클라우드 컴플라이언스

카드 소지자 데이터란 무엇입니까?

게시일: 2025년 4월 4일

카드 소지자 데이터(CHD)와 PCI DSS를 통한 보호가 중요한 이유를 이해합니다. 위반의 영향, CHD 대 SAD, 규정 준수 요구 사항 및 결과를 살펴봅니다.

카드 소지자 데이터(CHD)란 무엇인가요?

CHD(카드 소지자 데이터)는 PCI DSS(Payment Card Industry Data Security Standard)에 의해 보호되는 결제 카드에 대한 정보입니다. 여기에는 전체 PAN(기본 계좌 번호)과 카드 소지자 이름, 만료일 및 서비스 코드가 포함될 수 있습니다.

CHD는 거래 완료 후 사용할 수 있는 정보이며, 카드 소지자 이름, 카드 만료일 및 PAN(기본 계좌 번호)이 포함됩니다. 

신용 카드 데이터(CHD) 보호가 왜 그렇게 중요한가요?

신용 카드 데이터(CHD) 보호는 여러 가지 이유로 중요합니다. 고객 규정 준수는 신뢰 유지, 규정 준수 및 재정적 처벌 방지에 매우 중요합니다. 암호화 및 기타 보안 조치는 민감한 데이터를 안전하게 유지하고 데이터 유출로 인한 피해 가능성을 줄이는 데 매우 중요합니다.

금전적 손실은 신원 도용 및 사기 구매를 포함하여 여러 가지 방식으로 발생할 수 있습니다. 민감한 CHD 데이터에 대한 무단 액세스를 제한하는 것은 잠재적인 재정적 손실의 위험을 최소화할 수 있으므로 매우 중요합니다. 신용 카드 데이터를 처리하는 모든 회사는 고객의 신뢰를 유지해야 합니다. CHD 보호는 기업이 규정을 준수하고 데이터 보안에 대한 신뢰도를 높이는 데 매우 중요합니다.

카드 소지자 데이터(CHD) 유출은 어떤 영향을 미칩니까?

카드 소지자 데이터(CHD) 유출은 소비자, 금융기관 및 소매업체에 중대한 영향을 미칠 수 있습니다. 재정적 책임, 상당한 벌금, 법률 비용, 보상 비용, 평판 손상 및 고객 신뢰 상실은 모두 유출의 가능한 결과입니다.

이러한 위험을 줄이려면 Payment Card Industry Data Security Standard(PCI DSS)를 준수하는 것이 필수적입니다. 불이행 시 추가적인 재정적 처벌과 평판 손상이 발생할 수 있습니다. 

카드 소지자 데이터(CHD)와 민감한 인증 데이터(SAD)의 차이점은 무엇인가요?

민감한 인증 데이터(SAD) 및 카드 소지자 데이터(CHD)는 결제 처리에 매우 중요한 두 가지 데이터 범주입니다. CHD에는 거래 확인 후 보관될 수 있는 기본 계좌 번호(PAN), 카드 소지자 이름 및 결제 카드 만료일과 같은 데이터가 포함됩니다.

카드 소지자 인증을 위해 SAD는 PIN, 마그네틱 스트라이프 또는 EMV 칩의 트랙 데이터, 카드 확인 코드/값(CVC, CVV 또는 CID)과 같은 구성 요소로 이루어져 있습니다. CHD와 SAD는 보안 요구 사항이 다르기 때문에 그 차이점을 이해하는 것이 중요합니다. 

  • 판매자는 CHD를 저장할 수 있지만, 저장하는 경우 암호화해야 합니다. 그러나 SAD가 암호화된 경우에도 기업은 승인 후 저장할 수 없습니다. 
  • CHD는 SAD보다 민감도가 낮기 때문에 판매자는 CHD를 보관할 수 있습니다.
  • 판매자는 CHD를 사용하여 고객 거래를 추적할 수 있습니다.
  • SAD는 CHD보다 민감도가 높기 때문에 판매자는 SAD를 보관해서는 안 됩니다.
  • 판매자는 SAD를 사용하여 고객 거래를 추적할 수 없습니다. 

PCI DSS를 준수해야 하는 주체는 누구인가요?

은행, 결제 게이트웨이, 판매자 및 서비스 제공업체를 포함하여 카드 거래에 참여하는 모든 조직은 PCI DSS를 준수해야 합니다. 이는 규모 또는 거래량에 관계없이 신용 카드 정보를 처리, 저장 또는 전송하는 모든 비즈니스에 적용됩니다. 

 

거래 및 저장 중 카드 소지자 데이터의 보안을 보장하기 위해 관련된 모든 조직은 이 프로세스를 준수해야 합니다. 계약 요건 및 연간 규정 준수 검증은 신용 카드 네트워크 계약에 명시되어 있으며 신용 카드 회사에서 요구합니다. 

타사 프로세서(TPSP)에 대한 PCI DSS 요구 사항은 무엇인가요?

타사 처리업체(TPSP)는 또한 결제 카드 처리 시 Payment Card Industry Data Security Standard(PCI DSS)를 따라야 합니다. SaaS 회사는 최소 12개월마다 한 번씩 TPSP의 PCI DSS 준수를 관리하고 모니터링해야 합니다. 

TPSP는 연간 PCI DSS를 통해 확인하기 위해 SaaS 조직에 PCI DSS 준수를 제시해야 합니다. 규정 준수 감사 또는 TPSP에 대한 여러 무작위 감사를 수행해야 합니다. SaaS 비즈니스는 TPSP의 PCI DSS 준수 상태를 매년 추적하고 TPSP의 책임인 모든 PCI DSS 요구 사항을 추적하는 계획을 세워야 합니다. 

궁극적으로 SaaS 조직은 자체 PCI DSS 규정 준수를 책임져야 합니다. TPSP가 카드 소지자 데이터 환경의 안전에 영향을 미치므로 TPSP가 규정을 준수하는지 확인해야 합니다.

PCI DSS를 준수하지 않으면 어떤 결과가 발생합니까?

금전적 처벌, 평판 손상, 고객 신뢰 상실, 사업 기회 상실은 PCI DSS 미준수로 인한 몇 가지 심각한 결과입니다.

또한 규정을 준수하지 않는 기업은 법적 영향, 더 높은 거래 비용, 더 엄격한 감사 기준 또는 은행 파트너십 종료 위험에 직면할 수 있습니다. 심각한 경우, 미준수로 인해 파산할 수도 있습니다.

지불 카드 회사는 매입 은행에 벌금을 부과하고, 그 벌금을 판매자에게 이전할 수 있습니다. 특히 PCI DSS 미준수는 규정 준수를 달성할 때까지 매달 $5,000에서 $100,000의 벌금을 부과받을 수 있습니다.

암호화는 PCI DSS 범위에 어떤 영향을 미칩니까?

카드 소지자 데이터는 다음에서 면제될 수 없습니다. PCI DSS 요구 사항 암호화만 사용하는 경우. 관리하는 시스템 암호화 암호 해독은 암호화된 경우에도 카드 소지자 데이터가 포함된 모든 환경과 마찬가지로 PCI DSS의 권한하에 있습니다. 그러나 암호화 및 암호 해독을 관리하는 시스템은 PCI DSS의 범위에 속하지만 암호화된 카드 소지자 데이터는 그렇지 않습니다. 카드 소지자 데이터가 있는 환경에서 암호화는 PCI DSS 요구 사항을 무효화하지 않습니다.

결론

신용 카드 거래를 처리하는 모든 SaaS 조직은 소비자 신뢰를 유지하고 PCI DSS와 같은 엄격한 표준을 준수하며 데이터 유출로 인한 심각한 재정적 및 평판적 영향을 줄이기 위해 카드 소지자 데이터(CHD)를 보호해야 합니다. 민감한 인증 데이터(SAD)와 CHD의 주요 차이점을 이해하고 각각에 대한 특정 지침을 따르는 것이 중요합니다. 

 

제3자 처리업체(TPSP) 모니터링과 암호화 자체만으로는 시스템이 PCI DSS 준수 의무에서 면제되지 않는다는 점을 인정하는 것은 추가적인 의무입니다. 결국 CHD 보호는 장기적인 수익성과 재정적 안정성에 영향을 미치므로 단순한 기술적 요구 사항 이상의 의미를 지닙니다.

시작할 준비가 되셨나요?

저희가 도와드리겠습니다. 18년의 경험을 바탕으로 여러분의 글로벌 진출의 꿈을 현실로 만들어 드리겠습니다.
전문가와 상담하기
Mosaic Image
ko_KR한국어