PCI DSS 준수 지원
PCI DSS 준수를 위한 체계 구축 초기 단계부터 현장 평가까지 일관된 컨설팅 서비스를 제공하고 있습니다.
- 특징
- ・PCI DSS 최신 버전 3.2.1 규격을 지원
・국제 보안 표준 자격을 가진 전문 컨설턴트가 지원
・BBSec은 현장 평가에 대한 인증 보안 평가 기관(QSAC) 자격을 보유
PCI DSS 란?
PCI DSS(Payment Card Industry Data Security Standard)는 국제 카드 브랜드 5개사(VISA, MasterCard, JCB, American Express, Discover)가 중심이 되어, 신용카드 정보 유출 위협을 방지하기 위해 제정한, 지불 카드 산업의 국제적 보안 표준입니다. 표준은 PCI SSC (Payment Card Industry Security Standards Council)에 의해 운영, 관리되고 있습니다.
인증 자격 명칭:PCI DSS V3.2.1
추진 조직:Payment Card Industry Security Standards Council
준수를 위한 컨설팅 프로세스
PCI DSS 준수를 위해서는 6 그룹・12 요건과 그에 따른 세부항목이 있습니다. BBSec에서는 이러한 요건에 대한 검증 및 준수를 위한 사내 체계 구축 지원, 평가를 실시하고 있습니다.
컨설팅에 대해서는 고객의 현황을 정확하게 파악하여 최적의 프로세스를 제안합니다.
또한, 세그먼트의 분리를 통해 카드 정보에 접근 가능한 범위를 제한하여 평가 범위의 최소화를 도모합니다.
PCI DSS의 6 그룹・12 요건
안전한 네트워크 구축 및 유지
요건1:카드 소유자 데이터를 보호하기 위해 방화벽을 설치하고 유지한다.
요건2:시스템 패스워드 및 기타 보안 파라미터에 벤더가 제공하는 기본값을 사용하지 않는다.
카드 소유자 데이터 보호
요건3:저장된 카드 소유자 데이터를 보호한다.
요건4:공개된 공공 네트워크를 통해 카드 소유자 데이터를 전송하는 경우 암호화하여 전송한다.
취약점 관리 프로그램 유지
요건5:악성코드로부터 모든 시스템을 보호하고 안티 바이러스 소프트웨어 또는 프로그램을 정기적으로 업데이트한다.
요건6:안전한 시스템과 어플리케이션을 개발하고 유지한다.
강력한 접근 통제 방안 수립
요건7:사업상 알 필요가 있는지에 따라 카드 소유자 데이터의 접근을 제한한다.
요건8:시스템 구성요소에 대한 접근을 식별하고 인증한다.
요건9:카드 소유자 데이터에 대한 물리적 접근을 제한한다.
정기적인 네트워크 모니터링 및 테스트
요건10:네트워크 자원과 카드 소유자 데이터에 대한 모든 접근을 추적하고 감시한다.
요건11:보안 시스템 및 프로세스를 정기적으로 테스트한다.
정보 보안 정책 유지
요건12:모든 직원에 대한 정보 보안에 관련된 정책을 유지한다.
- 준수 프로세스의 개요
-
- 구체적인 작업의 흐름도
-
준수 후 사후 관리
PCI DSS를 준수하고 있는지 한번은 확인할 수 있지만 일상 업무나 시스템 개선, 운영변경, 업무변경 등의 변화 가운데 준수를 유지하는 것은 쉽지 않습니다. 또한 매년 1회 재평가도 필요합니다.
따라서 BBSec에서는 PCI DSS 준수를 유지하기 위한 컨설팅 서비스를 제공하고 있습니다.
준수 현황에 대해 적절하게 유지할 수 있는지 여부를 확인하고 문제점이 있으면 조기에 발견하고, 대응 방법을 지원하며 최신 정보를 제공합니다.
- 정기적인 사후 관리
- 인터뷰나 기록 등의 확인을 통해, PCI DSS 준수를 유지하기 위해 필요한 정기적인 수행 항목을 확인합니다.
・업무 변경으로 인한 데이터 흐름도의 변경
・변경 관리 기록
・계정 관리 기록 ・교육 실시 기록 ・각종 시스템 로그 등 - 질의 대응
- PCI DSS 준수 유지함에 있어 궁금한 사항이나 질문 사항을 당사 QSA가 컨설팅 서비스를 통해 지원합니다.
- 정보 제공
- PCI DSS 버전 업데이트나 관련 법률의 개정, 업계 동향 정보를 제공합니다.
