PCI-DSS
'지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)'
PCI 보안 표준 위원회에서 수립하여, 해외에서 통용되고 있는 지불카드산업 데이터 보안 표준으로
카드 소유자(Cardholder)의 데이터를 저장, 처리, 전송하는 모든 이해관계자가 준수해야 할 규칙을 정의한 표준
PCI 보안 표준 위원회
'PCI Security Standards Council, PCI SSC'
5개의 글로벌 카드사가 협력하여 2016년 9월에 설립
(American Express, Discover Financial Services, JCB, MasterCard and Visa)
각 카드사에서 개별적으로 관리되던 카드데이터의 보안을 강화하고
국제적으로 일관된 보안 평가기준을 적용하기 위해 민간 카드사가 연합해 제정한 표준으로,
법적 준수 의무는 없지만 해외에서 5개 카드사와 관련된 비즈니스를 하고자 한다면 따라야 하는 기준이 된다.
PCI DSS 인증 구조
PCI SSC의 '카드소유자 데이터 보호' 목적을 위해
‘PTS’, ‘PA-DSS’, ‘DSS’, ‘P2PE’ 등 4가지 범주로 분류된 표준이 수립되었고
이 중 데이터와 관련된 표준이 PCI-DSS 이다.
PCI-DSS가 보호하고자 하는 데이터는 크게
카드소유자 데이터(Cardholder Data)와 민감인증 데이터(Sensitive Authentication Data)
로 나뉜다.
[카드 소유자 데이터]
카드소유자 이름, 카드번호(PAN: Primary Account Number), 유효기간 만료일자, 서비스 코드
[민감인증 데이터]
마그네틱 또는 칩의 데이터, CAV2/CVC2/CVV2/CID번호, PIN(Personal identification number)
PCI-DSS 요구사항
PCI-DSS의 요구사항 12가지
조직의 시스템을 방화벽으로 보호할 것
비밀번호와 비밀번호관리규칙을 설정할 것
카드소지자의 저장된 정보를 보호할 것
카드 소지자의 데이터가 열린, 공용의 네트워크를 전송될 때 암호화할 것
주기적으로 안티-바이러스 소프트웨어를 업데이트 할 것
패치 시스템을 주기적으로 업데이트 할 것
카드 소지자의 정보접근을 알-필요성에 따라 관리할 것
컴퓨터 접근자에게 유일한 ID를 부여할 것
업무장소와 카드 소지자의 데이터에 물리적인접근을 제한할 것
로깅을 시행하고 로그관리를 시행할 것
취약점 점검과 침투테스트를 시행할 것
위험평가를 하고 이를 문서화 할 것
PCI-DSS 준수 대상
- 가맹점(merchants)과 서비스 제공자(service provider), 카드 발급사(payment card issuing banks), 매입사(acquire)
1) 가맹점
: 5개 카드사(American Express, Discover, JCB, MasterCard or Visa) 중 하나의 로고가 있는 카드를 상품이나 서비스의 지불수단으로 받는 주체
2) 서비스 제공자
: 카드데이터의 처리, 저장, 전송과 직접 관련되는 주체로 카드데이터의 보안을 제어하거나 영향을 줄 수 있는 서비스를 제공하는 회사가 포함된다.
PG(payment gateway)사 또는 VAN(value added network)사, 관리방화벽 제공업체, IDS 및 기타 서비스 제공업체, 호스팅 제공업체 등
3) 카드발급사 및 매입사
: 카드브랜드사 또는 카드를 발급하고 매입정보를 카드사에 전달하는 은행이 해당되며 이들은 또한 서비스 제공자이기도 하다.
카드사별로 일정규모 이상의 카드정보 처리자를 PCI-DSS 인증의무 대상으로 정의하고 있다.
[그림 출처 : 투이컨설팅]
"우리나라의 경우 반드시 PCI-DSS 인증이 필요하지는 않으나
해외에서는 PCI-DSS 인증을 받지 않고는 카드 비즈니스가 불가능하므로,
해외 진출 기업의 경우 반드시 인증이 필요하다."
PCI-DSS 인증 과정
[그림 출처 : 투이컨설팅]
인증평가 외주업체는
QSA(Qualified Security Assessor, 인증된 보안평가자)와
ASV(Approved Scanning Vendor, 승인된 스캔벤더)로 구분
QSA
: PCI-DSS 현장평가를 수행하기 위해 PCI SSC의 인증을 받은 사람(업체)
ASV
: 평가대상자의 외부 취약성 스캔 서비스를 수행하기 위해 PCI SSC가 승인한 회사
-> QSA/ASV는 인증대상이 되는 서비스제공자/가맹점에 직접 방문해 현장심사 및 네트워크 스캔을 담당하며 심사 후 보고서를 작성
인증대상자는 매년 평가를 통해 인증을 유지할 수 있으며,
인증 평가에 소요되는 비용 또한 인증대상자가 부담한다.
[출처]
1. https://tutoreducto.tistory.com/106
2. https://www.pentasecurity.co.kr/column/what-is-pci-dss/
3. https://www.2e.co.kr/news/articleView.html?idxno=202553
4. https://sethlee.tistory.com/29
