PCI DSS 감사 및 규정 준수:
오늘날의 과제

신용 카드 또는 직불 카드 지불 결제와 관련된 각종 가맹점, 은행, 기타 관계자는 주요 기업 목표를 실현하는 것과 동시에 오늘날 가장 상세하고 포괄적인 데이터 개인 정보 보호 표준의 하나 인 PCI 데이터 보안 표준 (PCI DSS)에 규정된 의무를 이행하기 위해 계정 데이터의 개인 정보를 보호하는 수단을 강구하여야 합니다. PCI DSS는 계정 데이터 처리, 저장 및 전송에 대한 엄격한 요구 사항이 정해져 있습니다. 표준에 대한 적합성을 정기적으로 유효성을 확인하여야 하며, 적합하지 않은 경우 벌금이 부과되고 다른 신용 카드의 취급이 중지 될 수 있습니다. 

PCI DSS는 결제 에코 시스템에 특화된 것이지만, 많은 관계자로부터 취급에 주의를 요하는 다양한 유형의 데이터에 대해 일반적인 표준 집합을 구체화 한 것으로 간주되어 헬스 케어 등 다른 산업에서도 활용될 수 있습니다. 

자세한 내용

PCI DSS 준수를 실현하려는 조직은 다음과 같은 여러 도전에 직면하게됩니다.

  • 사전 감사가 실시된다. PCI DSS 감사 절차는 인가 감사원의 연례 현장 검사 또는 자체 평가와 정기적 인 침투 시험이 포함됩니다. 이에 대해 개인 정보 대부분의 다른 요구의 적합성에 대해서는 위반 사유가 발생한 경우에만 감사가 이루어집니다.
  • 다양한 시스템과 프로세스에 영향을 미칠 수 있다. PCI DSS는 기업의 모든 위치에 있는 카드 소유자 데이터에 액세스하는 모든 IT 시스템에 적용됩니다. 따라서 잘조정된 유기적인 접근이 요구되지만 어떤 한 영역에서 유연성이 제한 될 수 있습니다.  
  • 가능하면 적합성의 범위를 최소화. PCI DSS의 범위와 영향을 최소한으로 억제하려고 하는 일정한 동기가 계기가 되어, 암호화 및 토큰 화의 사용 지침이 발행되었습니다. 이 범위를 최소화하면서 적합성을 확보하려면 역시 충분한 주의가 필요합니다.
  • 신기술이 비용과 복잡성을 증대시킬 수 있다. PCI DSS는 비교적 특수한 것이며, 암호화 등의 새로운 기술의 전개, 기존 비즈니스 응용 프로그램의 변경, 새로운 보안 프로세스 및 액세스 제어 설정 등을 유도 할 수 있습니다.
  • 표준의 진화에 따라 불확실성이 증대 . 모든 개인 정보 데이터 보호 요구 및 공개 의무는 위협과 지역적인 법률의 변화에 따라 진화해야 합니다. 조직 적합성에 대한 의무와 보안에 대한 일반적인 목표를 일치 시키려고 할 때 상당한 불확실성에 직면합니다. 

섹션 숨기기

PCI DSS 감사 및 규정 준수와 관련된 위험 요소

  • 적합하지 않은 경우 벌금과 회비 증액이 요구되며, 신용 카드의 취급이 중지 될 수 있습니다.
  • PCI DSS 준수를 분리하여 생각할 수 없습니다. 각 조직은 여러 보안 요구 및 데이터 유출 공개에 대응해야 합니다. 반면에, PCI 준수 프로젝트는 광범위한 보안 노력에 의해 본래의 주제에서 그것을 회피하는 경향이 있습니다.
  • PCI DSS는 이미 실시되고 있는 일반적인 방법이 포함되어 있습니다. 그러나 다른 측면으로는 구체적으로는 암호화 관련 측면은 조직에 새로운 것일 수 있으며 정확한 디자인을하지 않으면 구현시에 혼란을 일으켜 업무 효율에 악영향을 미칠 수 있습니다.
  • PCI DSS에 대한 의무의 범위를 축소함으로써 비용과 영향을 줄일 수 있는 경우가 있습니다. 그러나 새로운 시스템 및 프로세스가 실제로 표준을 준수하는 것으로 받아 들여질 수 있도록 주의를 기울이지 않으면 시간과 비용을 낭비해 버릴 우려가 있습니다. 

PCI DSS 감사 및 규정 준수:
Thales e-Security 솔루션

은행 및 금융 기관에 의한 업계의 요구에 대한 적합성을 지원해온 수십 년의 경험을 살려 탈레스 e-Security는 카드 소유자 데이터의 저장, 전송을위한 암호화, 그리고 액세스 제한을 가능하게 하는 제품과 서비스를 제공합니다. 또한 탈레스는 표준에 대한 적합성에 대한 부담의 범위를 줄일 수 있는 다양한 솔루션을 제공하기 위해 다양한 파트너와 긴밀히 협력하고 있습니다.

PCI DSS 표준 ( www.pcisecuritystandards.org )에는 200개 이상의 테스트에 대한 평가를 규정하고 있으며, 이러한 테스트는 6 가지 주요 원칙이 반영된 12 개의 일반적인 보안 영역으로 분류되어 있습니다. 이러한 테스트는 암호화 키 관리 및 기타 데이터 보호 방법 등의 기술뿐만 아니라 다양한 일반 보안 기술에 이르고 있습니다.

탈레스는 PCI DSS의 6 가지 주요 원칙에 대응하는 다양한 솔루션을 제공하고 있습니다.

  • 카드 소유자 데이터 보호 표준 준수에 있어서는 카드 소유자 데이터를 공공 네트워크에서 전송하는 경우 암호화 및 저장된 카드 소유자 데이터의 보호가 요구됩니다. 조직은 전송 시 데이터를 보호하는 네트워크 암호화 및 SSL / TLS 암호화의 확장뿐만 아니라, 데이터를 보호하고 표준 적용 범위를 좁히기 위해 스토리지 암호화,데이터베이스 암호화, 응용 프로그램 수준 암호화, 토큰화 및 "단대단"암호화 등의 기술도 전개하고 있습니다.
  • 강력한 접근 통제 수단의 구현. 모든 데이터 보호 기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털 인증서 등의 암호화 기술은 사용자나 시스템의 인증을 위해 암호 보안의 범위를 넘어 널리 사용되고 있습니다. 또한 암호화 된 데이터의 잠금을 해제하기 위한 데이터 암호 해독키에 대한 액세스 제어를 알필요가 있는 사람으로 제한하는 강력한 추가 보안 계층이 제공됩니다.
  • 안전한 네트워크 구축 및 유지. 네트워크 수준의 암호화이외에 네트워크 보안의 중요한 구성 요소 중 하나는 네트워크 장치의 고강도 인증입니다. 디지털 인증 정보는 장치 수준에서 네트워크 액세스 제어에 채용되는 것이 많아지고 있어 기업의 PKI의 보안에 대한 중요한 고려 사항입니다.
  • 네트워크의 정기적인 모니터링 및 테스트. 암호화 사용의 증가의 과제 중 하나는 네트워크 기반 모니터링을 통해 암호화 보호보다 하층에서 들어오는 공격에 의한 취약점에 노출될 수 있는 것입니다. 따라서 암호화는 포장을 일시적으로 제거함으로써 데이터를 안전하게 분석 할 수 있는 이벤트 모니터링 시스템 및 데이터 손실 방지 시스템이 필요합니다.
  • 취약점 관리 프로그램 유지. 악성 코드를 침투시켜 비즈니스 응용 프로그램을 파괴하는 것을 의도한 APT 공격이 증가함에 따라 비즈니스 시스템 및 응용 프로그램 소프트웨어의 무결성과 신뢰성을 증명하기 위한 방법으로는 디지털 서명 및 코드 서명의 사용이 주목 받게 되었습니다.
  • 정보 보안 정책의 유지. PCI DSS는 내부자 공격의 위험을 최소화하기 위해, 직원의 업무를 명확하게 구분하는 것을 특히 중시하고 있습니다. 암호화의 사용이 직무분리를 실행하고 신뢰할 수있는 이벤트 기록을 작성하여 적합성을 입증하기 위한 강력한 메커니즘을 제공합니다.

장점:

  • 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.
  • 전세계 결제 거래의 80% 이상의 보안을 지원하는 현장에서 입증 된 기술을 사용합니다.
  • 레거시 시스템과 클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든 위치의 카드 소지자 데이터를 보호합니다.