
[TECH]PCI SSC フィンテックアプリケーションセキュリティ要件
こんにちは、LIAPP TEAMです。
フィンテックアプリのセキュリティ問題が全世界の多様な分野で話題になっています。 金融サービスがさらに高度化し、非金融IT分野の決済が活発になり、フィンテックアプリに対する期待が高まっています。 それでも個人情報流出事故の発生頻度は増えています。 したがって、フィンテックアプリ利用者の個人情報露出に対する憂慮を減らすためには、フィンテック企業が無分別な責任回避から脱し、安全を担保にセキュリティ強化に最善を尽くさなければなりません。
このため、フィンテック企業のセキュリティ標準として決済カード業界データセキュリティ標準(PCI-DSS、決済カード業界データセキュリティ標準)が浮上しています。 VISA、MasterCard、American Express、DISCOVER、JCB Internationalの5つの多国籍カード決済ブランドが、決済カード業界のセキュリティ基準委員会(Payment Card Industry Security Standards Committee、以下PCI SSC)を設立しました。
彼らの使命は、支払いに関連する個人情報を保護し、カード所持者のデータと機密個人情報データを保護するための技術的要件を提供することです。

このコンテンツは、PCI SSC がモバイルカード決済システムのセキュリティのために別途発行した「PCI モバイル決済受付セキュリティガイドライン」の各項目を理解するために作成されています。 また、PCI規定を遵守するために各項目に適用できるLIAPPのセキュリティ機能を紹介し、フィンテックアプリを強力に保護する方法を案内します。
4.2 サーバ側コントロールを作成し、不正アクセスを報告します
この推奨事項は、モバイルアプリへの不正アクセスの試みや異常動作を検出、報告、切断できる包括的な支払い許可ソリューションを開発するためのものです。 アプリサーバーに直接バイパス接続を遮断するLIAPPのLIAPP認証機能で、アプリが異常経路を通過しないように設定することができます。
4.3 権限拡大防止
ルーティングをブロックし、エスケープされたデバイスでアプリケーションを実行し、リスクが検出された場合はアラームや警告メッセージを送信してセキュリティを強化することをお勧めします。 しかし、モバイル ハッキングは、主に不正な接続をブロックしないことによって引き起こされます。 LIAPP は、ルーティング、ルートまたはジェイルブレークされたデバイス、OS 改ざんされたデバイス、および仮想マシンからの不正アクセスを検出し、アラームを送信し、アプリケーションの実行とアクセスを強力にブロックすることができます。

4.7 アプリケーションを強化します
このアイテムは、ユーザーが意図せずモバイルアプリにアクセスしたり、悪性コードを挿入することを防止するアプリケーション強化で、リバースエンジニアリングでアンチテンパリングを推奨します。 LIAPPは重要なソースコードを暗号化してデコンパイルまたはリバースエンジニアリングを通じて分析を防止し、デバッグ防止機能でアプリ実行中の動的分析、アプリ変調の兆候を感知してアプリの改ざんを遮断します。 アンチリパッキングブロックは、アプリが使用する機密情報ファイルを保護することで、悪意のある再配布を防止することもできます。
4.10 既知の脆弱性から保護します
モバイルデバイスとアプリケーションにパッチを適用して、常に最新の状態であることを確認することをお勧めします。 その結果、LIAPPは既知のハッキング技術を強力にブロックし、最新のセキュリティ脆弱性に対処するためにハッキングツールを直接登録することができます。
LIAPPのプレミアムプランであるLIAPP EnterpriseとLIAPP For Gameは、顧客専用のサーバーとモニタリングダッシュボードを提供し、アプリユーザー数、ハッキング発生率、ハッキングタイプをリアルタイムで報告することができます。 また、ユーザーは、すぐにオン/オフボタンを変更して、アンチデバッグ、整合性変調の検出、仮想マシンの検出、ハッキングツールの検出、管理者の権限の検出などの機能を使用することができます。

PCI SSC セキュリティ規則への準拠は、プライバシーの漏洩を防ぐことだけではありません。 また、フィンテックアプリの信頼性を高め、フィンテックサービスに対する評判を高めます。 フィンテックアプリを通じたモバイル決済が次第に決済業界の中心的な役割を果たし、関連規制の遵守が今や必須要素になっています。 PCI SSC への準拠は最初は複雑に見えるかもしれませんが、LIAPP などのモバイル セキュリティ サービスにより、セキュリティ機能の適用がより簡単になります。
すでにフィンテックアプリをリリースしたり、準備中の方は、この機会にLIAPPでモバイルアプリのセキュリティポリシーを強化してみてはいかがでしょうか? アプリの発売約1ヶ月前、LIAPPチームは事前にセキュリティを強化し、市場に配布する日程を推薦します。 今後、LIAPPと共にグローバル市場で速く走るフィンテックアプリサービスになることを期待します。
[Source of data]
https://www.pcisecuritystandards.org/pci_security/
https://www.pcisecuritystandards.org/about_us/
PCI Mobile Payment Acceptance Security Guidelines / PCI Mobile Payment Acceptance Security Guidelines for Developers.pdf