вступ
Агентство кібербезпеки Сінгапуру (CSA) нещодавно оприлюднило версію 2.0 свого Safe App Standard (SAS), що стало значним кроком вперед у безпеці мобільних додатків для розробників і технологічних компаній. Це оновлення особливо стосується додатків із високим ступенем ризику, наприклад тих, що обробляють фінансові транзакції, де прогалини безпеки можуть призвести до значних фінансових втрат.
Мобільні програми широко використовуються в Сінгапурі для різних цілей, таких як банківська справа, електронна комерція та державні послуги. Однак вони також становлять значні ризики для безпеки, оскільки обробляють конфіденційні дані та виконують транзакції з високим ризиком, які можуть призвести до фінансових втрат або витоку даних. Щоб усунути ці ризики, CSA опублікувала першу версію SAS у січні 2024 року.
Нові засоби безпеки
SAS 2.0 представляє чотири нові ключові області контролю безпеки, які необхідні для захисту даних, що передаються між програмою та серверами, забезпечення конфіденційності та цілісності даних, що зберігаються на пристроях, виявлення та пом’якшення вразливостей програмного забезпечення та помилок кодування, а також запобігання використанню функцій платформи . Чотири нові області:
- Мережевий зв’язок: ця область охоплює шифрування даних, що передаються програмами, за допомогою безпечних протоколів, таких як Transport Layer Security, і перевірку сертифікатів сервера, щоб дані надсилалися лише на надійні сервери.
- Криптографія: ця область охоплює використання надійних криптографічних алгоритмів, таких як Advanced Encryption Standard, і цифрових підписів, таких як Elliptic Curve Digital Signature Algorithm, для шифрування та автентифікації даних, що зберігаються на пристроях. Він також охоплює безпечне керування криптографічними ключами, наприклад використання апаратних сховищ ключів або довірених середовищ виконання, щоб мінімізувати ризик компрометації.
- Якість коду та запобігання експлойтам: ця область охоплює перегляд і тестування бібліотек програмного забезпечення та коду розробника перед використанням, а також дотримання правил безпечного кодування, таких як перевірка вхідних даних і вихідне кодування. Він також охоплює впровадження методів пом’якшення експлойтів, таких як рандомізація макета адресного простору та канарок стека, щоб запобігти зловмисникам від виконання зловмисного коду або використання вразливостей пам’яті.
- Взаємодія платформи: у цьому розділі розглядаються заходи безпеки для функцій операційної системи, таких як клавіатури та посилання в програмі, які можуть використовуватися зловмисниками для введення шкідливого коду або вилучення даних. Він також охоплює використання специфічних для платформи механізмів безпеки, таких як Android App Bundles і iOS App Transport Security, щоб забезпечити роботу програм лише на безпечних платформах і відповідність політикам платформи.
Висновок
Розробники та власники програм повинні ознайомитися з вимогами та інструкціями SAS 2.0. Хоча це добровільний стандарт, відповідність буде конкурентною перевагою, яка демонструватиме користувачам, що програми, якими вони користуються, є частиною більш безпечного цифрового ландшафту, якому вони можуть довіряти для своїх цифрових транзакцій.
Reed Smith LLP має ліцензію на діяльність іноземної юридичної практики в Сінгапурі під назвою та стилем Reed Smith Pte Ltd (надалі разом «Рід Сміт»). Якщо потрібна консультація щодо законодавства Сінгапуру, ми передамо це питання та співпрацюватимемо з партнером Formal Law Alliance Reed Smith у Сінгапурі, Resource Law LLC, якщо це необхідно.
Сповіщення клієнта 2024-226
