블로그

PCI DSS 3.2.1 시계가 자정을 맞았습니다... 4.0에 대비하셨나요?

에드워드 오코넬 썸네일
에드워드 오코넬
2024년 4월 1일 게시

2024년 3월 31일 일요일, 전 세계적으로 중요한 날짜가 왔다가 갔습니다. 왜 그런 말을 하느냐? 소비자 결제를 처리하는 모든 조직의 경우 PCI DSS 3.2.1 준수 표준이 종료되는 날짜(2018년 5월 1일~2024년 3월 31일)입니다. 귀하의 조직은 현재 PCI DSS 4.0 타임라인 에 따라 진행 중이므로 2025년 3월까지 4.0 호환 SAQ와 외부 기관의 감사를 완료해야 합니다. 소비자 결제를 통해 수익을 창출하려면 PCI DSS 4.0을 준수하지 않는 것이 선택 사항이 될 수 없습니다.

PCI DSS 4.0 사양은 3.2.1에 비해 대폭 업그레이드된 것이며, 변경 사항 요약은 여기에서 확인할 수 있습니다. 버전 4.0은 수많은 변경 사항( 업데이트된 SAQ도 포함 )을 도입했지만 규정 준수를 달성하고 유지하기 위해 전체 구조에서 보안이 필요한 완전히 새로운 두 영역이 있습니다.

  • 애플리케이션 프로그래밍 인터페이스(API) [2.2.7; 6.2.3; 6.2.4]
  • 맞춤형 소프트웨어[6.X; 8.6.2; 12.8.1]

단순화를 위해 '맞춤형 소프트웨어'의 일부에 대해서만 조금 더 자세히 살펴보겠습니다. 이는 소비자의 결제를 원활하게 하는 데 도움이 되도록 조직이 만든 맞춤형 소프트웨어입니다. 맞춤형 소프트웨어는 다음과 같습니다.

  • 내부적으로 또는 외부 제3자 소스에서 개발됨
  • 결제 애플리케이션(거래의 서버 측)을 위해 개발되거나 소비자의 웹 브라우저(거래의 클라이언트 측)로 푸시되어 데이터 수집을 추진하는 소프트웨어

많은 조직이 직면한 과제는 맞춤형 소프트웨어의 보안 및 PCI DSS 규정 준수를 소비자의 웹 브라우저까지 확장하는 것입니다(요구 사항 6.4.1, 11.6.1). 이제 거래 보안은 서버 측 보안뿐만 아니라 소비자의 웹 브라우저를 그들이 밀어낸 '맞춤형 소프트웨어'로부터 모니터링하고 보호해야 한다는 것을 의미합니다. 클라이언트 웹 브라우저에 맞는 맞춤형 소프트웨어(예: 자바스크립트)를 제3자로부터 제공받는다고 해서 결제 수집자가 이를 모니터링하고 보호해야 할 의무에서 벗어나는 것은 아닙니다. 감사원과의 인터뷰에서 출처를 지목하는 것은 아무런 도움이 되지 않습니다.

그렇다면 클라이언트 측 맞춤형 소프트웨어에 대한 요구 사항은 무엇입니까? 섹션 6.4.1의 내용은 다음과 같습니다.

소비자의 브라우저에 로드되고 실행되는 모든 결제 페이지 스크립트는 다음과 같이 관리됩니다.

  • 각 스크립트가 인증되었는지 확인하는 방법이 구현됩니다.
  • 각 스크립트의 무결성을 보장하는 방법이 구현되었습니다.
  • 모든 스크립트의 인벤토리를 유지 관리하고 각 스크립트가 왜 필요한지에 대한 서면 정당성을 제시합니다.

즉, 배포된 모든 소프트웨어(스크립트)를 목록화하고, 정당화하고, 침해가 확인될 경우 이를 해결하기 위한 게임 플랜을 통해 모니터링해야 함을 의미합니다. 귀하의 앱/IT 보안 직원이 이러한 요구 사항을 관리, 모니터링하고 보고할 준비가 되어 있나요? 귀하와 귀하의 팀은 PCI DSS 감사원과 4.0 규정 준수 검토 일정에 대해 논의해 보셨나요? 보안 및 PCI DSS 규정 준수 계획이 제대로 진행되고 보안 운영과 더 중요하게도 조직의 수익 징수에 방해가 되지 않는지 확인해야 할 때입니다. PCI DSS 4.0 규정을 준수하여 거래의 클라이언트 측을 보호하는 일은 여러분이 생각하는 것보다 훨씬 더 쉽습니다.