이에 대한 FAQ가 있어서 번역해 보았습니다.
*틀린 부분이 있을 수 있습니다. 원문도 같이 참조하시길...
원문 : http://www.pcicomplianceguide.org/pcifaqs.php
1. PCI가 뭔가요?
PCI DSS(Payment Card Industry Data Security Standard)는 신용카드 결제를 사용하는 모든 회사들이
신용카드 정보를 보관, 처리 혹은 전달할 때 보안된 환경에서 진행되어야 한다는 요구사항의 집합이다.
PCI SSC(Payment Card Industry Security Standards Council)은 2006년 9월 7일에 발족하여 신용카드
결제 시에 보안을 향상할 수 있는 방법들을 연구하고 향상시키는 업무를 진행한다.
PCI DSS는 주요 신용카드 서비스 제공업체(Visa, MasterCard, American Express, Discover and JCB)들
이 주축이 되어 만든 PCI SSC(www.pcisecuritystandards.org)에서 관리된다. 중요게 알아야 하는 것은,
PCI compliance에 대해서 요구하고 책임을 지는 기관은 PCI council이 아니라 결제사나 은행이라는 것이다.
2. PCI는 누구에게 적용되나요?
PCI는 신용카드 정보를 받아서 전달하거나 저장하는 모든 merchant와 조직에 거래량과 상관없이 적용된다.
다르게 말하면, 고객이 특정 고객이 직접 해당 merchant에 신용카드나 직불카드로 결제를 하는 프로세스가
있다면, PCI DSS가 요구된다.
3. 어디서 PCI DSS에 대해서 확인할 수 있나요?
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
4. 언제까지 PCI compliance를 준수해야 하나요?
카드정보를 취급하는 모든 merchant는 당장 PCI compliance를 준수해야 한다. 단, Level 4 merchant의
경우, 관련 은행이나 결제사로의 구체적인 요건과 기한을 확인해야 한다. 기한의 경우 merchant의 관련
은행과 지불사로부터 결정이 된다. Visa 웹사이트로부터 좀 더 자세한 내용을 확인할 수 있다.
http://usa.visa.com/download/merchants/payment_application_security_mandates.pdf.
5. PCI Compliance level이 무엇이며 어떻게 결정이 되나요?
모든 merchant는 지난 12개월 동안의 Visa 거래량에 따라 1에서 4까지의 level로 분류가 된다.
거래량은 merchant를 통한 Visa 신용카드, 직불카드, 선불카드등을 모두 합쳐서 산정이 된다.
만약 특정 회사가 복수개의 법인을 가지고 있을 경우, 모든 법인의 거래량을 합쳐서 level을
단, 법인들이 상호간의 고객의 정보를 공유하지 않는 경우 각각의 법인별로 거래량을 산정하여
level을 결정한다.
Level 1 : Visa 거래량이 6M/year 초과인 모든 merchant들은 Visa시스템의 위험을 최소화 하기 위해
level 1으로 결정된다.
Level 2 : Visa 거래량이 1M ~ 6M/year인 merchant
Level 3 : Visa 거래량이 20,000 ~ 1M/year인 merchant
Level 4 : Visa 거래량이 1M/year 미만인 merchant
*계정 data가 해킹으로부터 위협을 받은 적이 있는 merchant는 level이 높아진다.
(참고) http://usa.visa.com/merchants/risk_management/cisp_merchants.html
6. 전화로만 신용카드 정보를 받는데, 그래도 PCI가 적용되나요?
그렇다. 고객의 신용카드를 처리하고 전달하는 모든 사업자는 PCI를 따라야 한다.
7. 제3자로부터 서비스를 받는 조직에서도 PCI가 적용되나요?
그렇다. 단지 제3자로부터 서비스를 받는 다는 것이 PCI 적용으로부터 자유롭지는 못하다.
제3자로부터 서비스를 받는 것이 위험과 PCI 적용을 하기 위한 노력을 줄여줄 수는 있겠지만,
PCI를 무시할 수 있는 것은 아니다.
*뭔 말일까요? 제가 해석하기에는 결국 위의 경우에는 PCI 적용이 되지 않는다고 판단했습니다.
8. 여러 지역에서 사업을 하는 경우 각 지역마다 PCI 인증을 받아야 하나요?
만약에 납세자 번호가 동일하다면, 일반적으로 1년에 한번 전체 지역에 대해서 한 번만 검증받으면
된다. 분기별로 PCI SSC에서 허가된 업체에서 네트웍 점검을 받으면 된다.(필요한 경우)
9. 직불카드도 PCI 적용 범위에 들어가나요?
직불카드, 신용카드 그리고 상품권카드에 상관없이 아래의 PCI SSC에 참여하고 있는 아래의 5개
카드 브랜드의 경우에는 모두 범위에 포함된다.
-American Express
-Discover
-JCB
-MasterCard
-Visa International
10. SSL을 적용했다면 PCI를 준수한 건가요?
아니다. SSL이 웹서버를 악의적인 공격이나 침투로부터 막아주는 것은 아니다. 보안성이 높은
SSL을 적용하는 것이, 고객의 정보를 보호하는 첫번째 단계이지만, PCI를 준수하기 위한 또다른
단계들이 존재한다.
보안성이 높은 SSL이 보장하는 것의 예)
-고객의 브라우져와 웹서버간의 보안된 연결 보장
-웹사이트를 운영자가 법적으로 책임이 있는 조직의 정규직이라는 검증
11. PCI를 준수하지 않거나, PCI에 협조하지 않으면 어떤 불이익이 있나요?
PCI에 참여한 업체들의 재량으로, PCI를 준수하지 않은 merchant와 거래하는 은행에 대해서 $5,000에서
$100,000의 벌금을 부과할 수 있고, 은행은 해당 벌금을 위반 merchant에게 납부하기를 요청할 가능성이 높다.
더군다나, 은행은 위반 merchant와의 거래를 종료할 수도 있고, 수수료를 올릴 수도 있다. 불이익에
대해서 공개적으로 논의되거나 공표된 것은 아니지만, 중소기업들에게는 치명적일 수 있다.
중요한 것은 merchant와 은행간의 계약서를 정확히 확인하는 것이다.
단, PCI는 자체가 법률은 아니다.
12. 카드 소유자의 정보란 어떤 것을 말합니까?
카드 소유자 정보는 카드 소유자를 확인할 수 있는 모든 data를 말한다. 예를 들면, 카드 번호, 유효기간,
이름, 주소, 주민번호 등이다. 즉, 보관되거나 처리되는 모든 개인 data가 카드 소유자 정보다.
13. merchant의 정의가 무엇입니까?
PCI DSS 측면에서 볼 때, merchant란 PCI DSS에 참여한 결제사가 발급한 카드를 결제에 사용할 수 있는
모든 서비스를 제공하는 업체이다. 또한, 특정 업체를 대신하여 결제를 대행하는 업체도 merchant로
볼 수 있다.
14. 결제 어플리케이션은 어떻게 구성이 되나요?
결제 어플리케이션은 아주 광범위한 의미를 가지고 있다. 결제 어플리케이션은 카드 정보를 전자적으로
저장하거나 처리, 전달하는 모든 것으로 본다. 이것은 식당에 있는 POS로부터 인터넷쇼핑몰의 결제시스템까지
광범위하다. 그러므로 신용카드와 접할 수 있도록 설계된 모든 소프트웨어는 결제 어플리케이션이다.
15. PABP는 무엇인가요?
PABP(Visa''s Payment Application Best Practices)는 PA-DSS(Payment Application Data Security Standards)로
불리며 PCI SSC(PCI Security Standards Council)에서 관리된다. PABP는 2005년에 Visa가 고객사들이 PCI DSS
Compliance를 획득하는데 도움을 주기 위해서 시작한 프로그램으로 현재는 PCI SSC로 이관이 되었다.
현재는 PCI SSC에서 PA-DSS에서 검증된 어플리케이션 리스트를 발표했다.
https://www.pcisecuritystandards.org/security_standards/pa_dss.shtml
16. 고객의 카드 영수증에 전체 카드 번호를 출력해도 되나요?
PCI DSS 요구사항 3.3을 보면, "일부 PAN(Primary Account Number)를 가려라.(최대 처음 6자리와 마지막 4자리만 출력)"
라고 되어 있다. PCI DSS 요구사항에 전체 카드 번호나 유효 기간 출력을 금지하는 조항이 없더라도, 영수증에
어떤 것을 출력할 수 있는지에 대해서 규정된 어떤 법을 무시하여 적용될 수는 없다.
*PCI DSS 요구사항 3.3을 보면 note에 "전체 PAN의 출력이 필요한 특수한 상황이나, 전체 PAN출력이 꼭 필요한
요구사항이 있을 경우 일부 PAN을 가리는 요구사항은 적용되지 않는다.)"라고 기술되어 있다.
*merchant가 보관하는 종이 형태의 영수증은 PCI DSS 요구사항 9의 물리적 보안을 준수해야 한다.
17. 네트웍 보안 점검은 무엇이며 얼마나 자주 점검해야 하나요?
자동화 된 도구로 merchant의 시스템과 네트웍을 점검하는 것으로, 실제 시스템에 침입하지 않으며, merchant가
운영하는 외부로 노출된 네트웍과 웹 어플리케이션들을 검사한다. 점검은 해커의 표적이 될 수 있는 업체
내부의 OS, 서비스, 장비들의 취약점을 알아낸다. PCI DSS에서 인증받은 점검 업체로부터 점검을 받아야 하며,
외부에 노출된 IP가 존재하는 merchant만 받으면 된다.(분기별 1회)
덧글