Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.

Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.

/ BLOG

Чи потрібно тестувати мобільні застосунки на відповідність вимогам PCI DSS 4.0?

Heading photo

Створення мобільного застосунку — важливий етап масштабування будь-якого e-commerce-проєкту, що наближає бренд до споживача. Коли ви інтегруєте платіжні функції, продукт перестає бути цифровою вітриною і виходить на новий рівень: починає обробляти фінансові дані. Цей крок у розвитку бізнесу пов'язаний із дотриманням PCI DSS — галузевого стандарту безпеки індустрії платіжних карток.
Він створений для захисту конфіденційної фінансової інформації на кожному етапі її обробки, передачі чи зберігання. Щоб підтвердити відповідність цим правилам, бізнес проходить аудит — комплексну перевірку організаційних та технічних процесів. Але аудиторам недостатньо перевірити документацію та налаштування серверів — їм потрібні практичні докази того, що ваш застосунок здатен витримати справжні загрози.
Саме для цього проводиться тестування на проникнення (пентест) — контрольована імітація атаки етичними хакерами. Це потрібно, щоб виявити та усунути вразливості раніше, ніж ними скористаються зловмисники.
З’ясуймо, коли саме ваш продукт має відповідати вимогам регуляторів.

Коли ваш застосунок стає зоною аудиту PCI?

Перш ніж впроваджувати захист, необхідно визначити scope — область дії перевірки. Це межа, що охоплює всі технології, процеси та людей, які взаємодіють з платіжними даними.
Мобільний застосунок потрапляє до зони аудиту, якщо:

    Обробляє або передає платіжні реквізити (номери карток чи коди підтвердження), навіть якщо карткові дані передаються на стороні клієнта чи сервера суто транзитом, без збереження в базі даних.

    Використовує для проведення транзакцій зовнішні інтеграції, зокрема сторонні SDK, API або вбудовані форми оплати.

    Містить програмні модулі, вразливість яких здатна прямо чи опосередковано скомпрометувати безпеку транзакцій (CDE).

    Має доступ (через API чи інші канали) до сегмента внутрішньої інфраструктури, де обробляються платіжні дані (CDE). Вразливості в такому застосунку становлять пряму загрозу для безпеки платіжної інфраструктури.

Важливо розуміти, що використання готових платіжних шлюзів або делегування розробки не передає всю відповідальність за PCI DSS на сторону підрядника. Перед банком-екваєром головним гарантом безпеки залишається бізнес. Тому у разі інцидентів саме компанії доведеться врегульовувати можливі фінансові чи репутаційні наслідки.

Чому базових механізмів захисту мобільних ОС недостатньо?

Банківські термінали мають закриту систему та виконують тільки фінансові операції. Смартфон клієнта, навпаки, є відкритим: у ньому одночасно працюють безліч різних застосунків, кожен з яких може мати різні вразливості. Оскільки ваше програмне забезпечення ділить ресурси з іншими програмами, воно просто не може повністю покладатися на систему телефону і потребує додаткового захисту.
Існує хибна думка: «iOS і Android мають власні засоби захисту — цього достатньо». Операційна система (ОС) справді захищає середовище запуску, але не логіку й код окремого застосунку.
Чому вбудованого захисту смартфона замало:

    Пісочниця ізолює застосунок від інших програм, але не захищає його код від зворотного аналізу — зловмисник із копією файлу програми (APK або IPA) може дослідити логіку роботи в офлайн-режимі.

    На зламаному пристрої (root або jailbreak) зловмисник вимикає вбудовані захисти та отримує повний доступ до пам’яті, файлів і трафіку вашого застосунку.

    Помилки в коді ОС не виправить: якщо розробник неправильно реалізував обробку карткових даних, платформа про це не знає і не попередить.

    Підключені бібліотеки та плагіни — зона вашої відповідальності, а не Apple чи Google. Кожен сторонній компонент може містити вразливість, яку ніхто не перевіряв.

Саме тому PCI DSS 4.0 у вимозі 6.5 встановлює обов'язкові правила створення коду. Безпека мобільного застосунку — це те, що команда розробки будує зсередини.

Чому аудитору потрібні результати пентесту для підтвердження безпеки?

Під час аудиту мобільного застосунку фахівець шукає підтвердження того, що безпека закладена у фундамент продукту, а не є випадковим результатом. Він перевіряє, чи існує у компанії системний підхід до безпеки — процеси, навчання, документи, звіти.
Згідно з вимогами 6.3 та 6.5 PCI DSS, компанія має підтвердити, що розробники пишуть надійний код: не залишають «зашитих» (hardcoded) паролів, контролюють безпеку сторонніх SDK, а карткові дані не потрапляють у системні логи смартфона. Проте наявність правильних процесів та політик — це лише теорія. Аудиторам потрібні практичні докази того, що захист витримає реальну атаку.
Саме тому вимога 11.4 зобов'язує компанії проводити тестування на проникнення (пентест) — як мінімум щорічно та після кожного значного оновлення продукту.
Пентест (тестування на проникнення) — контрольована перевірка застосунку, яку виконує команда етичних хакерів. Вони імітують складні багатокрокові сценарії зловмисників, щоб спробувати обійти захист програми.
Під час тестування пентестери аналізують застосунок з усіх сторін, спираючись на загальновідомі стандарти, як-от OWASP Mobile Top 10. Фахівці перевіряють:

    наскільки легко дослідити код за допомогою зворотного аналізу (reverse engineering) та знайти в ньому чутливі дані;

    чи належним чином використовуються механізми захисту операційної системи та конфігурації компонентів;

    захищеність комунікацій між смартфоном і сервером (API), стійкість до перехоплення даних;

    чи належним чином реалізовано механізми аутентифікації та авторизації, чи існують вразливості у бізнес-логіці.

Результат пентесту — детальний звіт із класифікацією виявлених проблем за рівнем критичності, поясненням реального впливу кожної з них та рекомендаціями щодо усунення. Отримавши цей документ, замовник має виправити знайдені вразливості. 
Далі пентестери виконують повторне тестування, щоб підтвердити неможливість відтворення описаних проблем і фіксують результат у фінальному звіті. Саме він є доказом стійкості застосунку до цілеспрямованих атак і відповідає ключовим очікуванням аудиторів PCI DSS.

Чим ризикує компанія, якщо мобільний застосунок не відповідає стандарту?

Невідповідність вимогам PCI DSS — пряма загроза стабільності бізнесу. У разі витоку платіжних даних через вразливість у застосунку вся відповідальність покладається на компанію.
Наслідки починаються з фінансових санкцій: міжнародні платіжні системи (Visa та Mastercard) мають право накладати щомісячні штрафи, які можуть сягати десятків тисяч доларів — і нараховуватимуться до повного усунення проблеми.
У разі підтвердженого витоку карткових даних до цього додаються витрати на розслідування інциденту та компенсації постраждалим клієнтам. У найгіршому сценарії платіжні мережі можуть призупинити або повністю позбавити компанію права приймати карткові дані.
Проте найболючіший удар — репутаційний. Публічний скандал через витік даних підриває довіру користувачів, яку вкрай важко повернути. Внаслідок цього можливий відтік клієнтів і падіння продажів — навіть після усунення технічних проблем.

IT Specialist перетворює аудит на керований процес без стресу 

Стандарт вимагає незалежної та професійної оцінки вашої інфраструктури. Наша команда етичних хакерів (Red Team) проводить тестування на проникнення відповідно до всіх вимог PCI DSS 4.0. Ми виявляємо критичні вразливості ще до того, як ними скористаються зловмисники.
Довірте аудит фахівцям IT Specialist!

Потрібна консультація експерта?

Залишити заявку

Професійна Red Team від компанії "IT Спеціаліст" має більш як 10 років практичного досвіду в галузі.

Наша головна спеціалізація - це перевірка готовності вашого бізнесу до реальних атак зловмисників, оцінка швидкості реагування та ефективності дій персоналу.
Ми оперативно виявляємо та усуваємо загрози безпеки ще до того, як вони перетворяться на репутаційні та фінансові проблеми.

Телефон

Офіс+38 (044) 390 81 90
Департамент продажів+38 (096) 390 81 90

Адреса

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Україна, Київ, 03124

Е-mail

moc.tsilaicepsti-ym%40olleh

Професійна Red Team від компанії "IT Спеціаліст" має більш як 10 років практичного досвіду в галузі.

Наша головна спеціалізація - це перевірка готовності вашого бізнесу до реальних атак зловмисників, оцінка швидкості реагування та ефективності дій персоналу.
Ми оперативно виявляємо та усуваємо загрози безпеки ще до того, як вони перетворяться на репутаційні та фінансові проблеми.

Телефон

Офіс+38 (044) 390 81 90
Департамент продажів+38 (096) 390 81 90

Адреса

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Україна, Київ, 03124

Е-mail

moc.tsilaicepsti-ym%40olleh