지불 카드 산업 데이터 보안 표준이란 무엇입니까?
PCI DSS (Payment Card Industry Data Security Standard)는 신용 카드 데이터를 처리, 전송 또는 저장하는 모든 비즈니스 및 기타 엔티티에 제공되는 일련의 지침 및 모범 사례입니다. 이 지침은 PCI SSC (PCI Security Standards Council)에서 개발했으며 데이터 유출을 방지하고 신원 도용 및 신용 카드 사기를 방지하기위한 것입니다. PCI DSS 준수와 관련하여 진행중인 3 가지 단계가 있습니다 : 비즈니스 프로세스 평가 및 잠재적 위험 식별, 이러한 위험 수정, 관련 은행 및 기타 신용 카드 발급 기관에 준수 노력보고.
지불 카드 업계 데이터 보안의 최우선 표준 준수는 안전한 컴퓨터 네트워크의 생성 및 유지 관리입니다. 카드 소지자 데이터와 네트워크에 대한 외부 액세스간에 강력한 방화벽을 구성해야합니다. 시스템 암호는 네트워크의 모든 잠재적 취약성 지점에서 다른 보안 수단과 함께 구현해야합니다. 모든 카드 소지자 데이터는 안전하게 저장되어야하며 공용 네트워크를 통해 전송 될 때 암호화되어야합니다. 지속적인 조치에는 안티 바이러스 소프트웨어의 사용 및 업무상 알아야 할 인원이 데이터에 대한 제한된 물리적 또는 컴퓨터 액세스를 포함합니다.
조직이 PCI DSS를 처리하는 데 도움이되는 수많은 도구와 서비스가 있습니다. PCI SSC가 PCI 준수에 대한 표준을 설정하는 동안 모든 주요 신용 카드 브랜드는 신용 카드 유효성 검사 절차뿐만 아니라 해당 표준의 시행 및 준수와 관련하여 자체 표준을 만들었습니다. 이러한 각 회사는 카드를받는 조직에 온라인 및 기타 지침을 제공합니다. PCI SSC는 또한 지불 카드 산업 데이터 보안 표준 준수를 검증하는 적격 보안 평가자를 승인하는 프로그램을 운영합니다. 규정 준수를 자체 평가하는 조직의 경우 PCI SSC는 자체 평가 설문지라는 검증 도구를 특정 비즈니스 환경에 맞게 여러 가지 형태로 제공합니다.
지불 카드 산업 데이터 보안 표준을 준수하는 핵심 전제는 조직의 요구에 필수적인 신용 카드 데이터 만 저장하는 것입니다. 저장된 데이터에는 시간 제한이 적용되고 트랜잭션 인증 데이터는 저장되지 않아야합니다. 공용 네트워크에서 전송되는 모든 계정 번호 및 기타 민감한 데이터는 부분적으로 마스킹되어야합니다.
진행중인 다른 PCI DSS 측정에는 보안 응용 프로그램 및 프로그램을 생성하는 취약성 관리 프로그램의 생성 및 유지 관리가 포함됩니다. 취약점을 식별하기위한 일상적인 모니터링 및 네트워크 테스트도 필요합니다. 각 조직은 서면 보안 정책을 유지 관리하고 모든 직원에게 배포해야합니다.