PCI 규정 준수

PCI 규정 준수란 무엇입니까?

지불 카드 업계(PCI) 규정 준수는 지불 업계에서 신용 카드 거래의 보안을 보장하기 위해 신용 카드 회사에서 의무화합니다. 지불 카드 산업 규정 준수는 카드 소지자가 제공하고 카드 처리 거래를 통해 전송되는 신용 카드 데이터를 보호하기 위해 기업이 따르는 기술 및 운영 표준을 의미합니다. 규정 준수를 위한 PCI 표준은 PCI 보안 표준 위원회에서 개발 및 관리합니다.

PCI 규정 준수 이해

연방 거래 위원회(FTC) 는 소비자 보호 및 감독의 필요성에 속하는 신용 카드 처리에 대한 감독을 담당합니다. PCI 준수에 대한 규제 의무가 반드시 있는 것은 아니지만 법원 판례를 통해 의무적으로 간주됩니다.

일반적으로 PCI 규정 준수는 모든 신용 카드 회사 보안 프로토콜의 핵심 구성 요소입니다. 일반적으로 신용 카드 회사에서 의무화하며 신용 카드 네트워크 계약에서 논의됩니다.

PCI 표준 위원회는 PCI 준수 표준 개발을 담당합니다. 이러한 표준은 가맹점 처리에 적용되며 암호화된 인터넷 거래 에 대한 요구 사항을 요약하도록 확장되었습니다 . 신용 카드 업계의 표준 설정과 관련된 다른 주요 기관으로는 The Card Association Network 및 NACHA(National Automated Clearing House)가 있습니다.

PCI 규정 준수 요구 사항

PCI 규정 준수 표준은 카드 소지자가 민감한 금융 계정 정보를 도난당할 가능성을 줄이는 데 도움이 되는 안전한 방식으로 신용 카드 정보를 처리하도록 가맹점 및 기타 기업을 요구합니다. 가맹점이 PCI 표준에 따라 신용 카드 정보를 처리하지 않으면 카드 정보가 해킹되어 다양한 사기 행위에 사용될 수 있습니다. 또한 카드 소지자에 대한 민감한 정보가 신원 사기 에 사용될 수 있습니다 .

PCI를 준수한다는 것은 PCI 표준 위원회에서 제시한 일련의 지침을 일관되게 준수한다는 의미입니다. PCI 규정 준수는 신용 카드 보안 관리를 목적으로 2006년에 조직된 PCI 표준 위원회에서 관리합니다.

위원회에서 개발한 요구 사항을 PCI DSS(Payment Card Industry Data Security Standards)라고 합니다. PCI DSS에는 12개의 핵심 요구 사항, 78개의 기본 요구 사항 및 400개 이상의 테스트 절차가 있습니다. 지침은 보안 모범 사례로도 간주됩니다. 12가지 주요 요구 사항은 다음과 같습니다.

데이터 보호를 위한 방화벽 구현
적절한 비밀번호 보호
카드 소지자 데이터 보호
전송된 카드 소유자 데이터의 암호화
바이러스 백신 소프트웨어 활용
소프트웨어 업데이트 및 보안 시스템 유지
카드 소지자 데이터에 대한 액세스 제한
데이터 접근 권한이 있는 사용자에게 할당된 고유 ID
데이터에 대한 물리적 액세스 제한
액세스 로그 생성 및 모니터링
정기적인 보안 시스템 테스트
문서화되고 따를 수 있는 정책을 만듭니다.

PCI DSS의 최신 버전은 2018년 5월에 출시되었으며 버전 3.2.1이라고 합니다. 전반적으로 6가지 목표와 12가지 요구 사항은 신용 카드 프로세서가 지속적으로 따라야 하는 일련의 단계를 간략하게 설명합니다. 기업은 먼저 정보 기술 인프라, 비즈니스 프로세스 및 신용 카드 처리 절차와 관련된 네트워크 및 시스템을 평가해야 합니다.

PCI 규정 준수의 이점

사회 보장 및 운전 면허증 번호와 같은 민감한 카드 소지자 정보의 도난을 방지하기 위해 보안 허점에 대한 지속적인 유지 관리 및 평가도 매우 중요 합니다.

회사는 카드 처리 계약의 일부로 규정 준수 보고서를 정기적으로 제공해야 합니다. 지불 카드 산업 데이터 보안 표준의 모니터링, 평가 및 감사 는 모두 회사 보안 부서의 중요한 부분입니다.

신용 카드 정보를 처리하는 모든 회사는 카드 처리 계약의 지시에 따라 PCI 준수를 유지해야 합니다. PCI 준수는 업계 표준이며 이를 준수하지 않을 경우 계약 위반 및 과실로 인해 상당한 벌금이 부과될 수 있습니다. PCI 규정을 준수하지 않으면 기업은 절도, 사기 및 데이터 침해에 매우 취약합니다.

95%

인적 오류로 인한 사이버 보안 침해 의 비율 .

규정 준수의 이점에는 데이터 침해 위험 감소, 카드 소지자 데이터 보호, 따라서 신원 도용 가능성 방지가 포함됩니다. 데이터 유출과 관련된 벌금을 줄이고, 회사의 브랜드 평판 에 도움이 되며, 고객을 만족시키고 책임감 있는 회사와 비즈니스를 하고 있다는 확신을 갖게 하여 브랜드 충성도로 이어지기 때문에 기업이 규정을 준수하는 것이 좋습니다.

2020년 상반기에는 데이터 유출로 인해 360억 건의 기록이 노출되었습니다. 침해의 86%는 재정적 동기였으며 2020년에 세계 정보 보안 시장이 1,700억 달러에 이를 것으로 예상됨에 따라 재정적 위험은 훨씬 더 높습니다. 카드 소유자 데이터를 보호하는 것은 비즈니스에 유익할 뿐만 아니라 사람들이 부정적인 피해를 입거나 재정적 손실을 겪지 않도록 하는 올바른 일이기도 합니다.

PCI 규정 준수 및 데이터 침해

PCI 규정 준수는 사기 행위를 방지하고 데이터 침해를 완화하는 데 도움이 됩니다. Verizon은 "Verizon 지불 보안 보고서"에서 지불 보안에 대한 연간 평가를 제공합니다. 2019년 보고서는 "2019년 PCI DSS 규정 준수 현황: 그리고 12가지 핵심 요구 사항"이라는 PCI DSS에 대한 전체 섹션을 제공합니다. "Verizon 2019 지불 보안 보고서"의 일부 PCI DSS 하이라이트는 다음과 같습니다.

2018년에 조직의 36.7%가 PCI DSS 프로그램을 적극적으로 유지하고 있었습니다.
아시아 태평양 지역은 미주, 유럽, 중동 및 아프리카를 능가했습니다.
산업적 관점에서 접객업은 다른 업종에 비해 다소 뒤떨어져 있음.

PCI 규정 준수 FAQ

PCI 호환이란 무엇을 의미합니까?

PCI 준수는 카드 소지자의 개인 데이터를 수락, 전송 또는 저장하는 모든 회사 또는 조직이 데이터를 안전하고 비공개로 유지하기 위해 PCI 보안 표준 위원회에서 요약한 다양한 보안 조치를 준수한다는 의미입니다.

PCI 규정 준수가 법으로 요구됩니까?

PCI 준수를 요구하는 규제 명령은 없지만 법원 판례를 통해 의무적으로 간주됩니다.

PCI를 준수하려면 어떻게 해야 합니까?

PCI를 준수하려면 먼저 준수해야 하는 자체 평가 설문지를 결정해야 합니다. 설문지를 완료한 후 PCI SSC 승인 스캔 공급업체를 통해 취약점 스캔을 통과했다는 증거를 완료하고 보관해야 합니다. 스캔은 일부 판매자에게만 적용됩니다. 그런 다음 준수 증명을 완료해야 합니다. 마지막 단계는 위의 모든 정보를 제출하는 것입니다.

PCI를 준수해야 하는 사람은 누구입니까?

카드 소지자의 개인 데이터를 수락, 전송 또는 저장하는 모든 회사 또는 조직.

결론

PCI 규정 준수는 조직에서 구현 및 유지 관리해야 하는 PCI 보안 표준 위원회에서 설정한 기술 및 운영 표준을 나타냅니다. PCI를 준수하는 목표는 카드 소유자 데이터를 보호하는 것이며 해당 데이터를 수락, 전송 또는 저장하는 모든 조직에 적용됩니다. PCI를 준수하는 것은 소비자 데이터의 안전을 최우선으로 하고 긍정적인 브랜드 평판을 통해 조직에 이익이 된다는 점에서 좋은 비즈니스 관행입니다.

##하이라이트

PCI DSS(Payment Card Industry Data Security Standards)를 준수하고 달성하는 회사는 PCI를 준수하는 것으로 간주됩니다.
PCI를 준수하면 데이터 침해가 줄어들고 카드 소지자의 데이터가 보호되며 벌금이 부과되지 않으며 브랜드 평판이 향상됩니다.
PCI DSS는 조직이 PCI를 준수하는지 확인하기 위해 12가지 핵심 요구 사항, 78가지 기본 요구 사항 및 400가지 테스트 절차를 가지고 있습니다.
PCI 보안 표준 위원회는 PCI DSS 개발을 담당합니다.
PCI 준수는 법에 의해 요구되지 않지만 법원 판례를 통해 의무적인 것으로 간주됩니다.