PCI DSS 4.0 요건
결제 카드 업계 데이터 보안 표준(PCI DSS)은 결제 데이터를 보호하고 신용카드 사기를 줄이기 위해 지정된 기술 및 운영 요건의 기준을 제공하는 정보 보안 표준입니다. PCI DSS는 카드 소지자 데이터(CHD) 또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하는 모든 주체를 대상으로 합니다.
새 버전은 2022년 3월 31일에 발표되었습니다. 이전 버전 3.2.1에서 변경된 사항은 다음과 같습니다.
- 요건 8을 확장하여 카드 소유자 데이터 환경에 대한 모든 액세스에 대해 다중 인증(MFA)을 구현합니다.
- 네트워크 보안 제어에 대한 방화벽 용어를 업데이트하여 기존에 방화벽이 충족하는 보안 목표를 달성하는 데 사용되는 광범위한 기술을 지원하도록 했습니다.
- 조직이 보안 목표를 달성하기 위해 다양한 방법을 사용하는 방법을 보여줄 수 있는 유연성이 향상되었습니다.
- 대상별 위험 분석이 추가되어 기업이 비즈니스 요건과 위험 노출에 가장 적합한 방식으로 특정 활동 수행 빈도를 유연하게 정의할 수 있도록 합니다.
업데이트에 대한 자세한 내용은 PCI SSC 웹사이트의 PCI DSS v4.0 변경 사항 요약 문서에서 확인할 수 있습니다.
PCI DSS란 무엇인가요?
결제 카드 업계 데이터 보안 표준(PCI DSS)은 결제 카드 계정 데이터 보안을 장려·강화하고 전 세계적으로 일관된 민감한 데이터 보안 조치의 광범위한 채택을 촉진하기 위해 개발되었습니다. PCI DSS는 계정 데이터를 보호하고 전반적인 정보 보안 정책의 일부가 되도록 설계된 기술 및 운영 요건의 기준을 제공합니다.
누가 PCI DSS를 준수해야 하나요?
금융 기관, 온라인 결제 처리업체, 결제 카드를 수락하는 판매자, 결제 카드 거래를 처리하거나 결제 카드 정보를 저장 또는 액세스하는 모든 조직, 카드 처리 생태계의 모든 곳에서 비즈니스를 지원하는 서비스 제공업체는 PCI DSS 규정을 의무적으로 준수해야 합니다.
PCI DSS 4.0은 언제부터 시행되나요?
PCI DSS v3.2.1은 v4.0 발표 후에도 2년간 유효합니다. 이를 통해 조직은 새 버전에 익숙해지고 필요한 변경 사항을 계획하고 구현할 시간을 확보할 수 있습니다. 구현 일정은 아래 이미지에 나와 있습니다.
그림 1: PCI DSS 4.0 구현 일정 출처: PCI SSC
PCI DSS와 관련된 일반적인 장애물에는 어떤 것이 있나요?
- PCI DSS 규정 요건을 준수하지 않으면 과태료가 부과되거나 수수료가 증가하는 것뿐만 아니라, 결제 카드 거래 처리 권한의 정지에까지 이를 수 있습니다.
- PCI DSS 준수는 별개로 고려할 수 없습니다. 조직은 여러 보안 의무와 데이터 보호 및 개인 정보 보호법 또는 규정의 적용을 받기 때문입니다. 반면, PCI 규정 준수 프로젝트는 광범위한 기업 보안 이니셔티브를 통해 쉽게 방해받을 수 있습니다.
- PCI DSS 요건 관련 지침과 권장 사항에는 일반 관행이 포함되는데, 이러한 관행은 이미 시행됐을 가능성이 높습니다. 그러나 일부 측면, 특히 암호화 및 다중 인증과 관련된 측면은 조직에서 처음 접하는 것일 수 있으며 올바르게 설계하지 않으면 구현이 중단되어 운영 효율성에 부정적인 영향을 미칠 수 있습니다.
- 여러 독점 공급업체 솔루션과 부적절한 기술을 기반으로 한 단편적인 보안 접근 방식은 비용이 많이 들고 운영이 복잡하며 추가적인 취약성을 야기하기 쉽습니다.
- PCI DSS 준수 의무의 적용 범위를 줄여 비용과 영향을 줄일 수 있는 기회가 존재하지만, 새로운 시스템과 프로세스의 PCI DSS 준수를 인증받을 수 있도록 실사를 수행하지 않으면 조직은 시간과 비용을 낭비할 수 있습니다.
PCI DSS 미준수에 대한 처벌은 어떻게 되나요?
PCI DSS 미준수에 대한 과태료로 월 5~10만 달러가 부과될 수 있습니다. 제재에는 감사 요건 강화 및 판매자 은행 또는 신용카드 브랜드에 의 신용카드 거래 중단 가능성도 포함될 수 있습니다.
결제 카드 업계 데이터 보안 표준 4.0(PCI DSS) 준수
결제 카드 산업 데이터 보안 표준의 최신 규정인 PCI DSS 4.0 규정 준수에 대해 알아보고, 탈레스가 하이브리드 IT 환경에서 카드 소유자 데이터를 보호하는 데 어떻게 도움을 줄 수 있는지 알아보세요.
탈레스가 PCI DSS 규정 준수를 지원하는 방법
탈레스는 은행과 금융 기관이 업계 규정을 준수하도록 수십 년간 지원해 온 경험을 바탕으로 조직이 저장된 카드 소지자 데이터를 보호하고, 전송을 위해 암호화하고, 필요 시 액세스를 제한하고, 결제 거래를 관리하는 애플리케이션을 보호할 수 있는 통합 제품 및 서비스를 제공합니다. 또한 탈레스는 파트너와 긴밀히 협력하여 PCI DSS 규정 준수 부담을 줄일 수 있는 종합 솔루션을 제공합니다.
PCI DSS 4.0 규정 준수 요건 충족
탈레스의 지원 방식:
- 취약점을 발견하고, 분석하고, 우선순위를 정합니다.
- 멀티 테넌시 및 업무 분리.
- 암호화된 비콘솔 관리 액세스.
탈레스의 지원 방식:
- 카드 소유자 데이터를 검색하고 분류합니다.
- 카드 소유자 데이터를 암호화하고 토큰화합니다.
- FIPS 140-2 L3 기기에서 암호키를 보호합니다.
- 키 및 기밀 수명 주기 관리.
탈레스의 지원 방식:
- WAF로 모든 트래픽을 검사하고 웹 기반 공격을 탐지 및 방지합니다.
- 결제 페이지에서 승인된 스크립트만 허용합니다.
- 취약점을 발견하고, 분석하고, 우선순위를 정합니다.
- 자격 증명 및 키에 대한 FIPS 140-2 레벨 3 신뢰점.
탈레스의 지원 방식:
- 보호된 카드 소유자 데이터 및 비밀에 대한 무단 액세스를 거부합니다.
- 업무 분리 및 권한 최소 액세스.
- 카드 소유자 데이터 환경(CDE)에 대한 사용자 ID 및 위험 기반 인증 정책을 중앙에서 관리합니다.
탈레스의 지원 방식:
- 각 사용자에게 고유한 자격 증명이 할당되었는지 확인합니다.
- 가장 광범위한 인증 방법 및 폼 팩터를 제공합니다.
- 클라우드 또는 온프레미스에서 제공되는 하나의 인증 백엔드에서 중앙 집중식 관리 정책을 제공합니다.
탈레스의 지원 방식:
- SIEM으로 전송된 파일, 키, 비밀에 대한 액세스 이벤트의 전체 감사 추적
- 365일 24시간 감사 활동의 지속적인 검증
- 머신 러닝의 이상 징후 탐지 기능을 통해 의심스러운 행동 식별
탈레스의 지원 방식:
- 승인된 스크립트만 허용하여 결제 페이지의 무단 변경을 방지합니다.
탈레스의 지원 방식:
- 클라우드, 빅데이터, 기존 데이터 저장소에서 정형·비정형 규제 데이터를 찾습니다.
- CDE 외부에서 취약한 PAN이 발견되면 데이터 수정을 자동화합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.