• 主頁
  • 文章
  • App
  • 如何開發符合 PCI DSS 的金融科技移動應用程序?

如何開發符合 PCI DSS 的金融科技移動應用程序?

已發表: 2019-10-29

無論您的應用程序是像 PayPal 這樣的成熟金融科技應用程序,還是像Netflix這樣要求用戶在應用程序內支付訂閱費用的流媒體應用程序,您都不能錯過一件事——PCI DSS 合規性。

未能調查導致數據洩露的 PCI 安全標準可能會導致毀滅性的財務後果,例如費用、罰款,甚至業務損失。 本文涵蓋了金融科技應用程序的 PCI 合規性的所有基礎知識,以幫助朝著正確的發展方向前進。

這就是我們的 PCI 移動支付接受安全指南所包含的內容:

  1. 什麼是 PCI DSS?
  2. PCI 合規要求的範圍
  3. 為什麼要關注 PCI DSS 合規性?
  4. 如何保持 PCI 合規性?
  5. 制定持續合規計劃
  6. 結論
  7. 關於符合 PCI DSS 的金融科技移動應用程序開發的常見問題

什麼是 PCI DSS?

Payment Devices Ecosystem

PCI 支付卡行業數據安全標準 (PCI DSS) 是一個嚴格規範的技術標準,旨在保護信用卡和借記卡詳細信息,在業界被稱為“持卡人數據”。 PCI DSS 的目的是通過保護持卡人在接受卡支付的組織內部的數據來避免支付卡方面的欺詐行為。

PCI 合規性以信息技術服務為中心。 被指派以在組織內部實現合規性為目的的 IT 指導合規經理應具備所需的軟件開發人員經驗和知識,以確保PCI 合規性移動應用程序開發流程符合 PCI DSS 要求清單。

隨著現在參與的 PCI DSS 的定義,讓我們來看看金融科技應用程序的特定 PCI 開發要求。

PCI 合規要求的範圍

大多數影響金融科技應用程序開發過程的 PCI DSS 要求都屬於要求 3、4 和 6。這些要求涵蓋持卡人數據的存儲、加密實踐、訪問控制和網絡安全。 讓我們分別研究這三個,以全面了解 PCI 範圍指南。

PCI 開發要求 3:保護存儲的持卡人數據

持卡人的數據表示在支付卡上處理、打印、存儲或傳輸的信息。 接受卡支付的應用程序應該保護持卡人的數據並防止未經授權的使用——無論數據是打印在卡上還是存儲在本地。

通常,在滿足業務需求絕對必要之前,不應存儲持卡人的數據。 永遠不應存儲磁條上提到的敏感數據,如果您必須存儲 PAN 詳細信息,則應使其不可讀。 以下是關於要求 3 的 PCI 合規性檢查表中應考慮的其他一些事項。

3.1

數據存儲和保留時間應根據法律和商業目的進行限制,如數據保留政策中的文件。 至少每季度應清除所有不必要的數據。

3.2

授權後不應存儲敏感的身份驗證數據,即使其已加密。 但是,如果存在可行的業務理由並且數據以安全的方式存儲,則發行人可以存儲身份驗證數據。

3.3

PAN 在顯示時應被屏蔽。 前六位或後四位是您應該顯示的唯一數字。

3.4

PAN 無論在何處存儲,都應使其不可讀——這包括數字媒體、日誌、備份媒體以及從無線網絡接收的數據。 我們在 Appinventiv 上針對這一點提出的技術解決方案包括完整 PAN 的強大單向哈希函數、強大的密碼學、具有高度安全存儲墊的索引令牌等。

3.5

用於加密持卡人數據的密鑰應防止濫用和洩露。

3.6

公司應完整記錄和實施用於加密持卡人數據的加密密鑰的適當密鑰管理程序和流程。

PCI 開發要求 4:加密持卡人數據在公共、開放網絡中的傳輸

黑客在開放的公共網絡上攔截持卡人數據的傳輸並不是特別不可能,保護應用程序的私人數據免受黑客攻擊非常重要。 一種方法是通過數據加密

4.1

應用程序開發公司應在 iOS 應用程序和 Android 解決方案中使用強大的安全協議和加密技術,例如TLS/ SSL Pinning,以保護持卡人在公共網絡上傳輸的敏感數據。

4.2

最終用戶的消息傳遞技術絕不應發送未受保護的 PAN。

PCI 開發要求 6:開發和維護安全應用程序

金融科技應用程序的 PCI 要求是在外部和內部應用程序的開發方面,這被認為是在PCI DSS 移動應用程序合規範圍內——這代表每個已開發的應用程序處理、存儲和傳輸持卡人的數據。

金融科技開發公司創建供外部組織使用的 PCI 支付應用程序應符合支付應用程序數據安全標準 (PA-DSS),並應由 PA-QSA 進行評估。

6.1

符合 6.1 要求要求在軟件開發週期中使用的庫和工具的正確記錄的軟件資產登記冊。 軟件資產登記冊中的每一項都應包括:

  • 一個版本號
  • 軟件的使用方式和地點
  • 清楚地解釋它們提供的功能。

由於軟件庫和工具經常更新,因此不斷審查並保持最新狀態至關重要。

建立軟件資產登記冊後,應實施一個流程來定期監控登記冊中的每個項目,以發送漏洞通知和更新版本。

要求 6.1 還要求進行風險排名,應該為資產登記冊內項目中識別的每個漏洞分配風險排名。 應對漏洞進行風險評估,並且必須貼上風險等級標籤,稱為“嚴重”、“高”、“中”或“低”。 然後,這些風險級別將有助於確定修補的優先級。

6.2

這一要求建立在漏洞監控之上,並要求在供應商發布日期後的一個月內解決和應用關鍵級別的安全補丁。

評級為低級別的漏洞補丁應在發布後的 2 到 3 個月內應用。

應維護補丁發布監控和補丁過程的日誌,以確保在規定的時間內識別和合併補丁。

6.3

它需要使用基於行業最佳實踐的軟件開發生命週期。 軟件開發生命週期的每個部分都應詳細記錄在開發的概念化、設計、研究和應用程序測試過程中如何解決移動應用程序安全性和 PCI 要求。

PCI 支付應用程序開發文檔應具有足夠的描述性,以涵蓋應用程序如何處理、共享和存儲持卡人數據的部分內容。 為了達到 6.3 的合規性,目標應該是使文檔具有足夠的描述性,甚至第三方開發人員也能理解它。

為了確保開發人員遵守開發生命週期,應記錄每個開發階段的完成情況,並應定期對開發過程進行審核。

  • 6.3.1:在將應用程序發布給最終用戶之前,應刪除測試或自定義應用程序帳戶、密碼和用戶 ID。
  • 6.3.2:自定義代碼在發布前應進行審核,以識別編碼漏洞(如果有)。

6.4

軟件開發公司應遵循對系統組件所做的所有更改的更改控制流程。 這些過程必須包括以下要求:

  • 與生產環境不同的開發和測試環境
  • 在開發/測試和生產環境之間設置不同的職責
  • 生產數據不得用於開發或測試
  • 在系統組件激活或投入生產之前,應將測試數據從系統組件中刪除。

6.5

它要求金融科技軟件開發公司和金融應用程序開發人員接受與應用程序編碼語言一致的安全編碼方法培訓。 編碼技術應以行業最佳實踐為基礎,並應記錄在案以確保團隊完全遵循它們。

6.6

面向公眾的支付應用程序,例如可以通過互聯網訪問的 Web 應用程序,應通過 Web 應用程序防火牆 (WAF) 或通過嚴格的 Web 應用程序漏洞掃描流程進行保護。

考慮到此 PCI 要求的重要性以及它如何設置最低級別的安全控制,一些具有安全意識的組織在其 Web 應用程序安全性中選擇了“安全帶和大括號”方法。

為什麼要關注 PCI DSS 合規性?

對於需要與大型金融服務提供商合作的新公司或初創公司,PCI DSS 是不可協商的。

他們應該考慮合規的原因在於,PCI 除了提高和向客戶和其他組織展示可信度外,還改進了措施。

雖然對於初創公司來說,通過完整的 PCI DSS 合規性審核並不重要,這可能成本很高,但獲得正確的諮詢以從合理的角度提供幫助並讓球動起來是有益的。

此類諮詢被稱為質量安全評估員,它們已由 PCI 安全標準委員會準備和認證,以幫助組織對其如何處理信用卡信息進行評估。

這些評估員對新公司特別有用,因為他們已經看到了針對最壓倒性合規要求的真正解決方案。

如何保持 PCI 合規性?

PCI DSS 合規性的階段可以分為兩部分:第一部分是實現 PCI DSS 合規狀態——可以通過創建PCI 合規檢查表來確保——第二部分是維持 PCI DSS 合規狀態。

第二部分——在 PCI DSS 中保持合規是一個難以實現的狀態,這通常是因為人們誤以為合規只是簡單地遵循 PCI DSS 審核清單。 保持合規性的公式是開發提供持續 PCI 合規狀態的流程。

保留安全流程的詳細記錄並實施管理層的監督是防止自滿情緒進入系統並確保可以在任何時間點驗證 PCI DSS 合規狀態的必要方法。

制定持續合規計劃

持續合規確保您的工作環境符合標準並適合保護客戶信息。 合規性不僅僅包括滿足清單上的所有要求。 您需要考慮這些必要性如何適用於您的特定議程,以便您可以適當地更改操作。 您可以採取措施確保持續合規的幾個階段包括:

  1. 訪問控制計劃
  2. 制定符合 PCI 要求的政策
  3. 保存和維護詳細記錄
  4. 監督管理
  5. 定期測試以衡量漏洞

結論

從最終用戶的安全到您企業的未來,一切都取決於正確實施和維護 PCI DSS 合規性,您需要與一家了解合規手續金融科技應用程序開發公司聯繫。 該公司可以位於您的家鄉,也可以位於世界任何其他地方,例如,您可以選擇美國的金融科技應用程序開發公司 確保您選擇最好的以獲得高質量的結果。 在任何情況下,在完成任何事情之前都要檢查該機構的專業知識和知識。

關於符合 PCI DSS 的金融科技移動應用程序開發的常見問題

問:什麼是 PCI 合規級別?

所有存儲、使用或傳輸車主數據以開展業務的組織都需要 PCI DSS。 但要求因業務交易而異 - 將合規性分為四個級別。

級別 4:商戶處理每年少於 20,000 筆交易

3 級:商戶處理每年 20,000 到 100 萬筆交易

級別 2:商戶每年處理 1 到 600 萬筆交易

級別 1:商戶處理每年超過 600 萬筆交易。

問:什麼是PCI DSS?

它是法律要求的一套標準,旨在保護持卡人在應用程序內和保存信息的組織內的數據。

問:PCI 合規性對金融科技應用業務意味著什麼?

符合 PCI 標準的金融科技應用程序業務在法律上已準備好在其流程中處理用戶的卡詳細信息。 不符合 PCI 的金融科技公司不得處理持卡人的敏感數據,並可能面臨嚴重的財務後果,如費用、罰款,甚至業務損失。 這些後果使金融科技應用程序的PCI 合規性軟件開發成為絕對必須具備的。

問:如何成為 PCI 合規的?

您的 PCI 合規性檢查清單中應包括五項主要內容:

  1. 分析您的合規水平
  2. 填寫自我評估問卷
  3. 進行必要的更改/填補缺點
  4. 完成合規證明
  5. 提交文書工作

問:使用支付網關時是否需要 PCI DSS 證書?

是的,這是必需的。 支付網關集成並不能免除您獲取 PCI DSS 證書的需要,因為您實際上將支付信息管理到更值得注意或更小的程度。 在任何情況下,您將支付網關添加到您的應用程序或站點的方式將表徵合規程度。

問:PA DSS 和 PCI DSS 之間有什麼關係?

PA DSS是針對使用卡信息進行支付授權和結算的移動支付應用程序的開發商和集成商的標準。 為了實現 PA DSS 合規性,應將應用程序出售、分發或許可給第三方。 PA DSS 的合規性分為兩個階段——

Phases of PA-DSS

遵守 PA DSS 的要求將有助於您符合 PCI DSS。