PCI DSS란 무엇인가요?

PCI DSS는 Payment Card Industry Data Security Standard의 약자입니다. 이는 신용 카드 정보를 처리하는 조직이 해당 정보를 안전하게 보관하기 위한 일련의 요구 사항입니다. 이 표준은 주요 카드 브랜드 컨소시엄인 PCI Security Standards Council에 의해 2006년 9월에 시작되었습니다.

신용 카드를 결제 수단으로 사용하는 모든 판매자와 서비스 제공업체는 PCI DSS의 약관을 준수해야 합니다. 판매자가 PCI DSS를 준수하지 않을 경우 상당한 재정적 처벌, 평판 손상 및 잠재적인 사업 손실에 직면할 수 있습니다.

카드 소지자 데이터를 획득, 관리, 저장 또는 전송하는 모든 회사는 PCI DSS를 따라야 합니다. 여기에는 소매업체, 결제 처리업체, 은행 및 소프트웨어 개발자와 하드웨어 제조업체와 같이 카드 소지자 데이터 보안에 영향을 미칠 수 있는 기타 조직이 포함됩니다.

은행, 신용 조합, 호스팅 회사 및 전화로 카드 소지자 데이터를 수신하거나 처리하는 기타 조직은 준수해야 합니다. 신용 카드 결제를 계속 받으려면 민감한 카드 소지자 데이터를 처리하는 회사의 모든 직원이 PCI 규정을 준수해야 합니다.

가맹점 또는 서비스 제공업체가 매년 처리하는 거래량에 따라 PCI DSS 준수 등급이 결정됩니다. 레벨 1은 가맹점의 4가지 레벨 중 가장 높은 레벨이며, 제3자 감사자가 작성하는 연간 준수 보고서(RoC)와 같은 가장 엄격한 보고 요건이 적용됩니다.

레벨 2~4의 경우 일반적으로 자체 평가 설문지(SAQ)를 작성합니다. 레벨 1 가맹점은 연간 RoC를 작성하고 연간 600만 건 이상의 카드 거래를 처리해야 합니다.

PCI 적합성 증명서(AoC)는 조직이 PCI DSS 요구 사항을 준수함을 증명하는 문서입니다. 조직이 자체 평가 또는 Qualified Security Assessor(QSA)의 외부 감사를 완료하고 표준 요구 사항을 충족하는 것으로 확인된 후 발급됩니다.

AoC는 무역에 장애물이 아니지만 잠재 고객에게 조직의 보안 관행에 대한 신뢰를 제공합니다. AoC는 보안 인증서 또는 보안 보증이 아니라 조직이 PCI DSS 준수를 선언하는 것입니다.

the 지불 카드 산업 데이터 보안 표준(PCI DSS) 카드 소지자의 개인 정보 보안을 보장하기 위해 고안된 일련의 규칙 및 절차입니다. 이 표준은 일반 보안 정책에 따라 6개 그룹으로 나뉘는 12개 부분 또는 요구 사항으로 구성됩니다. 이러한 그룹은 다음과 같습니다. 

1) 안전한 네트워크 구축 및 유지 

2) 카드 소지자 데이터 보호 

3) 강력한 암호화 사용 

4) 카드 소지자 데이터에 대한 접근 제어; 

5) 네트워크 모니터링 및 테스트; 

6) 정보 보안 정책 구현. 

최신 표준인 PCI DSS 4.0은 보안 제어를 효과적으로 사용하는 방법을 안내하는 12가지 주요 요구 사항에 대한 업데이트 및 재구성입니다. 이 표준은 카드 소지자 데이터를 처리, 저장 또는 전송하는 모든 판매자 또는 서비스 제공업체에 적용됩니다. 조직은 정보를 보호하고 신뢰도를 높이기 위해 이러한 규칙을 이해하고 적용해야 합니다.

카드 소지자 데이터를 취급하지 않는 한 PCI DSS의 직접적인 적용을 받지는 않지만, 결제 애플리케이션은 PCI DSS 준수에 필수적입니다. PCI DSS를 준수해야 하는 판매자가 이를 사용하기 때문입니다. 따라서 결제 애플리케이션은 보안 위협을 줄이고 안전한 네트워크 환경을 조성하는 방식으로 개발 및 배포되어야 합니다. 

소매업체의 PCI DSS 규정 준수를 지원하기 위해 여기에는 취약성 관리와 같은 기능이 포함됩니다. 암호화, 안전한 데이터 저장이 가능합니다. 궁극적으로 판매자는 보안을 최우선으로 생각하고 PCI DSS 준수를 용이하게 하는 결제 애플리케이션을 선택함으로써 작업량을 크게 줄이고 카드 소지자 데이터를 보호할 수 있습니다.

PCI DSS는 카드 소지자 데이터를 처리하고 보호하기 위한 표준을 만듭니다. 이를 통해 데이터 유출 및 신용 카드 도난 가능성을 낮춥니다. 

데이터 처리 시스템을 구축하면 프로세스와 운영을 간소화하는 데 도움이 된다는 점을 이해하는 것이 중요합니다. SaaS 회사에는 제어를 설정하고 안전한 환경을 유지하기 위해 따라야 하는 프레임워크가 제공됩니다. 또한 소프트웨어 회사는 지속적으로 다음을 주시해야 합니다. 보안 및 규정 준수 시스템을 확인하고 모든 것이 원활하게 실행되고 있는지 확인하고 PCI DSS 규정을 준수하는지 확인합니다.

PCI DSS를 준수하지 않을 경우, 상당한 금전적 손실과 평판 손상이 발생할 수 있습니다. 여기에는 과중한 벌금, 높은 거래 비용, 은행 및 카드사와의 사업 파트너십 종료, 법적 조치 가능성 등이 포함됩니다. 

카드 브랜드는 규정 준수를 달성할 때까지 매월 5,000달러에서 100,000달러에 이르는 금전적 벌금을 부과할 수 있으며, 대기업은 더 높은 벌금이 부과될 수 있습니다. 금전적 벌금 외에도 규정 미준수는 운영상의 문제, 브랜드 이미지 손상, 고객 신뢰 저하, 소송, 데이터 유출 발생 시 복구 비용, 규제 기관의 조사 가능성으로 이어질 수 있습니다. 규정 미준수는 즉각적인 벌금을 넘어 데이터 유출의 장기적인 영향과 평판 손상까지 포함하여 상당한 전체 비용을 발생시킬 수 있습니다.

많은 SaaS 기업에게 있어서 PCI DSS 준수를 달성하는 것은 복잡한 작업이 될 수 있습니다. 카드 소지자 데이터 환경의 범위를 명확하게 식별하고, 방화벽 및 암호화와 같은 보안 조치를 마련하고 구성하며, 엄격한 액세스 규칙을 따르는 것이 가장 빈번한 문제 중 일부입니다. 

민감한 결제 데이터를 처리, 저장 또는 전송하는 모든 네트워크, 시스템 및 앱을 포함하는 카드 소지자 데이터 환경을 정확하게 정의하고 분류하는 것이 첫 번째 과제 중 하나입니다. 리소스 또는 경험 부족으로 인해 조직은 PCI DSS의 필요한 모든 표준을 충족하기 어려울 수 있습니다. PCI DSS를 준수하지 않으면 무거운 벌금, 평판 손상 및 사업 중단과 같은 심각한 영향이 발생할 수 있습니다.