2. PCI 컴플라이언스
  3. PCI 3DS

PCI 컴플라이언스

PCI 3DS

소비자가 비대면 거래 시 거래 승인 전에 발급사를 통해 자신을 인증할 수 있도록 하는 메시징 프로토콜입니다.

PCI 3DS 인증이란?

PCI 3DS 준수 범위
  1. 01EMV® 3-D Secure(3DS)란?

    3DS(3D Secure = 3 Domain Secure)의 구성 요소는 3DS Server, 3DS Directory Server, 3DS Access Control Server로 구성되어 있으며, 소비자가 비대면(Card-Not-Present) 거래 시
    거래 승인 전에 발급사를 통해 자신을 인증할 수 있도록 하는 메시징 프로토콜로서 EMV® 3 D Secure Protocol and Core Functions specification에 정의되어 있습니다.

  2. 02 PCI SSC는 3DS 구성 요소의 일부 또는 모든 인증 트랜잭션을 수행 엔티티에 대한 물리적 및 논리적 보안 그리고
    소비자 보호를 위한 요구 사항과 평가 절차 만들었습니다.
    • PCI 3DS Core Security Standard: PCI 3DS 핵심 보안 표준은 EMV® 3-D 보안 프로토콜 및 핵심 기능 사양을 지원하며 3DS ACS(Access Control Server),
      DS(Directory Server) 및 3D Server 서버 구성 요소를 관리, 제공 또는 평가하는 엔티티를 위한 것입니다.
    • PCI 3DS SDK Security Standard: 모바일 기반 3DS 트랜잭션에 사용할 3DS 소프트웨어 개발 키트(SDK)를 개발하는 엔티티에 대한 EMV® 3-D 보안 SDK 사양을 지원합니다.
  3. 03브로드밴드시큐리티는 "PCI 3DS Core Security Standard"의 인증을 지원합니다.

PCI 3DS 준수 요건

PCI 3DS Core Security Standard는 2개의 도메인으로 나뉘어 있으며 Part 1은 PCI DSS 요구 사항과 100% 일치 합니다.

  1. PCI 3DS Part 1: Baseline Security Requirements

  2. PCI 3DS Part 2: 3DS Security Requirements

PCI 3DS 요구 사항

  1. 01

    Security
    거버넌스

  2. 02

    안전한 시스템 구성
    및 개발

  3. 03

    3DS 민감한 데이터
    저장 금지

  4. 04

    데이터 암호화
    및 키 관리

  5. 05

    내 · 외부 취약점
    점검 및 모의해킹

  6. 06

    3DS System에
    대한 물리적 보안

PCI 3DS 인증 대상

3DS System을 운영하는 가맹점, Third Party 및 발급사 등이 인증 대상입니다.

  • 01
    3DS Server

    Acquirer 또는 Acquirer와
    연결된 3D server를 운영하는 Third Party

  • 02
    3DS Directory Server

    카드 브랜드의 Third Party

  • 03
    3DS Access Control Server

    발급사(Issuer)

PCI 3DS 인증 절차

3DS System을 운영하는 가맹점, Third Party 및 발급사 등이 인증 대상입니다.

  1. STEP 01

    EMV®사의
    Letter of Approval(LOA)
    여부 확인

  2. STEP 02
    • PCI DSS 준수 여부 확인 및
      PCI DSS 인증 범위 확인
    • 3DS 시스템으로 포함하여
      PCI DSS 인증을 받은 기업은
      "PCI 3DS Part 1 요건"은
      평가 기준에서 제외됩니다.
  3. STEP 03

    PCI 3DS
    인증 범위 검토

  4. STEP 04

    PCI 3DS
    인증 심사

  5. STEP 05

    PCI 3DS 인증 완료
    ROC/AOC 발급

취득시 이점

최근 사기 거래가 급증하여 VISA를 포함한 브랜드는 비대면(Card-Not-Present) 거래 시 인증을 요구하고 있습니다. 3DS 인증을 취득한 기업은 온라인 가맹점에서
해외 카드 결제 시 카드 브랜드의 DS서버와 직접 연결하여 카드 인증 중계 서비스를 제공할 수 있으며 강력한 보안 레벨을 확립할 수 있습니다.

PCI 3DS 준수 범위

※ PCI DSS 인증 범위에 3DS 환경이 포함 될 수도 있고, 분리되어 있을 수 있습니다.

PCI 3DS 준수 범위
3DS를 구성하는 구성 요소는 3DS Server, 3DS Directory Server, 3DS Access Control Server를 구성 운영하는 기업
3DSS, DS, ACS 기능을 수행하는 환경
3DS 트랜잭션 처리 또는 촉진과 관련된 시스템 구성 요소 및 지원하는 환경 (3DE)
3DE를 지원하는 시스템 구성 요소(방화벽, 가상 서버, 네트워크 장치, 응용 프로그램 등)
3DS 환경에 대한 접근 권한이 있는 엔티티 또는 서비스 프로바이더