PCI 규정 준수란 무엇이며 PCI를 준수해야 합니까?

PCI 규정 준수: 무엇입니까?

신용 카드 사업자는 금융 시스템에서 신용 카드 거래의 안전을 보호하기 위해 PCI 규정을 준수해야 합니다. 지불 카드 산업 규정 준수는 카드 처리 작업 중에 제공된 카드 소유자 데이터를 보호하고 보존하기 위한 회사의 기술 및 운영 요구 사항을 나타냅니다. PCI 보안 표준 위원회는 PCI 규정 준수 표준을 개발하고 관리합니다.

PCI 규정 준수 이해

신용 카드 처리는 소비자 보호 및 규제 대상이므로 연방 거래 위원회(FTC)의 규제를 받습니다. PCI 준수에 대한 법적 강제성은 없지만 법원 판례에 따르면 요구되는 것으로 간주됩니다.

일반적으로 PCI 규정 준수는 모든 신용 카드 회사의 보안 프로세스에서 중요한 구성 요소입니다. 신용 카드 회사에서 종종 요구하며 신용 카드 네트워크 계약에 언급되어 있습니다.

PCI 요구 사항 위원회는 PCI 규정 준수 표준을 개발할 책임이 있습니다. 이러한 표준은 가맹점 처리에 적용되며 암호화된 인터넷 거래에 대한 요구 사항을 포함하도록 향상되었습니다. 신용 카드 산업의 표준 설정 프로세스에 관여하는 다른 중요한 기관으로는 카드 협회 네트워크(Card Association Network)와 NACHA(National Automated Clearing House)가 있습니다.

PCI 규격이 아니면 어떻게 합니까?

PCI 준수는 의무 사항이지만 일부 회사 소유자는 표준을 피할 수 있는지 여부에 대해 의문을 제기합니다. 이는 비윤리적이고 재앙적인 생각입니다. PCI를 준수하지 않으면 소비자와 회사의 보안을 위협하는 것입니다. PCI 규정 준수가 제공하는 보호 장치가 없으면 회사는 값비싼 공격과 데이터 침해에 노출될 수 있습니다.

데이터 침해가 발생하고 조직이 PCI를 준수하지 않는 경우 $5,000에서 $500,000에 이르는 벌금 및 벌금이 부과될 수 있습니다. 그러나 처벌은 불이행으로 인한 피해의 시작에 불과합니다. PCI를 준수하지 않는 경우 판매자 계정을 잃을 위험이 있어 신용 카드 결제를 완전히 수락할 수 없습니다. 또한 귀하의 회사는 MATCH(High-Risk Merchant)를 통제하기 위한 Member Alert to Control List에 포함될 수 있으므로 수년 동안 새 판매자 계정을 만들 수 없습니다.

또한 데이터 침해는 수천 달러의 손해, 소비자 존중 및 신뢰 상실, 브랜드 손실로 이어질 수 있습니다. 비 PCI 준수와 관련된 처벌의 범위로 인해 값비싼 벌금 및 기타 손해를 피하기 위해 가능한 한 완벽하게 준수하는 것이 항상 현명합니다.

PCI DSS 규정 준수를 위한 12가지 요구 사항은 무엇입니까?

방화벽 설치 및 유지 관리

방화벽은 외부 또는 알려지지 않은 조직에 대한 개인 데이터에 대한 액세스를 효과적으로 거부합니다. 이러한 예방 조치는 종종 해커(악의적이든 아니든)에 대한 첫 번째 보호 라인입니다. 무단 액세스를 방지하는 기능으로 인해 방화벽은 PCI DSS 준수에 필요합니다.

효과적인 비밀번호 보호

라우터, 모뎀, POS(point-of-sale) 시스템 및 기타 타사 제품에는 일반 대중이 쉽게 액세스할 수 있는 일반 암호와 보안 메커니즘이 포함되어 있는 경우가 많습니다. 기업은 종종 이러한 취약점을 보호하지 못합니다. 이 영역에서 규정 준수를 유지하려면 암호로 보호된 모든 장치 및 응용 프로그램(또는 기타 액세스 보안) 목록을 유지 관리해야 합니다. 장치/암호 인벤토리를 사용하여 필수 보호 및 설정을 구현해야 합니다(예: 암호 변경).

카드 소지자의 데이터 보호

세 번째 PCI DSS 준수 의무는 두 가지 방법으로 카드 소유자 데이터를 보호하는 것입니다. 카드 소지자 데이터는 특정 알고리즘을 사용하여 암호화해야 합니다. 이러한 암호화는 암호화 키를 사용하여 구현됩니다. 마찬가지로 규정 준수를 위해 암호화해야 합니다. 암호화되지 않은 데이터가 없는지 확인하려면 PAN(기본 계정 번호)을 정기적으로 유지 관리하고 검색해야 합니다.

전송된 데이터 암호화

카드 소지자 데이터는 다양한 기존 경로(예: 지불 프로세서, 지역 상점의 홈 오피스 등)를 통해 전송됩니다. 이 데이터가 알려진 대상으로 전송되면 암호화해야 합니다. 또한 계정 번호를 알 수 없는 사이트에 제공해서는 안 됩니다.

안티 바이러스 사용 및 유지 관리

PCI DSS 준수 외에 안티바이러스 소프트웨어를 사용하는 것은 현명한 방법입니다. 그러나 PAN과 상호 작용하고 PAN을 저장하는 모든 장치에는 바이러스 백신 소프트웨어가 설치되어 있어야 합니다. 이 소프트웨어는 정기적으로 패치되고 업데이트되어야 합니다. 또한 POS 공급업체는 직접 배포할 수 없는 영역에서 안티바이러스 보호를 사용해야 합니다.

업데이트된 소프트웨어

방화벽과 안티바이러스 소프트웨어는 정기적으로 업데이트해야 합니다. 또한 회사의 모든 소프트웨어를 최신 상태로 유지하는 것이 좋습니다. 대부분의 소프트웨어 프로그램은 업데이트의 일부로 새로 식별된 취약점을 해결하기 위한 패치와 같은 보안 조치를 통합하여 추가 보호 계층을 제공합니다. 이러한 업그레이드는 카드 소지자 데이터와 상호 작용하거나 카드 소지자 데이터를 저장하는 장치에서 실행되는 모든 소프트웨어에 중요합니다.

데이터에 대한 액세스 제한

카드 소지자 정보는 엄격하게 "알아야 할 사항"이어야 합니다. 이 정보가 필요하지 않은 모든 직원, 임원 및 제3자는 접근을 거부해야 합니다. 민감한 데이터가 필요한 책임은 PCI DSS에서 요구하는 대로 잘 문서화되고 정기적으로 업데이트되어야 합니다.

고유 액세스 코드

카드 소지자 데이터에 액세스할 수 있는 직원을 식별해야 하며 각각 별도의 자격 증명을 보유해야 합니다. 예를 들어, 여러 작업자가 사용자 이름과 암호를 알고 있는 한 번의 로그인을 통해 암호화된 데이터에 액세스해서는 안 됩니다. 고유 식별자는 취약성을 줄이고 데이터가 손상된 경우 더 빠른 반응 시간을 제공합니다.

물리적 수준에서 액세스 제한

카드 소지자에 대한 모든 데이터는 물리적으로 안전한 장소에 보관해야 합니다. 물리적으로 기록되거나 입력된 데이터와 디지털 방식으로(예: 하드 드라이브에) 저장된 데이터는 안전한 방, 서랍 또는 캐비닛에 보관해야 합니다. 액세스를 제한해야 할 뿐만 아니라 민감한 데이터에 액세스할 때마다 규정 준수를 보장하기 위해 기록을 유지해야 합니다.

액세스 로그 관리

카드 소지자 데이터 및 기본 계정 번호(PAN)와 관련된 모든 거래를 기록해야 합니다. 아마도 가장 널리 퍼진 규정 미준수 문제는 민감한 데이터 액세스에 대한 충분한 기록 보관 및 문서화 부족일 것입니다. 규정 준수를 위해서는 회사에 들어오는 데이터 흐름과 액세스가 필요한 빈도를 추적해야 합니다. 또한 정확성을 보장하기 위해 액세스를 추적하는 소프트웨어 도구가 필요합니다.

취약점 스캔 및 테스트

앞의 10가지 규정 준수 기준은 각각 많은 소프트웨어 제품, 물리적 위치 및 인력을 사용해야 합니다. 많은 항목이 올바르게 작동하지 않거나 오래되거나 사람이 실수할 수 있습니다. 정기적인 스캔 및 취약성 테스트에 대한 PCI DSS 기준을 준수하여 이러한 위험을 완화할 수 있습니다.

문서에 관한 정책

규정 준수를 위해서는 액세스 권한이 있는 장비, 소프트웨어 및 작업자에 대한 문서가 필요합니다. 또한 카드 소지자 데이터 액세스 기록에는 문서화가 필요합니다. 또한 정보가 귀하의 비즈니스에 어떻게 입력되고, 정보가 보유되고, 판매 지점을 넘어 활용되는지를 기록해야 합니다.

PCI 규정 준수의 이점

규정 준수 이점에는 데이터 침해 위험 감소, 카드 소지자 데이터 보호, 신원 도용 방지가 포함됩니다. 규정 준수는 데이터 유출과 관련된 처벌을 최소화하고 회사의 브랜드 평판에 도움이 되며 소비자가 책임 있는 회사와 비즈니스를 하고 있다는 만족감과 확신을 갖게 하여 브랜드 충성도를 가져오기 때문에 기업을 위한 모범 사례입니다.

신용 카드 정보를 수락하는 모든 기업은 PCI 규정 준수를 유지하기 위해 카드 처리 계약에 따라야 합니다. PCI 규정 준수는 업계 표준이며 이를 준수하지 않는 기업은 계약 위반 및 부주의로 인해 상당한 처벌을 받을 위험이 있습니다. PCI를 준수하지 않는 회사는 도난, 사기 및 데이터 침해에 매우 노출되어 있습니다.

Fixed.net에서는 카드 데이터를 절대 건드리지 말 것을 강력히 권장합니다. 즉, 카드 데이터가 토큰화되는 Stripe 또는 Braintree와 같은 공급자를 사용하십시오. 카드 데이터는 귀하가 저장 하지 않으며 귀하도 볼 수 없습니다. 고객은 결제 제공업체 웹사이트에서 내장된 위젯을 사용하여 세부 정보를 입력합니다.

PCI 규정 준수 및 WordPress

WordPress는 오픈 소스 소프트웨어이며 결제 시스템이 내장되어 있지 않습니다. 대신 결제 시스템은 WooCommerce와 같은 플러그인과 함께 번들로 제공됩니다. 이러한 플러그인에는 일반적으로 Stripe와 같은 타사 게이트웨이를 연결할 수 있는 기능이 있습니다. 카드 데이터를 건드리지 않는 게이트웨이를 선택하면 PCI를 준수할 필요가 없습니다.

PCI 규정 준수 및 WooCommerce

WooCommerce에는 여러 결제 옵션이 번들로 제공되며 타사 플러그인을 사용하여 확장할 수 있습니다. 이 블로그의 다른 다양한 가이드에서 지불 옵션에 대해 설명합니다. 그러나 고정 가입자의 대다수는 Stripe와 PayPal의 조합을 사용하는 경향이 있습니다.