PCI DSS 4.0.1에서 알아야 할 중요한 변경 사항

요구 사항 6.4.3

이 요구 사항은 소비자의 브라우저에 로드되고 실행되는 모든 결제 페이지 스크립트가 다음과 같이 관리되어야 함을 명시합니다.

• 각 스크립트가 인증되었는지 확인하는 방법이 구현됩니다.
• 각 스크립트의 무결성을 보장하는 방법이 구현되었습니다.
• 모든 스크립트의 인벤토리를 유지 관리하며 각 스크립트가 왜 필요한지에 대한 서면 사업적 또는 기술적 정당성을 제공합니다.

일반적으로 판매자는 결제 처리를 위해 결제 서비스 제공업체 또는 제3자 서비스 제공업체(PSP 또는 TPSP)에 의존하며, 이를 통해 소비자가 구매하는 상품이나 서비스에 대한 비용을 지불하는 방법이 결정됩니다. 이 PCI 요구 사항은 판매자가 결제 페이지가 포함된 PSP/TPSP 인라인 프레임(iframe)을 사용하는 시나리오를 관리하는 책임 모델과 관련된 혼란을 야기했습니다. iframe은 본질적으로 특정 기능을 위해 렌더링된 작은 웹 페이지입니다. 스크립트도 실행될 수 있으므로 iframe은 부모 웹 페이지와 동일한 위험에 노출될 수 있습니다. 따라서 iframe은 부모 페이지와 동일한 PCI 요구 사항을 따라야 합니까?

v4.0.1 업데이트에서는 판매자가 자체 페이지(부모 페이지)에서 실행되는 스크립트에 대해서만 책임을 져야 하며 PSP/TPSP iframe에서 실행되는 스크립트에 대해서는 책임을 져야 한다는 점이 명확히 밝혀졌습니다.

모범 사례: PSP/TPSP iframe 페이지가 규정을 준수하고 보안이 유지되도록 공급업체와 협력하는 것은 판매자의 책임입니다. 판매자가 이러한 요구 사항을 완료하지 못하면 결제 사기 문제에 직면하게 되어 사업 손실과 PCI의 엄격한 감시로 이어질 수 있습니다.

요구 사항 11.6.1

소비자 브라우저에서 수신한 HTTP 헤더와 스크립트의 보안에 영향을 미치는 시스템에 대한 강조와 함께 요구 사항 11.6.1에 대한 유사한 설명이 포함되었습니다. 이는 PCI가 보안과 관련 없는 HTTP 헤더 및 스크립트 사고에 대한 광범위한 보호를 요구하는 것보다는, 이 요구 사항과 관련된 위험에 중점을 두고 있다는 점을 분명히 밝혔기 때문에 중요한 변경 사항입니다.

PSP/TPSP에 내장된 iframe에 대한 책임 모델과 관련된 업데이트도 있는데, 판매자는 부모 웹 페이지에 대해서만 책임을 지고 PSP/TPSP 공급업체는 iframe에서 렌더링된 보안에 영향을 미치는 HTTP 헤더와 스크립트에 대해 책임을 진다는 점이 명확해졌습니다.