PCI DSS란 무엇입니까?
PCI-DSS는 결제 카드 거래 및 카드 소지자 세부 정보를 사기꾼으로부터 보호하기 위한 프레임워크를 제공하는 정보 처리 표준입니다.
카드 소유자 데이터 손상 위험을 최소화하기 위해 적용해야 하는 일련의 기준 조치를 지정합니다.
이 표준은 카드 결제를 수락하거나 처리하는 모든 비즈니스 또는 조직에 적용됩니다. 따라서 주로 소매업과 거래를 처리하는 데 사용되는 소프트웨어 또는 하드웨어를 제공하는 모든 회사에 영향을 미칩니다.
이는 소매 및 전자 상거래 산업에도 영향을 미치는 GDPR(General Data Protection Regulation)과 같은 데이터 개인 정보 보호법과 크게 다릅니다.
예를 들어, PCI-DSS는 보안 지향 표준입니다. 대조적으로, 보안은 데이터 보호 규정의 일부일 뿐이며, 웹 사이트의 개인 정보 보호 고지, 메일링 리스트에 고객 세부 정보를 추가하는 데 대한 동의 및 소비자의 액세스 권한 요청과 같은 개인 정보 보호 측면도 다룹니다.
PCI-DSS는 또한 상용 결제 네트워크 프로세서에 의해 구성된 관리 조직인 PCI SSC(Payment Card Industry Security Standards Council)에서 개발했습니다. 그러나 데이터 개인 정보 보호법은 주, 국가 또는 국제 수준의 정부 기관에서 관리합니다.
컴플라이언스와 페널티킥
PCI-DSS는 컴플라이언스에 대한 다양한 경로를 설정하며, 각 경로는 4개의 서로 다른 컴플라이언스 레벨 중 하나에 매핑됩니다. 연간 처리하는 트랜잭션 수에 따라 특정 컴플라이언스 레벨이 결정됩니다.
결제 카드 회사는 재량에 따라 PCI-DSS에 컴플라이언스가 아닌 경우 벌금을 부과할 수 있습니다. 또한 PCI-DSS를 위반하는 경우 GDPR 또는 캘리포니아 소비자 개인 정보 보호법(CCPA)과 같은 해당 개인 정보 보호 법률을 위반할 수도 있습니다. 또한 미네소타의 플라스틱 카드 보안법과 같은 잠재적으로 주법도 있습니다.
따라서 위반 시 다양한 재정적 처벌과 제재를 받을 수 있습니다.
PCI DSS 컴플라이언스의 12가지 요구 사항은 무엇입니까?
PCI-DSS 컴플라이언스는 다음과 같이 12가지 기술 및 운영 요구 사항을 지정합니다.
1. 카드 소지자 데이터를 보호하기 위한 방화벽 구성 설치 및 유지 관리
방화벽은 사전 구성된 규칙 집합에 따라 잠재적인 악성 트래픽이 네트워크에 침입하는 것을 방지하는 첫 번째 방어선입니다.
그러나 기존의 경계 기반 방화벽은 사용자와 내부 네트워크 사이에 명확한 경계가 없기 때문에 더 이상 클라우드 자산을 보호하기에 충분하지 않습니다.
이 문제를 해결하려면 클라우드 방화벽이 필요합니다. 이는 기존 방화벽과 매우 유사하게 작동하지만, 애플리케이션이 네트워크 환경에 분산된 개별 구성 요소로 나뉘는 클라우드의 분산 특성에 맞게 특별히 조정되었습니다.
2. 시스템 암호 및 기타 보안 매개 변수에 대해 공급업체에서 제공한 기본값을 사용하지 마십시오.
라우터, POS 시스템 및 관련 구성 요소 공급업체는 가능한 한 빠르고 쉽게 설치 및 설정할 수 있도록 장비에 기본 사용자 이름, 암호 및 구성을 제공합니다.
이것은 사이버 범죄자의 쉬운 표적이 됩니다.
이러한 공장 설정은 사기꾼이 쉽게 사용할 수 있으며, 사기꾼은 이를 악용하여 내부 네트워크에 액세스하고 카드 소유자 데이터를 훔칩니다. 따라서 고유한 로그인 자격 증명과 구성만 사용하여 해커를 차단하십시오.
또한 액세스 권한과 같은 다른 기본 구성을 사용하지 않도록 주의하십시오. CloudSecOps 팀은 애플리케이션과 클라우드 워크로드가 과도하게 허용되지 않도록 하고 민감한 리소스에 필요한 수준의 액세스 권한만 부여하여 공격 표면을 줄여야 합니다.
3. 저장된 카드 소지자 데이터 보호
카드 소지자 정보를 보호하는 가장 좋은 방법은 정보를 완전히 저장하지 않는 것입니다. 그러나 비즈니스 또는 법적 목적으로 필요한 경우 읽을 수 없도록 조치를 취해야 합니다.
이를 달성하는 가장 일반적이고 실용적인 방법은 데이터를 암호화하는 것입니다. PCI-DSS를 준수하려면 이러한 암호화에 업계 표준 AES-256 알고리즘을 사용해야 합니다.
그러나 데이터는 암호화하는 데 사용하는 키만큼만 안전하다는 점을 기억하십시오. 따라서 효과적인 키 관리 시스템을 사용하여 암호화 키 도 보호해야 합니다.
또한 일반적으로 데이터 검색 도구와 데이터 자산의 인벤토리 를 사용하여 처음에 어떤 카드 소지자 데이터를 저장하는지 명확하게 파악하는 것도 중요합니다.
4. 개방형 공용 네트워크를 통한 카드 소지자 데이터 전송 암호화
TLS(전송 계층 보안)를 사용하여 카드 소지자 데이터를 암호화하도록 각 클라우드 및 온프레미스 환경을 올바르게 구성해야 하며, 이 데이터는 인터넷을 통해 결제 카드 에코시스템의 여러 부분 간에 이동합니다. 퍼블릭 및 하이브리드 클라우드를 위한 포괄적인 클라우드 네트워크 보안 솔루션 에 대한 투자를 고려합니다.
또한 모바일 기기를 통한 결제는 특히 위험하다는 점을 명심하십시오. 따라서 모든 무선 네트워크가 강력한 암호와 사용 가능한 최신 와이파이 보안 프로토콜을 사용하는지 확인하십시오.
5. 바이러스 백신 소프트웨어 또는 프로그램을 사용하고 정기적으로 업데이트하십시오.
안티바이러스(AV) 소프트웨어는 하이브리드 클라우드 또는 멀티 클라우드 인프라에서 결제 카드 시스템을 호스팅하는 모든 환경을 보호할 수 있어야 합니다.
그러나 AV 소프트웨어의 한계를 인식하는 것도 중요합니다.
새롭고 더 정교한 유형의 위협은 클라우드 기반 배포를 대상으로 진화했습니다. 따라서 이제 CSPM(클라우드 보안 태세 관리) 및 클라우드 워크로드 보호와 같은 카드 소유자 세부 정보를 보호하기 위해 더 광범위한 보안 접근 방식이 필요합니다.
6. 보안 시스템 및 애플리케이션 개발 및 유지 관리
요구사항 6의 목적은 애플리케이션 개발 및 라이프사이클 프로세스에 보안을 구축하는 것이다. 여기에는 교육, 지침 및 체크리스트를 통한 보안 코딩 관행에 대한 지원과 사내 또는 사용자 지정 애플리케이션 코드에 대한 정기적인 검토가 포함됩니다.
또한 PCI-DSS의 조항에 따라 컴플라이언스를 유지 관리하려면 릴리스 후 한 달 이내에 타사 소프트웨어에 중요한 패치를 설치해야 한다고 명시되어 있는 패치 관리도 다룹니다.
7. 업무상 알아야 할 사항별로 카드 소지자 데이터에 대한 액세스 제한
카드 소지자 세부 정보에 액세스할 수 있는 사람의 수를 최소한으로 제한하여 합법적인 비즈니스 필요가 있는 사람만 액세스할 수 있도록 해야 합니다.
이를 수행하는 가장 실용적인 방법은 최소 권한 원칙 에 따라 카드 소유자 데이터와 같은 중요한 리소스에 대한 액세스 권한을 부여해야 하는 RBAC(역할 기반 액세스 제어) 시스템을 구현하는 것입니다.
8. 컴퓨터 액세스 권한이 있는 각 사람에게 고유 ID 할당
시스템의 권한이 부여된 각 사용자는 고유한 ID와 암호를 가지고 있어야 합니다. 이렇게 하면 언제든지 카드 소지자 데이터에 액세스하는 모든 사람의 신원을 항상 알 수 있습니다.
또한 PCI-DSS는 이제 관리자 권한이 있는 사용자만 2단계 인증(2FA)을 사용하여 원격 액세스를 허용합니다.
9. 카드 소지자 데이터에 대한 물리적 액세스 제한
퍼블릭 클라우드에서 애플리케이션을 호스팅하면 서버의 물리적 보안에 대한 책임을 클라우드 서비스 공급자에게 넘길 수 있습니다. 그러나 엔드포인트 디바이스의 물리적 보안을 보장할 책임은 여전히 있습니다.
따라서 비디오 감시, 보안 정책 및 절차, 직원 교육, 시간 기반 잠금 제어, 일반 대중의 시야에서 멀리 떨어진 화면 확인과 같은 조치를 통해 결제 디바이스 및 워크스테이션에 대한 무단 액세스를 방지하는 조치를 취해야 합니다.
10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스 추적 및 모니터링
결제 카드 시스템에 대한 액세스를 기록하고 모니터링하면 의심스러운 활동의 초기 징후를 발견하는 데 도움이 되며 문제가 발생했을 때 경고와 통찰력을 얻을 수 있습니다.
이 영역의 요구 사항은 단순한 가시성에서 관찰 가능성으로 발전하여 모든 카드 처리 구성 요소에 대한 가시성을 유지할 뿐만 아니라 문제를 신속하게 식별하고 수정합니다. 이를 위해서는 하이브리드 클라우드 및 멀티 클라우드 인프라 전반에 걸쳐 중앙 집중식 가시성을 제공하는 차세대 모니터링 도구를 찾아야 할 수 있습니다.
11. 보안 시스템 및 프로세스를 정기적으로 테스트하십시오.
AV 스캔 및 패치 관리와 같은 다른 보안 조치를 보완하려면 결제 카드 시스템이 잠재적인 위협을 견딜 수 있을 만큼 충분히 강력한지 정기적으로 확인해야 합니다
여기에는 취약성 검사 와 같은 자동화된 도구와 침투 테스트와 같은 수동 접근 방식이 포함됩니다. 다른 테스트 절차에는 카드 리더에 대한 스키밍 소프트웨어 및 승인 되지 않은 무선 액세스 포인트를 식별하는 프로세스를 정기적으로 검사하는 것이 포함되어야 합니다. 필요한 경우 그에 따라 수정 조치를 취해야 합니다.
12. 직원 및 계약자에 대한 정보 보안을 다루는 정책 유지
잘 문서화되고 잘 전달된 정보 보안 정책은 카드 소지자 데이터에 대한 위험과 이를 보호해야 하는 책임에 대한 직원의 인식을 높이는 데 도움이 됩니다.
관련 정책 및 절차는 직원 매뉴얼, 제3자 공급업체 계약, 위험 평가 및 사고 대응 계획에도 통합되어야 합니다.
PCI-DSS 컴플라이언스 그 이상
PCI-DSS 컴플라이언스는 카드 결제를 허용하는 모든 조직에 필수입니다. 그러나 카드 소지자 데이터를 처리하기 위한 기본 요구 사항을 충족했음을 보여주지만 반드시 완전한 보호를 보장하지는 않습니다.
또한 디지털 트랜스포메이션과 클라우드 마이그레이션으로 인해 보안 목표가 바뀌었습니다. 따라서 틀에 박힌 연습과 전통적인 보안 방법을 넘어서야 합니다.
이를 위해서는 하이브리드 클라우드 및 멀티 클라우드 배포의 복잡하고 동적인 특성에 맞게 조정된 새로운 솔루션이 필요합니다.
예를 들어, 개별 애플리케이션과 이를 지원하는 프로세스 및 리소스를 보호하는 CWPP(클라우드 워크로드 보호 플랫폼)를 고려해야 합니다. CSPM(Cloud Security Posture Management) 솔루션으로 이를 보완해야 하며, 이 솔루션은 모범 사례 및 컴플라이언스 요구 사항에 대한 구성을 지속적으로 모니터링하고 벤치마킹하여 보안 위험을 식별할 수 있습니다.
또한 클라우드 네트워크 보안 기능을 제공하는 솔루션을 통해 점점 더 정교해지는 오늘날의 새로운 위협으로부터 카드 소지자를 보호해야 합니다.
무엇보다도, 단순히 1년에 한 번 컴플라이언스(ComplRyans)를 달성하는 것이 아니라 단일 창에서 결제 카드 시스템의 모든 구성 요소에 대한 통합된 가시성을 제공하는 지속적인 보호를 제공하는 도구를 찾아야 합니다.
피드백