매년 기업은 고객 정보를 손상시키는 데이터 침해의 위험에 처해 있습니다. Risk Based Security의 연례 보고서에 따르면 작년에 침해 사고가 최고치를 기록했습니다. 3,930건이 발생하여 7억 3,600만 건 이상의 기록이 노출되었습니다.

데이터 보안은 특히 중소기업의 거의 60%가 침해 후 파산한다는 점을 고려하면 심각한 비즈니스 문제입니다.

비즈니스에서 직불/신용 결제를 허용하는 경우 PCI(Payment Card Industry) 규정 준수, 업계에서 제정한 보안 요구사항 및 조치에 대해 잘 알고 있을 것입니다. 그러나 많은 신규 사업체(및 일부 기존 사업체)는 PCI 규정 준수에 대해 전혀 익숙하지 않습니다.

PCI 표준에 익숙해지는 것은 현대 비즈니스의 중요한 요소입니다.

PCI 규정 준수는 Visa, MasterCard, American Express 및 Discover와 같은 지불 카드 업계에서 작성하고 시행하는 일련의 필수 표준 및 규칙을 나타냅니다.

모든 회사 신용카드 및 직불카드 결제를 저장, 처리 또는 전송 PCI SSC(보안 표준 위원회) 지침을 충족하고 매년 규정 준수를 입증해야 합니다. 그렇지 않으면 값비싼 벌금과 거래 처리 권한 상실 가능성이 있습니다.

SSC 데이터 보안 표준 요구사항

SSC는 PCI 규정 준수를 위한 12가지 광범위한 요구 사항을 제시했습니다. 이러한 요구 사항을 충족해야 하지만 어떻게 당신의 사업은 그것들을 충족해야 합니다. 예를 들어, 기업은 안티바이러스 소프트웨어를 사용하고 업데이트해야 하지만 SSC는 어떤 소프트웨어를 사용해야 하는지 지정하지 않습니다.

이러한 표준을 구현하기 위해 SSC는 PCI 규정 준수 지침에 대한 우선 순위 접근 방식을 제공합니다.

데이터 보안 표준 요구사항:

1. 카드 소유자 데이터를 보호하기 위한 방화벽 구성 설치 및 유지
2. 시스템 비밀번호 및 기타 보안 매개변수에 대해 공급업체 제공 기본값을 사용하지 마십시오.
3. 저장된 데이터 보호
4. 공개된 공개 네트워크를 통한 카드 소지자 데이터 전송 암호화
5. 바이러스 백신 소프트웨어 사용 및 정기적 업데이트
6. 보안 시스템 및 애플리케이션 개발 및 유지
7. 사업상 알아야 할 사항에 따라 카드 소지자 데이터에 대한 액세스 제한
8. 컴퓨터 액세스 권한이 있는 각 사용자에게 고유한 ID 할당
9. 카드 소유자 데이터에 대한 물리적 액세스 제한
10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스 추적 및 모니터링
11. 보안 시스템 및 프로세스를 정기적으로 테스트
12. 정보 보안을 다루는 정책 유지

3단계 규정 준수 프로세스

1:평가

평가의 목적은 고객 지불 데이터의 보안에 위험을 초래하는 취약점을 식별하는 것입니다. 평가는 본질적으로 포괄적이어야 하며 처음부터 끝까지 회사의 전체 거래 프로세스를 분석해야 합니다. 여기에는 디지털 네트워크뿐만 아니라 모든 실제 노트북, 데스크탑 및 종이 영수증과 같이 고객 결제 데이터가 저장되는 영역입니다.

제3자가 결제 흐름 프로세스의 일부인 경우 해당 절차와 시스템도 평가해야 합니다.

SSC는 전문 평가자를 교육하고 검증하여 지원을 제공합니다. 그 중 두 가지 유형이 있습니다. 공인 보안 평가자와 승인된 스캐닝 공급업체(ASV)입니다.

QSA는 데이터 보안을 평가하고 규정 준수의 증거로 제출할 증거를 준비합니다.

ASV는 데이터 시스템의 약점을 분석할 수 있는 상용 소프트웨어 도구를 제공합니다.

2:수정

교정은 평가 중에 발견된 취약점을 해결하고 수정하는 프로세스입니다.

많은 수정 전략은 간단합니다. 바이러스 백신 소프트웨어 업데이트, 회사 서버가 있는 문에 자물쇠 추가, 90일마다 업데이트되는 새 비밀번호 채택

그러나 많은 기업이 어려움을 겪고 있는 곳은 기업 보안 정책 및 절차를 만들고 구현하는 것입니다. 회사 전체에 명확하게 전달되는 잘 만들어진 정책과 절차가 없으면 대부분의 기업은 결국 규정 준수를 유지하지 못할 것입니다.

모든 회사는 고유하며 이러한 이유로 수정은 각 비즈니스에 매우 구체적입니다. 두 가지 수정 전략이 완전히 똑같지는 않습니다.

3:보고

귀하의 비즈니스가 SSC 요구 사항을 충족했음을 입증하려면 규정 준수 보고서(ROC)를 제출해야 합니다. ROC는 단일 문서가 아니라 평가 및 수정 단계에서 수집된 증거 요약입니다.

ROC 문서에는 자격을 갖춘 평가자의 자세한 작업 문서, 시스템 테스트 결과, 구성 데이터, 인터뷰 메모, 스크린샷 및 기타 여러 증거 자료가 포함될 수 있습니다.

SSC는 보고 프로세스를 안내하기 위해 검토할 수 있는 자세한 113페이지 보고 지침 문서를 제공했습니다.

진행 중

PCI 규정 준수는 진행 중인 프로세스입니다. . 단일 평가 또는 연간 검증이 프로세스의 끝이 아닙니다. 대신 규정 준수는 데이터를 안전하게 유지하기 위해 수많은 전략을 지속적으로 구현하고 모니터링하는 것입니다.

일반적인 오해

신용카드 정보를 저장하지 않으면 PCI가 적용되지 않습니다.

PCI 규정 준수는 직불/신용 카드 결제 정보 및 를 저장하는 회사에 적용됩니다. 이러한 지불을 처리하거나 전송하는 회사. 데이터 저장 여부와 관계없이 직불/대변 결제를 수락하면 PCI 규정 준수가 적용됩니다.

저는 소수의 거래만 처리하고 PCI는 대기업에만 적용됩니다.

PCI 규정 준수는 단일 차변/대변 결제라도 저장, 처리 또는 전송하는 모든 회사를 대상으로 합니다. 유일한 면제는 전체 거래 프로세스를 제3자에게 넘긴 기업에 한합니다.

규정 준수를 보고하고 검증한 후 PCI는 끝났습니다.

PCI 규정 준수는 1년에 한 번이 아니라 지속적인 프로세스입니다. 검증은 포괄적인 승인 스탬프가 아니라 적시에 스냅샷으로 간주되어야 합니다. 연례 평가에서 검증을 받았지만 나중에 규정 준수 실패로 인해 보안 위반을 경험한 회사를 찾는 것이 일반적입니다.

다른 판매자는 벌금이 부과되지 않았고, 내가 규정을 준수하지 않더라도 벌금은 큰 문제가 아닙니다.

미준수에 대한 벌금은 월 $5,000에서 $100,000에 이르는 막대한 금액입니다. 기업은 규정 준수가 입증되고 확인될 때까지 차변/대변 결제를 모두 처리할 권리를 상실할 수도 있습니다.

ASV 스캔을 통과했으므로 무승부입니다.

ASV 스캔은 지속적인 프로세스의 한 단계일 뿐입니다. 규정 준수를 유지하기 위한 지속적인 노력의 일환으로 이들을 단일 도구로 생각하십시오.