Мир корпоративных ИТ
Статті

Що означає відповідність вимогам PCI для безпеки мобільних додатків

02 августа, 2022. 11:08 За матеріалами Oberig IT
Теги: #Oberig_IT, #OneSpan
Якщо ваша організація розглядає питання відповідності стандарту PCI-DSS, також відомому як Стандарт безпеки даних індустрії платіжних карток, переконайтеся, що ви не випускаєте з уваги аспект безпеки мобільних додатків.

Для банку або платіжного процесора програми на смартфонах ваших клієнтів є загрозою безпеці, що зростає, що виникає тільки на периферії. Хоча більшість з нас знає, що кіберзлочинці будуть використовувати агресивну тактику для збору даних, легко випустити з уваги деякі з найбільш очевидних місць їх атак. Оскільки мобільні програми забезпечують зв'язок кожної людини з різноманітними ресурсами, від соціальних мереж до фінансових установ, це привертає велику увагу до необхідності приділяти особливу увагу безпеці при розробці мобільних додатків.

Якими є найбільш поширені загрози безпеці в мобільних додатках?

У хакерів немає браку можливостей отримати цінну інформацію, атакуючи популярні програми. Іноді цінність полягає в отриманні доступу до додатку або вилученню з нього конфіденційних даних, таких як інформація про кредитну картку, за допомогою вкрадених облікових даних. Багато хакерів будуть використовувати схеми збору облікових даних для збору інформації про логіни та паролі або інші дані аутентифікації для виконання шахрайських атак або перепродажу через "темне павутиння".

Інші поширені загрози включають:

  • Мобільне шкідливе ПЗ.
  • Крадіжка мобільної IP-адреси.
  • Підробка додатків.

Порушення кібербезпеки, що виникли в програмі, можуть погано позначитися на вашому бізнесі. Уявіть собі, що тисячі клієнтів довірили вам свої операції з дебетовими та кредитними картками, а потім із їхніх банківських рахунків були вкрадені гроші за допомогою інформації, яку ви залишили незахищеною. Наслідки такого злому можуть бути серйозними: фінансові штрафи та значна втрата доходів, оскільки користувачі намагатимуться скасувати свої облікові записи та навести лад. Ви можете виявити, що серйозні збитки можуть бути завдані і репутації вашого бренду.

 

Як захистити користувачів програми?

Враховуючи, що компанії, які приймають, обробляють, зберігають або передають дані платіжних карток та карткові транзакції, ризикують багато чим, вам, можливо, цікаво, що може зробити ваша компанія, щоб додати рівні захисту до свого мобільного додатку. Гарною відправною точкою було б:

  • Посилення захисту мобільного додатка за допомогою обфускації та криптографії "білої скриньки" для пом'якшення атак перепакування.
  • Захист основних компонентів вашої програми, таких як комунікації, сховище та інтерфейс.

Для захисту комунікацій зверніть увагу на такий інструмент, як OneSpan Mobile Security Suite, який забезпечує наскрізне шифрування між серверними та клієнтськими програмами, по суті, надаючи вам зашифрований безпечний канал практично для всього, будь то текст, фотографії або QR-коди. Для безпечного зберігання зашифруйте всі дані програми таким чином, щоб вони не залежали від будь-якої операційної системи або пристрою.

Один з найбільш ефективних методів забезпечення безпеки включає зворотний інжиніринг вашого додатка для виявлення його вразливостей, а потім усунення цих ризиків, щоб запобігти маніпуляції зловмисників з елементами управління безпекою і підробку вашої програми. Розробники також повинні створити систему цілодобового моніторингу поведінки програм та виявлення небезпечних дій. Для цього необхідний ретельний підхід до тестування на проникнення для виявлення та усунення вразливостей. Розробники також можуть вбудовувати у свій код реактивні послідовності, що руйнують потенційні атаки, реагуючи на виявлення шкідливої активності.

 

Що таке відповідність вимогам PCI?

Відповідність вимогам індустрії платіжних карток (PCI) забезпечує дотримання стандартного протоколу безпеки для всіх компаній, які обробляють, зберігають або передають дані кредитних карток. Рада зі стандартів безпеки PCI встановила заходи безпеки, призначені для захисту фінансової інформації споживачів, які ведуть з вами бізнес - у тому числі серед мобільних додатків.

Досягнення відповідності PCI включає (серед інших факторів):

  • Безпечну передачу даних
  • Безпечне зберігання інформації про власників карток та даних клієнтів
  • Використання журналу безпеки для відстеження інцидентів
  • Планування аварійного відновлення та забезпечення безперервності бізнесу
  • Розумну політику інформаційної безпеки

 

Що означає відповідність вимогам PCI для розробки мобільних додатків

Виконання вимог PCI – це не просто пункт контрольного списку, який ви позначаєте перед випуском програми AppStore. Це основна частина процесу DevOps. У багатьох аспектах усунення складнощів та вразливостей безпеки розроблюваної програми не менш важливе, ніж розробка її функцій. Додаток, що відповідає стандарту PCI, не жертвує функціями заради безпеки та навпаки. Вони розробляються одночасно, тому підвищення безпеки завжди є першочерговим завданням.

Крім впровадження надійного шифрування конфіденційних даних і передачі даних про власників карток, ось кілька конкретних прикладів засобів безпеки, які можна застосувати у вашому додатку для захисту збережених даних про власників карток:

  • Екранування мобільних додатків: Важливо проактивно захищати програми для Android та iOS від вторгнень, атак під час виконання та інших загроз у режимі реального часу. Захист мобільних програм допомагає організаціям захиститися від несанкціонованого проникнення, запобігти заміні програм, перешкоджати зворотньому інжинірингу та клонуванню, а також виявляти та пом'якшувати атаки шкідливого ПЗ. Це досягається завдяки невидимому, постійно чинному рівню безпеки мобільних додатків.
  • Обмежений доступ до даних програми через обфускування коду: Якщо зловмисник спробує витягти ключі шифрування вашої програми, криптографія "білої скриньки" використовуватиме шифрування та обфускацію, щоб приховати ключі у вихідному коді навіть під час виконання.
  • Прив'язка пристрою: Більш ефективне запобігання клонуванню додатків, припинення повторного використання криптографічних ключів та підтримання надійного зв'язку між авторизованим користувачем та мобільним пристроєм.
  • Ідентифікація пристрою:За допомогою унікальних атрибутів ID можна ідентифікувати мобільний пристрій та забезпечити постійну ідентифікацію, на яку не впливають оновлення мобільної ОС та яка може перемогти спроби підробити пристрій.

 

Відповідність критичним компонентам вимог PCI DSS

Існують різні рівні відповідності, залежно від кількості транзакцій, які обробляє ваша компанія. Вони варіюються від менш ніж 20 000 транзакцій до більш ніж 6 мільйонів транзакцій на рік. Вимоги до дотримання та штрафи за недотримання варіюються залежно від рівня. Очікуйте таких речей, як щорічний аудит, щоквартальне сканування мережі, анкети самооцінки, звітність та особливі ситуації у разі витоку даних.

Як вибрати правильного постачальника послуг безпеки, щоб надалі відповідати вимогам

Немає нестачі в компаніях, які стверджують, що у них є підходящі інструменти для моніторингу додатків та задоволення потреб вашого бізнесу. Як же зробити порівняння при виборі відповідного продукту?

  • Ретельне вивчення інформації: Дізнайтеся якнайбільше про постачальника систем безпеки та пропоновані ним системи безпеки. Як довго вони працюють, який їхній послужний список, хто ще користується їхніми послугами? Якщо ви зможете знайти авторитетного постачальника з досвідом роботи у галузі, це ще краще.
  • Вивчіть їхній підхід: Уважно вивчіть обсяг пропонованих послуг. Немає двох однакових програмних рішень для забезпечення безпеки. Переконайтеся, що компанія справді спроможна запропонувати послуги, які вам потрібні. Зараз саме час вивчити їхню бізнес-модель і з'ясувати, чи купуєте ви пакетні послуги або підписуєтеся на гнучке партнерство. Немає нічого поганого ні в тому, ні в іншому, якщо це саме те, що вам потрібно, головне, щоб ви знали, що отримуєте.
  • Сервіс: Уточніть рівень обслуговування, який пропонує постачальник. Якщо ви використовуєте їх продукти і зіткнетеся з витоком даних, як вони допоможуть вам? Якщо у вас виникнуть питання під час аудиту, чи зможете ви зв'язатися з ними? Знову ж таки, немає двох однакових компаній.

Підсумкова інформація про безпеку мобільних додатків

Безпека програм та захист даних повинні бути одним з головних завдань, якщо ви розробляєте мобільний додаток. Загалом ринок трохи зволікає з задоволенням потреб мобільних додатків у безпеці, внаслідок чого до трьох чвертей додатків на ринку залишаються вразливими. OneSpan може допомогти вам захистити ваших мобільних користувачів, дані та транзакції за допомогою рішень, що виходять за рамки брандмауерів та антивірусного програмного забезпечення. Від хмарної багатофакторної аутентифікації (MFA) до захисту мобільних додатків – рішення OneSpan надають банкам, постачальникам платіжних послуг та розробникам мобільних додатків перевірені засоби безпеки для захисту конфіденційних даних клієнтів та власників карток.

Щоб дізнатися більше про захист вашої мобільної програми, ознайомтесь з посібником щодо захисту мобільних додатків: як зменшити шахрайство, заощадити гроші та захистити доходи.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення OneSpan і організації партнерських тренінгів звертайтеся, будь ласка: [email protected], +38 093 801 04 41.

Джерело: https://bit.ly/3y7FN2s

 

 

Материалы по теме:
Що нові оновлення закону про безпеку в інтернеті означатимуть для користувачів
Що нові оновлення закону про безпеку в інтернеті означатимуть для користувачів 20 мая, 2022 Читать
Основні загрози інноваціям у галузі цифрової ідентифікації та способи їх обмеження
Основні загрози інноваціям у галузі цифрової ідентифікації та способи їх обмеження 15 июня, 2022 Читать
Чи готові банки сказати прощавай паролям?
Чи готові банки сказати прощавай паролям? 30 мая, 2022 Читать
Вебинар 21.01:
Вебинар 21.01: "OneSpan - мультифакторная аутентификация и защита от мошенничества". 19 января, 2021 Читать
Дистрибутор проектных решений Oberig IT стартует работу с портфелем решений OneSpan в Украине
Дистрибутор проектных решений Oberig IT стартует работу с портфелем решений OneSpan в Украине 16 декабря, 2020 Читать
На крок попереду в боротьбі з мобільним шахрайством
На крок попереду в боротьбі з мобільним шахрайством 11 мая, 2022 Читать
Чому будь-який новий фінансовий “супердодаток” потребує куленепробивного захисту
Чому будь-який новий фінансовий “супердодаток” потребує куленепробивного захисту 18 мая, 2022 Читать
Комментарии:
Новые статьи