Shrikant Srivastava

PCI سازگار با Fintech توسعه برنامه تلفن همراه "عنوان =" توسعه برنامه برنامه تلفن همراه سازگار با PCI "src =" https://appinventiv.com/blog/wp-content/uploads/2019/10/PCI- Compliant-Fintech-Mobile-App-Development.png "/> </figure> </p></div> <p> این که آیا برنامه شما یک برنامه Fintech تمام عیار مانند PayPal است یا اینکه شما یک برنامه پخش رسانه ای هستید مانند <span style= Netflix که از کاربران می خواهد بپردازند در برنامه برای اشتراک ، یک چیز است که شما نمی توانید آن را از دست دهید – انطباق PCI DSS.

عدم نگاه به استانداردهای امنیتی PCI که منجر به نقض اطلاعات می شود می تواند منجر به پیامدهای مخرب مالی مانند هزینه ها ، جریمه ها ، و این مقاله شامل کلیه اصول اولیه انطباق PCI برای برنامه fintech برای کمک به حرکت در جهت صحیح توسعه است.

این چیزی است که راهنمای امنیت پذیرش پرداخت تلفن همراه PCI ما به دنبال دارد:

  1. PCI DSS چیست؟
  2. محدوده نیازهای انطباق PCI
  3. نحوه حفظ رایانه I Compliance؟
  4. نتیجه گیری
  5. سؤالات متداول درباره انطباق PCI برای توسعه برنامه Fintech

PCI DSS چیست؟

اکوسیستم دستگاه های پرداخت

PCI استاندارد پرداخت داده های صنعت کارت پرداخت (PCI DSS) یک استاندارد فنی کاملاً نسخه ای است که به منظور محافظت از جزئیات کارت های اعتباری و بدهی ، که در صنعت به عنوان "دارنده کارت" خوانده می شود ، هدایت می شود. هدف PCI DSS صرفه جویی در کلاهبرداری در رابطه با کارتهای پرداخت با ایمن سازی داده های دارندگان کارت در داخل سازمان هایی است که یا پرداخت کارت را می پذیرند.

مراکز انطباق PCI در اطراف خدمات فناوری اطلاعات. مدیران سازگار با فناوری اطلاعات که به منظور دستیابی به انطباق در سازمانها منصوب شده اند ، باید تجربه و دانش توسعه دهنده نرم افزار را لازم داشته باشند تا اطمینان حاصل کنند که روند توسعه برنامه مطابق با لیست چک مورد نیاز PCI DSS است.

اهداف [19659017] PCI DSS مورد نیاز
ایجاد و حفظ شبکه ایمن 1. برای محافظت از داده های دارنده کارت ، پیکربندی فایروال را نصب و نگهداری کنید
2. از پیش فرض های ارائه دهنده فروشنده برای کلمات عبور سیستم و سایر پارامترهای امنیتی استفاده نکنید
Protect Data Holder Card 3. از داده های دارنده کارت ذخیره شده
4 محافظت کنید. انتقال رمزگذاری داده های دارنده کارت در شبکه های عمومی و باز
حفظ یک برنامه مدیریت آسیب پذیری 5. به طور مرتب از نرم افزار یا برنامه های ضد ویروس استفاده کنید و آن را به روز کنید
6. توسعه و نگهداری سیستم ها و برنامه های ایمن
پیاده سازی اقدامات کنترل دسترسی قوی 7. دسترسی به داده های دارنده کارت توسط کسب و کار محدود کنید که باید بدانید
8. یک شناسه منحصر به فرد به هر شخص با دسترسی به رایانه اختصاص دهید
9. دسترسی فیزیکی به داده های دارنده کارت را محدود کنید
به طور منظم شبکه ها را مانیتور و آزمایش کنید 10. ردیابی و نظارت بر همه دسترسی به منابع شبکه و داده های دارنده کارت
11. مرتباً سیستمها و فرآیندهای امنیتی را آزمایش کنید
یک سیاست امنیت اطلاعات را حفظ کنید 12. سیاستی را حفظ کنید که به امنیت اطلاعات برای کلیه پرسنل بپردازد

با تعریف آنچه اکنون PCI DSS در آن حضور دارد ، اجازه دهید ما به الزامات توسعه PCI ویژه برنامه fintech بپردازیم.

دامنه الزامات انطباق PCI

حداکثر الزامات PCI DSS که بر روند توسعه برنامه Fintech تأثیر می گذارد ، تحت الزامات 3 ، 4 و 6 قرار می گیرد. اجازه دهید ما به درک هر سه مورد از آنها بصورت جداگانه بپردازیم تا درک کاملی از راهنمایی دامنه PCI دریافت کنیم.

PCI Requirement Development 3 : از داده های دارنده کارت حافظه محافظت کنید

داده دارنده کارت اطلاعاتی را که پردازش ، چاپ ، ذخیره یا انتقال شده بر روی کارت پرداخت است ، نشان می دهد. برنامه هایی که قبول می کنند از طریق کارتها ، از داده های دارندگان کارت محافظت می کنند و از استفاده غیرمجاز جلوگیری می کنند – صرف نظر از اینکه داده ها روی کارت چاپ می شوند یا به صورت محلی ذخیره می شوند.

به طور کلی ، هیچ گونه اطلاعات دارنده کارت نباید تا زمانی که کاملا لازم باشد ذخیره شود. رفع نیازهای تجاری. داده های حساس ذکر شده در نوار مغناطیسی هرگز نباید ذخیره شوند و در صورت نیاز به ذخیره جزئیات PAN ، باید آن را غیرقابل خواندن ارائه دهید. در اینجا موارد دیگری وجود دارد که باید در فهرست بررسی PCI سازگاری با PCI در نظر گرفته شود.

3.1

ذخیره و ذخیره داده باید با توجه به اهداف قانونی و تجاری محدود باشد ، زیرا اسناد موجود در نگهداری داده ها خط مشی. کلیه داده های غیر ضروری باید حداقل در هر چهارم پاک شود.

3.2

داده های احراز هویت حساس نباید پس از مجوز ، حتی اگر رمزگذاری شوند ، ذخیره نمی شوند. اگرچه ، صادرکنندگان می توانند داده های احراز هویت را در صورت وجود توجیه اقتصادی مناسب ذخیره کنند و داده ها به روشی مطمئن ذخیره شوند.

3.3

PAN هنگام نمایش باید نقاب شود. شش رقم اول یا چهار رقم آخر تنها مواردی است که شما باید نمایش دهید.

3.4

PAN هر جا که ذخیره شود قابل خواندن نیست – این شامل رسانه های دیجیتالی ، پرونده ها ، رسانه های پشتیبان و داده های دریافت شده از شبکه های بی سیم. راه حل های فن آوری که ما برای Appinventiv برای این نقطه پیشنهاد می کنیم شامل یک عملکرد هش یک طرفه قوی از PAN کامل ، رمزنگاری قوی ، نشانه گذاری با پدهای بسیار امن و غیره است.

3.5

کلیدهایی که استفاده می شوند برای رمزگذاری داده های دارنده کارت باید در برابر سوء استفاده و افشای محافظت شود.

3.6

شرکت ها باید روش و کلید مدیریت مناسب کلید را برای کلیدهای رمزنگاری که برای رمزگذاری داده های دارنده کارت استفاده می شوند ، کاملاً مستند و پیاده سازی کنند.

مورد نیاز توسعه PCI 4: رمزگذاری انتقال داده های دارنده کارت ها از طریق شبکه های عمومی ، عمومی

هکرها به ویژه غیرممکن نیستند که انتقال داده های دارنده کارت را از طریق شبکه های باز ، عمومی باز کنند و از اهمیت بالایی برخوردار باشند. به از داده های خصوصی برنامه از آنها محافظت کنید. یک راه برای انجام این کار از طریق رمزگذاری داده ها است.

4.1

شرکت های توسعه برنامه باید از پروتکل های امنیتی و رمزنگاری قوی مانند TLS / SSL یا IPSec یا SSH استفاده کنند. محافظت از داده های حساس دارندگان کارت هنگام انتقال آن از طریق شبکه عمومی.

4.2

PAN های محافظت نشده هرگز توسط فن آوری های پیام رسانی کاربران نهایی ارسال نمی شوند.

PCI Development Requirement 6: توسعه و حفظ برنامه های کاربردی ایمن

این الزام به انطباق PCI برای برنامه fintech از نظر توسعه برنامه های داخلی و خارجی است که در نظر گرفته می شود محدوده PCI DSS باشد – این شامل هر برنامه توسعه یافته ای است که داده های کارت را پردازش ، ذخیره و انتقال می کند.

برنامه های پرداخت PCI که توسط شرکت های توسعه برنامه Fintech برای استفاده توسط سازمان های خارجی ایجاد شده اند باید مطابق با داده برنامه پرداخت پرداخت باشند. rity Standard (PA-DSS) ، و باید توسط PA-QSA ارزیابی شود.

6.1

انطباق با الزام 6.1 نیاز به ثبت اسناد دارایی نرم افزار به درستی مستند كتابخانه ها و ابزارها دارد كه در چرخه توسعه نرم افزار مورد استفاده قرار می گیرند. هر مورد موجود در فهرست دارایی های نرم افزار باید شامل موارد زیر باشد:

  • شماره نسخه
  • نحوه و کجا از نرم افزار استفاده می شود
  • توضیح روشن درباره عملکردی که ارائه می دهند.

از آنجا که کتابخانه ها و ابزارهای نرم افزاری به طور مکرر به روز می شوند ، آن را از اهمیت ویژه ای برخوردار است که ثبت نام به طور مداوم مورد بررسی قرار می گیرد و به روز نگه داشته می شود.

پس از ایجاد یک دارایی نرم افزار ، باید فرایندی انجام شود تا به طور منظم همه موارد موجود در ثبت را برای ارسال اعلان از آسیب پذیری ها و نسخه های به روز شده رصد کند.

مورد نیاز 6.1 همچنین به دنبال رتبه بندی ریسک است که باید برای هر آسیب پذیری که در موارد موجود در فهرست دارایی ها مشخص شود ، اختصاص یابد. این آسیب پذیری ها باید ارزیابی شود و باید دارای برچسب رتبه بندی ریسک با عنوان "بحرانی" ، "زیاد" ، "متوسط" یا "پایین" باشد. این سطوح خطر به اولویت بندی وصله کمک می کند.

6.2

این الزامات مبتنی بر نظارت بر آسیب پذیری است و نیاز به تکه های امنیتی در سطح بحرانی را دارد که طی یک ماه از تاریخ انتشار فروشنده مورد بررسی و استفاده قرار گیرد.

تکه های آسیب پذیری که در سطوح پایین رتبه بندی شده اند باید در 2 تا 3 ماه از زمان اعمال شوند.

برای اطمینان از شناسایی و وصل شدن تکه ها در زمان مقرر ، باید یک ثبت نام در روند نظارت بر انتشار وصله نگه داشته شود.

6.3

این نیاز به استفاده از چرخه توسعه نرم افزار دارد که مبتنی بر آن باشد. بهترین شیوه های صنعت هر بخشی از چرخه چرخه توسعه نرم افزار باید با جزئیات در مورد چگونگی امنیت برنامه های تلفن همراه و الزامات PCI در مراحل مفهوم سازی ، طراحی ، تحقیق ، و [تست19959009] تست برنامه پردازش های توسعه ثبت شود. [19659004] سند توسعه برنامه پرداخت PCI باید به اندازه کافی توصیفی باشد تا بخش هایی از نحوه پردازش برنامه ، اشتراک گذاری و ذخیره داده های دارنده کارت را پوشش دهد. برای دستیابی به انطباق 6.3 ، هدف باید این باشد که مستندات به اندازه کافی توصیفی باشند که حتی توسعه دهندگان شخص ثالث نیز آن را درک کنند.

برای اطمینان از این که توسعه دهندگان به چرخه چرخه توسعه پایبند هستند ، تکمیل هر مرحله از توسعه مستند سازی شده و باید به طور منظم روند توسعه را انجام دهید.

  • 6.3.1: حساب یا برنامه برنامه های سفارشی ، گذرواژه‌ها و شناسه‌های کاربری قبل از انتشار برنامه ها برای کاربران نهایی حذف شوند.
  • 6.3.2: کدهای سفارشی قبل از انتشار باید بررسی شوند تا در صورت وجود آسیب پذیری های کد نویسی ، شناسایی شوند.

6.4

شرکت های توسعه نرم افزار باید برای کنترل همه تغییرات ، روند کنترل تغییر را دنبال کنند. ساخته شده به اجزای سیستم. این فرایندها باید موارد زیر را شامل شود:

  • محیط های مختلف توسعه و آزمایش از محیط های تولید
  • وظایف مختلفی که بین توسعه / آزمایش و محیط تولید تعیین می شود
  • داده های تولید نباید برای توسعه یا آزمایش استفاده شود
  • داده های آزمون قبل از فعال شدن یا شروع به کار ، باید از اجزای سیستم خارج شود.

6.5

به برنامه نویسان برنامه Fintech نیاز دارد تا در روش های رمزگذاری ایمن که با زبان های رمزگذاری برنامه هماهنگ هستند ، آموزش ببینند. تکنیک های کدگذاری باید بر اساس بهترین شیوه های صنعت باشد و باید مستند باشد تا تیم از آنها پیروی کند تا به کلیت خود ادامه دهند.

6.6

برنامه های پرداخت که با عموم روبرو هستند ، مانند برنامه های وب که قابل دسترسی هستند. از طریق اینترنت باید از طریق فایروال برنامه وب (WAF) یا از طریق یک فرآیند دقیق اسکن آسیب پذیری برنامه کاربردی وب محافظت شود.

با توجه به اهمیت این الزام PCI و چگونگی تنظیم حداقل سطح کنترل امنیتی ، مقداری امنیت وجود دارد. سازمان های آگاه که می خواهند رویکرد "کمربند و پرانتز" در امنیت برنامه وب خود انتخاب کنند.

چگونه می توان PCI را حفظ کرد؟

مراحل انطباق PCI DSS را می توان به دو بخش تقسیم کرد: بخش اول: دستیابی به وضعیت انطباق PCI DSS – که می توان با ایجاد لیست چک لیست انطباق PCI – اطمینان داد و بخش دوم حفظ PCI DSS است. وضعیت انطباق.

بخش دوم – سازگار ماندن در PCI DSS وضعیت دشوار است ، اغلب به دلیل سوء برداشت هایی که پیروی از پیروی از چک لیست حسابرسی PCI DSS دارد. فرمول حفظ انطباق ، توسعه فرایندهایی است که به حالت مداوم مطابق با PCI ادامه می دهند.

نگه داشتن سوابق تفصیلی از فرآیندهای امنیتی و اجرای نظارت مدیریت یک رویکرد ضروری برای جلوگیری از نارضایتی از ورود به سیستم و اطمینان از این امر است که وضعیت انطباق PCI DSS در هر مقطع زمانی قابل تأیید است.

نتیجه گیری

با همه چیز از امنیت کاربران نهایی گرفته تا سوار شدن در آینده در تجارت شما در اجرای صحیح و نگهداری از انطباق PCI DSS ، شما نیاز دارید. برای برقراری ارتباط با شرکت توسعه نرم افزار fintech که صلاحیت این انطباق را در خارج از کشور می داند.

سؤالات متداول درباره PCI برای توسعه برنامه Fintech

س. سطح انطباق PCI چیست؟

PCI DSS توسط کلیه سازمانهایی که داده های کارمندان را برای انجام کار خود ذخیره ، استفاده یا انتقال می دهند ، مورد نیاز است. اما نیازها با توجه به معاملات تجاری متفاوت است – که انطباق را در چهار سطح تقسیم می کند.

سطح 4: پردازش تجاری کمتر از 20،000 معاملات سالانه است

سطح 3: پردازش بازرگان در محدوده 20،000 تا 1 میلیون معاملات سالانه است

سطح 2: پردازش تجاری بین 1 تا 6 میلیون معاملات سالانه است

سطح 1: پردازش تجاری. سالانه بیش از 6 میلیون معاملات.

س. استاندارد امنیت داده های کارت های پرداخت کارت چیست؟

این مجموعه ای از استاندارد های مورد نیاز توسط قانون است که به منظور تأمین امنیت داده های کارت های درون برنامه و درون سازمانی است که اطلاعات را ذخیره می کند.

Q . منظور از انطباق PCI برای تجارت برنامه های Fintech چیست؟

یک برنامه کاربردی Fintech که سازگار با PCI است ، از نظر قانونی آماده است تا در مورد جزئیات کارت کاربران برای روند کار خود کار کند. شرکتهای Fintech که سازگار با PCI نیستند مجاز به کار درمورد اطلاعات حساس دارندگان کارتها نیستند و می توانند با عواقب شدید مالی مانند – هزینه ها ، جریمه ها و حتی از دست دادن تجارت روبرو شوند. پیامدهای این امر باعث می شود که تبعیت PCI برای برنامه های fintech مطلق باشد.

س. چگونه می توان PCI سازگار شد؟

پنج مورد اصلی وجود دارد که باید در لیست چک لیست سازگاری PCI شما قرار بگیرند:

  1. تجزیه و تحلیل سطح انطباق شما
  2. پر کردن پرسشنامه خودارزیابی
  3. ایجاد تغییرات لازم / پر کردن کاستی
  4. تأیید تأیید پیروی
  5. تشکیل پرونده های مستندات

س. رابطه PA DSS و PCI DSS چیست؟

[D19659115] PA DSS استانداردی برای توسعه دهندگان و مجتمع های برنامه های پرداخت موبایل است که از اطلاعات کارت برای مجوز و تسویه حساب استفاده می کنند. برای دستیابی به مطابقت PA DSS ، برنامه ها باید به اشخاص ثالث فروخته ، توزیع یا مجوز شوند. رعایت PA DSS به دو مرحله تقسیم می شود –

مراحل PA-DSS

پیروی از الزامات PA DSS همان چیزی است که به شما کمک می کند سازگار با PCI DSS باشید.

مقالات مرتبط :

با استفاده از این منابع مفید ، به بررسی چشم انداز طراحی محصول بپردازید: