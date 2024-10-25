PCI DSS의 최신 버전(v4.0)은 2022년 3월에 발표되었습니다. 여기에는 카드 소유자 데이터 보호를 위한 12가지 요구 사항이 나열되어 있습니다. 조직은 규정 준수를 달성하기 위해 2025년 3월 31일까지 다음과 같은 12가지 요구 사항을 이행해야 합니다.

네트워크 보안 제어 설치 및 유지 관리

네트워크 보안 제어(NSC)에는 방화벽, 가상 디바이스, 컨테이너 시스템, 클라우드 보안 시스템과 시스템 및 데이터에 대한 액세스를 제어하는 기타 기술이 포함될 수 있습니다.

모든 시스템 구성 요소에 보안 구성 적용

공급업체에서 제공하는 기본 비밀번호 및 기타 기본 시스템 설정은 사이버 공격에 취약하므로 사용해서는 안 됩니다.

저장된 카드 소유자 데이터 보호

업무상 필요한 경우가 아니라면 조직은 카드 소유자 데이터를 저장해서는 안 됩니다. 저장한 경우 암호화, 마스킹 또는 다른 방법을 이용해 읽을 수 없도록 만들어야 합니다.

개방형 퍼블릭 네트워크를 통해 전송하는 동안 강력한 암호화로 카드 소유자 데이터 보호

해커가 카드 번호 및 개인 식별 정보(PII)와 같은 민감한 정보에 액세스하는 것을 방지하려면 퍼블릭 네트워크 전송 전이나 전송 중에 데이터를 암호화해야 합니다.

악성 소프트웨어로부터 모든 시스템 및 네트워크 보호

스파이웨어, 키로거, 랜섬웨어, 스크립트 및 기타 바이러스와 같은 멀웨어를 막기 위해 바이러스 백신 소프트웨어 및 기타 방어 기능을 유지 관리합니다.

보안 시스템과 소프트웨어 개발 및 유지 관리

최신 보안 패치를 적용하고 앱 개발 시 보안 관행을 준수하여 데이터 유출 위험을 최소화할 수 있습니다.

비즈니스 요구 사항에 따라 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한

권한이 부여된 사용자가 작업을 수행하는 데 필요한 카드 소유자 정보만 볼 수 있도록 강력한 액세스 제어 조치를 실행합니다.

사용자 식별 및 시스템 구성 요소에 대한 액세스 인증

민감한 시스템 및 데이터에 대한 컴퓨터 액세스 권한이 있는 모든 사용자에게 추적 가능한 인증 데이터가 있는 고유 ID를 할당해야 합니다.

카드 소유자 데이터에 대한 물리적 접근 제한

권한이 없는 사용자가 카드 소유자 데이터가 포함된 하드웨어나 하드 카피를 제거하지 못하도록 시스템에 대한 물리적 접근을 제한해야 합니다.

시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 로깅 및 모니터링

민감한 시스템 및 데이터의 로깅 및 모니터링을 자동화하면 의심스러운 활동을 탐지하고 유출 후 포렌식 분석을 지원하는 데 도움이 될 수 있습니다.

시스템 및 네트워크의 보안을 정기적으로 테스트

사이버 범죄자들은 변화하는 IT 환경에서 지속적으로 새로운 취약점을 찾기 때문에 침투 테스트와 취약점 스캔을 정기적으로 수행해야 합니다.

조직 정책 및 프로그램으로 정보 보안 지원

조직은 위험 식별 및 관리, 지속적인 보안 인식 교육, PCI DSS 규정 준수를 위한 절차가 정리된 포괄적인 정보 보안 정책을 수립해야 합니다.