2019년 4월 11일
PCI DSS (신용카드 정보보안 표준)
I. 신용 카드 정보보안 표준, PCI DSS(Payment Card Industry Data Security Standard)
가. PCI DSS의 개념
- 가맹점 결재 대행 사업자가 취급하는 카드 회원의 신용카드 정보 및 거래 정보를 안전하게 보호하기 위해 5개 카드사 공동으로 책정한 신용 업계 글로벌 보안 표준
나. PCI DSS 필요성
구분 | 필요성 | 설명 |
---|---|---|
기업 측면 | 준거성 | – 금융감독원 여신전문금융업법 등 준수 |
분쟁방지 | – 개인정보유출에 따른 분쟁 발생사전 방지 | |
고객 측면 | 정보보호 | – 개인 카드 정보 및 민감 정보 유출 방지 |
안전거래 | – 카드 거래 신뢰성 확보에 따른 고객 만족 |
II. PCI DSS 기준과 요구사항
가. PCI DSS 기준
연간 VISA 트랜잭션 | 연간 60만건 이상 처리 | 연간 12만건 ~60만건 처리 | 연간 12만건 이하 처리 |
자가 진단서 | 선택 | 의무 | 의무 |
분기별 네트워크 점검 | 의무 | 의무 | 권고 |
실사 | 의무 | 권고 | 권고 |
나. PCI DSS 요구사항
보안목표 | 요구사항 | 주요 내용 |
---|---|---|
안전한 네트워크, 시스템 구축 유지 | 침입차단 시스템 설치, 관리 | – 장비의 엄격한 룰셋 적용 – 최소 6개월마다 리뷰 |
기본 패스워드, 보안파라미터금지 | – 벤더 제공 패스워드 금지 – 기본 파라미터 사용금지 | |
카드소유자 정보보호 | 저장된 카드 소유자 정보 보호 | – 최소한의 정보 저장 – PAN 읽기 금지 처리 |
공공망 통한 정보 전송 시 암호화 | – 공공망 전송 시 암호화 – 악성코드 처리 가능 필요 | |
취약점 관리 프로그램 관리 | 악성코드 방지 및백신정기업데이트 | – 안티 바이러스 SW 사용 – 알려진 악성코드 처리 |
안전한 시스템과 App 개발 | – 보안패치 1개월 내 적용 – 개발 전체 과정 보안 적용 | |
강화된 접근통제 방안 수립 | 업무상 알 필요 원칙의 통제 | – 정보 접근은 업무 상 필요한 사람만 접근 허용 |
접근 사용자 별 고유 ID 부여 | – 시스템접근 사용자ID 부여 – 이중화 인증 과정 적용 | |
카드 소유자 정보 물리적 접근통제 | – 방문자 증적 3개월 보관 – 카드정보 포함 문서 폐기 | |
정기적 네트워크 모니터링 및 테스트 | 네트워크 자원과 카드 정보 추적 | – 자동 감사 증적 기능 – 감사 히스토리 1년 보관 |
보안시스템, 취약점 관리 점검 | – 분기 별 취약점 점검 수행 – 최소 1년 1회 모의 해킹 | |
정보보호정책유지관리 | 정보보호 정책 유지 및 관리 | – 연 1회 정보보호 정책검토 – 연 1회 임직원 교육 실시 |
- 신용카드 회원, 카드 정보 및 거래정보를 결제 저장 또는 전송 시 의무적 요구 사항의 12개 요건, 242개 세부 점검 항목 구성
III. PCS DSS 활용방안
구분 | 활용 방안 |
---|---|
카드 데이터 취급 기업 | – 최소 확보해야 할 보안 수준 달성 – 관련 항목 우선순위, 효율적계획 수립 |
카드 데이터 미취급 기업 | – 운영 중 시스템과 관리 수준 확인 – 개인정보보호 IT Compliance 체계구축 |
지원 방안 | – 컨설팅 지원 업체 통해 업무 적용 – 기능탑재 솔루션 활용하여 구축, 운영 |
- 국내에도 규정 준수 여부에 따라 강력한 제제 가능성 예상