суббота, 24 ноября 2018 г.

PCI Mobile Payment Acceptance Security Guidelines


Сегодня речь пойдет о документе PCI Mobile Payment Acceptance Security Guidelines.
Документ размером всего два десятка листов и что полезного можно в нем почерпнуть.

1. Документ определяет потребительские электронные карманные устройства, которые предназначены не только для платежей и обработки транзакций (проще - смартфоны, планшеты).

2. Мобильное устройство будет считаться частью CDE.

3. Выделены следующие риски:
- Данные учетных записей поступающие на устройство. 
- Данные учетных записей находящихся на устройстве.
- Данные учетных записей покидающие устройство.

4. Рекомендации
- Применение шифрования в рамках хранения и передачи данных и каналов передачи данных.
- Уделено внимание предотвращению утечек данных.
- Уделено внимание несанкционированному доступу к устройству.
- Контроль привилегий и управление ими.
- Требования к разработке и тестированию, анализ уязвимостей.
- Антивирусное ПО и доверенные ресурсы для распространения.
- Требования к аудиту и маскирование PAN.

5. Много ссылок на выполнение требований пунктов стандарта PCI DSS. Весьма вероятно, что перечисленные рекомендации попадут в следующую версию стандарта PCI DSS 4.0.

Данный документ будет полезен для ознакомлению командам мобильной разработки.

Комментариев нет: