Mobil fizetési technológia és a biztonsági követelmények PCI SSC - Information Security

Mobile fizetési megoldások még mindig alulreprezentáltak a globális piacon, és hazánkban különösen. Mindazonáltal érdeklődés az ilyen megoldások FINTECH, fejlesztők, üzletemberek és kereskedők évről évre növekszik.

Andrew Gaiko
Digital Security Certified QSA-ellenőr

Mi mPOS

A mobil fizetési megoldás (mPOS) az alábbi összetevőkből áll:

Amellett, hogy a funkciók és a kártya adja meg a PIN-kóddal védett olvasatban mPOS támogatni kell az összes jelentősebb igazolási módszereit a kártyabirtokos adattitkosítás átvitel során a komponensek között, és a feldolgozás része a rendszernek, valamint képes nyomtatni nyugták vagy küldje el SMS-ben és e-mailben.

Az oldalon a szolgáltató, illetve az elfogadó bank, amelyek részt vesznek a recepción, és további adatfeldolgozással mPOS-kifizetések használt back-end rendszer (fizetési átjáró), hasonló használt az interneten vagy a hagyományos POS-átvevő.

Ahhoz, hogy megértsük, milyen biztonsági követelményeket be kell mutatni a technikai szinten, meg kell határozni az alapvető összetevői az ökoszisztéma mPOS és a meglévő információáramlást. Megértéséhez ökoszisztéma mPOS felelős szervek fizetések biztonsága vállalati szinten is meg kell határozni a már meglévő üzleti modellek a fizetési folyamat résztvevői.

Egy információs folyamatábra, amely 8 fő lépésből (lásd az 1. ábrát ..):

A végrehajtás a következő cégek is be lehet vonni a fent leírt folyamat:

Meg kell jegyezni, hogy a vállalat képes elvégezni nemcsak egy ilyen szerepeket. Lehetőség van arra, hogy a vállalat teljes mértékben fejleszteni az összes szoftver és hardver komponensek mPOS-megoldásokat. Attól függően, hogy milyen funkciókat hajtják végre most, ez fogja meghatározni, milyen biztonsági követelményeknek is meg kell tartani.

Felsorolja a legfontosabb elemek és üzleti modell típusok kapnak érthető, hiszen meg kell különböztetni végrehajtásáért felelős a biztonsági követelmények az összes résztvevő között mPOS ökoszisztéma.

típusú tanúsítvány

Amellett, hogy az ajánlásokat a Visa és MasterCard kifejlesztettek egy minősítési program szolgáltatók a mobil fizetési megoldásokat. Tény, hogy mindkét program esetében eléggé hasonlóak, és nagy valószínűséggel azt lehet mondani, hogy a fejlődés megoldások követelményeinek megfelelően az egyik IPU lehet hiteles egy másik. Mindkettő tanúsított vállalatok MPS nyilvántartások és mPOS-készítés.

A következőkben ismertetjük jellemzői az egyes szabványokat a PCI SSC mPOS-megoldásokat.

PCI SSC Szabványok

PCI DSS
Az új verzió a szabvány, az új követelményeknek, amelyek nagyon hasznosak lehetnek, hogy tartalmazza mPOS biztonságot. Különösen 9. szakaszának 9.9 került, amely szerint annak szükségességét, hogy nyilvántartást vezetnek az olvasók, valamint a magatartás, időszakos képzést az alkalmazottak / felhasználók szolgáló eszköz, úgy, hogy képesek voltak meghatározni a helyettesítés mPOS vagy egyéb jelek futást. Abban az esetben, szolgáltatók mPOS döntéshozatal vagy megszerzése a az ügyfelek az olvasók akkor meg kell dolgozzon ki ajánlásokat, és véd a futást utasításokat, és azokat a figyelmet a TSC staff. Ennek része a követelmények 12,8, szolgáltatók és elfogadók szintjén a szerződéses kapcsolat szükséges lehet ahhoz, hogy a vonatkozó biztonsági követelményeknek TSP mPOS.

Annak ellenére, hogy a végrehajtás a legtöbb biztonsági követelmények terheli a különböző szolgáltatók és a bankok, az elfogadó bank kérheti a TSP kitöltés lapok önálló (SAQ) megfelelő típusú (SAQ P2PE-HW esetén TSP P2PE-megoldások, SAQ B-IP abban az esetben, mPOS az olvasóval, szerint tanúsított PCI PTS). Az alábbi táblázat mutatja az összetevőit mPOS-készítés, a megfelelő szabványt, amely az alkatrész meg kell felelniük, és a cég felelős a követelmények végrehajtásának.

12.8 A követelmény az is igaz, azokban az esetekben, ahol mPOS-megoldások a szolgáltató által kifejlesztett egy harmadik fél. Ebben az esetben az a követelmény 6.5 esik egyenesen a vállára a fejlesztő. Ebben az esetben, ha a szoftver cég nem felel meg a követelményeknek, a szolgáltató nem ellenőrizhető való megfelelés PCI DSS. A megállapodások a szolgáltatók között (elfogadók) és a fejlesztők tartalmaznia kell a kérdést az ellenőrzés egyes üzleti folyamatok a fejlesztő esetében a folyosón a szolgáltató éves tanúsítása PCI DSS, mint A fejlesztési folyamat lesz körébe tartoznak a szolgáltató ellenőrzés. Ugyanez igaz a többi szolgáltatások kiszervezése. Általában megerősítő harmadik fél által PCI DSS megfelelést az érintett területeken lehet megvalósítani öntanúsítást PCI DSS szükséges üzleti folyamatok a későbbi megadására bizonyítványok Sikeres tesztek vagy lehetővé teszik az üzleti folyamat-audit keretében az ellenőrzési szolgáltatás- szolgáltató (elfogadó).

Vegyük észre, hogy hazánkban az ellenőrzési fejlesztők a könyvvizsgálati ügyfél cég ritka. szavakkal, a fejlesztők is biztosítják, hogy a tudás és alkalmazása biztonságos fejlesztési gyakorlat, de valójában nem rendelkeznek a szükséges ismeretekkel és elvégezni a megfelelő eljárásokat. A kiadás az új változat a PCI DSS status quo meg kell változtatni, mivel a követelmények válnak részletes és szerepel a szövegben a szűrővizsgálati eljárások megkövetelik QSA-ellenőr, hogy végezzen alapos vizsgálatot.

PCI PTS
PCI PTS szabvány szabályozza a biztonsági követelmények betartása mellett pont az interakció eszközök (POI) és a hardver biztonsági modulok (HSM). Az olvasó eszköz csatlakozik a mobil eszköz, a POI. Amint azt fentebb említettük, a mPOS-oldatban használ két osztályát POI: PIN beviteli eszköz (PED) és Secure Card Reader (SCR). Attól függően, hogy milyen típusú POI vonatkozóan az olvasó meghatározott csoportja PCI PTS követelményeket, amelyeknek egy eszközt meg kell egyezniük.

Mobil fizetési technológia és a biztonsági követelmények PCI SSC - Information Security

Abban a pillanatban, néhány javasolt hazai piacon mPOS-olvasók alkalmazott oldatok no-name-gyártók. Ezekkel az olvasók nem tudja garantálni a biztonságos adatátvitelt eszközök között, és az adattovábbítást a kártya számát, a mobil eszköz formájában nyílt lehetőség. Ezért választotta mPOS-határozat arról, hogy a szolgáltató kínál tanúsított PCI PTS olvasó.

Két üzleti modellek fejlesztése kliens szoftver: a fejlesztés a projekt saját, amikor egy fejlesztő létrehoz mPOS-döntés, és megjeleníti azt a piacon saját márkanév alatt: ebben az esetben a fejlesztő lesz a szolgáltató mPOS-megoldásokat; - és a végső megoldás a további fejlesztése engedélyezési cégek, amelyek integrálják komponensei különböző gyártók egymással, és ezek alapján mPOS-létrehozhatják saját megoldásokat.

PA-DSS
Mert mPOS döntéshozatal PA-DSS feltétlenül alkalmazható a varrás készülék, az olvasó kártya adatait. Mert szoftvert kell telepíteni a mobil eszközön TSP alkalmazottja, ez a szabvány ajánlása. Ez annak a ténynek köszönhető, hogy a mobilkészülék nem megbízható és slabokontroliruemoy közegben. Például az eszköz lehet konfigurálni jailbreak, ami sorrendben csökkenti a biztonsági berendezések, és nem garantálja a biztonságot a fizetési alkalmazás telepítve. Ezért az IPU tiltják a mobil eszközök, hogy adja meg a PIN-kódot, és megköveteli, hogy az adatokat az olvasó érkezett a mobil szoftverek titkosított, és továbbra is ugyanabban a formában átadta megszerzése. Ebben az esetben a bankkártya adatok nem lesznek a tiszta kezelni és tárolni a mobil eszköz, és így a PA-DSS követelmények nem vonatkoznak.

A 3.0-s verzió a standard, új követelményeket, amelyek firmware fejlesztők számára, hogy az olvasók és a csomagolt kifizetési kérelmek kell figyelni az első helyen. Először is, minden frissítéseket át kell mennie egy külön minősítést. Másodszor, most az ügyfelek kell használni csak azt a változatot (update) a szoftvert, hogy hiteles, és szerepel a PCI Tanács honlapján.

Mobil fizetési technológia és a biztonsági követelmények PCI SSC - Information Security

PCI P2PE
Viszonylag nemrég megjelent új PCI P2PE biztonsági szabvány. A szabvány célja az oldatok, amelyek kriptográfiai adatok védelmét az átvitel során az összes összetevője a fizetési megoldás. Abban az esetben, szűkülő körét a standard PMT, hogy használja a minimális szint elérésekor a titkosítást, mivel nincs megszerzésének lehetőségét PMT kártyabirtokos adatait az egyértelmű.

A lista az összes fő összetevője mPOS ökoszisztéma tartalmazza:

  • olvasót;
  • kifizetési kérelem a mobil eszközök;
  • fizetési átjáró;
  • megszerzése rendszer csatlakozik a IPU.

Ezzel szemben a PCI DSS, amely csak az információs infrastruktúra, PCI P2PE sokkal átfogóbb és nemcsak az infrastruktúra, hanem az olvasók, és a szoftver POI-terminál szoftver (mellékletében mPOS - ez az olvasók). A szabvány áll 6 tartományok, amelyek a követelmények alapján a meglévő PCI előírások: az olvasók meg kell felelnie a PCI PTS sred követelményeknek; Szoftver olvasók - PA-DSS; titkosítási kulcs menedzsment - PCI PIN biztonsági követelmények; fizetési info KTF infrastruktúra - PCI DSS. Ha a megoldás által tanúsított PCI P2PE, ami azt jelenti, hogy az adatok között az alrendszerek (az olvasó, hogy a mobil eszköz a szoftver a szoftver a feldolgozás és stb) kódolt formában, és minden alrendszerek megfelelnek a PCI megfelelőségi.

Szerint P2PE igényeket lehet hiteles, mint az egyes alkatrészek és komplett megoldásokat.

ICS használatát javasolja P2PE megoldások befogadására mPOS-kifizetéseket. Azonban a nehézség abban rejlik, hogy a jelenleg a piacon kevés az ilyen típusú megoldások, így a minisztérium a Vasúti nem kell, és javasolja a PCI P2PE-megoldások és a fejlesztés vezérlik őket. Ugyanakkor a pénzforgalmi mPOS-megoldásokat szolgáltató kell készíteni arra, hogy a minisztérium a Vasúti a közeljövőben szükség lesz kötelező igazolást a mPOS döntéshozatal PCI P2PE követelményeknek.