소매업체를 위한 PCI DSS 규정 준수

소매업체 데이터 보안

소매업체는 데이터가 안전하지 않다는 것을 인식하고 있으며 이는 수익성을 위협합니다. PCI DSS 표준을 준수하지 않는 데이터는 모든 거래에서 신용카드 비용을 증가시킵니다. 오늘날 사이버 보안 범법자의 정교함은 ‘데이터가 유출될 경우’라는 질문이 아니라 ‘언제 유출될 것인가’라는 질문을 던지게 만듭니다. 탈레스 솔루션은 소매업체를 지원하여 데이터를 훔치려는 모든 사람이 데이터를 이용할 수 없게 만드는 방식으로 데이터를 보호하고 PCI DSS 요건을 충족하는 데 도움이 될 뿐만 아니라, 규제 준수와 관련된 비용과 복잡성을 크게 줄일 수도 있습니다.

과제
솔루션
장점

탈레스 데이터 보안 솔루션을 이용하는 소매업체는 고객 개인 식별 정보와 거래에서 얻은 데이터를 보호하고 규정 준수와 관련된 비용과 복잡성을 크게 줄일 수 있습니다.

위험에 처한 데이터

신고 의무가 있는 데이터 유출은 판매와 평판에 부정적인 영향을 미칠 뿐만 아니라 신용 모니터링 비용과 벌금을 발생시키고 고위 경영진, 심지어 CEO의 일자리를 위협하는 것으로 알려져 있습니다.

PCI DSS 규정 준수 요건

PCI DSS 표준을 준수하지 않는 데이터는 모든 거래에서 신용카드 비용을 증가시키고 기업에 벌금 부담의 위험을 줄 수 있습니다.

소매업체의 경우 가장 중요한 규정 준수 지침은 결제 카드 산업 정보 보안 표준, PCI DSS입니다. 이 지침은 보안 네트워크에 대한 표준, 카드 소지자 데이터 보호, 취약성 관리 프로그램 구현, 강력한 액세스 제어 지침, 정보 보안 정책 수립을 제공합니다.

PCI DSS 규정 준수 상세 정보

고객 데이터 암호화 및 토큰화

카드 소지자 데이터 외에도 소매업체는 모든 민감한 데이터의 위치에 상관없이 보호하고 이 데이터에 대한 액세스를 제한해야 합니다. 암호화와 토큰화를 활용하는 것은 데이터를 보호하는 가장 효과적인 방법이며 유출이 발생하는 경우에도 마찬가지입니다.

저장 데이터 및 토큰화 상세 정보

POS 장치 및 애플리케이션 보안

보안에는 POS(Point-of-Sale) 또는 POI(Point-of-Interaction) 터미널과 결제 애플리케이션 소프트웨어가 포함되어야 합니다. 이와 같은 장치는 그 어느 때보다 현재 더 많이 연결된 상태로, 이는 공격자에게 더욱 매력적인 표적입니다. 이러한 이유로 코드 서명은 고유한 ID를 발급하고 현장에서 이용하는 장치에 소프트웨어 업데이트를 안전하게 전송하는 데 사용됩니다.

코드 서명 상세 정보

점대점 암호화

점대점 암호화(p2pe)는 카드 데이터를 가능한 가장 이른 시점인 데이터 확보 순간부터 암호화를 적용해 데이터가 결제 게이트웨이에 도착할 때까지 일관된 암호화 상태를 유지하도록 합니다. 이 접근 방식은 트랜잭션 보호에 대한 가장 깔끔한 접근 방식입니다.

점대점 암호화 상세 정보

전자 상거래 보안

전자 상거래는 기존 소매 환경과는 다르지만 어려운 문제를 제기한다는 면에서는 다르지 않습니다. SSL(Secure Socket Layer, 보안 소켓 계층)을 통해 암호화된 터널을 생성함으로써 소매업체는 가능한 한 빨리 온라인 고객의 데이터를 보호할 수 있습니다. 즉, 개인정보가 다음과 같은 개방형 네트워크를 통해 전송될 수 있도록 안전히 암호화된 통신 세션을 구축할 수 있습니다.

SSL 보안 상세 정보

보안 통신

매장 현장과 데이터센터 간의 고속 통신 네트워크 설정을 암호화하는 것은 인프라를 보호하고 고객 데이터, 카드 소지자 데이터, 전체 기업 정보를 보호하는 데 있어 핵심적인 후속 단계입니다.

이동 데이터 암호화 상세 정보

통합 키 관리 및 암호화

강력하고 중앙에서 관리하는 파일과 볼륨, 애플리케이션 암호화를 프로세스와 애플리케이션, 사용자에게 투명한 단순 중앙 집중식 키 관리와 결합하여 다른 사람이 데이터를 읽을 수 없도록 만듭니다.

액세스 정책 및 권한 있는 사용자 제어

권한이 있는 사용자가 보호된 정보를 볼 필요 없이 IT 업무를 수행할 수 있도록 허용하면서, 권한 있는 사용자와 애플리케이션만 데이터를 복호화할 수 있도록 허용하는 액세스 정책과 사용자 제어를 통해 암호화된 데이터에 대한 액세스를 제한합니다.

보안 인텔리전스

보호된 데이터에 대한 액세스 시도를 수집하는 로그는 SIEM(Security Information and Event Management, 보안 정보 이벤트 관리) 솔루션과 함께 이용하고, 규정 준수 보고에도 사용할 수 있을 정도로 가치 있는 보안 인텔리전스 정보를 제공합니다.

동적 마스킹과 CipherTrust 토큰화

또한, 동적 마스킹과 CipherTrust 토큰화를 사용하면 관리자가 전체 필드를 토큰화하거나 필드의 일부를 동적으로 마스킹하는 정책을 설정할 수 있습니다. 이 솔루션의 형태 보존 토큰화 기능을 사용하는 관리자는 민감한 자산에 대한 액세스를 제한하는 동시에 많은 사용자가 작업을 수행할 수 있는 방식으로 보호하는 데이터의 형태를 지정할 수 있습니다.

PCI DSS 요건 충족

탈레스 솔루션은 데이터를 수집하려는 모든 사람이 데이터를 이용할 수 없도록 만들어 데이터를 보호하고 PCI DSS 요건을 충족하도록 지원합니다. 탈레스를 통해 다음과 같은 PCI DSS 요건을 충족하실 수 있습니다.

카드 데이터 요소의 암호화 및 안전한 암호화 키 관리로 요건 3 충족
비즈니스 필요에 따라 카드 소유자 데이터에 대한 액세스를 제한하여 요건 7 충족
시스템 및 구성 요소에 대한 액세스 식별과 인증을 통해 요건 8 충족
네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링하여 요건 10 충족

소매업체의 핵심적인 비즈니스 데이터와 애플리케이션을 보호하는 정교한 암호화, 토큰화, 키 관리 솔루션

탈레스는 장치, 프로세스, 플랫폼, 환경 전반에서 데이터를 보호하는 포괄적인 데이터 암호화, 토큰화, 키 관리 솔루션을 제공합니다. 이러한 솔루션은 비즈니스 민첩성에 부정적인 영향을 미치지 않으며 소매업체가 고객을 보호하고 정부 및 산업 규정 준수 표준을 충족하며 데이터 유출로 인한 평판 손상을 방지하도록 지원합니다.

효과적인 고보증성 토큰화 솔루션을 구현하여 고객 정보를 보호하고 관리 범위를 줄이며 규정 준수 비용을 제한합니다.

포괄적인 중앙 키 관리, 정책 정의, 향상된 키 보안 및 암호화 프로세스 보호를 제공하는 탈레스 HSM과의 통합을 통해 키 생성, 배포, 저장, 교체, 교환과 관련된 PCI 키 관리 요건을 쉽게 준수할 수 있습니다.

데이터 암호화 및 토큰화를 통한 고객 데이터 보호

카드 소지자 데이터 외에도 소매업체는 모든 민감한 데이터를 위치에 상관없이 보호하고 이 데이터에 대한 액세스를 제한해야 합니다. 암호화 및 토큰화를 활용하는 것은 데이터를 보호하는 가장 효과적인 방법이며, 이는 유출이 발생한 경우에도 마찬가지입니다.

소매산업 데이터 보안

탈레스 보안 솔루션은 소매업체가 데이터를 보호하고 PCI DSS 및 기타 유통 관련 규정 준수 요건을 충족하도록 지원합니다.