PCI 준수 회사는 카드 소지자 데이터를 보호하기 위해 PCI DSS로 알려진 일련의 신용 카드 데이터 보안 표준을 따릅니다. 카드 결제를 처리하거나 처리하는 모든 조직에 PCI 규정 준수가 중요한 이유를 살펴보세요.
이 글을 읽은 후에 다음을 할 수 있습니다:
글 링크 복사
지불 카드 업계(PCI) 규정 준수는 카드 소지자 데이터에 대한 일련의 보안 정책을 준수하는 것을 의미합니다. 신용 카드, 직불 카드 및/또는 선불 카드로 거래를 처리하는 모든 조직은 PCI 규정 준수 요건을 따라야 합니다.
신용 카드 데이터는 보안을 위해 비밀로 유지되어야 하며, PCI 규정을 준수하면 해당 데이터를 비밀로 유지할 수 있는 신뢰할 수 있는 회사임을 입증할 수 있습니다. 집주인이 소지품을 신뢰할 수 없는 사람에게 집 열쇠를 빌려주지 않는 것처럼, 신용 카드 브랜드는 판매자가 결제 카드 데이터를 안전하게 보관하지 않는다면 해당 판매자를 신뢰하지 않습니다.
비즈니스가 인터넷, 전화, 앱, 종이 또는 직접 대면 등으로 신용 카드 소지자의 데이터를 저장, 처리 또는 전송하는 경우 해당 결제에 대한 정보를 보호하기 위한 일련의 규칙을 따라야 합니다.
PCI 규정 준수는 미국 연방법에 의해 의무화되어 있지는 않지만 신용 카드 회사는 카드 소지자 데이터를 적절히 보호하지 못하는 기업에 규정 미준수 수수료를 청구할 수 있습니다. 더 중요한 문제는 카드 소지자 데이터를 보호하지 못하면 범죄자들이 해당 데이터를 더 쉽게 탈취할 수 있다는 것입니다. Nilson Report의 예측에 따르면 향후 10년간 전 세계 지불 카드 업계는 사기로 인해 전 세계적으로 누적 3,970억 달러의 손실을 입을 것으로 예상되는 등 이러한 도난은 심각한 위험입니다.
PCI DSS는 "지불 카드 업계 데이터 보안 표준"(Payment Card Industry Data Security Standard)의 약자입니다. PCI DSS 프레임워크는 카드 소지자의 거래 데이터 및 카드 인증 정보를 보호하기 위한 강력한 프로세스로 기업을 안내합니다. 보안 사고를 예방, 감지 및 대응하는 데 도움이 되는 요구 사항을 통해 카드 소지자 데이터와 인증 데이터를 모두 보호하기 위한 것입니다.
PCI 규정 준수는 신용 카드, 직불 카드 또는 선불 카드를 수락하는 모든 판매자에게 전 세계적으로 적용됩니다. 즉, 모퉁이 커피숍부터 다국적 디자이너 의류 브랜드에 이르기까지 모든 규모의 비즈니스는 거래 처리를 위해 타사를 이용하는 경우에도 PCI 규정 준수의 대상이 됩니다.
PCI DSS에서 다루는 카드 소지자 거래 데이터는 다음과 같습니다.
PCI DSS에서 다루는 중요한 인증 데이터는 다음과 같습니다.
PCI DSS 프레임워크는 12개의 기본 요건(300개 이상의 하위 요건 포함)으로 구성되어 있습니다.
PCI DSS 및 관련 보안 표준은 American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Inc.이 설립한 업계 조직인 PCI 보안 표준 위원회(PCI SSC)에서 관리합니다. 참여 조직에는 판매자, 결제 카드 발급 은행, 프로세서, 개발자 및 기타 벤더도 포함됩니다.
첫 번째 버전인 PCI DSS 1.0은 2004년에 도입되었습니다. 2006년에 PCI SSC는 판매자에게 모든 온라인 애플리케이션을 검토하고 보안 강화를 위해 방화벽을 구축하도록 요청하는 버전 1.1을 발표했습니다.
PCI DSS는 데이터 유출 및 카드 처리 생태계 전반에 걸쳐 나타나는 취약성에 대응하여 수년 동안 지속적으로 발전해 왔습니다. 현재 버전 3.2.1은 2018년에 발표되었으며, 현재 버전 4.0과 공존하고 있습니다.
"새롭게 부상하는 위협과 기술을 해결하고 새로운 위협에 대응할 수 있는 혁신적인 방법을 지원하기 위해" 2022년에 PCI DSS v4.0이 발표되었습니다. 조직은 2025년 3월 31일까지 모든 PCI DSS v4.0 요구 사항을 준수해야 합니다.
핵심 PCI DSS 요구 사항은 근본적으로 변경되지 않았지만, 새로운 v4.0은 보안 제어를 구현하는 방법에 더욱 중점을 두고 있습니다. 변경 사항의 예는 다음과 같습니다.
여기에서 v3.2.1부터 v4.0까지의 주요 변경 사항 요약을 볼 수 있습니다.
PCI 규정 준수는 결제 처리를 담당하는 신용 카드 브랜드에서 시행합니다. 판매자(예: 상품 및 서비스에 대한 결제 수단으로 결제 카드를 허용하는 사람)가 연간 일정 횟수의 결제 카드 거래를 하는 경우 전체 PCI DSS 규정 준수 보고서를 작성해야 합니다. 이를 위반할 경우 벌금이 부과될 수 있습니다.
PCI DSS 벌금은 위반의 심각성, 문제를 수정하거나 해결하는 데 걸린 시간, 위반 여부 등 여러 가지 요인에 따라 결정됩니다. 회사가 PCI 비준수 상태를 유지하면 시스템 내에서 신용 카드를 결제에 사용할 수 없게 될 수도 있습니다.
PCI DSS는 12개월 동안 처리한 카드 거래 수에 따라 회사(표준에서는 "판매자")를 4단계로 분류합니다.
네 가지 수준* 은 다음과 같습니다.
판매자가 PCI 규정 준수 인증을 받을 수 있는 방법은 수준에 따라 달라집니다. 일반적으로 처리하는 거래가 많을수록 규정 준수 감사 요건이 더 엄격해집니다.
예를 들어 수준 2~4 판매자는 연간 자체 평가 설문지(SAQ)를 작성하여 제출합니다. 판매자가 결제 카드 정보를 처리하는 방식에 따라 다양한 SAQ 유형이 있습니다. 조직은 SAQ 지침 및 가이드라인을 참조하여 조직에 적용되는 SAQ(있다면)를 결정하는 데 도움을 받아야 합니다.
연간 600만 건 이상의 거래를 처리하는 수준 1 판매자(예: Cloudflare)는 매년 감사를 받습니다. 수준 1 판매자는 PCI SSC 공인 보안 평가자(QSA)나 PCI SSC 내부 보안 평가자(ISA)로부터 규정 준수 보고서를 받아야 합니다. 수준 1 판매자를 위한 이 프로세스는 카드 회사에 따라 1년에 한 번 또는 분기에 한 번 진행됩니다. 수준 1 판매자는 현장에서 데이터 보안 평가를 받을 수도 있습니다.
마지막으로 모든 판매자는 기본적으로 판매자가 PCI 규정을 준수한다는 것을 신용 카드 회사에 증명하는 규정 준수 증명(AOC) 양식을 작성하여 제출해야 합니다.
*이러한 정의는 대부분 정확하지만 각 신용 카드 브랜드마다 규정 준수를 정의하고 평가하는 방식이 조금씩 다릅니다. 각 신용 카드 회사의 구체적인 프로그램 기준을 확인하는 것이 중요합니다.
Cloudflare는 PCI DSS 수준 1 준수를 유지하고 있으며 2014년부터 PCI를 준수하고 있습니다. 또한 많은 고객이 신용 카드 회사에 기본적으로 PCI를 준수하고 있음을 알리는 AOC 사본을 제공하도록 요구합니다. 이 인증이 없으면 특정 고객과 거래할 수 없으며, 매입 은행에서 결제 카드를 서비스 결제 수단으로 사용할 수 없습니다.
또한 고객이 자체 웹사이트와 애플리케이션을 통해 보안을 유지할 수 있도록 지원합니다. 다음은 기업이 특정 PCI DSS 요구 사항을 충족하는 데 Cloudflare가 어떻게 도움이 되는지 보여 주는 몇 가지 예입니다.
Cloudflare의 웹 사이트 및 애플리케이션 보안 서비스에 대해 자세히 알아보세요.