PCI DSS의 의미와 개념에 대해 알아봅시다.
PCI DSS 의미 및 개념 이해
PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 업계의 정보보호 표준을 말합니다. PCI DSS는 신용카드 보안 표준이라고 합니다. PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 회원에 대한 고객 정보를 보호하기 위해 제정된 신용카드 업계의 정보보호 표준입니다. PCI DSS는 신용카드 결제 과정 전반에 걸쳐 모든 관계자가 신용카드 회원의 고객정보, 카드정보, 거래정보를 안전하게 보호하고 관리하도록 요구하는 신용카드 업계의 보안 표준입니다. PCI DSS는 신용카드 업계의 보안 표준입니다. 신용카드 회사가 독립적으로 서로 다른 보안 표준을 설정하기 때문에 생성되기 전에는 명확하게 통일된 규칙이 없었습니다. 이로 인해 신용카드 회원정보가 유출되거나 오용되는 사건이 많이 발생하고 있습니다. 이러한 문제를 해결하기 위해 해외 신용카드 브랜드 5개사(VISA 카드, 마스터카드, 아메리칸 익스프레스, 디스커버, JCB)가 힘을 합쳐 공동 위원회를 구성하고 PCI DSS라는 신용카드 업계의 정보보호 표준을 제정했습니다. PCI DSS는 2004년에 만들어졌으며 현재 전 세계 신용카드 업계의 정보보안 표준으로 사용되고 있다. PCI DSS(Payment Card Industry Data Security Standard)에는 보안 시스템에 대한 요구 사항, 개발 및 운영 과정에서 준수해야 하는 보안 요구 사항, 소유자의 고객 정보, 카드 정보, 거래 정보에 대한 카드 데이터 암호화 규정 및 정보 보호 정책이 포함되어 있습니다. 지정됩니다. 신용카드 사업을 희망하는 회사는 PCI DSS 표준을 준수한다는 사실을 입증함으로써 인증을 받을 수 있습니다.
PCI DSS 의미 및 개념 설명
PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 소유자의 개인정보 및 거래정보를 안전하게 보호하기 위해 모든 신용카드 결제 과정에 요구되는 보안기준을 규정한 국제 데이터 보안 표준입니다. 카드업계의 정보보안 표준규칙을 말합니다. PCI DSS(지불 카드 산업 데이터 보안 표준)는 VISA, Master Card, American Express, Discover 및 JCB 등 5개 국제 신용 카드 브랜드가 2004년에 공동 개발했습니다. 신용카드 업계를 위해 개발된 정보보호 표준입니다.[PCI DSS를 공동 개발한 5개의 국제 신용카드 브랜드 사]
PCI DSS가 만들어지기 전에 각 신용 카드 브랜드는 자체 보안 표준을 설정했습니다. 신용카드 보안기준이 명확하게 통일된 규정으로 존재하지 않아 신용카드 회원정보가 유출되거나 오용되는 사건이 동시에 발생했다. 특히 인터넷이 발달하면서 전자상거래 사이트들이 새로운 결제 수단으로 신용카드를 사용하게 되면서 신용카드 업계에서도 보안의 중요성이 높아지고 있습니다. 이에 해외 5개 신용카드 브랜드가 신용카드 보안 리스크를 보다 체계적이고 효과적으로 방어하고 관리하기 위해 힘을 합쳤습니다. 이를 위해 신용카드정보를 보호하기 위한 통합정보보호기준을 마련하였습니다. 이렇게 탄생한 통합보안 표준이 PCI DSS이다. 해외 5개 신용카드 브랜드는 PCI 보안표준협의회(Payment Card Industry Security Standards Council)라는 민간위원회를 구성해 2004년 PCI DSS 버전 1.0 표준을 제정·발표했다. 이를 위해서는 PCI DSS를 준수해야 합니다. PCI DSS는 VISA, Master Card, American Express, Discover, JCB 등 5개 민간 카드사들이 구성한 위원회가 만든 규정이지만, 초대형 기업들의 연합이 만든 표준 규정입니다. 그것을 따를 수밖에 없습니다. 이들 기업과 거래를 하기 위해서는 반드시 해당 기준을 준수해야 하며, 이를 따르지 않을 경우 해당 기업과 거래를 할 수 없습니다. 따라서 이제 이는 사실상의 국제 표준으로 간주될 수 있습니다. PCI DSS는 6가지 목표와 각 목표에 대한 요구 사항을 정의합니다.[PCI DSS의 6가지 목표]
신용카드 사업을 영위하는 기업은 신용카드 회원 데이터를 보호하기 위해 시스템 인프라 측면에서 방화벽을 설치하고 유지해야 합니다. 또한 공급업체가 제공한 기본값이 시스템 암호화 및 기타 보안 매개변수에 사용되는 것을 허용하지 않습니다. 신용카드업을 영위하는 회사의 고객정보입니다. 데이터베이스(DB)우리는 저장된 신용 카드 회원 데이터를 안전하게 보호합니다. 신용카드회원 데이터를 외부에 공개된 공용망을 통하여 송수신하여야 하는 경우에는 암호화 및 복호화 시스템을 이용하도록 규정하고 있습니다. 신용카드업을 영위하는 회사에서는 외부 침입 및 악성코드로부터 시스템을 보호하기 위해 백신 소프트웨어를 설치하고 정기적으로 업데이트하여 시스템을 보호해야 합니다. 신용카드 사업에 종사하는 회사는 보안 시스템을 구축하고 보안 애플리케이션을 개발 및 유지 관리해야 합니다. 직원이 신용카드 회원 데이터에 접근할 때 접근 범위는 업무상 필요한 범위로 제한되어야 합니다. . 그리고 시스템 구성 요소에 대한 액세스는 식별 및 인증 프로세스로 구성되어야 합니다. 또한 신용카드 회원 데이터에 대한 물리적 접근을 제한하고 관리해야 합니다. 신용카드 사업을 영위하는 회사는 신용카드 회원에 대한 네트워크 자원 및 고객 정보에 대한 모든 접속 기록을 추적하고 모니터링해야 하며 보안 시스템을 유지해야 하며 프로세스를 정기적으로 점검해야 합니다. 신용카드업을 영위하는 회사의 정보보호 관리자는 정보보안과 관련된 정책을 마련하고 관리해야 합니다. PCI DSS는 신용카드 정보 보안에 대한 국제 표준으로 인정받고 있으며, PCI DSS는 정보 보안 관리 시스템, 절차 및 방법을 제공합니다. 신용카드 회원의 정보를 네트워크 구조, 소프트웨어 설계, 기타 카드정보 보호 요구사항 등 다양한 측면에서 보호하기 위한 정보보호 기준을 규정하고 있습니다. PCI DSS는 전반적인 정보는 물론, 상세한 보안 상태 진단도 제공합니다. 또한 검토 프로세스 등의 보안 정책, 시스템, 애플리케이션, 네트워크 등 각 영역에서 실시해야 하는 침투 테스트 횟수와 시기, 무단 로그인 시도를 몇 번이나 차단해야 하는지 등 세부적인 기준을 정의합니다. 시스템의 클라이언트 측에 개인 방화벽이 설치되어 있는지 여부를 확인하는 세부 기준도 정의되어 있다. 그래서 표준 제정 기관이 아닌 국제 민간 기업이 만든 표준이기 때문에 공식적인 표준이라는 의문이 들 수도 있지만, 그 상세한 내용으로 인해 표준으로 정의하기에 충분하다는 평가를 받고 있다. PCI DSS는 신용카드 정보의 표준으로 평가된다. 신용카드 회원 정보가 유출되더라도 오용되거나 이용될 수 없도록 적절한 보호 시스템을 구축하는 것이 목적입니다. PCI DSS의 주요 요구 사항에는 내부 및 외부적으로 취약점 검색을 수행하는 요구 사항이 포함됩니다. 침투 테스트, 무선랜 접속점 확인 요건, 방화벽 및 WAF(Web Application Firewall), 카드 정보 암호화, IDS(IntrusionDetectionSystem) 및 IPS(Intrusion Prevention System), 시스템 로그(Log) 기록관리, 보안 포함 패치 관리, 물리적 관리, 감시 카메라 설치 규정, 파일 적합성 모니터링 등 PCI DSS에는 PTS, PA-DSS, DSS, P2PE의 4가지 인증 구조가 있습니다. 카테고리별로 정리되어 있습니다.[PCI DSS의 인증 구조 4가지]
PCI PTS는 하드웨어 설계자가 주의해야 할 사항이고, PCI PA-DSS는 소프트웨어 개발자가 주의해야 할 사항이며, PCI DSS는 개인 정보 및 민감한 정보를 취급하는 모든 주체가 주의해야 할 사항이며, PCI P2PE는 모든 주체가 주의해야 할 사항입니다. 개인정보 및 민감한 정보를 취급하는 기관은 주의해야 합니다. 이는 정보를 처음부터 끝까지 암호화해야 한다는 규정으로 볼 수 있다. QSA(Qualified Security Assessor)는 가맹점 방문 및 인터뷰를 통해 PCI DSS 준수 여부를 모니터링하는 보안 평가자를 말합니다. QSA는 PCI DSS 관련 공인 보안 평가자입니다. ASV(Approved Scanning Vendor)는 외부에서 서버나 네트워크 장비의 취약점을 검사하여 문제가 없음을 확인하는 인증된 스캐닝 업체를 말합니다. PCI DSS는 신용카드사뿐만 아니라 카드정보를 저장, 처리, 전송하는 카드 가맹점, 카드를 취급하는 은행, 결제 서비스 제공업체도 준수해야 한다. 백화점, 슈퍼마켓, 상점, 전자상거래 사이트, 결제대행업체, 은행 등 유통업체 및 보험 회사 금융회사와 통신회사도 준수해야 한다.