브로드밴드시큐리티

PCI 컴플라이언스

국내 최대규모 PCI DSS 인증 평가 기관 (QSAC)

브로드밴드시큐리티는 PCI SSC로부터 정식 인가를 받은 국내 최다 QSA 검증인력을 보유한 인증 평가 기관 입니다.
한국어 외 영어, 일본어, 프랑스어, 태국어 등 다국어 서비스를 제공하며, 컨설팅 기반 준수 보고서를 신속하고 적기에 받아볼 수 있습니다.

PCI DSS 인증이란?

PCI DSS (Payment Card Industry Data Security Standard)는 신용카드 정보 유출 위협 방지 등
지불결제 데이터 보안을 위해 글로벌 카드 브랜드 6개사가 제정한 국제적 보안 표준입니다.

글로벌 카드 브랜드 6개사가 PCI SSC (Payment Card Industry Security Standard Council) 를 구성하여,
국제적 보안표준인 PCI DSS를 운영 및 관리합니다.

PCI DSS 준수 요건

PCI DSS은 크게 6개 그룹/12개 요건으로 구성되어 있으며
PCI DSS Ver4.0은 464개 세부요건/48개 부록으로 구성되어 있습니다.

NO	그룹	요건	항목 수
1	보안 네트워크와 시스템 구성 및 유지	네트워크 보안 통제 설치 및 유지	35
1	보안 네트워크와 시스템 구성 및 유지	모든 시스템 구성요소에 보안 구성 적용	27
2	Account data 보호	저장된 Account data 보호	55
2	Account data 보호	개방, 공공 네트워크를 통해 카드 소유자 데이터 전송 시 강력한 암호화로 보호	12
3	취약성 관리 프로그램의 유지	악성 소프트웨어로부터 모든 시스템 및 네트워크 보호	25
3	취약성 관리 프로그램의 유지	보안 시스템 및 소프트웨어의 개발 및 유지	35
4	강력한 접근 관리 조치의 시행	사업상 알 필요에 따른 카드 소유자 데이터와 시스템 구성요소 접근 제한	22
		시스템 구성요소 접근 시 사용자 식별 및 인증	52
		카드 소유자 데이터에 대한 물리적 접근 제한	56
5	정기적인 네트워크 모니터링 및 테스트	시스템 구성요소와 카드 소유자 데이터의 모든 접근에 대한 기록 및 모니터링	22
5	정기적인 네트워크 모니터링 및 테스트	시스템 및 네트워크의 정기적인 보안 테스트	52
6	정보 보안 정책의 유지	조직의 정책 및 프로그램을 통해 정보보호 지원	56
7	Appendix	부록 A : 멀티 테넌트(Multi-Tenant) 서비스 프로바이더를 위한 추가 PCI DSS 요건	8
		부록 B : 대면 거래(Card-present) POS POI 터미널 연결에 SSL/초기 TLS를 사용하는 기업에 대한 추가 PCI DSS 요건	3
		부록 C : 지정된 업체의 추가적인 검증(DESV)	37

PCI DSS 적용 대상

[서비스 프로바이더]
Level	거래량	SAQ	ASV	ROC&AOC
Level 1	30만건 이상	옵션	필수 (연간 4회)	필수 (연간 1회)
Level 2	30만건 미만	필수 (연간 1회)	필수 (연간 4회)	Level 2 SAQ & AOC

[가맹점(Merchant)]
Level	거래량	SAQ	ASV	ROC&AOC
Level 1	6백만 이상	옵션	필수 (연간 4회)	필수 (연간 1회)
Level 2	1백만 이상	필수 (연간 1회)	필수 (연간 4회)	Level 2~4 SAQ & AOC
Level 3	2만 이상	필수 (연간 1회)	필수 (연간 4회)
Level 4	2만 이하	필수 (연간 1회)	필수 (연간 4회)

Level 2이하부터는 ROC가 아닌 SAQ와 AOC로 제출
Level 에 따른 거래량과 보안준수는 카드사별 일부 상이한 부분이 있음
SAQ (Self assessment questionnaire): 자가 진단 평가서
ASV (Approved scan vendor): PCI SSC로부터 인가된 Vendor를 통해 진행되는 취약점 진단 (분기별 진단)
ROC (Report of Compliance): QSA 전문가가 작성한 준수 보고서
AOC (Attestation of Compliance): QSA 전문가가 작성한 준수 증명서

PCI DSS 인증 절차

구분	데이터 요소	저장 허용	PCI 요건 3.5에 따라 저 장된 Account data를 읽을 수 없도록 처리
Account Data	카드 소유자 데이터	카드 소유자 번호 (PAN)	저장소는 최소로 유지 (요건 3.2)	YES (요건 3.5)
카드 소유자 이름	저장소는 최소로 유지^*3 (요건 3.2)	No
서비스 코드
유효기간
민감한 인증 데이터	전체 마그네틱 데이터^*1	승인 후 저장 불가^*4 (요건 3.3.1)	YES 승인 완료 전 보관 시 강력한 암호화 적용 (요건 3.3.2)
카드 인증 코드^*2
PIN / PIN 블록

구분

데이터 요소

저장 허용

PCI 요건 3.5에 따라 저 장된 Account data를 읽을 수 없도록 처리

Account
Data

카드 소유자
데이터

카드 소유자 번호 (PAN)

저장소는 최소로 유지 (요건 3.2)

YES (요건 3.5)

카드 소유자 이름

저장소는 최소로 유지^*3
(요건 3.2)

서비스 코드

유효기간

민감한
인증 데이터

전체 마그네틱 데이터^*1

승인 후 저장 불가^*4
(요건 3.3.1)

YES
승인 완료 전 보관 시 강력한 암호화 적용
(요건 3.3.2)

카드 인증 코드^*2

PIN / PIN 블록

PCI 컴플라이언스

국내 최대규모 PCI DSS 인증 평가 기관 (QSAC)

PCI DSS 인증이란?

PCI DSS 준수 요건

PCI DSS 적용 대상

PCI DSS 인증 절차

PCI DSS 준수 범위

개인정보처리방침

이메일무단수집거부