기사

PCI DSS 규정 준수: 12가지 요구 사항 가이드

Compliance
소요 시간: 6 분

PCI DSS는 지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)의 약자로, 거래 프로세스 전반의 결제 계좌 데이터 보안을 강화하기 위해 마련된 12가지 필수 요구 사항으로 이루어져 있습니다. PCI DSS 규정 준수 요구 사항은 2004년, American Express, Discover, JCB International, MasterCard, Visa 등 주요 신용 카드 회사에서 설정한 사항입니다. 이 글로벌 기준 규정 준수는 카드 소지자의 데이터를 수락, 전송, 저장하는 기업이 따라야 하는 계약상의 요구 사항입니다.

[@portabletext/react] Unknown block type "block", specify a component for it in the `components.types` prop
  • 정보 보안 정책 수립 및 유지 관리
  • 강력한 액세스 제어 조치 구현
  • 보안 네트워크 유지 관리
  • 정기적인 네트워크 모니터링 및 테스트


이러한 요구 사항은 신용카드 도난 및 사기를 막고, 사이버 공격에 대비하며, 보안 취약성 및 위협을 완화하기 위한 조치입니다. PCI DSS 규정 준수 요구 사항은 또한 아이덴티티 도용 방지를 위한 대처이기도 합니다.

PCI DSS 규정 준수란 무엇인가요?

규모나 거래량과 관계없이 신용카드 거래를 처리하는 모든 기업은 PCI 규정 준수를 유지해야 합니다. 이를 위해서는 다음과 같은 프로세스를 꾸준히 수행해야 합니다.

  • 현재 지불 카드의 처리 환경에 대한 평가
  • 카드 소지자 데이터 흐름 식별
  • 규정 준수에서 확인된 허점을 필수 보안 제어 및 조치를 구현하여 개선
  • 관련 인수은행 및 카드 브랜드에 규정 준수 보고
  • 일부 기업의 경우 인증 심사 기관(QSA)에서 수행하는 현장 감사 진행


PCI DSS 레벨

PCI DSS에서는 12개월 동안 기업에서 처리하는 신용카드 거래 횟수에 따라 4가지 가맹점 레벨과 2가지 서비스 제공업체 레벨로 기업을 분류합니다. 이러한 레벨은 각 가맹점 또는 서비스 제공업체가 충족해야 하는 특정한 규정 준수 검증 요구 사항을 결정하는 데 도움이 됩니다.

가맹점 레벨

  • 레벨 1
    모든 채널에서 연간 600만 건 이상의 Visa 또는 MasterCard 거래를 처리하는 가맹점에 적용됩니다. PCI DSS 규정 준수 검증에서는 인증 심사 기관(QSA) 또는 내부 감사자가 수행하는 연간 규정 준수 보고서(ROC), 회사 임원의 승인, 승인된 스캔 공급업체(ASV)가 수행하는 분기별 네트워크 스캔을 요구합니다.
  • 레벨 2
    모든 채널에서 연간 100만~600만 건의 Visa 또는 MasterCard 거래를 처리하는 가맹점에 적용됩니다. 규정 준수 검증에서는 연간 자체 평가 설문지(SAQ)와 ASV의 분기별 네트워크 스캔을 요구합니다.
  • 레벨 3
    연간 2만~100만 건의 Visa 또는 MasterCard 전자 상거래 거래를 처리하는 가맹점에 적용됩니다. 규정 준수 검증에서는 연간 SAQ와 ASV의 분기별 네트워크 스캔을 요구합니다.
  • 레벨 4
    연간 2만 건 미만의 Visa 또는 MasterCard 전자 상거래 거래를 처리하는 가맹점과 매년 최대 100만 건의 Visa 또는 MasterCard 거래를 처리하는 기타 모든 가맹점에 적용됩니다. 규정 준수 검증에서는 일반적으로 연간 SAQ를 요구하며, 인수자의 재량에 따라 ASV의 분기별 네트워크 스캔을 요구할 수도 있습니다.


서비스 제공업체 레벨

  • 레벨 1 
    연간 30만 건 이상의 Visa 또는 MasterCard 거래를 처리하는 서비스 제공업체에 적용됩니다. 규정 준수 검증에서는 QSA 또는 내부 감사의 연간 ROC(임원이 서명한 경우)와 ASV의 분기별 네트워크 스캔을 요구합니다.
  • 레벨 2 
    연간 30만 건 미만의 Visa 또는 MasterCard 거래를 처리하는 서비스 제공업체에 적용됩니다. 규정 준수 검증 요구 사항은 연간 ROC, 분기별 ASV 스캔 등 레벨 1 서비스 제공업체의 요구 사항과 유사하지만, 세부 내용은 카드 브랜드 요구 사항에 따라 다를 수 있습니다.


PCI DSS 규정 준수 시행

지불 카드 산업 보안 표준 협의회(PCI SSC)는 PCI DSS 규정 준수를 시행합니다. 이 협의회는 American Express, Discover, JCB International, MasterCard, Visa 등 주요 신용카드 회사로 구성되어 있습니다. PCI SSC는 카드 소지자의 데이터를 보호하기 위해 보안 표준을 개발, 강화, 저장, 보급, 구현하는 일을 담당합니다.

그러나 PCI SSC는 PCI DSS 요구 사항을 개발하고 유지 관리하지만 PCI DSS 규정 준수를 직접 시행하지는 않습니다. 시행하는 곳은 개별 지불 카드 브랜드와 인수은행입니다. 이러한 기관에서는 PCI DSS 규정 준수를 명령하며 PCI DSS 요구 사항을 준수하지 못한 모든 가맹점 또는 서비스 제공업체에 벌금, 과태료, 제한을 부과할 권한이 있습니다. 시행 수준과 규정 미준수에 따른 구체적인 결과는 카드 브랜드와 가맹점의 인수은행에 따라 다를 수 있습니다.

PCI DSS 규정 준수를 유지 관리하지 못할 경우 부과되는 벌금

PCI DSS 규정 준수를 충족하지 못할 경우 인수은행의 지불 카드 브랜드에서 벌금을 부과하며, 해당 벌금은 규정을 준수하지 못한 가맹점에 전가되는 경우가 많습니다. 벌금은 비즈니스의 규모, 규정 미준수 기간, 보안 위반의 심각성(해당하는 경우) 등 여러 요인에 따라 크게 차이가 있습니다.

  • 소규모 비즈니스—벌금의 범위가 월 $5,000~$50,000입니다.
  • 대형 기관—금전적 처벌이 훨씬 더 크게 부과될 수 있으며, 수백만 달러에 이를 수도 있습니다.
  • 인시던트당 벌금—보안 위반이 발생하고 가맹점이 규정을 준수하지 못한 것으로 밝혀진 경우 벌금은 인시던트당 최대 $500,000까지 부과될 수 있습니다.
  • 보상 수수료—데이터 침해의 경우 기업은 영향을 받은 고객에게 보상해야 할 수도 있으며, 수수료는 영향을 받은 개인당 $50~$90입니다.

PCI DSS 규정 준수의 이점

PCI DSS 규정 준수가 중요한 이유는 카드 소지자 데이터를 처리하는 기업과 자신의 정보가 처리되는 개인 모두에게 영향을 주기 때문입니다. 다음은 PCI DSS 규정 준수의 주요 이점입니다.

금전적 처벌 방지

PCI DSS 규정 준수 요구 사항을 충족하지 못하면 지불 카드 발급자와 인수은행으로부터 거액의 벌금이 부과될 수 있습니다. 이러한 벌금은 위반의 심각성과 처리된 거래량에 따라 다릅니다. 벌금 외에도 PCI DSS 규정 준수를 유지 관리하지 못하는 기업은 거래 수수료가 증가하거나 카드 결제를 수락하지 못할 수도 있습니다.

고객 신뢰 구축 및 유지

PCI DSS 표준을 준수하여 소비자 신뢰를 높일 수 있습니다.

Organizations that demonstrate their commitment to protecting customer data build trust with customers, which is essential for customer retention and brand reputation. 

흔히 고객은 PCI DSS 규정 준수를 신뢰성과 보안을 나타내는 지표로 여깁니다. 기업에서 엄격한 데이터 보안 표준을 준수한다는 사실을 고객이 알게 되면 민감한 정보를 해당 기업에 맡길 가능성이 더 큽니다. 이러한 신뢰로 고객 유지율이 더 높아질 수 있습니다.

IT 인프라 강화

PCI DSS 규정 준수의 요구 사항으로 인해 종종 기업의 IT 인프라와 보안 관행이 개선됨에 따라 모든 위협 유형에 더욱 강력히 대응할 수 있게 됩니다.

법적 규정 준수 보장

많은 사법 관할권에서 기업은 규정에 따라 개인 데이터와 금융 데이터를 보호해야 합니다. 기업은 또한 PCI DSS를 준수함으로써 데이터 보호 및 개인정보 보호와 관련된 다른 법률 및 규정을 준수하게 되기도 합니다.

더 빠른 인시던트 대응 촉진

PCI DSS 규정 준수의 일부로 효과적인 인시던트 대응 계획을 마련해야 합니다. 계획을 세워 두면 데이터 침해 발생 시, 기업이 빠르게 피해 완화 조치를 취할 수 있습니다.

데이터 보안 개선

PCI DSS 규정 준수의 본질적인 목적은 민감한 카드 소지자 데이터를 보호하는 것입니다. 기업은 PCI DSS 표준에 자세히 설명된 엄격한 보안 조치를 준수하여, 카드 소지자 데이터는 물론 기타 민감한 정보 및 리소스를 보호하고자 강력한 보안 조치(예: 암호화, 방화벽 설치, 보안 시스템 및 애플리케이션 사용)를 마련해 두고 있습니다.

운영 효율성 증가

PCI DSS 규정 준수를 시행하면 결제 프로세스를 간소화하고 최적화하여 전반적인 비즈니스 성과에 이익이 되는 운영 효율성을 낳게 됩니다.

새로운 위협에 대한 방어 준비

PCI DSS 규정 준수 요구 사항은 지불 카드 보안을 노리는 새롭게 진화하는 위협을 처리하고자 정기적으로 업데이트됩니다. 기업은 계속해서 규정을 준수함으로써 최신 보안 조치를 마련하여 새로운 위협에 대비합니다.

보안 문화 조성

PCI DSS 규정 준수를 유지 관리하는 프로세스를 통해 기업은 운영, 정책, 절차에 대해 보안 우선 접근 방식을 채택할 수 있습니다. 이러한 보안 문화는 카드 소유자 데이터를 보호할 뿐만 아니라 기업의 모든 측면에 이익을 가져다줍니다.

데이터 침해 위험 감소

PCI DSS 규정 준수의 보안 요구 사항에는 데이터 침해 가능성을 줄이는 강력한 시스템과 프로세스를 구현하는 것이 포함됩니다. 데이터 침해는 법적 문제, 재정적 손실, 평판 손상을 초래할 수 있습니다.

아이덴티티 도용으로부터 보호

카드 소유자 데이터를 보호하기 위한 PCI DSS 규정 준수 요구 사항은 아이덴티티 도용을 예방하는 데 도움이 됩니다.

시장 입지 다지기

경쟁 시장에서 PCI DSS를 준수하는 것은 차별화 요소로 작용할 수 있습니다. PCI DSS 규정 준수는 잠재 고객과 파트너에게 기업이 데이터 보안을 중시함을 알려줄 수 있습니다. 이는 개인정보 보호 및 데이터 보안이 중요한 시장에서 PCI-DSS를 준수하지 않는 경쟁업체보다 준수하는 기업과 협력하고자 하는 결정을 이끌어낼 수 있습니다.

글로벌 비즈니스 지원

PCI DSS는 전 세계적으로 인정된 표준이므로 국제적으로 비즈니스를 운영하려면 규정을 준수해야 하는 경우가 많습니다. PCI DSS 규정을 준수함으로써 전 세계의 파트너와 고객에게 국제 보안 표준을 충족하는 기업임을 확신시켜 줄 수 있습니다.

PCI DSS의 12가지 요구 사항은 무엇인가요?

1. 안전한 네트워크 구축 및 유지 관리

  • 카드 소지자 데이터 환경 내의 시스템에 대한 공용 인터넷 직접 액세스를 금지합니다.
  • 카드 소지자 데이터를 보호하도록 방화벽을 구성합니다.


2. 시스템 비밀번호 및 기타 보안 매개변수에 기본값 사용하지 않기

  • 네트워크에 시스템을 설치하기 전에 기본 비밀번호 및 기타 보안 매개변수를 변경합니다.
  • 시스템 비밀번호 및 기타 보안 매개변수를 보호하여 무단 액세스를 방지합니다.


3. 저장된 카드 소지자 데이터 보호

  • 시스템 또는 미디어에 저장된 민감한 카드 소지자 데이터를 암호화합니다.
  • 운영, 법률, 규제 목적에 필요한 카드 소지자 데이터의 저장량과 보관 기간을 최소한으로 제한합니다.


4. 개방형 공용 네트워크에서 전송 시 카드 소지자 데이터 암호화

  • 개방형 공용 네트워크를 통해 전송할 때 민감한 카드 소지자 정보를 보호하도록 암호화 및 보안 조치를 구현합니다.


5. 맬웨어 및 바이러스로부터 카드 소지자 데이터 보호

  • 맬웨어의 영향을 받을 수 있는 모든 시스템에 안티바이러스 소프트웨어를 설치합니다.
  • 안티바이러스 메커니즘이 감사 로그를 생성하는지 확인합니다.
  • 안티바이러스 소프트웨어 정기 업데이트


6. 안전한 애플리케이션과 시스템 개발 및 유지 관리

  • 보안 패치를 즉시 설치하여 취약성을 식별하고 처리합니다.
  • 보안 코딩 지침에 따라 애플리케이션을 개발하여 일반적인 취약성을 방지합니다.


7. 카드 소지자 데이터에 대한 액세스 제한

  • 카드 소지자 데이터에 대한 액세스는 직무에 해당 데이터가 필요한 사용자로 제한합니다.
  • 액세스 제어를 구현하여 직무 역할에 따라 액세스가 부여되도록 합니다.


8. 시스템 구성 요소에 대한 아이덴티티 인증  액세스 관리를 위한 시스템 구현

  • 사용자에게 고유한 아이덴티티를 할당합니다.
  • 사용자 및 디바이스에 대한 강력한 인증을 구현합니다.


9. 카드 소지자 데이터에 대한 물리적 액세스 제한

  • 무단 물리적 액세스, 탬퍼링, 도난으로부터 보호합니다.
  • 적절한 물리적 제어를 사용하여 카드 소지자 데이터를 저장하는 위치와 장비를 보호합니다.


10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 모니터링 및 기록

  • 로깅 메커니즘을 구현하고 정기적으로 로그를 검토하여 카드 소지자 데이터와 관련된 사용자 활동을 추적합니다.
  • 로그가 안전하고 최신 상태이며 PCI DSS 규정 준수 요구 사항에 따라 유지되는지 확인합니다.


11. 보안 시스템 및 프로세스에 대한 정기적인 테스트

  • 취약성 평가 및 침투 테스트를 수행하여 보안 취약성을 탐지하고 수정합니다.
  • 보안 시스템과 절차를 정기적으로 평가하여 카드 소지자의 정보 보호에 효과적인지 검증합니다.


12. 인사 정보 보안 프로토콜에 대한 정책 수립

  • 카드 소지자 정보 보호에 중점을 둔 보안 정책을 수립, 발행, 배포, 유지 관리합니다.
  • 직원과 도급업체가 카드 소지자 데이터 보안과 관련된 자신의 역할과 정보 보안 정책을 이해하도록 합니다.

PCI DSS 준수: 의무적이지만 유익합니다

PCI DSS 규정 준수는 카드 소지자 데이터를 처리하는 모든 기업이 의무적으로 따라야 한다는 강제성이 있지만, 보안 시스템 및 프로세스를 지속적으로 최적화한다는 점에서 유용한 이점도 많습니다. 데이터 보안에 대한 위협이 더욱 정교해짐에 따라 PCI DSS 규정 준수 관련 사항의 중요성은 더 높아져만 갈 것입니다.

높은 수준의 데이터 보안을 유지 관리하기 위해 노력하는 기업은 PCI DSS 규정 준수가 규제 요구 사항 이상의 역할을 한다는 데 동의합니다. 많은 기업에서 PCI DSS 규정 준수가 전반적인 보안 전략을 구성하는 중요 요소가 되었습니다. PCI DSS 규정 준수를 달성하고 유지 관리하는 것이 기업의 보안, 평판, 미래 성장에 있어 전략적인 투자임이 입증된 것입니다.

관련 자료

세일포인트 아이덴티티 보안 클라우드 제품군

세일포인트 아이덴티티 보안 클라우드 제품군

세일포인트 아이덴티티 보안 클라우드로 기업을 보호할 수 있는 가장 알맞은 솔루션을 찾아 보세요.

더 알아보기
비즈니스 솔루션 - 아이덴티티 보안 클라우드

비즈니스 솔루션 - 아이덴티티 보안 클라우드

세일포인트 아이덴티티 보안 클라우드를 통해 컴플라이언스를 원활하게 유지하고 고급 AI 툴을 활용하여 더 신속하게 아이덴티티 보안을 구축하는 방법을 알아보세요.

더 알아보기
비즈니스 플러스 솔루션 - 아이덴티티 보안 클라우드

비즈니스 플러스 솔루션 - 아이덴티티 보안 클라우드

세일포인트 아이덴티티 보안 클라우드가 AI와 머신러닝 기반의 IaaS 거버넌스를 지원합니다. 최첨단 아이덴티티 보안 솔루션을 활용해 보세요.

더 알아보기

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청문의하기