PCI 규정 준수의 기본 사항: 알아야 할 사항
게시 됨: 2023-04-14신용 카드 정보는 암시장에서 수백만 달러의 가치가 있기 때문에 사이버 범죄자에게 가장 가치 있는 데이터 유형입니다.
오늘날 모든 규모의 회사는 고객의 신용 카드 및 직불 카드 정보를 처리하고 신용 카드 결제를 받습니다. 재무 데이터를 처리, 저장 및 전송하는 모든 회사는 악의적인 공격자의 감시를 받고 있으며 가장 높은 사이버 공격 위험에 직면해 있습니다.
이러한 이유로 주요 신용카드사들은 고객의 금융 데이터를 보호하기 위한 보안 가이드라인을 제공하기 위해 PCI 표준을 만들었습니다. 이 기사에서는 PCI 규정 준수의 기본 사항을 살펴보겠습니다.
PCI DSS 규정 준수에 대해 자세히 설명하는 것으로 시작하겠습니다.
PCI DSS 규정 준수란 무엇입니까?
PCI DSS(Payment Card Industry Data Security Standard)는 신용 카드 소지자의 데이터를 보호하기 위한 기술 및 운영 보안 사양 집합입니다.
PCI 규정 준수는 Visa, Mastercard, American Express, Discover Financial Services 및 JCB Express와 같은 주요 신용 카드 회사에 의해 확립되었습니다. PCI는 고객의 금융 데이터를 보호하기 위한 국제적 프레임워크를 가능하게 하고자 합니다.
수집, 저장 및 전송하는 모든 회사는 PCI DSS 준수 대상이며 보안 지침 및 요구 사항을 준수할 의무가 있습니다.
PCI DSS에는 4가지 규정 준수 수준(1,2,3,4)이 있습니다. 기업의 PCI 준수 수준은 1년 동안의 거래량에 따라 결정됩니다. 레벨 4에 해당하는 회사는 연간 20,000건 미만의 거래를 처리합니다.
레벨 3은 연간 20,000~100만 건의 거래를 처리하는 가맹점에 적용됩니다. 레벨 2는 연간 100만~600만 건의 거래를 처리하는 회사에 적용됩니다. 연간 6건 이상의 거래를 처리하는 회사는 레벨 1에 해당합니다.
PCI 요구 사항은 4단계에서 1단계로 갈수록 엄격해집니다. 그러나 준수 수준에 관계없이 모든 기업은 모든 PCI 요구 사항을 어느 정도 충족해야 합니다.
보안 카드 소지자 데이터 처리 프레임워크는 PCI 준수에 따라 6가지 범주로 설정됩니다. PCI 요구 사항 범주는 카드 소유자 데이터 보호, 취약성 관리 계획, 네트워크 모니터링, 보안 네트워크 및 시스템 관리, 액세스 제어 제한 및 정보 보안 정책으로 구성됩니다.
이러한 범주의 콘텐츠는 총 12개의 요구 사항 단계를 구성합니다. PCI 요구 사항은 카드 소유자 데이터 처리의 보안을 보장합니다. 다음은 PCI 규정 준수를 위한 체크리스트입니다.
PCI 요구 사항
1- 카드 소유자 데이터 보호를 위한 방화벽 설치 및 유지
방화벽은 네트워크의 첫 번째 방어 메커니즘이므로 카드 소유자 데이터를 안전하게 유지하려면 방화벽을 적절하게 구성하고 유지 관리하는 것이 중요합니다. 방화벽은 네트워크 트래픽을 제한하고 승인되지 않은 액세스를 차단하기 때문에 사이버 위협으로부터 민감한 데이터를 보호하는 매우 효과적인 도구입니다. 그렇기 때문에 방화벽 설정이 첫 번째 요구 사항입니다.
02. 적절한 비밀번호 보호
대부분의 네트워크 서비스, POS(point-of-sale) 시스템 및 타사 제품은 기본 설정으로 구성됩니다.
기본 암호와 사용자 이름이 널리 알려져 있기 때문에 조직에서 이러한 공장 설정을 재구성하지 않으면 사이버 범죄자가 네트워크 및 민감한 데이터에 쉽게 액세스할 수 있습니다.
암호 설정을 변경하는 것 외에도 조직은 암호가 필요한 모든 장치 및 소프트웨어의 암호를 정기적으로 변경해야 합니다.
03. 저장된 카드 소유자 데이터 보호
저장된 모든 카드 소유자 데이터는 암호화되어야 합니다. 판매자는 암호화 키 및 알고리즘을 통해 이러한 민감한 데이터를 보호하고 정기적인 스캔을 수행해야 합니다.
04. 카드 소지자의 전송 데이터 암호화
카드 소지자 데이터의 보안 유지는 PCI 규정 준수에서 가장 중요한 요구 사항입니다. 따라서 가맹점은 공용 네트워크를 통한 카드 소유자 데이터 전송도 암호화하고 보호해야 합니다.
05. 바이러스 백신 소프트웨어 활용
맬웨어로부터 데이터를 보호하려면 바이러스 백신 소프트웨어가 있어야 합니다. 따라서 조직은 맬웨어를 탐지하고 제거하기 위해 모든 장치에서 바이러스 백신 소프트웨어를 활용하고 자주 업데이트해야 합니다.
06. 소프트웨어 및 시스템 유지보수
보안 취약점을 패치하기 위해 모든 소프트웨어와 시스템을 정기적으로 업데이트해야 합니다. 데이터베이스, 바이러스 백신 소프트웨어 및 방화벽과 같은 일부 소프트웨어는 더 자주 업데이트해야 합니다.
07. 데이터 액세스 제한
필요한 경우 승인된 직원에게만 카드 소지자의 데이터에 대한 액세스 권한을 부여해야 합니다. 제3자와 직원은 민감한 정보에 접근할 수 없어야 합니다.
08. 이용자 접근을 위한 고유식별
카드 소유자 데이터에 액세스할 수 있는 권한이 부여된 각 사용자에게 고유한 사용자 이름 및 암호 세트를 제공해야 합니다. 사용자 액세스 자격 증명은 책임을 보장하고 응답 시간을 줄입니다.
09. 물리적 접근 제한
민감한 데이터를 보호하기 위해 디지털 액세스만큼 물리적 액세스도 제한되어야 합니다. 조직은 물리적으로 안전한 위치에 카드 소지자의 데이터를 저장하고 엄격한 통제 및 승인을 시행해야 합니다.
10- 네트워크 액세스 추적 및 모니터링
카드 소지자 데이터 및 기본 계정 번호와 관련하여 모든 네트워크 액세스 및 트래픽을 추적하고 모니터링해야 합니다. 카드 소지자 데이터와 관련된 액세스 로그는 지속적으로 유지 및 검토되어야 합니다.
11- 정기 보안 시스템 평가
정기적인 보안 시스템 평가 및 침투 테스트를 수행하여 보안 취약점을 확인하고 패치해야 합니다. 이 절차를 통해 보안 시스템의 현재 상태를 파악하고 그에 따라 개선할 수 있습니다.
12- 사이버 보안 정책 유지
모든 PCI 요구 사항은 사이버 보안 정책으로 해결되고 문서화되어야 합니다. 사이버 보안 정책을 유지함으로써 조직은 네트워크의 규정 준수 및 보안을 보장할 수 있습니다.
PCI DSS를 준수하지 않을 경우의 결과
PCI DSS를 준수하지 않으면 높은 벌금과 처벌을 받을 수 있습니다. 위반의 심각성과 기간에 따라 PCI 당국은 한 달에 $5000에서 $100,000 사이의 벌금을 부과할 수 있습니다.
위반 기간이 길어지면 벌금이 월 단위로 증가할 수 있습니다. 또한 데이터 유출 사고 이후 기업은 모든 재발급 및 수정 비용을 부담해야 할 의무가 있습니다.
이 외에도 PCI를 준수하지 않을 경우 거래 수수료 인상, 신용카드 결제 가맹점의 일정 기간 또는 영구적 손실 등 추가 불이익을 받을 수 있습니다. 벌금을 피하고 고객의 기밀 재무 데이터를 보호하려면 PCI 요구 사항을 충족하는 것이 중요합니다.
마지막 말
고객의 금융 데이터는 항상 사이버 공격으로부터 보호되어야 합니다.
PCI DSS(Payment Card Industry Data Security Standard)를 준수하면 회사에서 처리, 저장 및 전송되는 금융 데이터 세트를 보호할 수 있습니다.
사이버 위험, 규정 준수 벌금 및 처벌이 매우 높은 시대에 PCI의 적용을 받는 모든 회사는 요구 사항을 충족하고 PCI를 준수해야 합니다.