PCI DSS 란 무엇인가?

 

PCI DSS (Payment Card Industry Data Security Standard)는 신용 카드 회원의 정보를 보호하는 것을 목적으로 정해진 신용 카드 업계 정보 보안 표준 규칙 입니다.

 

2004년에 국제 카드 브랜드 VISA, MasterCard, American Express, Discover, JCB의  5개사에 의해 개발 되었습니다.

그리고 공동 설립 한 조직인 PCI SSC (PCI Security Standards Council)에 의해 운영 / 관리 되고 있습니다.

 

PCI DSS가 수립 될 때까지 카드 브랜드 등 자체 보안 기준을 정하고 있었기 때문에, 명확한 통일 규칙이 존재하지 않고, 신용 카드 회원 데이터 유출 및 악용되는 사고가 다발적으로 발생 하고 있었습니다.

 

그리고 인터넷의 보급으로 EC 사이트 등 새로운 결제 수단이 많아짐에 따라 해킹과 같은 악용되는 공격도 많아지고 더욱 더 정교화해 지며 다양화가 되어 있습니다.  그 결과 카드 회원 데이터 유출 사고는 대규모 되어 왔습니다.

 

이러한 상황을 인지하고 카드 브랜드 5개사는 공동으로 보안 위험의 효과적인 방지와 보안 관리의 효율적인 운영을 목적으로 신용 카드 정보 보호를 위한 통합적인 보안 기준을 책정했습니다. 그것은 PCI DSS입니다.

2004년경 기준을 책정 후 처음에는 좀처럼 필요성이 인정되지 않았지만, 국가적으로 중요성을 깨닫고 실행 계획을 발표하여 PCI DSS 준수 및 도입에 대한 인식률이 높아져 현재는 신용카드 관련 업무를 하기 위해서는 필수적으로 취득해야하는 자격이 되고 있습니다.

 

1. PCI DSS 인증 방법

 

1-1. 방문 심사
PCI SSC에 의해 인정 된 심사 기관 (QSA = Qualified Security Assessor)에 의한 방문 심사입니다. 

카드 발급이나 다량의 정보를 취급하는 사업자 등에 요구되는 인증 방법입니다. 

연 1회 정기적인 방문 검사가 필요 합니다.

 

1-2. 네트워크 스캔 (외부 네트워크 시스템의 취약점 검사)

외부에 접하고 있는 서버 장비와 네트워크 장비 및 응용 프로그램을 PCI SSC 인증 스캐닝 벤더 (ASV = Approved Scanning Vendor)가 PCI DSS에서 요구되는 보안 요구 사항을 충족하는지 확인합니다.

연 4회 검사가 필요하고, 중간 사업자나 인터넷을 이용하고 있는 사업자에게 필요한 심사입니다.

 

 

2. PCI DSS 준수가 필요한 사업자

 

카드 회사는 물론 카드 정보를 "저장, 처리, 전송 '하는 사업자인 카드 가맹점과 은행, 결제 대행 서비스 업체들이 연간 카드 거래 금액 수준에 따라 PCI DSS를 준수해야 합니다.

 

구체적으로는 백화점이나 마트, 상점, EC 사이트, 결제 대행사 등의 유통업과 보험 회사 등 금융업, 통신 회사 등 준수의 대상이됩니다.

 

 

3. PCI DSS에서 요구되는 요건

 

PCI DSS는 6개의 목표와 그에 해당하는 12개의 요구사항이 정해져 있습니다. 그러나 가장 중요한 것은 "준수하는 범위를 결정한다" 것입니다.

왜 "준수하는 범위를 결정한다 '가 중요합니까?

그것은 분할을해야 전체 네트워크가 PCI DSS 평가 대상이되어, PCI DSS를 준수하기 위한 비용 (인건비, 시스템 투자)가 막대하게 되어 버리는 것입니다. 분할을 실시하는 것으로, 카드 회원 데이터를 처리 범위가 특정되고, 또한 보호가 필요한 부분이 특정 됨으로써 효율적이고 현실적인 준수 대응이 가능하기 때문 입니다.

PCI DSS에 규정되어있는 6개의 목표와 그에 해당하는 12개의 요구 사항은 다음과 같습니다.

 

목표.1) 안전한 네트워크 및 시스템 구축 및 유지

1. 신용카드 회원 데이터를 보호하기 위해 방화벽을 설치하고 유지 할것
2. 시스템 암호 및 기타 보안 파라미터에 벤더 제공 기본값을 사용하지 말것

 

목표.2) 카드 회원 데이터 보호

1. 저장된 신용카드 회원 데이터를 보호하기
2. 외부 오픈 되어 있는 공공 네트워크를 통해 신용카드 회원 데이터를 전송하는 경우 암호화를 반드시 할것

 

목표.3) 취약점 관리 프로그램의 정비

1. 악성 코드로 모든 시스템을 보호하고 바이러스 백신 소프트웨어를 정기적으로 업데이트 할것
2. 안전한 시스템 및 응용 프로그램을 개발하고 유지 보수 할것

 

목표.4) 강력한 액세스 제어 기법의 도입

1. 신용카드 회원 데이터에 대한 액세스를 업무상 필요한 범위 내에서 제한 할것
2. 시스템 구성 요소에 대한 액세스를 식별 · 인증 프로세스를 할것
3. 신용카드 회원 데이터에 대한 물리적 액세스를 제한하여 관리할 것

 

목표.5) 네트워크의 정기적인 모니터링 및 테스트

1. 네트워크 자원 및 신용카드 회원 데이터에 대한 모든 액세스를 추적하고 모니터링할 것
2. 보안 시스템 및 프로세스를 정기적으로 테스트 할것

 

목표.6) 정보 보안 정책의 정비

1. 모든 담당자의 정보 보안에 대응하는 정책을 준비하고 관리할 것

 

4. PCI DSS 준수에 대한 대응 프로세스

 

4-1. PCI DSS 범위 책정

• 신용카드 회원 정보의 취급 범위를 확인하고 PCI DSS 준수 지원이 필요한 범위를 결정 합니다. 준수 지원에 대해서 첫번째 범위를 확정하는 작업 입니다.

 

4-2. FIT & GAP 분석, 대응 방법 검토(도구 및 서비스 선정)

• 현재의 보안 상황을 파악하고, PCI DSS 요구 사항 및 미비한 사항을 파악하기 위해 분석을 실시하며, 분석 결과에 따라 대응책의 검토를 실시 합니다.

 

4-3. 시스템 구현 및 문서화

• 시스템 사양을 책정하고, 구현 및 운영 절차, 각종 정책 문서등을 작성 합니다.
• 그리고 사무실의 환경에 대해서도 정비를 실시 합니다.

 

4-4. 운영 및 심사

• 내부 검사와 외부 검사, 그리고 네트웍의 보안 검사(모의 해킹)를 실시 합니다.
• 발견된 사항에 대해서 심사기관(QSA)에서 리포팅을 받게 됩니다.
  
  

5. PCI DSS 취득에 필요한 비용

 

PCI DSS의 취득에 드는 비용은 사업장 규모에 따라 달라지게 됩니다.

대략적인 비용은 소규모 가맹점의 경우는 초기 1억원(1,000만엔)이상 소요되며 PCI DSS 준수 운영을 위해 매월 1,000만원(100만엔) 이상이 필요하고, 2년에 한번 씩 업데이트가 필요 합니다.