PCI DSS(Payment Card Industry Data Security Standard, 결제 카드 산업 정보 보안 표준) 감사 및 규정 준수

6가지 핵심 원칙에 따른 200가지 이상의 테스트

PCI DSS 표준(www.pcisecuritystandards.org)에는 200가지 이상의 테스트 평가를 포함하는데, 이는 6가지 핵심 원칙을 나타내는 12가지 일반 보안 영역에 속합니다. 이러한 PCI DSS 테스트는 암호화, 키 관리, 기타 데이터 보호 기술과 같은 기술에 더불어 다양한 일반 보안 관행을 포괄합니다.

PCI DSS 감사 및 규정 준수와 연관된 위험

• PCI DSS 규정 요건을 준수하지 않으면 벌금이 부과되거나 수수료가 증가하는 것뿐만 아니라 지불 카드 거래 처리 기능의 해지에까지 이를 수 있습니다.
• PCI DSS 준수 문제는 분리된 상태로 간주할 수 없습니다. 조직은 다양한 보안 의무와 데이터 유출 공개 법률 또는 규정의 적용을 받습니다. 반면, PCI 규정 준수 프로젝트는 광범위한 기업 보안 이니셔티브를 통해 쉽게 우회할 수 있습니다.
• PCI DSS 요건 관련 지침과 권장 사항에는 이미 시행됐을 가능성이 높은 일반 관행이 포함됩니다. 그러나 일부 측면, 특히 암호화와 관련된 측면은 조직에 새로운 문제일 수 있으며, 제대로 구현을 설계하지 않으면 운영 효율성에 부정적인 영향을 미칠 수 있습니다.
• 다수의 독점 공급업체 솔루션과 비싸고 운영이 복잡하며 부적절한 기술을 기반으로 한 단편적인 보안 접근 방식으로 안주하는 것은 너무나 흔하게 벌어지는 일입니다.
• PCI DSS 준수 의무의 범위를 줄여 비용과 영향을 줄일 기회는 존재합니다. 그러나 조직이 새로운 시스템과 프로세스가 실제 PCI DSS 규정 준수로 인정되도록 주의를 기울이지 않으면 시간과 비용을 낭비할 수 있습니다.

통합 규정 준수 솔루션

은행과 금융 기관이 업계 규정을 준수하도록 지원해온 수십 년의 경험을 바탕으로 탈레스는 조직이 저장된 카드 소지자 데이터를 보호하고, 암호화하여 전송하고, 알 필요에 따라 액세스를 제한할 수 있는 통합 제품과 서비스를 제공합니다. 또한 탈레스는 파트너와 긴밀히 협력하여 PCI DSS 규정 준수 부담을 줄일 수 있는 종합 솔루션을 제공합니다.

PCI DSS의 핵심 원칙 대응

탈레스는 조직이 PCI DSS의 6가지 핵심 원칙에 대응할 수 있도록 포괄적인 PCI DSS 규정 준수 소프트웨어 솔루션을 제공합니다.

• 카드 소지자의 저장 데이터 보호: 탈레스의 CipherTrust Manager와 Luna 하드웨어 보안 모듈(HSM)을 이용하는 조직은 암호키를 중앙에서 관리하고 다양한 암호화, 토큰화 및 데이터 마스킹 솔루션을 제공하여 기존 환경, 클라우드, 또는 가상 환경 내에서 파일이나 폴더, 애플리케이션, 데이터베이스 형태의 카드 소지자 데이터를 보호할 수 있습니다.
• 이동 중인 카드 소지자 데이터 암호화: 탈레스 HSE(고속 암호 생성기)는 POS 장치와 카드 소지자 데이터를 처리하는 시스템 사이의 개방형 네트워크를 통과하는 모든 데이터를 암호화합니다.
• 보안 시스템과 애플리케이션 개발, 유지: 탈레스 Luna HSM을 사용하면 조직이 신뢰할 수 있는 하드웨어 장치에 서명 자료를 안전하게 저장할 수 있어, 모든 애플리케이션 코드 파일의 신뢰성과 무결성을 보장할 수 있습니다.
• 강력한 액세스 제어 조치 구현: 탈레스 CipherTrust 제품은 카드 소지자 데이터 저장 시스템의 고유한 다중 관리 액세스를 목적으로 구현할 수 있습니다. 또한 SafeNet Trusted Access를 사용하면 고유한 사용자 ID, 위험 기반 인증 정책을 중앙에서 관리하고 카드 소지자 데이터 환경(CDE) 시스템에 대한 액세스를 추가/무효화할 수 있습니다.
• 카드 소지자 데이터에 대한 모든 액세스를 추적, 모니터링: 탈레스 CipherTrust 데이터 보호 포트폴리오 내 모든 제품은 모든 암호키 수명주기 작업(생성/삭제/순환/취소)과 기타 관리 기능에 대한 감사 기록을 생성하여, 이 감사 기록을 이벤트 재구성에 활용할 수 있습니다.