Сегодня речь пойдет о документе PCI Mobile Payment Acceptance Security Guidelines.
Документ размером всего два десятка листов и что полезного можно в нем почерпнуть.
1. Документ определяет потребительские электронные карманные устройства, которые предназначены не только для платежей и обработки транзакций (проще - смартфоны, планшеты).
2. Мобильное устройство будет считаться частью CDE.
3. Выделены следующие риски:
- Данные учетных записей поступающие на устройство.
- Данные учетных записей находящихся на устройстве.
- Данные учетных записей покидающие устройство.
4. Рекомендации
- Применение шифрования в рамках хранения и передачи данных и каналов передачи данных.
- Уделено внимание предотвращению утечек данных.
- Уделено внимание несанкционированному доступу к устройству.
- Контроль привилегий и управление ими.
- Требования к разработке и тестированию, анализ уязвимостей.
- Антивирусное ПО и доверенные ресурсы для распространения.
- Требования к аудиту и маскирование PAN.
5. Много ссылок на выполнение требований пунктов стандарта PCI DSS. Весьма вероятно, что перечисленные рекомендации попадут в следующую версию стандарта PCI DSS 4.0.
Данный документ будет полезен для ознакомлению командам мобильной разработки.
Данный документ будет полезен для ознакомлению командам мобильной разработки.