Mobile технология плащане и сигурност изисквания PCI SSC - информационна сигурност

Мобилни решения за плащания все още са по-слабо представени на световния пазар и в нашата страна в частност. Независимо от това, интерес към такива решения от FinTech, разработчици, бизнесмени и търговци се увеличава всяка година.

Андрю Gaiko
Digital Security Certified QSA-одитор

Какво е mPOS

Разтворът за мобилно разплащане (mPOS) се състои от следните компоненти:

В допълнение към функциите и картата въведете ПИН-код защитени четене на mPOS трябва да поддържа всички основни методи за проверка на шифроването на картодържателя данни по време на предаването между компонентите и за обработка на част от системата, както и възможност за отпечатване на касови бележки или да ги изпратите по SMS и електронна поща.

От страна на доставчика на услуги или на банката приобретател, които са ангажирани с рецепция и по-нататъшната обработка на данните на mPOS плащания се използват на гърба в края система (портал на плащане), подобни на тези, използвани в интернет или конвенционалния POS-придобиване.

За да разберем това, което изисквания за безопасност, трябва да бъдат представени на техническо ниво, е необходимо да се определят основните компоненти на mPOS екосистемата и съществуващите информационни потоци. За разбирането на екосистемите mPOS лица, отговарящи за сигурността на плащанията на ниво бизнес е необходимо да се определи съществуващите бизнес модели на участниците в платежния процес.

диаграма информационен поток съдържа 8 основни етапи (виж фигура 1 ..):

При изпълнението на следните дружества могат да бъдат включени в процеса, описан по-горе:

Трябва да се отбележи, че дружеството може да извършва не само един от тези роли. Възможно е, че компанията може да се развие напълно всички софтуерни и хардуерни компоненти mPOS-решения. В зависимост от това какви функции ще се извършват в момента, то ще се определи какво изискванията за сигурност, трябва да се спазва.

Списъци на основните компоненти и видове бизнес-модел са дадени, за да се разбере, тъй като тя трябва да бъде диференцирана отговорност за изпълнението на изискванията за безопасност между всички участници mPOS екосистема.

видове сертифициране

В допълнение към препоръките на Visa и MasterCard са разработили програма за сертифициране на доставчиците на мобилни решения за плащане. Всъщност, и двете програми са достатъчно сходни, и с висока степен на вероятност може да се твърди, че разработването на решения в съответствие с изискванията на една от Интерпарламентарния съюз могат да бъдат сертифицирани в друга. И двамата са сертифицирани фирми депутати регистри и mPOS решения.

По-долу ще опишем характеристики на всеки от стандарти на PCI SSC mPOS-решения.

PCI стандарти на НУК

PCI DSS
В новата версия на стандарта, нови изисквания, които могат да бъдат много полезни, за да включват mPOS сигурност. По-специално, раздел 9, е добавен параграф 9.9, според която е необходимо да водят регистър за картови четци, както и поведението на периодично обучение на работниците и служителите / потребители, обслужващи устройство, така че те са били в състояние да определи mPOS за замяна или други признаци на обиране. В случай на доставчиците на услуги за вземане на mPOS или придобиващо е потребителите да получат читатели те ще трябва да се изготвят препоръки и да се предпазват от инструкции скимиращи и да ги доведе до знанието на персонала TSC. Като част от изискванията на 12.8, доставчици на услуги и получателите на нивото на договорните отношения може да се изисква да отговарят на съответните изисквания за безопасност mPOS TSP.

Въпреки факта, че изпълнението на повечето от изискванията за сигурност, се носи от различни доставчици на услуги и банки, приемащата банка може да изисква от TSP запълване листове на самообслужване (SAQ) подходящ тип (SAQ P2PE-HW в случай на TSP P2PE-решения, SAQ B-IP в случай на mPOS с читателя, сертифицирани по PCI PTS). Следващата таблица показва компонентите на mPOS решения, подходящ стандарт, към който компонента трябва да се съобразяват и компанията, отговорни за изпълнението на изискванията.

12.8 Изискването важи и за случаите, когато mPOS-решение за доставчика на услуги, разработени от трети страни. В този случай, изискването е 6,5 вменено на раменете на предприемача. В този случай, ако софтуерната компания не отговарят на изискванията, доставчикът на услуги не могат да бъдат одитирани за спазването на PCI DSS. В споразуменията между доставчиците на услуги (приобретатели) и разработчиците трябва да включва въпроса за одита на определени бизнес процеси на предприемача в случай на преминаване на годишен сертификат на доставчика на услугата на PCI DSS, като процеса на развитие, ще бъдат включени в обхвата на одита на доставчик на услуги. Същата вярно в случая на други услуги, аутсорсинг. Като цяло, потвърждение от трета страна, PCI DSS спазване в частта за това, може да се постигне чрез саморъчно подписана декларация за PCI DSS изисква бизнес процеси с последвалото предоставяне на сертификати за успешно положилите тестове или като позволява на одита на бизнес процесите в рамките на одит доставящата услуги доставчик (купувач).

Имайте предвид, че в нашата страна, одит на разработчиците в рамките на клиент за одит на дружеството е рядкост. с думи, разработчиците могат да гарантират, че познаването и прилагането на сигурни практики за развитие, но в действителност не притежават необходимите знания и за извършване на съответните процедури. С пускането на новата версия на PCI DSS статуквото трябва да се промени, тъй като изискванията стават подробни и посочени в текста на стандартните процедури за проверка изисква QSA-одитор за извършване на по-задълбочен преглед.

PCI PTS
PCI PTS стандарт регламентира изискванията за сигурност, за пункта на устройства за взаимодействие (POI) и модули на хардуер за сигурност (HSM). Четящото устройство, свързан с мобилното устройство, POI. Както бе споменато по-горе, в mPOS-разтвор използва две категории POI: Въвеждане на ПИН устройство (PED) и Secure Card Reader (SCR). В зависимост от това какъв вид на POI отнася читателя, определен група PCI PTS изисквания че устройството трябва да съвпадат.

Mobile технология плащане и сигурност изисквания PCI SSC - информационна сигурност

В момента някои от предложените на вътрешния пазар mPOS четци решения използва не-указателни производители. С помощта на тези читатели не може да гарантира сигурно предаване на данни между устройства и прави прехвърлянето на номера на картата на мобилното устройство под формата на отворени възможности. Поради това, че избрахте mPOS-решение, гарантират, че офертите на доставчици на услуги, сертифицирани за PCI точки четец.

Има два бизнес модели разработи софтуер клиент: развитието на проекта за себе си, когато програмист създава mPOS вземане на решения, и го показва на пазара под собствената си марка: в този случай, разработчикът ще бъде доставчикът на услуги mPOS-решенията; - и окончателни решения за по-нататъшното развитие на лицензионните компании, които се интегрират компоненти от различни производители помежду си и на техните базисни mPOS-създават свои решения.

PA-DSS
За mPOS за вземане на PA-DSS задължително да се отнасят до устройството за шиене, данните за четене на карти. За софтуер, за да се инсталира на TSP устройство служителя на мобилния, този стандарт е препоръка. Това се дължи на факта, че мобилното устройство е ненадежден и slabokontroliruemoy среда. Например, устройството може да бъде конфигуриран Jailbreak, което е заповед на намалява устройства за безопасност и не гарантира сигурността на заявлението за плащане е инсталиран. Ето защо Интерпарламентарния съюз забрани използването на мобилни устройства, за да въведете ПИН-кода и да изиска данни от читателя стигнаха до мобилен софтуер е криптирана и да продължи в същата форма, предадена от придобиване. В този случай, данните за разплащане с карти, няма да бъдат в ясен обработва и съхранява в мобилното устройство, и по този начин изискванията за PA-DSS не се прилагат.

Във версия 3.0 на стандарта, нови изисквания за което фърмуер разработчиците на читателите и пакетирани заявления за плащане трябва да се обърне внимание на първо място. На първо място, всеки актуализации освобождаване трябва да преминат отделен сертификат. На второ място, сега клиентите трябва да използват само версията (актуализация) софтуер, който е сертифициран и са посочени на интернет страницата на PCI Съвета.

Mobile технология плащане и сигурност изисквания PCI SSC - информационна сигурност

PCI P2PE
Сравнително наскоро публикува нов стандарт за сигурност PCI P2PE. Стандартът е предназначена за решения, които предоставят криптографска защита на данните по време на предаване на информация между всички компоненти на разтвора за плащане. В случай на стесняване на обхвата на стандартната PMT да се използва минималното ниво се достига шифроването, тъй като не е възможно да се получат данни за картодържатели PMT в ясен.

Пълният списък на всички основни компоненти mPOS екосистема включва:

  • четец;
  • заявка за плащане за мобилни устройства;
  • портал на плащане;
  • придобиване на система, свързана с Интерпарламентарния съюз.

За разлика от PCI DSS, която се отнася само за информационната инфраструктура, PCI P2PE е по-изчерпателен и обхваща не само на инфраструктурата, но и за читателите и софтуер POI-терминал софтуер (в приложението към mPOS - то читатели). Стандартът се състои от 6 области, които изисквания са базирани на съществуващите стандарти PCI: читателите трябва да отговарят на PCI PTS SRED изисквания; Софтуер читатели - PA-DSS; при управление на ключове за криптиране - PCI ПИН за сигурност изисквания; плащане инфо RTD инфраструктура - PCI DSS. Ако разтвор е бил сертифициран от PCI P2PE, което означава, че на данни между всички подсистеми (от читателя на мобилното устройство в софтуера на софтуера в обработката и т.н.) се предават в криптиран вид, както и всички подсистеми отговарят на изискванията на PCI спазване.

Според изискванията P2PE могат да бъдат сертифицирани като отделни компоненти и цялостни решения.

ICS препоръчва да използвате P2PE-решения за получаване на mPOS плащания. Въпреки това, трудността се крие във факта, че в момента на пазара има малко на този тип решения, така че Министерството на железниците не е необходимо, и да препоръча използването на PCI-P2PE решения и в развитието ръководи от тях. Въпреки това, доставчиците на платежни mPOS-решения на услуги трябва да бъдат подготвени за факта, че Министерството на железниците в близко бъдеще ще изисква задължително сертифициране на техните mPOS на решения относно изискванията PCI P2PE.