PCI-DSS 인증

PCI DSS(Payment Card Industry Data Security Standard)는 주요 신용 카드 회사에서 개발한 데이터 보호 규정의 집합으로, 결제 카드 데이터를 저장, 처리 또는 전송하는 모든 법인 및 사업체에 적용됩니다.

 

카드 회사와의 계약 조건에 따라 카드 데이터를 취급하는 매장 및 기타 업체는 PCI DSS 규정 준수 요건을 충족하지 못할 경우 벌금이 부과될 수 있습니다.

 

이러한 요건은 내용이 복잡하기 때문에, PCI DSS를 처음 도입할 경우 고수준의 PCI 규정 준수 체크리스트를 활용하는 것이 편리합니다.

 

조직에 따라서는 세부적인 PCI 규정 준수 체크리스트를 작성하여 해당 표준을 구현하기 위한 가이드로 활용할 수도 있습니다.

 

PCI 규정 준수 체크리스트의 12가지 고수준 요건

결제 카드 데이터를 취급하는 매장 및 기타 업체를 위한 PCI 규정 준수 체크리스트는 PCI DSS에서 규정하는 다음 12가지 요건으로 요약 구성됩니다.

• 카드 소유자의 데이터를 보호하기 위한 방화벽 구성을 설치 및 유지 관리합니다.
• 시스템 암호 및 기타 보안 변수로 벤더에서 제공한 기본값을 사용하지 않습니다.
• 저장된 카드 소유자의 데이터를 보호합니다.
• 개방된 공용 네트워크에서 카드 소유자의 데이터 전송 시 데이터를 암호화합니다.
• 안티바이러스 소프트웨어를 사용하며 정기적으로 업데이트합니다.
• 보안 시스템과 애플리케이션을 개발 및 유지합니다.
• 카드 소유자의 데이터에 대한 액세스를 업무상 반드시 필요한 경우로 제한합니다. 컴퓨터에 액세스하는 모든 직원에게 고유의 ID를 각각 할당합니다. 카드 소유자의 데이터에 대한 물리적 액세스를 제한합니다.
• 네트워크 리소스 및 카드 소유자 데이터에 대한 모든 액세스를 추적 및 모니터링합니다.
• 보안 시스템과 프로세스를 정기적으로 테스트합니다.
• 정보 보안을 준수하는 정책을 유지합니다.

사업자는 이러한 운영 및 사이버 보안 요구 사항에 대한 자체적인 규정 준수 현황을 평가하고 취약점 발견 시 이를 해결하며 규정 준수 현황을 제휴 결제 카드 회사에 보고해야 합니다.

 

중기업 및 대기업 역시 독립 평가자를 통한 연간 감사를 수행해야 합니다.