최근 정보보호에 대한 중요성으로 ISMS-P, ISO27001 획득하는 기업이 많아지고 있습니다. 정보보호의 일환으로 PCI DSS인증를 획득하는 업체도 많아졌는데요. 오늘은 이 PCI DSS가 무엇인지 알아보겠습니다.
1. PCI DSS
카드정보 노출 사고 규모와 빈도가 늘어남에 따라 정보, 특히 개인정보 보호의 중요성이 강조되었고 이에 대한 공동대응으로 5개 글로벌 카드사(American Express, Discover Financial Services, JCB, MasterCard and Visa)가 2016년 9월 협력하여 PCI SSC(PCI Security Standards Council, 지불카드산업 보안표준 위원회)를 설립하였다.
PCI SSC(이하 위원회)의 궁극적인 목표는 ‘카드소유자 데이터의 보호’이다. 위원회에서는 이를 위해 4가지 표준(데이터, 응용프로그램, 하드웨어, 암호화)을 수립하였는데 이 중 데이터와 관련된 보안표준이 PCI-DSS이다.
PCI-DSS는 각 카드사에서 개별적으로 관리되던 카드데이터의 보안을 강화하고 국제적으로 일관된 보안 평가기준을 적용하기 위해 민간 카드사가 연합해 제정한 표준이다. 법적 준수 의무는 없지만 해외에서 5개 카드사와 관련된 비즈니스를 하고자 한다면 따라야 하는 기준이 된다.
2. 보호 대상 데이터
PCI-DSS가 보호하고자 하는 데이터는 크게 카드소유자 데이터(Cardholder Data)와 민감인증 데이터(Sensitive Authentication Data)이다.
카드소유자 데이터는 카드소유자 이름, 카드번호(PAN: Primary Account Number), 유효기간 만료일자, 서비스 코드이며 민감인증 데이터는 마그네틱 또는 칩의 데이터, CAV2/CVC2/CVV2/CID번호, PIN(Personal identification number)이다.
민감인증 데이터의 경우 저장 자체가 허용되지 않으므로 사실 보호대상이 되는 데이터 자체는 많지 않다. ‘카드소유자 데이터’만 잘 보호한다면 PCI-DSS를 준수할 수 있는 것이다. 그러나 PCI-DSS를 준수하기란 그리 간단하지 않다. PCI-DSS는 이 ‘카드소유자 데이터’가 잘 보호되고 있는지를 네트워크, 시스템, 응용 프로그램, 접근통제, 모니터링, 테스트, 정책 및 프로그램 수립 및 준수, 교육 등에 대한 400여개의 기준을 통해 점검하기 때문이다.
2. 평가기준
3. 평가레벨
4. 준수대상
PCI-DSS를 준수하여야 하는 대상은 가맹점(merchants)과 서비스 제공자(service provider), 카드 발급사(payment card issuing banks), 매입사(acquire)이다.
1) 서비스 공급자:
결제 브랜드가 아닌 다른 업체를 대신하여 카드 보유자 데이터의 처리, 저장 또는 전송에 직접 관여하는 사업체. 이것은 또한 카드 보유자 데이터의 보안을 통제하거나 영향을 미칠 수 있는 서비스를 제공하는 회사를 포함한다. 예를 들어, 관리형 방화벽, IDS 및 기타 서비스뿐만 아니라 호스팅 제공업체 및 기타 실체를 제공하는 관리형 서비스 제공업체가 포함된다. 만약 기업이 단지 통신 링크만을 제공하는 통신회사와 같은 공공망 접근의 제공만을 포함하는 용역을 제공한다면, 기업은 그 용역을 위한 용역제공자로 간주되지 않을 것이다(다른 용역의 용역제공자로 간주될 수 있지만).
2) 상인:
PCI DSS의 목적상, 가맹점은 PCI SSC(American Express, Discover, JCB, MasterCard 또는 Visa)의 다섯 멤버 중 어느 한 브랜드의 결제 카드를 재화 및/또는 서비스에 대한 지급으로 받아들이는 기업으로 정의된다. 판매된 서비스가 다른 상인이나 서비스 제공자를 대신하여 카드 보유자 데이터를 저장, 처리 또는 전송하는 경우, 상품 및/또는 서비스에 대한 지급으로 결제 카드를 수령하는 가맹점도 서비스 제공자가 될 수 있다는 점에 유의하십시오. 예를 들어 ISP는 매달 결제하는 결제카드를 받는 가맹점이지만 가맹점을 고객으로 유치하면 서비스 제공업체다.
5. 비교
상인과 서비스 제공업체 간의 주요 차이점 중 하나는 컴플라이언스 검증 방법이다. 상인은 취득자에게 증거를 제출하여 준수 여부를 검증하는 반면, 서비스 제공자는 개별 카드 브랜드(Visa, MasterCard, American Express, JCB, Discover)에 증거를 제출해야 한다.
레벨 1 가맹점과 서비스 제공업체 모두 PCI QSA에 의한 독립 평가의 준수 여부만 검증할 수 있다. 레벨 2(이하) 상인 및 서비스 제공업체는 규정 준수를 검증하기 위해 SAQ를 완료할 수 있다.
가맹점의 경우, 복수의 SAQ가 존재하는데, 각 SAQ는 PCI 요구사항의 서브셋을 나타내며, 일정한 기준을 충족하면 완료할 수 있다. 자체 평가를 원하는 서비스 제공업체(및 다른 SAQ에 대한 기준을 충족하지 않는 상인)의 경우 SAQ D를 완료해야 한다. SAQ D는 전체 PCI 요구 사항을 구성한다.
일반적인 오해는 부분적인 준수와 같은 것이 있다는 것이다. PCI DSS 평가에 따르면 귀하는 규정 준수 또는 규정 비준수이다. 이것은 여러 가지 결과를 가져온다.
첫째, 상인으로서 환경의 특정 부분에 대한 컴플라이언스를 얻을 수 없다. 조직 전체를 검증해야 한다. 우리는 다면 조직을 가진 많은 상인들이 PCI DSS 요건에 부합하는 조직의 어떤 부분이 있는지를 결정하기 위해 서로 다른 SAQ를 사용하는 것을 보아왔다. 이러한 접근방식은 유용한 보조 수단이지만, 단일 비준수는 전체 조직이 비준수임을 의미한다. 또한 검증을 위한 단일 평가는 이러한 모든 환경을 함께 다루어야 한다.
레벨 1 가맹점과 서비스 제공업체 모두 PCI QSA에 의한 독립 평가의 준수 여부만 검증할 수 있다. 레벨 2(이하) 상인 및 서비스 제공업체는 규정 준수를 검증하기 위해 SAQ를 완료할 수 있다.
가맹점의 경우, 복수의 SAQ가 존재하는데, 각 SAQ는 PCI 요구사항의 서브셋을 나타내며, 일정한 기준을 충족하면 완료할 수 있다. 자체 평가를 원하는 서비스 제공업체(및 다른 SAQ에 대한 기준을 충족하지 않는 상인)의 경우 SAQ D를 완료해야 한다. SAQ D는 전체 PCI 요구 사항을 구성한다.
일반적인 오해는 부분적인 준수와 같은 것이 있다는 것이다. PCI DSS 평가에 따르면 귀하는 규정 준수 또는 규정 비준수이다. 이것은 여러 가지 결과를 가져온다.
첫째, 상인으로서 환경의 특정 부분에 대한 컴플라이언스를 얻을 수 없다. 조직 전체를 검증해야 한다. 우리는 다면 조직을 가진 많은 상인들이 PCI DSS 요건에 부합하는 조직의 어떤 부분이 있는지를 결정하기 위해 서로 다른 SAQ를 사용하는 것을 보아왔다. 이러한 접근방식은 유용한 보조 수단이지만, 단일 비준수는 전체 조직이 비준수임을 의미한다. 또한 검증을 위한 단일 평가는 이러한 모든 환경을 함께 다루어야 한다.
-----