • คำอธิบายที่ชัดเจนของฟังก์ชันที่มีให้

เนื่องจากไลบรารีซอฟต์แวร์และเครื่องมือต่างๆ ได้รับการอัปเดตบ่อยครั้ง จึงมีความสำคัญอย่างยิ่งที่รีจิสเตอร์จะได้รับการตรวจสอบอย่างต่อเนื่องและอัปเดตอยู่เสมอ

เมื่อมีการสร้างการลงทะเบียนสินทรัพย์ซอฟต์แวร์แล้ว ควรมีการดำเนินการตามกระบวนการเพื่อตรวจสอบทุกรายการในทะเบียนอย่างสม่ำเสมอเพื่อส่งการแจ้งเตือนช่องโหว่และการเผยแพร่ที่อัปเดต

ข้อกำหนด 6.1 ยังเรียกร้องให้มีการจัดอันดับความเสี่ยง ซึ่งควรกำหนดให้กับทุกช่องโหว่ที่ระบุไว้ในรายการภายในทะเบียนสินทรัพย์ ช่องโหว่ควรได้รับการประเมินความเสี่ยงและต้องติดป้ายกำกับระดับความเสี่ยงที่เรียกว่า "วิกฤติ" "สูง" "ปานกลาง" หรือ "ต่ำ" ระดับความเสี่ยงเหล่านี้จะช่วยในการจัดลำดับความสำคัญของการแก้ไข

6.2

ข้อกำหนดนี้สร้างขึ้นจากการตรวจสอบช่องโหว่และต้องการแพตช์ความปลอดภัยระดับวิกฤตที่ต้องแก้ไขและนำไปใช้ภายในหนึ่งเดือนนับจากวันที่วางจำหน่ายของผู้จำหน่าย

แพตช์จุดอ่อนที่ได้รับการจัดอันดับที่ระดับต่ำควรใช้ใน 2 ถึง 3 เดือนของการเปิดตัว

บันทึกของการตรวจสอบการปล่อยแพตช์และกระบวนการแพตช์ควรได้รับการดูแลเพื่อให้แน่ใจว่าแพทช์นั้นได้รับการระบุและรวมเข้าด้วยกันภายในเวลาที่กำหนด

6.3

ต้องใช้วงจรชีวิตการพัฒนาซอฟต์แวร์ที่ยึดตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม ทุกส่วนของวงจรชีวิตการพัฒนาซอฟต์แวร์ควรจัดทำเป็นเอกสารพร้อมรายละเอียดเกี่ยวกับวิธีการ รักษาความปลอดภัยแอพมือถือ และข้อกำหนด PCI ในกระบวนการสร้างแนวคิด การออกแบบ การวิจัย และ การทดสอบแอ พของการพัฒนา

เอกสารการพัฒนาแอปพลิเคชันการชำระเงินแบบ PCI ควรมีคำอธิบายเพียงพอที่จะครอบคลุมถึงบางส่วนของวิธีที่แอปดำเนินการ แชร์ และจัดเก็บข้อมูลผู้ถือบัตร เพื่อให้เป็นไปตามข้อกำหนด 6.3 เป้าหมายควรจัดทำเอกสารที่อธิบายให้เพียงพอสำหรับนักพัฒนาที่เป็นบุคคลที่สามเพื่อทำความเข้าใจ

เพื่อให้แน่ใจว่านักพัฒนาปฏิบัติตามวงจรชีวิตการพัฒนา ควรจัดทำเอกสารความสมบูรณ์ของขั้นตอนการพัฒนาทุกขั้นตอน และควรมีการตรวจสอบกระบวนการพัฒนาอย่างสม่ำเสมอ

  • 6.3.1: ควรลบบัญชีทดสอบหรือแอปที่กำหนดเอง รหัสผ่าน และ ID ผู้ใช้ออกก่อนที่จะเผยแพร่แอปพลิเคชันแก่ผู้ใช้ปลายทาง
  • 6.3.2: โค้ดที่กำหนดเองควรได้รับการตรวจสอบก่อนเผยแพร่เพื่อระบุช่องโหว่ของโค้ด หากมี

6.4

บริษัทพัฒนาซอฟต์แวร์ควรปฏิบัติตามกระบวนการควบคุมการเปลี่ยนแปลงสำหรับการเปลี่ยนแปลงทั้งหมดที่ทำกับส่วนประกอบของระบบ กระบวนการเหล่านี้ต้องมีข้อกำหนดดังต่อไปนี้:

  • สภาพแวดล้อมการพัฒนาและการทดสอบที่แตกต่างจากสภาพแวดล้อมการผลิต
  • หน้าที่ที่แตกต่างกันระหว่างการพัฒนา/ทดสอบและสภาพแวดล้อมการผลิต
  • ห้ามใช้ข้อมูลการผลิตเพื่อการพัฒนาหรือทดสอบ
  • ควรลบข้อมูลการทดสอบออกจากส่วนประกอบของระบบก่อนที่จะใช้งานหรือเข้าสู่กระบวนการผลิต

6.5

บริษัทพัฒนาซอฟต์แวร์ Fintech และนักพัฒนาแอปทางการเงิน ต้อง ได้รับการฝึกอบรมเกี่ยวกับวิธีการเข้ารหัสที่ปลอดภัยซึ่งสอดคล้องกับภาษาเขียนโค้ดของแอป เทคนิคการเข้ารหัสควรอยู่บนพื้นฐานของแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรม และควรจัดทำเป็นเอกสารเพื่อให้แน่ใจว่าทีมงานปฏิบัติตามอย่างครบถ้วน

6.6

แอปการชำระเงินที่เปิดเผยต่อสาธารณะ เช่น เว็บแอปที่เข้าถึงได้ทางอินเทอร์เน็ต ควรได้รับการปกป้องผ่าน Web Application Firewall (WAF) หรือผ่านกระบวนการสแกนช่องโหว่ของ Web Application Vulnerability ที่เข้มงวด

เมื่อพิจารณาถึงความสำคัญของข้อกำหนด PCI นี้และวิธีกำหนดระดับการควบคุมความปลอดภัยขั้นต่ำ มีองค์กรที่คำนึงถึงความปลอดภัยบางองค์กรที่เลือกใช้แนวทาง "belt and braces" ในการรักษาความปลอดภัยเว็บแอปพลิเคชัน

เหตุใดจึงเน้นที่การปฏิบัติตาม PCI DSS

สำหรับบริษัทใหม่หรือสตาร์ทอัพที่ต้องการร่วมมือกับผู้ให้บริการทางการเงินรายใหญ่ PCI DSS ไม่สามารถต่อรองได้

เหตุผลที่พวกเขาควรพิจารณาถึงการปฏิบัติตามข้อกำหนดนั้นอยู่ที่ PCI ปรับปรุงมาตรการนอกเหนือจากการเพิ่มและแสดงความน่าเชื่อถือให้กับลูกค้าและองค์กรอื่นๆ

แม้ว่าจะไม่สำคัญสำหรับสตาร์ทอัพที่จะต้องผ่านการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS อย่างเต็มรูปแบบ ซึ่งอาจมีค่าใช้จ่ายสูง แต่ก็เป็นประโยชน์ที่จะได้รับคำปรึกษาที่ถูกต้องเพื่อช่วยเหลือจากมุมมองที่สมเหตุสมผลและช่วยให้ลูกบอลเคลื่อนที่ได้

การปรึกษาหารือดังกล่าวเรียกว่าผู้ประเมินความปลอดภัยที่มีคุณภาพ และได้รับการจัดเตรียมและรับรองโดย PCI Security Standards Council เพื่อช่วยให้องค์กรดำเนินการประเมินเกี่ยวกับวิธีการจัดการข้อมูลบัตรเครดิต

ผู้ประเมินเหล่านี้มีประโยชน์อย่างยิ่งสำหรับบริษัทใหม่ เนื่องจากพวกเขาได้เห็นโซลูชันที่แท้จริงสำหรับข้อกำหนดการปฏิบัติตามข้อกำหนดอย่างท่วมท้นที่สุด

จะรักษาการปฏิบัติตามมาตรฐาน PCI ได้อย่างไร

ขั้นตอนของการปฏิบัติตาม PCI DSS สามารถแบ่งออกเป็นสองส่วน: ส่วนแรกคือการบรรลุสถานะการปฏิบัติตาม PCI DSS ซึ่งสามารถมั่นใจได้ผ่านการสร้าง รายการตรวจสอบการปฏิบัติตาม PCI และส่วนที่สองคือการรักษา PCI สถานะการปฏิบัติตามข้อกำหนดของ DSS

ส่วนที่สอง - การปฏิบัติตามข้อกำหนดใน PCI DSS นั้นเป็นสถานะที่ยากต่อการบรรลุ บ่อยครั้งเนื่องจากการสันนิษฐานที่ผิดๆ ว่าการปฏิบัติตามข้อกำหนดเป็นเพียงการปฏิบัติตามรายการตรวจสอบการตรวจสอบ PCI DSS สูตรสำหรับการรักษาความสอดคล้องคือการพัฒนากระบวนการที่ส่งมอบสถานะที่สอดคล้องกับ PCI อย่างต่อเนื่อง

การเก็บบันทึกโดยละเอียดของกระบวนการรักษาความปลอดภัย และการนำการกำกับดูแลของฝ่ายจัดการไปปฏิบัติเป็นแนวทางที่จำเป็นในการป้องกันไม่ให้เกิดความพึงพอใจเข้าสู่ระบบ และสร้างความมั่นใจว่าสถานะการปฏิบัติตาม PCI DSS สามารถตรวจสอบได้ตลอดเวลา

จัดทำแผนเพื่อการปฏิบัติตามอย่างต่อเนื่อง

การปฏิบัติตามข้อกำหนดอย่างต่อเนื่องช่วยให้มั่นใจได้ว่าสภาพแวดล้อมการทำงานของคุณเป็นไปตามมาตรฐานและเหมาะสมสำหรับการปกป้องข้อมูลของลูกค้า การปฏิบัติตามข้อกำหนดมีมากกว่าการปฏิบัติตามข้อกำหนดทั้งหมดในรายการตรวจสอบ คุณต้องพิจารณาว่าความจำเป็นเหล่านี้นำไปใช้กับวาระการประชุมของคุณอย่างไร เพื่อให้คุณสามารถเปลี่ยนการดำเนินงานได้อย่างเหมาะสม คุณสามารถดำเนินมาตรการสองสามขั้นตอนเพื่อรับประกันการปฏิบัติตามอย่างต่อเนื่อง รวมถึง:

  1. แผนการควบคุมการเข้าออก
  2. การพัฒนานโยบายเพื่อให้สอดคล้องกับข้อกำหนดของ PCI
  3. การเก็บและรักษาบันทึกโดยละเอียด
  4. การจัดการการกำกับดูแล
  5. การทดสอบปกติเพื่อวัดจุดอ่อน

บทสรุป

ด้วยทุกอย่างตั้งแต่การรักษาความปลอดภัยของผู้ใช้ปลายทางไปจนถึงธุรกิจของคุณในอนาคตในการใช้งานและบำรุงรักษาการปฏิบัติตาม PCI DSS อย่างถูกต้อง คุณจะต้องติดต่อกับ บริษัทพัฒนาแอป fintech ที่เข้าใจถึงระเบียบปฏิบัติของการปฏิบัติตามกฎระเบียบจากภายใน บริษัทสามารถตั้งอยู่ในพื้นที่ของคุณ หรืออาจอยู่ในส่วนอื่น ๆ ของโลก ตัวอย่างเช่น คุณสามารถเลือก บริษัทพัฒนาแอพ fintech ใน สหรัฐอเมริกา ให้แน่ใจว่าคุณเลือกสิ่งที่ดีที่สุดเพื่อให้ได้ผลลัพธ์ที่มีคุณภาพ ในกรณีใด ๆ ตรวจสอบความเชี่ยวชาญและความรู้ของหน่วยงานก่อนที่จะสรุปอะไร

คำถามที่พบบ่อยเกี่ยวกับการพัฒนาแอพ Fintech Mobile App ที่สอดคล้องกับ PCI DSS

ถาม: ระดับการปฏิบัติตาม PCI คืออะไร?

PCI DSS จำเป็นสำหรับองค์กรทั้งหมดที่จัดเก็บ ใช้ หรือส่งข้อมูลของผู้ถือรถในการดำเนินธุรกิจ แต่ข้อกำหนดจะแตกต่างกันไปตามธุรกรรมทางธุรกิจ ซึ่งแบ่งการปฏิบัติตามข้อกำหนดออกเป็นสี่ระดับ

ระดับ 4: ผู้ค้าดำเนินการน้อยกว่า 20,000 ธุรกรรมต่อปี

ระดับ 3: การประมวลผลของผู้ค้าอยู่ในช่วง 20,000 ถึง 1 ล้านธุรกรรมต่อปี

ระดับ 2: การประมวลผลของผู้ค้าอยู่ระหว่าง 1 ถึง 6 ล้านธุรกรรมต่อปี

ระดับ 1: การประมวลผลของผู้ค้ามีมากกว่า 6 ล้านธุรกรรมต่อปี

ถาม PCI DSS คืออะไร?

เป็นชุดของมาตรฐานที่กำหนดโดยกฎหมายที่กำหนดให้มีการรักษาความปลอดภัยข้อมูลของผู้ถือบัตรภายในแอปพลิเคชันและภายในองค์กรที่บันทึกข้อมูล

ถาม: การปฏิบัติตามข้อกำหนด PCI มีความหมายอย่างไรสำหรับธุรกิจ Fintech App

ธุรกิจแอป Fintech ซึ่งเป็นไปตามมาตรฐาน PCI ได้รับการจัดเตรียมอย่างถูกต้องตามกฎหมายเพื่อแก้ไขรายละเอียดบัตรของผู้ใช้สำหรับกระบวนการ บริษัท Fintech ซึ่งไม่เป็นไปตามมาตรฐาน PCI ไม่ได้รับอนุญาตให้หลีกเลี่ยงข้อมูลที่ละเอียดอ่อนของผู้ถือบัตร และอาจเผชิญกับผลกระทบทางการเงินที่รุนแรง เช่น ค่าธรรมเนียม ค่าปรับ และแม้กระทั่งการสูญเสียธุรกิจ ผลที่ตามมาทำให้ การพัฒนาซอฟต์แวร์ที่สอดคล้องกับ PCI สำหรับแอพ fintech เป็นสิ่งที่ต้องมีอย่างแน่นอน

ถาม จะปฏิบัติตาม PCI ได้อย่างไร

มีห้าสิ่งสำคัญที่ควรรวมอยู่ในรายการตรวจสอบการปฏิบัติตาม PCI ของคุณ:

  1. การวิเคราะห์ระดับการปฏิบัติตามข้อกำหนดของคุณ
  2. การกรอกแบบสอบถามการประเมินตนเอง
  3. การเปลี่ยนแปลงที่จำเป็น/การเติมเต็มข้อบกพร่อง
  4. ดำเนินการรับรองการปฏิบัติตาม
  5. ยื่นเอกสาร

ถาม: จำเป็นต้องมีใบรับรอง PCI DSS หรือไม่เมื่อใช้ Payment Gateway

ใช่ มันเป็นสิ่งจำเป็น การรวมเกตเวย์การชำระเงินไม่ได้ช่วยลดความจำเป็นในการรับใบรับรอง PCI DSS เนื่องจากคุณจัดการข้อมูลการชำระเงินในระดับที่น่าสังเกตหรือน้อยกว่า ไม่ว่าในกรณีใด ลักษณะที่คุณเพิ่มเกตเวย์การชำระเงินลงในแอปพลิเคชันหรือไซต์ของคุณจะบ่งบอกถึงระดับของการปฏิบัติตามข้อกำหนด

ถาม: ความสัมพันธ์ระหว่าง PA DSS และ PCI DSS คืออะไร?

PA DSS เป็นมาตรฐานสำหรับนักพัฒนาและผู้รวมระบบแอปพลิเคชันการชำระเงินมือถือที่ใช้ข้อมูลบัตรสำหรับการอนุมัติและการชำระเงิน เพื่อให้เป็นไปตามข้อกำหนด PA DSS แอปควรขาย แจกจ่าย หรือออกใบอนุญาตแก่บุคคลที่สาม การปฏิบัติตาม PA DSS แบ่งออกเป็นสองขั้นตอน -

Phases of PA-DSS

การปฏิบัติตามข้อกำหนดของ PA DSS คือสิ่งที่จะช่วยให้คุณปฏิบัติตามข้อกำหนด PCI DSS