• 主页
  • 文章
  • App
  • 如何开发符合 PCI DSS 的金融科技移动应用程序?

如何开发符合 PCI DSS 的金融科技移动应用程序?

已发表: 2019-10-29

无论您的应用程序是像 PayPal 这样的成熟金融科技应用程序,还是像Netflix这样要求用户在应用程序内支付订阅费用的流媒体应用程序,您都不能错过一件事——PCI DSS 合规性。

未能调查导致数据泄露的 PCI 安全标准可能会导致毁灭性的财务后果,例如费用、罚款,甚至业务损失。 本文涵盖了金融科技应用程序的 PCI 合规性的所有基础知识,以帮助朝着正确的发展方向前进。

这就是我们的 PCI 移动支付接受安全指南所包含的内容:

  1. 什么是 PCI DSS?
  2. PCI 合规要求的范围
  3. 为什么要关注 PCI DSS 合规性?
  4. 如何保持 PCI 合规性?
  5. 制定持续合规计划
  6. 结论
  7. 关于符合 PCI DSS 的金融科技移动应用程序开发的常见问题

什么是 PCI DSS?

Payment Devices Ecosystem

PCI 支付卡行业数据安全标准 (PCI DSS) 是一个严格规范的技术标准,旨在保护信用卡和借记卡详细信息,在业界被称为“持卡人数据”。 PCI DSS 的目的是通过保护持卡人在接受卡支付的组织内部的数据来避免支付卡方面的欺诈行为。

PCI 合规性以信息技术服务为中心。 被指派以在组织内部实现合规性为目的的 IT 指导合规经理应具备所需的软件开发人员经验和知识,以确保PCI 合规性移动应用程序开发流程符合 PCI DSS 要求清单。

随着现在参与的 PCI DSS 的定义,让我们来看看金融科技应用程序的特定 PCI 开发要求。

PCI 合规要求的范围

大多数影响金融科技应用程序开发过程的 PCI DSS 要求都属于要求 3、4 和 6。这些要求涵盖持卡人数据的存储、加密实践、访问控制和网络安全。 让我们分别研究这三个,以全面了解 PCI 范围指南。

PCI 开发要求 3:保护存储的持卡人数据

持卡人的数据表示在支付卡上处理、打印、存储或传输的信息。 接受卡支付的应用程序应该保护持卡人的数据并防止未经授权的使用——无论数据是打印在卡上还是存储在本地。

通常,在满足业务需求绝对必要之前,不应存储持卡人的数据。 永远不应存储磁条上提到的敏感数据,如果您必须存储 PAN 详细信息,则应使其不可读。 以下是关于要求 3 的 PCI 合规性检查表中应考虑的其他一些事项。

3.1

数据存储和保留时间应根据法律和商业目的进行限制,如数据保留政策中的文件。 至少每季度应清除所有不必要的数据。

3.2

授权后不应存储敏感的身份验证数据,即使其已加密。 但是,如果存在可行的业务理由并且数据以安全的方式存储,则发行人可以存储身份验证数据。

3.3

PAN 在显示时应被屏蔽。 前六位或后四位是您应该显示的唯一数字。

3.4

PAN 无论在何处存储,都应使其不可读——这包括数字媒体、日志、备份媒体以及从无线网络接收的数据。 我们在 Appinventiv 上针对这一点提出的技术解决方案包括完整 PAN 的强大单向哈希函数、强大的密码学、具有高度安全存储垫的索引令牌等。

3.5

用于加密持卡人数据的密钥应防止滥用和泄露。

3.6

公司应完整记录和实施用于加密持卡人数据的加密密钥的适当密钥管理程序和流程。

PCI 开发要求 4:加密持卡人数据在公共、开放网络中的传输

黑客在开放的公共网络上拦截持卡人数据的传输并不是特别不可能,保护应用程序的私人数据免受黑客攻击非常重要。 一种方法是通过数据加密

4.1

应用程序开发公司应在 iOS 应用程序和 Android 解决方案中使用强大的安全协议和加密技术,例如TLS/ SSL Pinning,以保护持卡人在公共网络上传输的敏感数据。

4.2

最终用户的消息传递技术绝不应发送未受保护的 PAN。

PCI 开发要求 6:开发和维护安全应用程序

金融科技应用程序的 PCI 要求是在外部和内部应用程序的开发方面,这被认为是在PCI DSS 移动应用程序合规范围内——这代表每个已开发的应用程序处理、存储和传输持卡人的数据。

金融科技开发公司创建供外部组织使用的 PCI 支付应用程序应符合支付应用程序数据安全标准 (PA-DSS),并应由 PA-QSA 进行评估。

6.1

符合 6.1 要求要求在软件开发周期中使用的库和工具的正确记录的软件资产登记册。 软件资产登记册中的每一项都应包括:

  • 一个版本号
  • 软件的使用方式和地点
  • 清楚地解释它们提供的功能。

由于软件库和工具经常更新,因此不断审查并保持最新状态至关重要。

建立软件资产登记册后,应实施一个流程来定期监控登记册中的每个项目,以发送漏洞通知和更新版本。

要求 6.1 还要求进行风险排名,应该为资产登记册内项目中识别的每个漏洞分配风险排名。 应对漏洞进行风险评估,并且必须贴上风险等级标签,称为“严重”、“高”、“中”或“低”。 然后,这些风险级别将有助于确定修补的优先级。

6.2

这一要求建立在漏洞监控之上,并要求在供应商发布日期后的一个月内解决和应用关键级别的安全补丁。

评级为低级别的漏洞补丁应在发布后的 2 到 3 个月内应用。

应维护补丁发布监控和补丁过程的日志,以确保在规定的时间内识别和合并补丁。

6.3

它需要使用基于行业最佳实践的软件开发生命周期。 软件开发生命周期的每个部分都应详细记录在开发的概念化、设计、研究和应用程序测试过程中如何解决移动应用程序安全性和 PCI 要求。

PCI 支付应用程序开发文档应具有足够的描述性,以涵盖应用程序如何处理、共享和存储持卡人数据的部分内容。 为了达到 6.3 的合规性,目标应该是使文档具有足够的描述性,甚至第三方开发人员也能理解它。

为了确保开发人员遵守开发生命周期,应记录每个开发阶段的完成情况,并应定期对开发过程进行审核。

  • 6.3.1:在将应用程序发布给最终用户之前,应删除测试或自定义应用程序帐户、密码和用户 ID。
  • 6.3.2:自定义代码在发布前应进行审核,以识别编码漏洞(如果有)。

6.4

软件开发公司应遵循对系统组件所做的所有更改的更改控制流程。 这些过程必须包括以下要求:

  • 与生产环境不同的开发和测试环境
  • 在开发/测试和生产环境之间设置不同的职责
  • 生产数据不得用于开发或测试
  • 在系统组件激活或投入生产之前,应将测试数据从系统组件中删除。

6.5

它要求金融科技软件开发公司和金融应用程序开发人员接受与应用程序编码语言一致的安全编码方法培训。 编码技术应以行业最佳实践为基础,并应记录在案以确保团队完全遵循它们。

6.6

面向公众的支付应用程序,例如可以通过互联网访问的 Web 应用程序,应通过 Web 应用程序防火墙 (WAF) 或通过严格的 Web 应用程序漏洞扫描流程进行保护。

考虑到此 PCI 要求的重要性以及它如何设置最低级别的安全控制,一些具有安全意识的组织在其 Web 应用程序安全性中选择了“安全带和大括号”方法。

为什么要关注 PCI DSS 合规性?

对于需要与大型金融服务提供商合作的新公司或初创公司,PCI DSS 是不可协商的。

他们应该考虑合规的原因在于,PCI 除了提高和向客户和其他组织展示可信度外,还改进了措施。

虽然对于初创公司来说,通过完整的 PCI DSS 合规性审核并不重要,这可能成本很高,但获得正确的咨询以从合理的角度提供帮助并让球动起来是有益的。

此类咨询被称为质量安全评估员,它们已由 PCI 安全标准委员会准备和认证,以帮助组织对其如何处理信用卡信息进行评估。

这些评估员对新公司特别有用,因为他们已经看到了针对最压倒性合规要求的真正解决方案。

如何保持 PCI 合规性?

PCI DSS 合规性的阶段可以分为两部分:第一部分是实现 PCI DSS 合规状态——可以通过创建PCI 合规检查表来确保——第二部分是维持 PCI DSS 合规状态。

第二部分——在 PCI DSS 中保持合规是一个难以实现的状态,这通常是因为人们误以为合规只是简单地遵循 PCI DSS 审核清单。 保持合规性的公式是开发提供持续 PCI 合规状态的流程。

保留安全流程的详细记录并实施管理层的监督是防止自满情绪进入系统并确保可以在任何时间点验证 PCI DSS 合规状态的必要方法。

制定持续合规计划

持续合规确保您的工作环境符合标准并适合保护客户信息。 合规性不仅仅包括满足清单上的所有要求。 您需要考虑这些必要性如何适用于您的特定议程,以便您可以适当地更改操作。 您可以采取措施确保持续合规的几个阶段包括:

  1. 访问控制计划
  2. 制定符合 PCI 要求的政策
  3. 保存和维护详细记录
  4. 监督管理
  5. 定期测试以衡量漏洞

结论

从最终用户的安全到您企业的未来,一切都取决于正确实施和维护 PCI DSS 合规性,您需要与一家了解合规手续金融科技应用程序开发公司联系。 该公司可以位于您的家乡,也可以位于世界任何其他地方,例如,您可以选择美国的金融科技应用程序开发公司 确保您选择最好的以获得高质量的结果。 在任何情况下,在完成任何事情之前都要检查该机构的专业知识和知识。

关于符合 PCI DSS 的金融科技移动应用程序开发的常见问题

问:什么是 PCI 合规级别?

所有存储、使用或传输车主数据以开展业务的组织都需要 PCI DSS。 但要求因业务交易而异 - 将合规性分为四个级别。

级别 4:商户处理每年少于 20,000 笔交易

3 级:商户处理每年 20,000 到 100 万笔交易

级别 2:商户每年处理 1 到 600 万笔交易

级别 1:商户处理每年超过 600 万笔交易。

问:什么是PCI DSS?

它是法律要求的一套标准,旨在保护持卡人在应用程序内和保存信息的组织内的数据。

问:PCI 合规性对金融科技应用业务意味着什么?

符合 PCI 标准的金融科技应用程序业务在法律上已准备好在其流程中处理用户的卡详细信息。 不符合 PCI 的金融科技公司不得处理持卡人的敏感数据,并可能面临严重的财务后果,如费用、罚款,甚至业务损失。 这些后果使金融科技应用程序的PCI 合规性软件开发成为绝对必须具备的。

问:如何成为 PCI 合规的?

您的 PCI 合规性检查清单中应包括五项主要内容:

  1. 分析您的合规水平
  2. 填写自我评估问卷
  3. 进行必要的更改/填补缺点
  4. 完成合规证明
  5. 提交文书工作

问:使用支付网关时是否需要 PCI DSS 证书?

是的,这是必需的。 支付网关集成并不能免除您获取 PCI DSS 证书的需要,因为您实际上将支付信息管理到更值得注意或更小的程度。 在任何情况下,您将支付网关添加到您的应用程序或站点的方式将表征合规程度。

问:PA DSS 和 PCI DSS 之间有什么关系?

PA DSS是针对使用卡信息进行支付授权和结算的移动支付应用程序的开发商和集成商的标准。 为了实现 PA DSS 合规性,应将应用程序出售、分发或许可给第三方。 PA DSS 的合规性分为两个阶段——

Phases of PA-DSS

遵守 PA DSS 的要求将有助于您符合 PCI DSS。