PSD2와 모바일 기기

“수정된 지불 서비스와 지침에도 모바일 뱅킹, 모바일 지갑, 모바일 지불 앱과 같은 기능을 제공하는 기타 앱의 보안에 많은 주의를 기울여야 합니다.” Security Boulevard, July, 2018

유럽위원회의 개정 지불 서비스 지침 인 PSD2는 지불 서비스 및 은행과 같은 지불 서비스 제공자 (PSP)를 규제합니다. 이 지침은 모바일 및 온라인 지불을 포함하여 모든 유형의 전자 및 비 현금 지불에 적용되는 규칙을 설정합니다. 이 규칙에는 데이터 보호, 보안 통신, 장치 및 소프트웨어 무결성에 대한 엄격한 보안 요구 사항이 포함되며 PSP에는 필요한 보안 조치의 실패를 완화할 수 있는 메커니즘이 있어야 합니다. 모바일 장치에 대한 이러한 요구 사항을 충족하기 위해 탐색 중인 기술에는 컨테이너화 (루트킷, 탈옥 탐지 메커니즘과 함께), 하드웨어 보안 요소, 맬웨어 방지 도구 및 모바일 장치 분석, 동작 솔루션이 포함됩니다.

GDPR과 모바일 디바이스

“GDPR 규정 준수하기 위해 과제 중 하나는 랩톱 및 기타 모바일 장치에 저장된 개인 식별 정보(PII)를 보호하는 것입니다. 회사 방화벽 뒤에 있지 않기 때문에 추적하기가 더 어려워지고 위험에 노출될 수 있습니다.” GDPR Report, October 13, 2017

일반 데이터 보호 규정(GDPR)은 유럽 연합(EU) 내 개인의 개인 정보 수집 및 처리에 대한 지침을 설정하는 법적 프레임 워크입니다. GDPR은 데이터 관리의 원칙과 개인의 권리를 규정하는 동시에 수익 기반의 벌금을 부과합니다. 개인 식별 정보(PII)를 포함하거나 처리하는 소비자에게 제공되는 것을 포함하여 모든 모바일 장치 및 응용 프로그램은 노출 및 도난으로부터 보호되어야 합니다. 이러한 장치와 앱에는 장치, 네트워크 및 앱(DNA) 공격을 방지하기 위한 모바일 보안 솔루션이 필요합니다.

CCPA와 모바일 디바이스

“PwC의 최근 연구에 따르면 CCPA의 영향을 받는 미국 기업 중 절반 정도만이 마감 시한을 준수할 것으로 예상됩니다.” CCPA Is Coming: Time to Wake Up and Smell the Legislation, April 3, 2019

2018년 캘리포니아 소비자 개인 정보 보호법 CCPA는 기업이 요청에 따라 소비자에 대해 수집 한 개인 정보를 공개하고 정보를 판매 또는 공개 한 제 3자의 신원을 공개하고 다른 특정 정보를 제공하도록 요구합니다. 소비자 프라이버시를 향상하기 위해 지정된 서비스. 이 법은 캘리포니아에서 사업을 수행하고 a) 연간 매출이 2,500만 달러 이상인 b) 5 만 이상의 소비자, 가구 또는 장치의 개인 정보를 구매, 판매 또는 공유하거나 c) 파생되는 영리 사업에 적용됩니다. 개인 정보를 판매하여 연간 수익의 50% 이상. 이 법은 모바일 장치 및 모바일 앱에 명시적으로 적용됩니다.

PCI와 모바일 디바이스

“PCI DSS(PCI 데이터 보안 표준)는 판매자가 카드 소지자 데이터를 보호해야 합니다. 모바일 장치는 카드 소지자 데이터를 위한 안전한 입력 또는 저장장치로 설계될 필요는 없습니다.” PCI Security Standards Council, 2014

PCI DSS(Payment Card Industry Data Security Standard)는 신용 카드 정보를 수락, 처리, 저장 또는 전송하는 모든 회사가 안전한 환경을 유지하도록 설계된 일련의 보안 표준입니다. 스마트 폰에서 태블릿에 이르기까지 모바일 장치는 거래 처리에 점점 더 많이 사용되고 있습니다. PCI DSS 준수를 위해서는 POS(Point of Sale) 터미널, 개인용 컴퓨터 및 서버와 동일한 방식으로 이러한 모바일 장치를 “종점”으로 간주해야 합니다. 디바이스, 네트워크 및 앱(DNA) 공격을 방지하려면 모바일 보안 솔루션이 필요합니다.

Zimperium 플랫폼을 사용하면 다음과 같은 PCI DSS 요구 사항의 모바일 요구 사항을 충족할 수 있습니다.

SECTION
SUBSECTION
PROVISION
Req 5
맬웨어로부터 모든 시스템을 보호하고 안티 바이러스 소프트웨어 또는 프로그램을 정기적으로 업데이트하십시오.
5.1
안티 바이러스 프로그램이 알려진 모든 유형의 악성 소프트웨어를 탐지, 제거 및 보호할 수 있는지 확인하십시오.
5.1.1
빌드 중 확인된 오픈소스 컴포넌트 및 고유한 해시 시그니처, 종속성 식별
5.2
모든 안티 바이러스 메커니즘이 다음과 같이 유지되는지 확인하십시오. 최신 상태로 유지, 정기적 스캔 수행 PCI DSS 요구 사항 10.7에 따라 유지되는 감사 로그를 생성하십시오.
5.4
제한된 기간 동안 사례별로 관리가 특별히 승인하지 않는 한, 안티 바이러스 메커니즘이 활발히 실행되고 있으며 사용자가 비활성화하거나 변경할 수 없는지 확인하십시오.
Req 6
안전한 시스템 및 응용 프로그램을 개발하고 유지 관리합니다.
6.1
보안 취약성 정보에 평판이 좋은 외부 소스를 사용하여 보안 취약성을 식별하는 프로세스를 설정하고 새로 발견된 보안 취약성에 위험 순위 (예 : "높음", "중간"또는 "낮음")를 할당하십시오.
6.2
해당 공급 업체가 제공 한 보안 패치를 설치하여 모든 시스템 구성 요소 및 소프트웨어가 알려진 취약성으로부터 보호되는지 확인하십시오. 릴리스 1 개월 내에 중요 보안 패치를 설치하십시오.
6.3.2
프로덕션 또는 고객에게 릴리스하기 전에 사용자 지정 코드를 검토하여 잠재적인 코딩 취약점을 식별하십시오 (수동 또는 자동 프로세스 사용).


HIPAA와 모바일 디바이스

“HIPAA에서 모바일 장치로 처리되는 데이터를 포함하여 환자 데이터를 안전하게 보호하기 위해 보안 조치를 취해야 합니다. 실무에서 데이터 위반이 발생하거나 HIPAA 규정을 준수하지 않는 경우 50,000 달러에서 150 만 달러 사이의 무거운 벌금에 처합니다. “ Health Security Solutions, November 6, 2017

HIPAA(1996년 건강 보험 휴대 성 및 책임법)는 의료정보보호를 위한 데이터 프라이버시 및 보안 규정을 제공하는 미국 법률입니다. 환자 데이터를 의사 및 환자에게 저장하고 제시하기 위해 모바일 장치 및 응용 프로그램이 점점 더 많이 사용되고 있습니다. HIPAA 준수를 위해서는 POS(Point of Sale) 터미널, 개인용 컴퓨터 및 서버와 같은 방식으로 모바일 장치를 “종점”으로 간주해야 합니다. 환자 데이터를 포함하고 처리하는 모바일 앱은 환자 소유 장치에서도 공격으로부터 보호되어야 합니다. 이러한 장치와 앱에는 장치, 네트워크 및 앱(DNA) 공격을 방지하기 위한 모바일 보안 솔루션이 필요합니다.

Zimperium 플랫폼을 사용하면 다음과 같은 HIPAA 요구 사항의 모바일 요구 사항을 충족할 수 있습니다.

SECTION
SUBSECTION
PROVISION
164.308
관리 보호.
(a)(1)(ii)(D)
정보 시스템 활동 검토(필수). 감사 로그, 액세스 보고서 및 보안 사고 추적 보고서와 같은 정보 시스템 활동 기록을 정기적으로 검토하는 절차를 구현하십시오.
(a)(5)(ii)(A)
정기적인 보안 업데이트를 설치하십시오.
(a)(5)(ii)(B)
악성 소프트웨어로부터 소프트웨어에 대한 보호, 탐지 및 보고 절차.
(a)(5)(ii)(C)
중요한 시스템에서 로깅 및 로그 경고를 활성화합니다.
(a)(6)(iii)
구현 사양 : 응답 및 보고 (필수). 의심되거나 알려진 보안 사고를 식별하고 대응합니다. 해당 대상에게 알려진 보안 사고의 실행 가능한 해로운 영향을 완화합니다. 보안 사고와 그 결과를 문서화합니다.


NDB과 모바일 디바이스

“많은 비즈니스의 현실은 직장에서 스마트폰 및 태블릿과 같은 안전하지 않은 개인장치를 비롯한 개인정보보호 수정(알릴 수 있는 데이터 유출) 보안 시한폭탄이 많이 있다는 것입니다.” MyBusiness.Com.Au, 2017

1988년 호주 개인정보보호법 파트 IIIC에 포함된 NDB(Notifiable Data Breaches) 요구 사항에는 개인정보가 심각한 피해를 입힐 수 있는 데이터 침해와 관련된 개인에게 통지할 의무가 있습니다. 이 법은 호주에서 개인정보를 수집 또는 보유하는 호주에서 수행되는 모든 사업에 적용됩니다.

NERC과 모바일 디바이스

“유선 및 무선 인터페이스와의 무단 무선 연결이 가능한 모바일 장치가 전자 보안 경계 내에서 CIP로 보호되는 사이버 자산에 액세스 할 수 있을 때 CIP 준수가 어려워집니다.” Department of Energy, February 25, 2009

NERC CIP(North American Electric Reliability Corporation 핵심 인프라 보호) 계획은 북미의 벌크 전기 시스템 운영에 필요한 자산을 보호하기 위해 설계된 일련의 요구사항입니다. 스마트 폰에서 태블릿에 이르기까지 모바일 장치는 기술자가 중요한 인프라를 서비스하는데 점점 더 많이 사용되고 있습니다. NERC CIP 준수를 위해 이러한 모바일 장치는 “종점”으로 간주해야 합니다. 디바이스, 네트워크 및 앱(DNA) 공격을 방지하려면 모바일 보안 솔루션이 필요합니다.

Zimperium 플랫폼은 다음 NERC CIP 요구 사항의 모바일 요구 사항을 충족하도록 도와줍니다.

SECTION
SUBSECTION
PROVISION
CIP-007-6
R2
보안 패치 관리.
2.1
적용 가능한 사이버 자산에 대한 사이버 보안 패치를 추적, 평가 및 설치하기 위한 패치 관리 프로세스.
2.2
최소한 35일에 한 번, 2.1 부에서 식별된 소스로부터의 마지막 평가 이후에 릴리스 된 적용 가능성에 대한 보안 패치를 평가하십시오.
CIP-007-6
R3
악성코드 예방
3.1
악성코드를 탐지 또는 방지하기 위한 방법을 배포하십시오.
3.2
탐지된 악성코드의 위협을 완화하십시오.
3.3
서명 또는 패턴을 사용하는 Part 3.1에서 식별된 방법의 경우 업데이트하는 프로세스가 있어야 합니다. 프로세스는 서명 또는 패턴 테스트 및 설치를 처리해야 합니다.
CIP-007-6
R4
보안 이벤트 모니터링
4.1
최소한 BES 사이버 시스템 수준(BES 사이버 시스템 기능별) 또는 사이버 자산 수준(사이버 자산 기능별)에서 이벤트를 기록하여 사이버 보안 사고를 식별하고 사후 조사를 수행합니다.
4.1.3
악성코드가 탐지되었습니다.
4.2
책임 있는 엔터티가 결정하는 보안 이벤트에 대한 경고를 생성합니다. 여기에는 최소한 다음 유형의 이벤트(사이버 자산 또는 BES 사이버 시스템 기능별)가 각각 포함됩니다.
4.2.1
Part 4.1에서 탐지된 악성코드
4.3
기술적으로 실현 가능한 경우, CIP 예외 상황을 제외하고 최소 90 일 동안 연속적으로 4.1 일 동안 식별된 해당 이벤트 로그를 유지하십시오.