Tehnologia de plată mobile și de securitate Cerințe ssc PCI - Securitatea informațiilor

soluții de plată mobile sunt încă sub-reprezentate pe piața mondială și în țara noastră, în special. Cu toate acestea, interesul pentru astfel de soluții de către FinTech, dezvoltatori, oameni de afaceri și comercianți este în creștere în fiecare an.

Andrew Gaiko
Digital Security Certified QSA-auditor

Ce este mPOS

Soluția de plată mobil (mPOS) este formată din următoarele componente:

În plus față de funcțiile și cartela intră în citirea protejată cod PIN la mPOS ar trebui să fie un sprijin pentru toate metodele majore de verificare a criptarea datelor deținătorului cardului în timpul transmisiei între componentele și partea de prelucrare a sistemului, precum și capacitatea de a imprima chitanțe sau să le trimită prin SMS și e-mail.

Pe partea furnizorului de servicii sau banca dobânditor, care sunt angajate în prelucrarea de recepție și în continuare a datelor la mPOS-plăți utilizate sistem de back-end (gateway de plată), similare cu cele utilizate în internet sau convențional POS-achiziționarea.

Pentru a înțelege ce cerințele de siguranță trebuie să fie prezentate la nivel tehnic, este necesar să se definească componentele de bază ale mPOS ecosistemelor și a fluxurilor de informații existente. Pentru a înțelege entitățile mPOS ecosistem responsabile cu securitatea plăților la nivel de afaceri, este necesar să se determine modelele existente de afaceri ale participanților proces de plată.

O diagramă a fluxului de informații cuprinde 8 etape majore (a se vedea figura 1 ..):

În punerea în aplicare a următoarelor societăți pot fi implicate procesul descris mai sus:

Trebuie remarcat faptul că societatea poate efectua nu numai unul dintre aceste roluri. Este posibil ca societatea se poate dezvolta pe deplin mPOS-solutii toate componentele software și hardware. În funcție de ce funcții vor fi efectuate acum, aceasta va determina ce condițiile de securitate trebuie să fie respectate.

Listează componentele majore și tipuri de afaceri-model sunt date pentru a înțelege, așa cum ar trebui să fie diferențiate responsabilitatea pentru punerea în aplicare a cerințelor de siguranță între toți participanții mPOS ecosistem.

tipuri de certificare

În plus față de recomandările Visa și MasterCard au dezvoltat un program de certificare a furnizorilor de soluții de plată mobile. De fapt, ambele programe sunt similare suficient, și cu o mare probabilitate, se poate argumenta că dezvoltarea de soluții în conformitate cu cerințele unuia dintre UIP poate fi certificat în alta. Ambele sunt companii certificate MPS registre și mPOS de luare.

Următoarele va descrie caracteristici ale fiecăreia dintre standardele la PCI SSC mPOS-soluții.

Standarde PCI SSC

PCI DSS
În noua versiune a standardului, noi cerințe, care pot fi foarte utile pentru a include securitatea mPOS. În special, secțiunea 9, punctul 9.9 a fost adăugat, potrivit căreia necesitatea de a păstra o evidență a cititoare de carduri, precum și comportamentul de formare periodică a angajaților / utilizatorilor, dispozitiv de servire, astfel încât au putut să determine mPOS de substituție sau alte semne de skimming. În cazul furnizorilor de servicii de luare a mPOS sau achiziționarea de a oferi clienților cu cititorii ei vor trebui să elaboreze recomandări și pentru a proteja împotriva instrucțiunilor de skimming și să le aducă la cunoștința personalului TSC. Ca parte a cerințelor de 12,8, furnizorii de servicii și acceptante la nivelul relației contractuale se poate cere să respecte cerințele relevante de siguranță mPOS TSP.

În ciuda faptului că punerea în aplicare a majorității cerințelor de securitate revine diferiților furnizori de servicii și bănci, banca absorbantă poate solicita foile TSP de umplere de sine (SAQ) de tip corespunzător (SAQ P2PE-HW în cazul TSP P2PE-soluții, SAQ B-IP în cazul mPOS cu cititorul, certificate în conformitate cu PCI PTS). Tabelul de mai jos prezintă componentele mPOS de luare a, standardul la care trebuie să respecte componenta și compania responsabilă pentru punerea în aplicare a cerințelor.

12.8 Cerința este valabil și pentru acele cazuri în care mPOS-soluții pentru furnizorul de servicii dezvoltate de către o terță parte. În acest caz, cerința este de 6.5 cade pe umerii dezvoltatorului. În acest caz, în cazul în care compania de software nu îndeplinește cerințele, furnizorul de servicii nu poate fi auditate pentru conformitatea cu PCI DSS. În acordurile între furnizorii de servicii (acceptante) și dezvoltatorii ar trebui să includă problema auditului anumitor procese de afaceri ale dezvoltatorului, în cazul trecerii de certificare anual al furnizorului de servicii de PCI DSS, ca procesul de dezvoltare vor fi incluse în domeniul de aplicare al auditului furnizorului de servicii. Același adevărat în cazul altor servicii de externalizare. În general, confirmarea de către un terț conformitatea PCI DSS în partea cu privire la aceasta, se poate realiza prin auto-certificare pentru PCI DSS necesare proceselor de afaceri cu acordarea ulterioară a certificatelor de încercări de trecere sau permițând auditul proceselor de afaceri în cadrul Service- de audit furnizor (achizitor).

Rețineți că în țara noastră, un audit de dezvoltatori din cadrul companiei client de audit este rară. în cuvinte, dezvoltatorii pot asigura cunoașterea și aplicarea practicilor de dezvoltare sigure, dar, de fapt, nu posedă cunoștințele necesare și pentru a efectua procedurile relevante. Odată cu lansarea noii versiuni a PCI DSS status quo-ului ar trebui să fie schimbat, deoarece cerințele devin detaliate și specificate în textul procedurilor de screening standard impun QSA-auditor să efectueze mai multe inspecții în profunzime.

PCI PTS
standardul PCI PTS reglementează cerințele de securitate pentru punctul de dispozitive de interacțiune (POI) și a modulelor de securitate hardware (HSM). Dispozitivul cititor conectat la un aparat mobil, un POI. După cum sa menționat mai sus, în mPOS soluție folosește două clase de PDI: codul PIN al dispozitivului de intrare (PED) și Secure Card Reader (SCR). În funcție de ce tip de POI trimite cititorul, grup determinat de PCI PTS cerințe pe care un dispozitiv trebuie să se potrivească.

Tehnologia de plată mobile și de securitate Cerințe ssc PCI - Securitatea informațiilor

În acest moment, unele dintre cele mai propuse pe piața internă mPOS cititoarele soluțiile utilizate no-name-producători. Utilizarea acestor cititori nu poate garanta transmisia securizată a datelor între dispozitive și face transferul numărul cardului la dispozitivul mobil în formă de oportunități deschise. Prin urmare, alegerea mPOS-decizie, a se asigura că ofertele de servicii furnizor de certificate pentru PCI PTS cititor.

Există două modele de afaceri dezvolta un software client: dezvoltarea proiectului pentru propria lor, atunci când un dezvoltator creează mPOS-decizie, și afișează pe piață sub marca proprie: în acest caz, dezvoltatorul va fi furnizorul de servicii mPOS-solutii; - și soluții finale pentru dezvoltarea în continuare a companiilor de licențiere care integrează componente ale diferitelor producători reciproc și pe baza lor mPOS-a crea soluțiile lor.

PA-DSS
Pentru a face mPOS-PA-DSS în mod necesar aplicabile dispozitivului de cusut, datele de citire a cartelei. Pentru software-ul care urmează să fie instalat pe angajat dispozitiv mobil TSP, acest standard este o recomandare. Acest lucru se datorează faptului că dispozitivul mobil este mediu și de încredere slabokontroliruemoy. De exemplu, dispozitivul poate fi configurat jailbreak, care este o ordine a reduce dispozitivele de siguranță și nu garantează securitatea cererii de plată instalate. Acesta este motivul pentru IPU interzic utilizarea dispozitivelor mobile pentru a introduce codul PIN și necesită ca datele din cititorul a ajuns la software-ul mobil este criptat și să continue în aceeași formă predat în achiziționarea. În acest caz, datele de card de plată nu va fi în clar manipulate și stocate în dispozitivul mobil, și, astfel, nu se aplică cerințele PA-DSS.

În versiunea 3.0 a standardului, noile cerințe pentru care dezvoltatorii de firmware pentru cititori și cererile de plată ambalate ar trebui să acorde o atenție în primul rând. În primul rând, fiecare actualizări de eliberare trebuie să treacă o certificare separată. În al doilea rând, acum clienții ar trebui să utilizeze numai versiunea (update) software-ul care este certificat și listate pe site-ul web al Consiliului PCI.

Tehnologia de plată mobile și de securitate Cerințe ssc PCI - Securitatea informațiilor

PCI P2PE
Relativ recent publicat noul standard de securitate PCI P2PE. Standardul este proiectat pentru soluții care să ofere protecție criptografică a datelor în timpul transmiterii între toate componentele soluției de plată. În cazul îngustarea domeniului de aplicare al PMT standard pentru a utiliza nivelul minim este atins de criptare, deoarece nu există nici o posibilitate de a obține date PMT titularul cardului în clar.

Lista tuturor componentelor majore mPOS ecosistemului include:

  • cititor;
  • cerere de plată pentru dispozitive mobile;
  • gateway de plată;
  • sistem conectat la UIP achiziționează.

Spre deosebire de PCI DSS, care se aplică numai la infrastructura de informații, PCI P2PE este mai cuprinzătoare și acoperă nu numai infrastructura, dar, de asemenea, cititorilor și software-ul de-POI terminale software-ul (în anexa la mPOS - l cititori). Standardul este format din 6 domenii, care cerințele sunt bazate pe standardele PCI existente: cititorii trebuie să îndeplinească cerințele PTS PCI SRED; cititoare de software - PA-DSS; de gestionare a cheilor de criptare - Cerințe PCI cod PIN de securitate; info de plată a infrastructurii RTD - PCI DSS. În cazul în care o soluție a fost certificată de PCI P2PE, ceea ce înseamnă că datele între toate subsistemele (de la cititor la dispozitivul mobil în software-ul a software-ului în prelucrarea și etc.) sunt transmise în formă criptată, și toate subsistemele îndeplinesc cerințele de conformitate PCI.

În conformitate cu cerințele P2PE pot fi certificate ca fiind componente individuale și soluții complete.

ICS recomandă utilizarea P2PE-solutii pentru primirea mPOS-plăți. Cu toate acestea, dificultatea constă în faptul că, în prezent, pe piață există puține de acest tip de soluții, astfel încât Ministerul Căilor Ferate nu au nevoie, și recomandă utilizarea PCI-P2PE soluții și în dezvoltarea ghidată de acestea. Cu toate acestea, furnizorii de servicii de plată mPOS-soluții trebuie să fie pregătite pentru faptul că Ministerul Căilor Ferate, în viitorul apropiat va necesita certificarea obligatorie a acestora mPOS de luare a cerințelor PCI P2PE.