PCIDSS (Payment Card Industry Data Security Standard)

2024년 11월 28일 golgol [DEV]보안 0

PCIDSS (Payment Card Industry Data Security Standard) 인증은 신용카드 데이터를 안전하게 보호하기 위한 글로벌 보안 표준입니다. 신용카드 회사들이 카드 소유자의 데이터 보호를 강화하기 위해 공동으로 개발한 표준으로, 신용카드 정보를 저장, 처리, 또는 전송하는 조직이 이 표준을 준수해야 합니다.

PCIDSS의 주요 내용

PCIDSS는 신용카드 데이터를 보호하기 위해 총 6가지 목표와 12가지 요구사항으로 구성되어 있습니다. 주요 내용은 다음과 같습니다.

1. 안전한 네트워크 및 시스템 구축 및 유지

  • 요구사항 1: 카드 데이터 보호를 위해 방화벽을 설치하고 구성.
  • 요구사항 2: 기본 시스템 비밀번호 및 기타 보안 매개변수를 변경.

2. 카드 소유자 데이터 보호

  • 요구사항 3: 저장된 카드 데이터를 보호.
  • 요구사항 4: 네트워크를 통해 전송되는 카드 데이터를 암호화.

3. 취약점 관리 프로그램 유지

  • 요구사항 5: 바이러스 및 악성 소프트웨어 방지를 위한 업데이트된 안티바이러스 소프트웨어 설치.
  • 요구사항 6: 안전한 시스템 및 애플리케이션 개발 및 유지.

4. 강력한 접근 제어 조치 시행

  • 요구사항 7: 카드 데이터 접근 제한.
  • 요구사항 8: 고유 사용자 ID로 접근 관리.
  • 요구사항 9: 물리적 접근 제한.

5. 네트워크 모니터링 및 테스트

  • 요구사항 10: 네트워크 리소스 및 카드 데이터에 대한 모든 접근을 추적 및 모니터링.
  • 요구사항 11: 보안 시스템 및 프로세스를 정기적으로 테스트.

6. 정보 보안 정책 유지

  • 요구사항 12: 모든 직원과 이해관계자를 대상으로 정보 보안 정책을 유지하고 운영.

PCIDSS 인증이 필요한 대상

  • 신용카드 정보를 저장, 처리 또는 전송하는 모든 기업 및 조직.
  • 신용카드 결제를 제공하는 온라인 쇼핑몰, 결제 게이트웨이, 금융 기관 등.

PCIDSS 인증의 중요성

  1. 데이터 보호: 카드 소유자의 데이터를 안전하게 보호하여 신용카드 사기를 예방.
  2. 신뢰성 확보: 인증을 통해 고객과 파트너의 신뢰도를 높임.
  3. 규제 준수: 주요 신용카드 네트워크(VISA, Mastercard 등)와의 계약 조건을 충족.
  4. 재정적 손실 방지: 데이터 유출 및 보안 사고로 인한 벌금이나 소송 위험 감소.

PCIDSS 인증을 받으려면, 자격 있는 감사 기관(QSA, Qualified Security Assessor)으로부터 검증 및 평가를 받아야 하며, 이를 통해 규정을 준수했음을 증명해야 합니다.