PCI DSS(Payment Card Industry Data Security Standards)는 카드결제를 처리하는 모든 비즈니스에서 거래의 규모나 수에 상관없이 반드시 준수해야 할 종합적인 요구사항입니다.
PCI DSS(Payment Card Industry Data Security Standard – 지불카드 정보 보안 기준)는 신용 카드 정보 및 거래 정보를 보호하기 위해 비자(Visa), 마스터카드(MasterCard), 아메리칸 엑스프레스(American Express), 디스커버(Discover), 제이씨비(JCB) 등 5개 주요 국제 결제 브랜드가 공동으로 정한 카드 업계 글로벌 보안 기준입니다.
카드결제를 처리하는 모든 비즈니스에서 거래의 규모나 수에 상관없이 반드시 준수해야 할 종합적인 요구사항입니다.
- PCI DSS (Payment Card Industry Data Security Standard)는 카드 회원 정보의 보호를 목적으로 국제 결제 브랜드 5 개사 (아메리칸 익스프레스, Discover, JCB, 마스터 카드, VISA)가 공동으로 개발 한 카드 정보 보안 국제 통일 기준입니다.
- 2004 년 12 월에 제정되어 2013 년 11 월 현재 v3.0 버전 입니다. 또한 PCI SSC (Payment Card Industry Security Standards Council)가 PCI DSS의 유지, 관리, 보급 활동을 목적으로 설립되었습니다.
- 카드사, 가맹점, 처리기 (결제 처리 대행 사업자) 등 카드 정보를 관리, 처리, 전송하는 모든 조직 이 대상이됩니다. 카드 도용 다발 감추고에서 넷 부정 액세스에 대량의 카드 정보 도난, 2005 년 미국 대기업 처리기에서 4,000 만건의 정보 도용을 계기로 미국에서 보급했습니다.
왜 PCI DSS 인가?
결제 수단의 발전에 따라 화폐에서 신용카드으로 바뀌어 가고 있는 추세입니다.
특히 인테넷 상에서 신용카드 사용이 확대됨에 따라 전자 결제시 개인정보 유출과 가맹점들의 무문별한 고객 정보 소유 등의 보안적인 문제들이 야기 되고 있습니다.
ISMS 개인 정보 보호법으로 대표되는 같은 보안 기준에서는 “안전 관리 조치”을 준수하기 위해 무엇을 어느 정도 구현하면 좋을지 구체적인 것까지는언급되지 않습니다 .
PCI DSS는 시스템의 안전 확보를 위해 요구 사항이 구체적으로 정리되어 있고, 대처 방법을 쉽게 결정할수 있습니다.
다양한 온,오프라인 환경에서 사용되는 많은 카드 결제 거래에서 개인정보와 신용카드정보를 보호하기 위한 기준으로 신용카드 산업에서의 데이터 보안 표준이라는 PCI DSS가 있습니다.
PCI DSS – 6 개의 목표와 12 개의 요구 사항
| 6개의 목표 | 12 개의 요구 사항 |
|---|---|
| 1.안전한 네트워크 보안및 시스템 구축 및 유지 | 1. 카드 회원 데이터를 보호하기 위해 방화벽을 설치하고 유지 |
| 2. 벤더가 제공한 기본값을 사용하지 않고 시스템 암호 및 기타 보안 파라미터 등을 변경 | |
| 2. 카드 회원 데이터 보호 | 3. 저장된 카드 회원 데이터 보호 (데이터/db) |
| 4. 오픈 네트워크를 통해 카드 회원 데이터를 전송하는 경우 암호화(메일 등) | |
| 3.애플리케이션 취약점 조치 및 유지 | 5. 악성 코드로 부터 시스템을 보호하고 바이러스 백신 소프트웨어를 정기적으로 업데이트 |
| 6. 보안 취약하지 않도록 애플리케이션 유지보수 (WAF , 시큐어 코딩) | |
| 4.계정 관리를 통한 접근 제어 | 7. 업무상 필요한 범위 내에서 카드 정보 접근 제어 |
| 8. 시스템 접근 아이디 관리와 접근 제어 | |
| 9. 카드 회원 데이터에 대한 물리적 접근 제어 | |
| 5. 정기적인 네트워크 모니터링과 테스트 | 10. 네트워크 자원 및 카드 회원 데이터에 대한 모든 액세스를 추적하고 모니터링 (로그 관리) |
| 11. 보안 시스템 및 프로세스를 정기적으로 테스트 (침입탐지, 위변조 탐지 등) | |
| 6. 정보 보안 정책 유지 | 12. 모든 담당자의 정보 보안에 대응하는 정책 유지 |
PCI DSS 적합성 확인
PCI DSS는 카드 회원 정보를 저장, 처리 또는 전송하는 모든 회원 기관, 가맹점, 서비스 제공 업체에 적용되며, 그 중 카드 사용 건수가 많은 사업자는 PCI SSC가 인증 심사 회사에 의한 적합성 확인이 필요합니다.
인증 심사 기관은 다음의 종류가있다
- QSA (Qualified Security Assessor) : 방문 심사를 실시해, PCIDSS의 준수 여부를 확인 · 점검한다.
- ASV (Approved Scanning Vendors) : PCIDSS 요건 11.2에 규정 된 취약점 스캐닝 서비스를 제공하는 업체.
- PFI (PCI Forensic Investigator) PCIDSS 요건에 규정 된 법정 검사를 할 인정 단체.
- PA-QSA (P2PE) : P2PE 응용 프로그램을 개발하는 업체에 대해 인터뷰, 문서 조사 시스템 설정 조사 등의 심사를 정식으로 실시한다.
- P2PE QSA : PCI Point-to-Point Encryption에 대한 인증을 조사한다.
PCI DSS 인증이 필요한 사업자는?
금융 기관 및 결제 서비스 사업자는 물론 개인 사업자와 법인 등 사업 규모와 관계없이 신용 카드를 취급 할 경우 PCI DSS 를 준수해야합니다.
PCI DSS 표준은 등급이 있나요?
PCI DSS는 4 개의 레벨이 있습니다. 어떤 레벨에 속하는지는 연간 거래 건 수에 따라 결정합니다.
PCI DSS 표준을 따르기 위해서는 비용이 발생하나요?
PCI DSS 표준을 따르기 위해서는 사업 규모에 따라 다르지만 연간 비용이 발생합니다.
PCI DSS 를 자체적으로 평가할 수 있나요?
PCI DSS 준수 여부를 사업자 스스로가 확인할 수있는 리스트가 있습니다.
PCI DSS 에 따르지 않는 경우 발생하는 비용이 있나요?
- 네. 비용이 발생합니다. PCI DSS를 준수하지 않는 경우 정보 유출 등에 따른 벌금, 카드 재발급 비용 감사 및 조사에 소요되는 막대한 비용을 부담하게됩니다.
- 금적적인 피해보다 더 심각한 것은 기업 브랜드 이미지와 신뢰가 실추 되는 것입니다.
오픈나루 PCI DSS 지원 서비스
OPENMARU APM을 통한 PCI DSS 준수를 위한 보안 조치 지원을 통한 작업 공수 절감, 구축 기간 단축 합니다.
References & Related Links
- CI 카드 보안 표준 – https://www.pcisecuritystandards.org/pdfs/k_pci_scanning_procedures_v1-1.pdf
- PCI 데이터 보안 표준 – https://www.pcisecuritystandards.org/pdfs/pci_dss_korean.pdf
- PCI DSS 보안 감사 체계와 동향 – ITFIND – http://www.itfind.or.kr/WZIN/jugidong/1408/file24370-140802.pdf
OPENMARU APM 제품 소개 자료
Tomcat , Apache , JBoss 설치보고서 제공
- OPENMARU APM은 고객의 요구에 따라 JBoss , Tomcat , Apache 설치/구성된 환경에 대하여 자동으로 설치 보고서를 작성합니다.
- 설치보고서에서 다루는 내용은 JBoss EAP6(AS7) 에 필요한 각종 구성 정보들을 일목요연하게 제공하며 운영에 필수적인 주요 Apache , Tomcat 에 대한 구성 방법을 제공합니다.
- 운영팀과 개발팀 모두에게 필요한 데이터소스 설정 , 모듈 및 애플리케이션 배포 방법 등도 제공합니다.
동영상으로 이해하는 APM
WAS 기반에서 JAVA로 구현된 단일 시스템을 모니터링 하는 APM은 이 기종의 미들웨어가 혼재한 복잡하고 다양한 환경에서는 최종사용자 응답시간, 트랜잭션들 간의 상호작용 등의 성능을 감시/측정하고 운영에 필수적인 솔루션입니다.
