PCI DSS (신용카드 정보보안 표준)

I. 신용 카드 정보보안 표준, PCI DSS(Payment Card Industry Data Security Standard)

가. PCI DSS의 개념

  • 가맹점 결재 대행 사업자가 취급하는 카드 회원의 신용카드 정보 및 거래 정보를 안전하게 보호하기 위해 5개 카드사 공동으로 책정한 신용 업계 글로벌 보안 표준

나. PCI DSS 필요성

구분필요성설명
기업
측면
준거성– 금융감독원 여신전문금융업법 등 준수
분쟁방지– 개인정보유출에 따른 분쟁 발생사전 방지
고객
측면
정보보호– 개인 카드 정보 및 민감 정보 유출 방지
안전거래– 카드 거래 신뢰성 확보에 따른 고객 만족

 

II. PCI DSS 기준과 요구사항

가. PCI DSS 기준

연간
VISA 트랜잭션
연간 60만건
이상 처리
연간 12만건
~60만건 처리
연간 12만건
이하 처리
자가 진단서선택의무의무
분기별 네트워크 점검의무의무권고
실사의무권고권고

 

나. PCI DSS 요구사항

보안목표요구사항주요 내용
안전한
네트워크,
시스템
구축 유지
침입차단 시스템 설치, 관리– 장비의 엄격한 룰셋 적용
– 최소 6개월마다 리뷰
기본 패스워드, 보안파라미터금지– 벤더 제공 패스워드 금지
– 기본 파라미터 사용금지
카드소유자
정보보호
저장된 카드 소유자 정보 보호– 최소한의 정보 저장
– PAN 읽기 금지 처리
공공망 통한 정보 전송 시 암호화– 공공망 전송 시 암호화
– 악성코드 처리 가능 필요
취약점
관리
프로그램
관리
악성코드 방지 및백신정기업데이트– 안티 바이러스 SW 사용
– 알려진 악성코드 처리
안전한 시스템과 App 개발– 보안패치 1개월 내 적용
– 개발 전체 과정 보안 적용
강화된
접근통제
방안 수립
업무상 알 필요 원칙의 통제– 정보 접근은 업무 상 필요한 사람만 접근 허용
접근 사용자 별 고유 ID 부여– 시스템접근 사용자ID 부여
– 이중화 인증 과정 적용
카드 소유자 정보 물리적 접근통제– 방문자 증적 3개월 보관
– 카드정보 포함 문서 폐기
정기적
네트워크
모니터링
및 테스트
네트워크 자원과 카드 정보 추적– 자동 감사 증적 기능
– 감사 히스토리 1년 보관
보안시스템, 취약점 관리 점검– 분기 별 취약점 점검 수행
– 최소 1년 1회 모의 해킹
정보보호정책유지관리정보보호 정책 유지 및 관리– 연 1회 정보보호 정책검토
– 연 1회 임직원 교육 실시
  • 신용카드 회원, 카드 정보 및 거래정보를 결제 저장 또는 전송 시 의무적 요구 사항의 12개 요건, 242개 세부 점검 항목 구성

 

III. PCS DSS 활용방안

구분활용 방안
카드 데이터
취급 기업
– 최소 확보해야 할 보안 수준 달성
– 관련 항목 우선순위, 효율적계획 수립
카드 데이터
미취급 기업
– 운영 중 시스템과 관리 수준 확인
– 개인정보보호 IT Compliance 체계구축
지원 방안– 컨설팅 지원 업체 통해 업무 적용
– 기능탑재 솔루션 활용하여 구축, 운영
  • 국내에도 규정 준수 여부에 따라 강력한 제제 가능성 예상

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^