판매자와 결제 처리업체의 규정 준수를 간소화하기 위해 공동으로 개발한 결제 카드 업계 데이터 보안 표준(PCI DSS)에 대해 알아보세요.
PCI DSS는 2004년에 처음 발표된 것으로, 5대 결제 카드 브랜드가 개발한 보안 표준 세트로, 결제 데이터를 도난과 악용으로부터 안전하게 보호하도록 설계되었습니다. 결제 카드 데이터를 처리하는 모든 기업이나 조직(데이터 처리, 전송 또는 저장)은 PCI DSS 표준을 준수해야 하며, 그렇지 않으면 재정적 처벌, 법적 조치 또는 판매자 계정 종료를 포함한 심각한 결과를 초래할 수 있습니다.
PCI DSS는 지불 계좌 데이터 보안을 장려하고 강화하며, 일관된 데이터 보안 조치의 전 세계적 채택을 촉진하기 위해 개발되었습니다. PCI DSS는 지불 계좌 데이터를 보호하고 소비자와 기업을 금융 사기와 평판 손상으로부터 보호하기 위해 고안된 기본적인 기술 및 운영 요구 사항을 제공합니다.
PCI DSS의 핵심 목적 중 하나는 카드 소유자 데이터를 무단 액세스와 잠재적인 오용으로부터 보호하는 것입니다. 여기에는 주 계좌 번호, 카드 소유자 이름, 만료일 및 기타 민감한 정보가 포함됩니다. 이 표준은 또한 결제 카드 정보에 대한 무단 접근이나 도난으로 이어질 수 있는 데이터 침해 위험을 최소화하도록 설계되었습니다. PCI DSS 제어를 구현함으로써 조직은 지불 카드 거래와 관련된 사기 활동을 예방하고 감지하는 데도 도움이 됩니다.
PCI DSS 요구 사항은 새로운 보안 위협, 기술 발전, 규제 환경의 변화에 대처하기 위해 시간이 지남에 따라 발전한다는 점을 기억하는 것이 중요합니다. PCI 보안 표준 협의회 웹사이트에서 최신 요구 사항을 확인하세요.
PCI DSS 규정을 준수하려면 조직이 카드 소유자 데이터의 보안을 보장하기 위해 다양한 잠재적 취약점을 해결해야 합니다. 조직이 PCI DSS 규정 준수를 유지하기 위해 해결해야 하는 일반적인 취약성 영역은 다음과 같습니다.
PCI DSS는 결제 계좌 데이터를 보호하기 위해 필요한 기술적, 운영적 요구 사항의 기준을 규정합니다. 이러한 요구 사항은 다음의 6가지 PCI DSS 원칙에 자세히 설명되어 있습니다.
카드 소지자 데이터를 보호하려면 안전한 네트워크 인프라를 구축하는 것부터 시작됩니다. 여기에는 방화벽을 사용하여 네트워크 간 트래픽을 제어하고 모니터링하고, 무단 액세스를 제한하는 것이 포함됩니다. 마이크로세그먼테이션은 네트워크를 작고 뚜렷한 세그먼트로 나누어 네트워크 내부와 애플리케이션 또는 워크로드 수준에서 "동서" 측면 트래픽을 제어하여 잠재적인 공격 표면을 줄임으로써 보안을 강화하는 또 다른 권장되는 보안 전략입니다. 취약성 관리 모범 사례를 확립하는 것도 시스템에 패치를 적용하고 최신 상태를 유지하는 데 중요합니다.
이 원칙은 민감한 정보에 대한 무단 액세스를 방지하기 위해 전송 및 저장 중에 카드 소유자 데이터를 암호화하고 보호하는 데 중점을 둡니다. 이 요구 사항은 공용 네트워크를 통해 전송되는 카드 소유자 데이터를 보호하기 위해 강력한 암호화를 사용하고, 승인 후 중요한 인증 데이터를 저장하지 않는 데이터 보존 정책을 개발하도록 규정합니다. 데이터 보호 정책에서는 또한 민감한 카드 소유자 정보에 대한 무단 액세스 및 노출 위험을 최소화하기 위해 기본 계좌 번호(PAN)를 마스킹하거나 잘라내도록 규정하고 있습니다. PCI DSS 요구 사항에 따르면 PAN의 처음 여섯 자리와 마지막 네 자리는 PAN이 표시될 때 표시되는 최대 숫자입니다.
안전한 환경을 유지하려면 취약점을 정기적으로 식별하고 해결해야 합니다. 여기에는 회사에 코드의 기존 결함에 대한 경고를 제공하는 정기적인 취약성 검사와 무단 액세스 또는 기타 악의적인 활동이 가능한지 여부를 판별하는 침투 테스트가 포함됩니다. 기존 보안 조치의 효과를 테스트하기 위해 실제 공격을 시뮬레이션합니다. 검사나 테스트를 통해 발견된 취약점을 즉시 해결하는 것은 시스템과 해당 시스템에 저장된 카드 소유자 데이터의 잠재적 손상을 방지하는 데 매우 중요합니다 . 또한, 조직에서는 OWASP 와 같은 조직이 제시한 것과 같은 보안 코딩 지침을 개발하고 시행하여 소프트웨어 개발 수명 주기 동안 취약점이 도입되는 것을 방지해야 합니다.
시스템 구성 요소와 카드 소지자 데이터에 대한 액세스를 제한하면 승인되지 않은 개인이나 시스템이 침입하는 것을 방지하는 데 도움이 됩니다. PCI DSS는 비즈니스에서 알아야 할 사항에 따라 액세스를 제한하도록 규정하며, 이는 종종 최소 권한 원칙이라고도 합니다. 이는 사용자나 시스템이 필요한 작업을 완료하는 데 필요한 특정 데이터, 리소스 및 애플리케이션에만 액세스할 수 있어야 한다는 것을 의미합니다. 마찬가지로, 역할 기반 액세스 제어(RBAC)는 조직 내 역할에 따라 시스템 액세스를 승인된 사용자로 제한합니다. 이러한 정책에서는 인력 및 역할의 변화를 반영하기 위해 접근 제어를 자주 검토하고 업데이트해야 합니다. 또한 그들은 시스템 및 카드 소지자 데이터 접근을 위한 MFA 구현과 비밀번호 정책 및 모범 사례 개선을 요구합니다.
보안 사고를 탐지하고 신속하게 대응하려면 지속적인 모니터링과 테스트가 중요합니다. 여기에는 로깅 메커니즘 구현, 정기적인 보안 테스트 수행, 네트워크 활동에 대한 지속적인 검토가 포함됩니다. 네트워크 모니터링 도구에는 공격 패턴, 비정상적인 활동 및 무단 사용을 식별하기 위해 네트워크 트래픽의 무결성을 분석하고 평가하는 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)도 포함됩니다. 조직에서는 사고 대응 계획과 비상 절차를 수립하고 이러한 프로세스가 정기적으로 테스트되도록 해야 합니다.
PCI DSS는 또한 조직이 카드 소유자 데이터를 보호하고 조직 내의 보안 관행을 안내하기 위한 프레임워크를 설정하는 포괄적인 보안 정책을 수립하고 유지하도록 요구합니다. 정책은 문서화되어야 하고, 정기적으로 검토되어야 하며, 기술 및 비즈니스 프로세스의 변화를 반영하도록 업데이트되어야 합니다. 조직에서는 직원들이 보안 정책 및 절차를 알고 이에 대한 교육을 받도록 해야 합니다.
조직이 강력한 보안 태세를 구축하고, 카드 소유자 데이터를 보호하고, 데이터 침해 위험을 최소화하려면 다음 12가지 PCI DSS 요구 사항을 준수하는 것이 필수적입니다.
PCI 준수 수준은 12개월 동안의 신용카드, 직불카드, 선불카드 거래의 총량을 기준으로 4가지 수준으로 구분됩니다. 조직에서는 거래량을 정확하게 파악하고 해당 레벨의 요구 사항을 준수하여 PCI DSS 규정 준수를 보장하고 유지해야 합니다. 적절한 수준의 규정 준수를 유지하는 것은 전자 상거래 거래의 보안, 카드 소유자 데이터의 안전한 환경 유지, 잠재적인 침해 방지에 매우 중요합니다.
PCI 규정 준수 수준 1은 가장 높고 가장 엄격한 PCI DSS 수준이며, 신용카드 데이터를 저장, 전송 또는 처리하는 기업에 가장 높은 수준의 보안을 보장하도록 설계되었습니다. 또한, 신용카드 또는 카드 소유자 데이터가 손상되는 침해나 사이버 공격을 받은 모든 규모의 상인과 서비스 제공자는 PCI 레벨 1 요구 사항을 충족해야 합니다. PCI 레벨 1 검증을 받으려면 자격을 갖춘 보안 평가자(QSA) 또는 내부 보안 평가자가 준수 여부에 대한 연례 보고서(ROC)를 제출해야 하며, 일반적으로 취약점을 식별하기 위해 컴퓨터 시스템 및 애플리케이션에 대한 실제 사이버 공격을 시뮬레이션하는 침투 테스트도 의무화합니다. PCI 레벨 1 검증에는 승인된 스캐닝 공급업체(ASV)가 분기별로 네트워크를 스캔하는 것도 필요합니다.
PCI DSS 레벨 2 판매자는 자체 평가 설문지(SAQ)를 사용하여 연 1회 규정 준수 평가를 실시하고 ASV가 분기별 네트워크 스캔을 수행해야 합니다. 또한 규정 준수 증명(AOC) 양식도 작성해야 합니다. 레벨 1과 마찬가지로 일부 레벨 2 가맹점주는 침투 테스트를 실시해야 할 수도 있습니다. 레벨 2 판매자의 경우, 신용카드 또는 카드 소유자 데이터를 손상시키는 데이터 침해나 사이버 공격을 경험하지 않는 한 현장 PCI DSS 감사가 필요하지 않습니다.
PCI DSS 레벨 3 판매자는 해당 연간 SAQ를 완료하고 ASV가 분기별 네트워크 스캔을 수행해야 합니다. 판매자는 또한 AOC 양식을 작성하여 제출해야 합니다.
PCI 레벨 4 판매자는 해당 연간 SAQ를 완료해야 하며, 분기별 ASV 외부 네트워크 보안 검사가 필요할 수 있습니다. 판매자는 또한 AOC 양식을 작성하여 제출해야 합니다. 모든 카드 제공업체가 레벨 4 지정을 받은 것은 아닙니다.
12가지 PCI DSS 요구 사항을 준수하는 것은 데이터 보안을 강화하고 전반적인 규정 준수에 기여하는 데 매우 중요합니다. 이러한 요구 사항은 카드 소유자 데이터를 보호하고 보안 침해를 방지하기 위한 포괄적인 프레임워크를 만드는 데 함께 적용됩니다.
PCI DSS 규정 준수는 민감한 카드 소유자 데이터를 보호하고, 고객의 신용카드 정보가 최고 수준의 보안으로 처리된다는 점을 고객에게 보장하며, 기업이 개인 정보를 보호할 수 있는 능력에 대한 신뢰를 높이기 위한 노력의 일환입니다. 또한, PCI DSS를 준수하는 기업은 부적절한 데이터 보안과 관련된 법적 조치와 규제 처벌을 방어할 수 있는 더 나은 입장에 있습니다.
PCI DSS 규정 준수를 유지하면 기술과 보안 환경이 발전함에 따라 다른 장기적 이점도 제공됩니다. PCI DSS 요구 사항을 준수한다는 것은 조직이 경계를 늦추지 않고 고급적이고 정교한 공격을 예방하는 데 더 잘 대비하며 진화하는 사이버 위협에 보다 신속하게 적응할 수 있다는 것을 의미합니다. PCI DSS 준수는 규정 준수를 넘어 조직 내에서 보안 중심 문화를 육성하고 데이터 보안 관행을 강화하기 위한 지속적인 노력을 장려합니다.
PCI DSS가 어떻게 고객 신뢰를 구축(및 재구축)하는 데 도움이 될 수 있는지에 대한 한 예로, 대형 결제 처리 회사인 글로벌 페이먼츠 (Global Payments)는 2012년에 민감한 결제 카드 정보에 대한 무단 액세스로 이어진 데이터 침해를 경험했습니다 . 이 침해로 인해 약 150만 개의 신용카드 및 직불카드가 영향을 받았고, 결제 거래의 보안에 대한 우려가 커졌습니다. 글로벌 페이먼트는 침해를 막기 위해 즉각적인 조치를 취하고 침해의 범위를 확인하기 위한 조사에 착수했습니다. 미국을 포함한 법 집행 기관 비밀 경호국이 조사에 참여했습니다.
침해에 대응하여 Global Payments는 보안 인프라를 강화하고 향후 유사한 사고가 발생하지 않도록 추가 조치를 시행하기로 약속했습니다. 또한 회사는 PCI DSS 요구 사항을 준수하고 유지하는 것을 최우선 과제로 삼았으며, 이를 통해 Global Payments가 결제 데이터를 보호하기 위한 구체적인 조치를 취하고 있다는 확신을 고객과 이해관계자에게 제공할 수 있었습니다.
Global Payments는 보안 취약성을 사전에 해결하고, 강화된 보안 조치에 투자하고, PCI DSS 규정을 준수함으로써 신뢰 재건에 대한 의지를 입증했습니다. 회사의 투명성, 보안에 대한 투자, PCI DSS 규정 준수에 대한 노력은 고객 신뢰를 회복하고 결제 처리 산업에서 평판을 재건하는 데 중요한 역할을 했습니다.
12가지 PCI DSS 요구 사항을 실행하는 것은 조직에 여러 가지 과제를 안겨줄 수 있습니다. PCI DSS 규정 준수를 구현하고 유지하기 위해 인력과 기술 측면에서 적절한 리소스가 필요하기 때문입니다. 규모에 상관없이 모든 조직은 구현 범위를 정확하게 정의하고 제한하는 데 어려움을 겪을 수 있지만, 예산과 전문 지식이 제한적인 소규모 기업이나 현재 PCI DSS 표준을 충족하도록 업데이트해야 하는 레거시 시스템을 보유한 기업의 경우 특히 어렵습니다. 기업은 종종 구현의 다양한 요소를 위해 타사 공급업체에 의존하지만 이러한 공급업체가 PCI DSS 요구 사항을 준수하고 공급망을 확보하도록 하는 것도 중요한 책임입니다.
PCI DSS 규정 준수를 유지하는 것은 지속적인 프로세스이며 정기적인 모니터링, 테스트, 평가가 필요합니다. 이를 위해서는 조직에서는 항상 경계하고 보안 대책과 패치 관리 정책을 정기적으로 업데이트해야 합니다. 규정 준수를 유지하려면 보안 시스템 및 프로세스를 정기적으로 테스트해야 하며, 여기에는 철저한 침투 테스트 및 취약성 평가를 실시하는 것이 포함되는데, 이는 많은 리소스가 필요하고 물류적 문제가 발생할 수 있으며 시간이 지남에 따라 리소스에 부담을 줄 수 있습니다.
사이버보안 환경은 끊임없이 진화하고 있으며, 새롭고 정교한 위협이 꾸준히 등장하고 있습니다. PCI DSS 규정을 준수하려면 기업에서 위협 환경을 지속적으로 모니터링하고 분석하여 위험을 이해하고 앞서 대응해야 합니다. 제로데이 취약점을 식별하고 완화하는 작업 역시 PCI DSS 규정 준수를 유지하는 데 큰 과제로 여겨진다. 이러한 취약점은 공급업체가 패치를 출시하기 전에 위협 행위자가 악용하는 알려지지 않은 보안 결함이기 때문이다. 지속적인 개선과 최신 보안 동향에 대한 정보를 얻으려는 노력은 새로운 위협에 앞서 나가는 과제를 성공적으로 해결하고 PCI DSS 규정 준수를 사이버 위협의 역동적인 특성에 적응시키는 데 중요합니다.
사이버보안 환경은 끊임없이 진화하고 있으며, 새롭고 정교한 위협이 꾸준히 등장하고 있습니다. PCI DSS 규정을 준수하려면 기업에서 위협 환경을 지속적으로 모니터링하고 분석하여 위험을 이해하고 앞서 대응해야 합니다. 제로데이 취약점을 식별하고 완화하는 작업 역시 PCI DSS 규정 준수를 유지하는 데 큰 과제로 여겨진다. 이러한 취약점은 공급업체가 패치를 출시하기 전에 위협 행위자가 악용하는 알려지지 않은 보안 결함이기 때문이다. 지속적인 개선과 최신 보안 동향에 대한 정보를 얻으려는 노력은 새로운 위협에 앞서 나가는 과제를 성공적으로 해결하고 PCI DSS 규정 준수를 사이버 위협의 역동적인 특성에 적응시키는 데 중요합니다.
PCI DSS 준수 요구 사항, 교육 및 자격 정보, PCI 자격을 갖춘 전문가에 대한 최신 정보를 알아보려면 PCI 보안 표준 협의회 웹사이트를 방문하세요. 이 사이트는 FAQ, 용어집, 편리한 PCI DSS 빠른 참조 가이드 등 광범위한 리소스 라이브러리도 제공합니다.
신용카드 거래를 처리하는 조직이라면 PCI DSS 규정 준수가 필수적입니다. 이는 해당 요구 사항이 카드 소유자 데이터의 보안, 거래 네트워크의 보호, 보안 시스템의 필수 모니터링 및 테스트를 보장하는 데 도움이 되기 때문입니다. F5는 귀하의 조직이 PCI DSS 규정을 준수하고 유지할 수 있도록 지원하는 일련의 애플리케이션 보안 제품, 서비스 및 솔루션을 제공합니다. 또한 F5 분산 클라우드 서비스 는 레벨 1 서비스 공급자로서 PCI DSS를 준수합니다 .
F5는 또한 F5 Labs의 연구, 분석, 블로그 및 보고서를 통해 애플리케이션 보안 및 보호 전략과 통찰력에 대한 사고 리더십을 제공합니다.