PCI–DSS 감사 및 규제준수를 위한 효율적인 방안 - (Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준)

PCI DSS(Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준) 감사 및 규제 준수

신용카드 또는 직불카드 지불결제와 관련된 각종가맹점, 은행, 기타관계자는 주요 기업 목표를 실현하는 것과 동시에 오늘날 가장 상세하고 포괄적인 데이터 개인정보보호표준의 하나인 PCI 데이터보안표준 (PCI DSS)에 규정된 의무를 이행하기 위해 계정 데이터의 개인정보를 보호하는 수단을 강구하여야 합니다. 

PCI DSS는 계정 데이터 처리, 저장 및 전송에 대한 엄격한 요구사항이 정해져 있습니다. 표준에 대한 적합성을 정기적으로 유효성을 확인하여야 하며, 적합하지 않은 경우 벌금이 부과되고 다른 신용카드의 취급이 중지될 수 있습니다. PCI DSS는 결제 에코시스템에 특화된 것이지만, 많은 관계자로부터 취급에 주의를 요하는 다양한 유형의 데이터에 대해 일반적인 표준 집합을 구체화한 것으로 간주되어 헬스케어등 다른산업에서도 활용 될 수 있습니다. 

PCI DSS 준수를 실현하려는 조직은 다음과 같은 여러 도전에 직면하게 됩니다.

① 사전 감사가 실시된다 : PCI DSS 감사 절차는 인가감사원의 연례현장검사 또는 자체평가와 정기적인 침투 시험이 포함됩니다. 이에 대해 개인정보 대부분의 다른요구의 적합성에 대해서는 위반사유가 발생한 경우만 감사가 이루어집니다.

② 적합성은 다양한 시스템과 프로세스에 영향을 미칠수있다 : PCI DSS는 기업의 모든 위치에 있는 카드소유자 데이터에 액세스하는 모든 IT 시스템에 적용됩니다. 따라서 잘 조정된 유기적인 접근이 요구되지만 어떠한 영역에서 유연성이 제한될 수 있습니다.  

③ 가능하면 적합성의 범위를 최소화 : PCI DSS의 범위와 영향을 최소한으로 억제하려고 하는 일정한 동기가 계기가 되어, 암호화 및 토큰화의 사용지침이 발행되었습니다. 이 범위를 최소화하면서 적합성을 확보하려면 역시 충분한 주의가 필요합니다.

④ 신기술이 비용과 복잡성을 증대시킬 수 있다 : PCI DSS는 비교적 특수한 것이며, 암호화 등의 새로운 기술의 전개, 기존 비즈니스 응용프로그램의 변경, 새로운 보안 프로세스 및 액세스 제어 설정 등을 유도할 수 있습니다.

⑤ 표준의 진화에 따라 불확실성이 증대 : 모든 개인정보 데이터 보호 요구 및 공개 의무는 위협과 지역적인 법률의 변화에 따라 진화해야 합니다. 조직 적합성에 대한 의무와 보안에 대한 일반적인 목표를 일치시키려고 할 때 상당한 불확실성에 직면합니다. 

[위험]

① 적합하지 않은 경우 벌금과 회비증액이 요구되며, 신용카드의 취급이 중지 될 수 있습니다.

② PCI DSS 준수를 분리하여 생각 할 수 없습니다. 각 조직은 여러 보안 요구 및 데이터 유출 공개에 대응해야 합니다. 반면에, PCI 준수 프로젝트는 광범위한 보안 노력에 의해 본래의 주제에서 그것을 회피하는 경향이 있습니다.

③ PCI DSS는 이미 실시되고 있는 일반적인 방법이 포함되어 있습니다. 그러나, 다른 측면으로는 구체적으로는 암호화 관련 측면은 조직에 새로운 것 일 수 있으며, 정확한 디자인을 하지않으면 구현시에 혼란을 일으켜 업무 효율에 악영향을 미칠 수 있습니다.

④ PCI DSS에 대한 의무의 범위를 축소함으로써 비용과 영향을 줄일 수 있는 경우가 있습니다. 그러나, 새로운 시스템 및 프로세스가 실제로 표준을 준수하는 것으로 받아들여질 수 있도록주의를 기울이지 않으면 시간과 비용을 낭비해 버릴 우려가 있습니다.

PCI DSS 감사와 규제 준수 

탈레스 e-Security솔루션

은행 및 금융기관에 의한 업계의 요구에 대한 적합성을 지원해 온 수십년의 경험을 살려 탈레스 e-Security는 카드 소유자 데이터의 저장, 전송을 위한 암호화, 그리고 액세스 제한을 가능하게 하는 제품과 서비스를 제공합니다. 또한 탈레스는 표준에 대한 적합성에 대한 부담의 범위를 줄일 수 있는 다양한 솔루션을 제공하기 위해 다양한 파트너와 긴밀히 협력하고 있습니다. 또한 인증을 받은 PCI DSS 인증심사기관 (Qualified Security Assessor : QSA)으로 탈레스는 그 전문지식을 확장하고 사전평가 및 컨설팅 서비스를 통해 고객의 표준 준수작업을 지원하는 것은 물론, 일정한 영역에서 공식적인 PCI DSS를 감사할 수 있습니다. 

PCI 데이터보안표준 (www.pcisecuritystandards.org)에는 200개 이상의 테스트에 대한 평가를 규정하고 있으며, 이러한 테스트는 6가지 주요 원칙이 반영된 일반적인 보안영역으로 분류되어 있습니다. 이러한 테스트는 암호화 키 관리 및 기타 데이터 보호방법 등의 기술뿐만 아니라,다양한 일반 보안 기술에 이르고 있습니다.

탈레스는 PCI DSS의 6가지 주요 원칙에 대응하는 다양한 솔루션을 제공하고 있습니다.

① 카드 소유자 데이터 보호 : 표준 준수에 있어서는 카드 소유자 데이터를 공공네트워크에서 전송하는 경우 암호화 및 저장된 카드소유자의 데이터 보호가 요구됩니다. 조직은 전송시데이터를 보호하는 네트워크 암호화 및 SSL / TLS 암호화의 확장뿐만 아니라, 데이터를 보호하고 표준 적용범위를 좁히기 위해 스토리지 암호화, 데이터베이스 암호화, 응용프로그램 수준암호화,토큰화 및 "단대단" 암호화 등의 기술도 전개하고 있습니다.

② 강력한 접근 통제수단의 구현 : 모든 데이터 보호기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털인증서 등의 암호화 기술은 사용자나 시스템의 인증을 위해 암호 보안의 범위를 넘어 널리 사용되고 있습니다. 또한 암호화된 데이터의 잠금을 해제하기 위한 데이터 암호 해독키에 대한 액세스 제어를 알필요가 있는 사람으로 제한하는 강력한 추가 보안계층이 제공됩니다.

③ 안전한 네트워크 구축 및 유지 : 네트워크 수준의 암호화 이외에 네트워크 보안의 중요한 구성 요소 중 하나는 네트워크 장치의 고강도 인증입니다. 디지털 인증정보는 장치 수준에서 네트워크 액세스제어에 채용되는 것이 많아지고 있어 기업의 PKI의 보안에 대한 중요한 고려사항입니다.

④ 네트워크의 정기적인 모니터링 및 테스트 암호화 사용의 증가의 과제 중 하나는 네트워크 기반 모니터링을 통해 암호화 보호 보다 하층에서 들어오는 공격에 의한 취약점에 노출될 수 있는 것 입니다. 따라서, 암호화는 포장을 일시적으로 제거함으로써 데이터를 안전하게 분석할 수 있는 이벤트 모니터링 시스템 및 데이터 손실방지 시스템이 필요합니다.

⑤ 취약점 관리 프로그램 유지 : 악성코드를 침투시켜 비즈니스 응용 프로그램을 파괴하는 것을 의도한 APT 공격이 증가함에 따라 비즈니스 시스템 및 응용프로그램 소프트웨어의 무결성과 신뢰성을 증명하기 위한 방법으로는 디지털 서명 및 코드서명의 사용이 주목 받게 되었습니다.

⑥ 정보 보안정책의 유지 : PCI DSS는 내부자 공격의 위험을 최소화하기 위해, 직원의 업무를 명확하게 구분하는 것을 특히 중시하고 있습니다. 암호화의 사용이 직무분리를 실행하고 신뢰할 수 있는 이벤트 기록을 작성하여 적합성을 입증하기 위한 강력한 메커니즘을 제공합니다.

[장점]

① 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.

② 전 세계 결제 거래의 80% 이상의 보안을 지원하는 현장에서 입증된 기술을 사용합니다.

③ 레거시 시스템과 클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든위치의 카드소지자 데이터를 보호합니다.

전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아

PCI DSS, 카드지불결제, 탈레스, Thales, 탈레스 e-시큐리티, Thales e-security, 접근통제, 접근제어, 보안정책, payshield 9000, 개인정보보호, Payment Card Industry Data Security Standard, 지불결제산업, 데이타보안표준, 데이터베이스, Database, Db보안, 결제모듈, 신용카드 보안, 지불결제 보안, SSL, TLS, 암호화, 취약점, 금융결제 솔루션, 금융보안