Próximos plazos de la PSD2 y lo que significan para la seguridad de las aplicaciones móviles

Cuando se trata de cumplimiento, nunca termina realmente. Los entornos en los que tiene la tarea de proteger y auditar continúan evolucionando, al igual que los estándares y los plazos que debe cumplir. La Directiva de servicios de pago 2 (PSD2) de la UE es un ejemplo actual. La directiva tenía varios objetivos, incluida la estandarización de las reglas sobre los servicios de pago, la apertura de los mercados de pago a la competencia y el aumento de la protección de los consumidores y sus datos.

La regulación se aplica a los proveedores de servicios de pago (PSP), como bancos, procesadores y FinTech, así como a los comerciantes que procesan transacciones de comercio electrónico. También es importante reconocer que se aplica a cualquiera de estas organizaciones que sirven a los ciudadanos de la UE.

Si bien la directiva entró en vigencia en 2018, la comisión de la UE ha otorgado a las organizaciones más tiempo para implementar algunas de estas reglas. La fecha límite para abordar el requisito de establecer una autenticación sólida del cliente para transacciones de comercio electrónico entrará en vigencia el 14 de marzo de 2022.

En las siguientes secciones, ofreceremos algunos puntos clave para los equipos que deben cumplir con PSD2.

PSD2 puede introducir más intercambio de datos, potencial para más riesgos

Para fomentar una mayor competencia, la directiva ofreció reglas sobre la necesidad de “facilitar la movilidad de los clientes”. Una de las implicaciones directas de esto es que los bancos están obligados a compartir los datos actuales e históricos de los clientes con terceros, siempre que el cliente ofrezca su consentimiento. De esta forma, los clientes podrán cambiar más fácilmente de banco o trabajar con un tercero, por ejemplo, una aplicación móvil de FinTech para que puedan administrar múltiples cuentas bancarias.

Este estándar tiene implicaciones significativas para la seguridad móvil: cada vez más, las aplicaciones móviles representarán una forma común para que los bancos compartan datos y para que los clientes accedan y administren esta información.

En última instancia, esta portabilidad y el intercambio de datos conducirán a una realidad fundamental: los datos confidenciales de los clientes serán almacenados, procesados ​​y transmitidos por más aplicaciones y sistemas móviles, lo que ampliará de manera inherente la superficie de ataque potencial. Si las aplicaciones móviles y los sistemas back-end asociados no están protegidos, el riesgo de exposición de datos aumentará.

Establecimiento de seguridad móvil

La seguridad de los dispositivos móviles difiere fundamentalmente de la de las PC de escritorio. La diferencia crítica es que los dispositivos móviles requieren protección en al menos tres superficies de ataque diferentes: el dispositivo en sí, las redes que usa y las aplicaciones instaladas. PSD2 reconoce la necesidad de protección multivector al especificar los requisitos para la integridad del dispositivo y el software, la comunicación segura y la protección de datos.

Además, PSD2 requiere que los PSP cuenten con mecanismos que minimicen el daño potencial si falla una medida de seguridad.1:

Los proveedores de servicios de pago adoptarán medidas de seguridad… para mitigar el riesgo que resultaría de la vulneración de dicho dispositivo polivalente.

Los bancos y FinTechs están explorando una variedad de tecnologías para cumplir con estos requisitos, que incluyen:

  • Contenedorización (junto con mecanismos de detección de rootkit/jailbreak)
  • Elementos de seguridad hardware
  • Herramientas antimalware
  • Autoprotección de aplicaciones en tiempo de ejecución (RASP)
  • Soluciones de análisis y comportamiento de dispositivos móviles

PSD2 requiere integridad de dispositivo y software

Para muchos desarrolladores de aplicaciones móviles, garantizar la integridad del dispositivo y el software será un desafío constante. Incluso si los desarrolladores se adhieren a las mejores prácticas de seguridad, como escribir código seguro, usar solo API autorizadas, examinar cuidadosamente las bibliotecas, usar solo el mínimo privilegio, etc., todo eso no será suficiente si el dispositivo o el sistema operativo en el que se ejecuta el la aplicación reside está comprometida.

Los desafíos de garantizar la integridad del dispositivo y el software se destacan por el hecho de que muchos dispositivos móviles serán administrados únicamente por el usuario final. Eso significa que es probable que los dispositivos estén ejecutando un sistema operativo desactualizado, que les falten numerosos parches de seguridad y que tengan versiones anticuadas de las aplicaciones.

PSD2 requiere comunicaciones seguras

PSD2 también requiere comunicaciones seguras2:

Para salvaguardar la confidencialidad y la integridad de los datos, es necesario garantizar la seguridad de las sesiones de comunicación entre los proveedores de servicios de pago gestores de cuentas, los proveedores de servicios de información de cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emiten instrumentos de pago basados ​​en tarjetas.

Los equipos deben asegurarse de que todas las comunicaciones con el dispositivo estén encriptadas. También deben emplear medidas para asegurarse de que la comunicación solo se produzca con fuentes autenticadas y legítimas y no sea interceptada por un tercero.

Un factor de complicación es que los usuarios móviles pueden conectarse y se conectan a redes WiFi no seguras. En algunos casos, estas redes están diseñadas explícitamente con intenciones maliciosas. Por ejemplo, los actores de amenazas pueden dar a una red un nombre para mostrar que engañe al usuario haciéndole creer que es confiable. Además, incluso si una persona usa una red legítima, pero esa red no está protegida de manera efectiva, todavía deja la puerta abierta a los ataques man-in-the-middle (MITM) y otros.

PSD2 requiere protección de datos

La capacidad de utilizar métodos de pago móvil es una gran comodidad. Maximizar esa conveniencia implica el uso de los datos financieros del consumidor en la aplicación de pago. Esos datos, junto con las credenciales de seguridad personalizadas del usuario, requieren protección. El PSP debe proporcionar esa protección.

Los desarrolladores pueden adoptar una variedad de enfoques para proteger las aplicaciones móviles y los datos de los usuarios. Por ejemplo, una de las medidas de mitigación que describe PSD2 es «el uso de entornos de ejecución seguros separados a través del software instalado dentro del dispositivo multipropósito».3 Otro enfoque podría ser utilizar una solución RASP. Estos métodos tienen como objetivo proteger la aplicación y los datos que contiene, pero tienen un valor limitado si el dispositivo en el que reside la aplicación se ve comprometido.

Zimperium permite el cumplimiento de PSD2 para dispositivos móviles

Fundamentalmente, si crea aplicaciones móviles, en particular aplicaciones que procesan datos de ciudadanos de la UE, debe asegurarse de estar listo para adaptarse a los últimos requisitos de PSD2. Para cumplir con PSD2, deberá establecer estrictos estándares de seguridad para aplicaciones móviles.

La buena noticia es que Zimperium puede ayudar.

zDefend de Zimperium permite a los desarrolladores de aplicaciones móviles cumplir con los requisitos de integridad de dispositivos y software, comunicación segura y protección de datos. Además, con la solución, puede abordar los estrictos requisitos de autenticación de clientes de PSD2, que son vitales para mitigar el riesgo que representan las fallas en otras partes del ecosistema de seguridad.

Zimperium proporciona un kit de desarrollo de software (SDK) que hace que sea rápido y fácil para los desarrolladores integrar el motor de detección basado en aprendizaje automático de Zimperium, z9, directamente dentro de cualquier aplicación móvil. Con el motor integrado, las aplicaciones móviles pueden determinar de inmediato si un dispositivo de usos múltiples está comprometido, si se están produciendo ataques a la red y si se han instalado aplicaciones maliciosas. Además, los desarrolladores pueden especificar acciones de remediación locales para mitigar el riesgo cuando se detecta una amenaza. En resumen, zDefend es una solución única para cumplir con una gran cantidad de requisitos de PSD2.

Contáctenos hoy para obtener ayuda para cumplir con PSD2. Asegúrese de revisar el Documentación de zDefend o ver nuestro video resumen sobre lo que es psd2 significa para su aplicación móvil.

Proximos plazos de la PSD2 y lo que significan para

[1] UE, “Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017”, artículo 9. Independencia de los elementos. Sección 2 y Sección 3 (b), (c). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2018.069.01.0023.01.ENG&toc=OJ:L:2018:069:TOC

[2] UE, “Reglamento Delegado (UE) 2018/389 de la Comisión de 27 de noviembre de 2017”, Párrafo 26. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_. 2018.069.01.0023.01.ENG&toc=DO:L:2018:069:TOC

[3] UE, “Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017”, artículo 9. Independencia de los elementos. Sección 3 (a). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2018.069.01.0023.01.ENG&toc=OJ:L:2018:069:TOC

Deja un comentario