Loader

Что означает соответствие требованиям PCI для безопасности мобильных приложений

Если ваша организация рассматривает вопрос соответствия стандарту PCI-DSS, также известному как Стандарт безопасности данных индустрии платежных карт, убедитесь, что вы не упускаете из виду аспект безопасности мобильных приложений.

Для банка или платежного процессора приложения на смартфонах ваших клиентов представляют собой растущую угрозу безопасности, возникающую только на периферии. Хотя большинство из нас знает, что киберпреступники будут использовать агрессивную тактику для сбора данных, легко упустить из виду некоторые из наиболее очевидных мест их атак. Поскольку мобильные приложения обеспечивают связь каждого человека со всевозможными ресурсами, от социальных сетей до финансовых учреждений, это привлекает большое внимание к необходимости уделять особое внимание безопасности при разработке мобильных приложений.

Каковы наиболее распространенные угрозы безопасности в мобильных приложениях?

У хакеров нет недостатка в возможностях получить ценную информацию, атакуя популярные приложения. Иногда ценность заключается в получении доступа к приложению или извлечении из него конфиденциальных данных, таких как информация о кредитной карте, с помощью украденных учетных данных. Многие хакеры будут использовать схемы сбора учетных данных для сбора информации о логине и пароле или других данных аутентификации для выполнения мошеннических атак или перепродажи через «темную паутину».

Другие распространенные угрозы включают в себя:
• Мобильное вредоносное ПО.
• Кража мобильного IP-адреса.
• Подделка приложений.

Нарушения кибербезопасности, возникшие в приложении, могут плохо отразиться на вашем бизнесе. Представьте себе, что тысячи клиентов доверили вам свои операции с дебетовыми и кредитными картами, а затем с их банковских счетов были украдены деньги с помощью информации, которую вы оставили незащищенной. Последствия такого взлома могут быть серьезными: финансовые штрафы и значительная потеря доходов, поскольку пользователи будут пытаться отменить свои учетные записи и навести порядок. Вы можете обнаружить, что серьезный ущерб может быть нанесен и репутации вашего бренда.

Как защитить пользователей приложения?
Учитывая, что компании, которые принимают, обрабатывают, хранят или передают данные платежных карт и карточные транзакции, рискуют очень многим, вам, возможно, интересно, что может сделать ваша компания, чтобы добавить уровни защиты к своему мобильному приложению. Хорошей отправной точкой было бы:
• Усиление защиты мобильного приложения с помощью обфускации и криптографии «белого ящика» для смягчения атак переупаковки.
• Защита основных компонентов вашего приложения, таких как коммуникации, хранилище и интерфейс.

Для защиты коммуникаций обратите внимание на такой инструмент, как OneSpan Mobile Security Suite, который обеспечивает сквозное шифрование между серверными и клиентскими приложениями, по сути, предоставляя вам зашифрованный безопасный канал практически для всего, будь то текст, фотографии или QR-коды. Для безопасного хранения зашифруйте все данные приложения таким образом, чтобы они не зависели от какой-либо операционной системы или устройства.

Один из наиболее эффективных методов обеспечения безопасности включает в себя обратный инжиниринг вашего приложения для выявления его уязвимостей, а затем устранение этих рисков, чтобы предотвратить манипуляции злоумышленников с элементами управления безопасностью и подделку вашего приложения. Разработчики также должны создать систему круглосуточного мониторинга поведения приложений и выявления небезопасных действий. Для этого необходим тщательный подход к тестированию на проникновение для обнаружения и устранения уязвимостей. Разработчики также могут встраивать в свой код реактивные последовательности, которые разрушают потенциальные атаки, реагируя на обнаружение вредоносной активности.

Что такое соответствие требованиям PCI?

Соответствие требованиям индустрии платежных карт (PCI) обеспечивает соблюдение стандартного протокола безопасности для всех компаний, которые обрабатывают, хранят или передают данные кредитных карт. Совет по стандартам безопасности PCI установил меры безопасности, предназначенные для защиты финансовой информации потребителей, которые ведут с вами бизнес — в том числе в среде мобильных приложений.
Достижение соответствия PCI включает в себя (среди других факторов):
• Безопасную передачу данных
• Безопасное хранение информации о держателях карт и данных клиентов
• Использование журнала безопасности для отслеживания инцидентов
• Планирование аварийного восстановления и обеспечения непрерывности бизнеса
• Разумную политику информационной безопасности

Что означает соответствие требованиям PCI для разработки мобильных приложений

Выполнение требований PCI – это не просто пункт контрольного списка, который вы помечаете перед выпуском приложения в AppStore. Это фундаментальная часть процесса DevOps. Во многих отношениях устранение сложностей и уязвимостей безопасности разрабатываемого приложения не менее важно, чем разработка его функций. Приложение, соответствующее стандарту PCI, не жертвует функциями ради безопасности и наоборот. Они разрабатываются одновременно, поэтому повышение безопасности всегда является первоочередной задачей.

Помимо внедрения надежного шифрования конфиденциальных данных и передачи данных о держателях карт, вот несколько конкретных примеров средств безопасности, которые можно применить в вашем приложении для защиты хранящихся данных о держателях карт:

Экранирование мобильных приложений: Важно проактивно защищать приложения для Android и iOS от вторжений, атак во время выполнения и других угроз в режиме реального времени. Защита мобильных приложений помогает организациям защититься от несанкционированного проникновения, предотвратить подмену приложений, препятствовать обратному инжинирингу и клонированию, а также обнаруживать и смягчать атаки вредоносного ПО. Это достигается благодаря невидимому, постоянно действующему уровню безопасности мобильных приложений.

Ограниченный доступ к данным приложения через обфускацию кода: Если злоумышленник попытается извлечь ключи шифрования вашего приложения, криптография «белого ящика» будет использовать шифрование и обфускацию, чтобы скрыть ключи в исходном коде – даже во время выполнения.

Привязка устройства: Более эффективное предотвращение клонирования приложений, прекращение повторного использования криптографических ключей и поддержание надежной связи между авторизованным пользователем и мобильным устройством.

Идентификация устройства: С помощью уникальных атрибутов ID можно идентифицировать мобильное устройство и обеспечить постоянную идентификацию, на которую не влияют обновления мобильной ОС и которая может победить попытки подделать устройство.

Соответствие критическим компонентам требований PCI DSS

Существуют различные уровни соответствия в зависимости от количества транзакций, которые обрабатывает ваша компания. Они варьируются от менее чем 20 000 транзакций до более чем 6 миллионов транзакций в год. Требования к соблюдению и штрафы за несоблюдение варьируются в зависимости от уровня. Ожидайте таких вещей, как ежегодный аудит, ежеквартальное сканирование сети, анкеты самооценки, отчетность и особые ситуации в случае утечки данных.

Как выбрать правильного поставщика услуг безопасности, чтобы оставаться в соответствии с требованиями

Нет недостатка в компаниях, которые утверждают, что у них есть подходящие инструменты для мониторинга приложений и удовлетворения потребностей вашего бизнеса. Как же сравнить одно с другим при выборе подходящего продукта?
• Тщательное изучение информации: Узнайте как можно больше о поставщике систем безопасности и предлагаемых им системах безопасности. Как долго они работают, каков их послужной список, кто еще пользуется их услугами? Если вы сможете найти авторитетного поставщика с опытом работы в вашей отрасли, это еще лучше.
• Изучите их подход: Внимательно изучите объем предлагаемых услуг. Нет двух одинаковых программных решений для обеспечения безопасности. Убедитесь, что компания действительно способна предложить услуги, которые вам нужны. Сейчас самое время изучить их бизнес-модель и выяснить, покупаете ли вы пакетные услуги или подписываетесь на гибкое партнерство. Нет ничего плохого ни в том, ни в другом, если это то, что вам нужно – главное, чтобы вы знали, что получаете.
• Сервис: Уточните уровень обслуживания, который предлагает поставщик. Если вы используете их продукты и столкнетесь с утечкой данных, как они помогут вам? Если у вас возникнут вопросы во время аудита, сможете ли вы связаться с ними? Опять же, нет двух одинаковых компаний.

Итоговая информация о безопасности мобильных приложений
Безопасность приложений и защита данных должны быть одной из главных задач, если вы разрабатываете мобильное приложение. В целом, рынок немного медлит с удовлетворением потребностей мобильных приложений в безопасности, в результате чего до трех четвертей приложений на рынке остаются уязвимыми. OneSpan может помочь вам защитить ваших мобильных пользователей, данные и транзакции с помощью решений, выходящих за рамки брандмауэров и антивирусного программного обеспечения. От облачной многофакторной аутентификации (MFA) до защиты мобильных приложений – решения OneSpan предоставляют банкам, поставщикам платежных услуг и разработчикам мобильных приложений проверенные средства безопасности для защиты конфиденциальных данных клиентов и держателей карт.

Чтобы узнать больше о защите вашего мобильного приложения, ознакомьтесь с руководством по защите мобильных приложений: как уменьшить мошенничество, сэкономить деньги и защитить доходы.

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений OneSpan и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Арменияinfo.ua@oberig-it.com, +38 093 801 04 41.
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Узбекистан, Кыргызстан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.
Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3y7FN2s