PCI 규정 준수 체크리스트: 모든 전자상거래 기업이 알아야 할 사항

우리는 매일 새로운 데이터 침해에 대해 듣는 것 같습니다. 2020년 한 해에만 J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon 및 Staples와 같은 주요 기업은 모두 데이터 유출을 경험하여 막대한 비용과 고객 신뢰를 손상시켰습니다.

"대기업에게만 발생하는 일"이라고 생각하기 쉽지만 사실은 침해의 90% 가 중소기업에 영향을 미칩니다. 이러한 이유로 온라인으로 신용 카드 또는 직불 카드 결제를 처리하는 전자 상거래 소매업체는 거의 모든 것입니다! – PCI를 준수해야 합니다. PCI 규정 준수란 무엇이며 비즈니스에 어떤 도움이 됩니까? 뛰어들자!

PCI 규정 준수란 무엇입니까?

PCI는 "Payment Card Industry"의 약자입니다. "Payment Card Industry Data Security Standard"를 의미하는 PCI DSS로 볼 수도 있습니다. 어느 쪽이든 PCI 규정 준수 정의는 "신용 카드 정보를 처리, 저장 또는 전송하는 모든 회사가 안전한 환경을 유지하도록 하기 위한 일련의 요구 사항"입니다.

PCI 규정 준수는 Visa, MasterCard, American Express, Discover 및 JCB의 지불 카드 업계 리더로 구성된 독립 기구인 PCI SSC(PCI Security Standards Council) 에 의해 2006년에 개발되었습니다. 카드 준수”). 그들의 목표는 지불 네트워크, 프로세서, 금융 기관, 고객 및 비즈니스를 포함하여 지불 거래에 관련된 모든 당사자를 보호하는 것입니다.

PCI 규정 준수가 중요한 이유는 무엇입니까?

PCI 준수는 법적 요구 사항이 아닙니다. 그러나 PCI 프로토콜을 따르지 않으면 전자 상거래 소매업체가 법적 문제에 빠질 수 있습니다. 어떻게? 비즈니스에서 데이터 침해가 발생하고 조사 결과 프로세스가 PCI를 준수하지 않은 것으로 밝혀지면 수천 달러의 정부 및 지불 카드 발급사 벌금 및 수수료가 부과될 수 있으며 실패로 인해 소송 및 보험 청구가 제기될 수 있습니다. PCI 표준을 준수합니다. 또한 고객 신뢰, 소중한 직원, 지불 카드 승인 기능(온라인 소매업체의 경우 죽음의 신호)을 잃게 되며 규정 준수 비용이 더 많이 소요될 수 있습니다.

따라서 단순히 PCI를 준수하지 않는다는 이유로 처벌을 받을 수는 없지만 준수하지 않을 경우 발생하는 모든 위반에 대해 책임을 질 수 있습니다. 그리고 앞서 언급한 바와 같이 침해의 90%는 소규모 기업에 영향을 미치므로 후회하는 것보다 안전한 것이 좋습니다.

사이버 범죄자들이 중소기업을 노리는 이유가 궁금할 것입니다. 결국, 튀길 훨씬 더 큰 물고기가 있습니다! 음, 사이버 범죄자들은 ​​중소기업을 손쉬운 먹잇감으로 봅니다. 그들은 대부분의 대형 소매업체가 PCI를 준수하므로 덜 취약하다는 것을 알고 있습니다. 그러나 그들은 많은 중소기업이 PCI를 준수하기 위해 필요한 조치를 취하지 않아 쉽게 낙인이 찍힐 수 있다고 장담하고 있습니다.

PCI 규정 준수가 방지하는 6가지 보안 침해 유형

사이버 범죄자들은 ​​보호에도 불구하고 항상 방법을 찾고 있지만(그들이 하는 일입니다) PCI 규정 준수는 다음 6가지 유형의 보안 재해 로부터 보호하기 위해 많은 일을 할 수 있습니다.

1. 멀웨어. 범죄자는 악성 소프트웨어를 사용하여 컴퓨터 시스템에 침투하고 결제 데이터를 훔칩니다. 해커가 비트코인의 대가로 데이터 "인질"을 보유하는 랜섬웨어 는 가장 빠르게 성장하는 멀웨어 형태 중 하나입니다.
2. 피싱. 맬웨어, 피싱 이메일(예: 송장 또는 최고 경영진의 정보 요청)을 위한 일반적인 전달 수단은 사람들이 열어보라고 설득하는 데 합법적인 것처럼 보입니다. 그러나 여기에는 컴퓨터와 전체 시스템을 감염시킬 수 있는 악성 링크나 첨부 파일이 포함되어 있습니다.
3. 원격 액세스. 예를 들어 결제 단말기 공급업체가 사용하는 약한 원격 액세스 제어를 통해 사이버 범죄자는 결제 데이터를 저장, 처리 또는 전송하는 시스템에 액세스할 수 있습니다.
4. 약한 암호 . 오늘날 암호가 다른 대소문자, 숫자 및 특수 기호를 요구하는 데는 이유가 있습니다. 데이터 침해의 80% 이상이 도난당한/또는 취약한 암호와 관련이 있습니다.
5. 오래된 소프트웨어. 오래된 소프트웨어의 결함은 종종 "패치되지 않은" 상태가 되어 사이버 범죄자가 쉽게 침투할 수 있습니다.
6. 스키밍. 이는 실제 매장 위치에만 적용되지만 스키밍은 범죄자가 카드 리더기에 소형 하드웨어 "스키밍 장치"를 부착하여 결제 카드를 사용할 때 고객 결제 데이터를 훔치는 경우입니다. 그런 다음 위조 카드를 만들어 불법 구매를 할 수 있습니다.

4가지 PCI 규정 준수 수준

귀하의 중소기업이 Amazon과 같은 수십억 달러 규모의 회사와 동일한 PCI 표준을 준수하는 것이 불공평하다고 생각하십니까? 좋은 소식은 그렇지 않다는 것입니다! 4가지 PCI 규정 준수 수준이 있으며 이는 매년 비즈니스에서 처리하는 트랜잭션 수에 따라 결정됩니다.

• 레벨 1: 연간 600만 건 이상의 카드 거래를 처리하는 가맹점.
• 레벨 2: 연간 100만~600만 건의 거래를 처리하는 가맹점.
• 레벨 3: 연간 20,000~100만 건의 거래를 처리하는 판매자.
• 레벨 4: 연간 20,000개 미만의 거래를 처리하는 판매자.

PCI SSC는 또한 웹사이트에서 귀하의 비즈니스에 적용할 PCI 데이터 보안 표준 요구 사항을 결정하는 데 도움이 되는 간단한 자체 평가 설문지를 제공합니다.

이 PCI 규정 준수 체크리스트를 사용하여 스타트업 및 소규모 전자상거래 기업이 준비하는 방법

다음은 비즈니스와 고객을 보호하기 위해 PCI 규정 준수 수준을 높일 수 있는 방법입니다. 이것을 "PCI 규정 준수 체크리스트"라고 생각하십시오. 모든 12가지 PCI 규정 준수 요구 사항은 원칙과 관련되며 이러한 원칙은 다음과 같습니다.

• 보안 네트워크 구축 및 유지
• 카드 소지자 데이터 보호
• 취약점 관리 프로그램 유지
• 강력한 액세스 제어 조치 구현
• 정기적으로 네트워크 모니터링 및 테스트
• 정보 보안 정책 유지

1. 방화벽 사용 및 유지 관리

사이버 범죄자 또는 기타 알 수 없는 행위자가 악의적이든 아니든 시스템의 개인 데이터에 액세스하려고 하면 방화벽이 기본적으로 해당 데이터가 들어가는 것을 차단합니다. 물론 방화벽은 뚫을 수 없으며 취약점이 발견될 수 있지만(이 때문에 업데이트를 통해 방화벽을 유지 관리하는 것이 중요함) 첫 번째 방어선이 좋습니다.

2. 적절한 암호 보호 사용

타사 소프트웨어 및 하드웨어에는 사이버 범죄자가 쉽게 액세스할 수 있는 일반 암호와 기본 보안 조치가 함께 제공되는 경우가 많습니다. PCI를 준수하려면 이러한 암호를 변경하고 기본 구성을 조정해야 하며 암호 또는 기타 액세스 수단이 필요한 모든 장치 목록을 유지해야 합니다.

3. 저장된 카드 소유자 데이터 보호

카드 소지자 데이터는 법률, 규제 또는 비즈니스 요구 사항에 필요한 경우가 아니면 거래를 완료하는 데 걸리는 시간을 초과하여 저장해서는 안 됩니다. 스토리지가 필요한 경우 기업은 스토리지 및 보존 시간을 최소한으로 제한하고 최소한 분기마다 데이터를 삭제해야 합니다. PCI 규정 준수는 또한 기본 계정 번호(PAN)가 어떻게 표시되어야 하는지를 설명합니다(예: 처음 6자리와 마지막 4자리만 표시).

4. 전송 데이터 암호화

카드 소지자 데이터가 공용 네트워크를 통해 전송되면 사이버 범죄자가 이를 가로챌 수 있는 절호의 기회입니다. 이 PCI 요구 사항은 카드 소지자 데이터가 이러한 알려진 위치로 전송될 때마다 암호화되어야 하며 알 수 없는 위치로 전송되어서는 안 된다고 명시하고 있습니다.

5. 바이러스 백신 소프트웨어 사용 및 유지 관리

PAN과 상호 작용하거나 PAN을 저장하는 모든 장치에는 McAfee 또는 Norton과 같은 바이러스 백신 소프트웨어가 필요합니다. 방화벽과 마찬가지로 이 소프트웨어는 취약점을 패치할 수 있도록 정기적으로 업데이트해야 합니다. PC의 2021년 최고의 안티바이러스 소프트웨어 목록 을 확인하십시오.

6. 보안 시스템 및 애플리케이션 유지

전자 상거래 기업은 소프트웨어 공급업체와 협력하여 보안 패치를 최신 상태로 유지하고 쉽게 액세스하고 실행할 수 있도록 소프트웨어 보안을 유지해야 합니다. 기업은 적시에 중요한 패치를 배포하는 것 외에도 새로운 취약점을 발견하고 순위를 매기는 프로세스를 만들어야 합니다. 이러한 업데이트는 카드 소지자 데이터와 상호 작용하거나 카드 소유자 데이터를 저장하는 장치의 모든 소프트웨어에 특히 중요합니다.

7. 카드 소지자 데이터 액세스 제한

카드 소지자 데이터는 매우 민감한 정보이므로 반드시 알아야 하는 상담원만 볼 수 있습니다. 대부분의 직원과 제3자는 이 정보에 액세스할 필요가 없으므로 제한되어야 합니다. 이 데이터에 액세스해야 하는 역할은 고도로 문서화되고 정기적으로 업데이트되어야 합니다.

8. 액세스를 위한 고유 ID 할당

카드 소지자 데이터에 대한 단일 로그인 사용자 이름과 비밀번호가 아니라 액세스가 필요한 개인은 개인 자격 증명과 신분증이 있어야 합니다. 이를 통해 누군가가 카드 소지자 데이터에 액세스할 때마다 해당 활동을 알려진 사용자로 추적하거나 최소한 즉시 무단 액세스로 인식할 수 있습니다. 원격 액세스의 경우 추가 보안 계층을 제공하는 2단계 인증 이 필요합니다.

9. 데이터에 대한 물리적 액세스 제한

모든 현장 카드 소지자 데이터는 물리적으로 안전한 위치에 보관되고 모니터링되며 로그가 필요합니다. 속하지 않는 사람을 신속하게 식별하는 절차를 마련해야 합니다. 또한 백업은 안전한 보조 사이트에서 유지 관리해야 합니다. 마지막으로 비즈니스에 더 이상 데이터가 필요하지 않은 경우 해당 데이터를 파기해야 합니다.

10. 네트워크를 정기적으로 감사

PCI 규정 준수를 위해 전자 상거래 기업은 정기적으로 네트워크를 모니터링하고 테스트하여 물리적 또는 무선 취약점이 없는지 확인해야 합니다. 침해가 발생할 경우 이벤트를 재구성하는 기능과 함께 자동화된 감사 추적이 필요합니다. 감사 데이터는 최소 1년 동안 보안 및 유지되어야 합니다.

11. 취약점 스캔 및 테스트

취약점은 사이버 범죄 활동, 오작동, 인적 오류 및 새로운 코드 도입으로 인해 발생합니다. 이는 보안이 유지되는지 확인하기 위해 모든 내부 및 외부 시스템과 프로세스를 분기별로 테스트해야 함을 의미합니다. 기타 진행중인 PCI DSS 요구 사항에는 침투 테스트와 침입 탐지 및 방지 시스템 사용이 포함됩니다. 또한 PCI 준수를 위해 파일 모니터링이 필요하므로 사용자가 무단으로 콘텐츠, 구성 또는 시스템 파일을 수정할 때마다 경고가 발생합니다.

12. 문서 보안 정책

규정 준수를 위해 데이터에 액세스할 수 있는 장비, 소프트웨어 및 직원의 인벤토리를 문서화해야 합니다. 카드 소지자 데이터에 액세스한 로그와 정보가 회사로 유입되는 방식, 저장 위치 및 판매 후 사용 방법도 문서화해야 합니다. 또한 내부 데이터 침해를 방지하기 위해 고용 프로세스의 일부로 보안 인식 이니셔티브를 만들고 예비 직원, 계약자 등을 선별하기 위해 개인 또는 팀을 임명해야 합니다.

PCI 규정 준수를 위한 예산 책정

PCI 규정 준수의 12단계를 달성하고 유지하려면 의심할 여지 없이 비용이 듭니다. 물론, 얼마나 많은 비용이 비즈니스의 규정 준수 수준, 조직의 규모, 회사의 보안 문화, 사용하는 기술 유형, 전담 IT/PCI 전문가를 감당할 수 있는지 여부에 따라 달라집니다.

그러나 데이터 유출이 발생할 경우 규정 미준수의 비용이 너무 클 수 있기 때문에(솔직히 여부는 중요하지 않지만 언제 문제인지는 중요하지 않음) 다른 곳에서 비용을 절감하거나 돈을 모으기 위해 일시적으로 특정 제품의 가격을 책정합니다. 결국 귀하와 귀하의 고객은 안전한 전자 상거래 비즈니스와 마음의 평화를 갖게 될 것입니다.

Fulfillment Lab으로 데이터 보안 문제 줄이기

기술은 전자 상거래 소매업체에 재고 모니터링에서 배송 추적, 지불 처리, 고객 데이터 보안에 이르기까지 많은 이점을 제공합니다. 물론 이러한 시스템을 구입하려면 막대한 재정적 투자가 필요하며 항상 학습 곡선이 있습니다!

14개 국제 시설을 갖춘 전자 상거래 마케팅의 선두 주자인 Fulfillment Lab에 주문 처리를 맡기면 배송에 대한 부담을 덜 수 있습니다. 또한 최첨단 GFS(Global Fulfillment System) 소프트웨어에 액세스할 수 있기 때문에 PCI 규정 준수 문제를 많이 줄일 수 있습니다. 이 보안 시스템을 통해 재고를 모니터링하고, 배송을 추적하고, 포장을 사용자 정의하고, 지불을 처리할 수 있습니다. 자세한 내용은 당사 블로그, 전자상거래 배송을 위해 주문 처리 센터를 사용해야 하는 10가지 이유 를 확인하고 주저하지 말고 당사에 연락하여 자세히 알아보십시오.