지불 카드 산업 데이터 보안 표준(PCI DSS)은 카드 소유자의 기본 계좌 번호 (PAN), 이름, 만료 날짜, 서비스 코드 같은 카드 소유자 데이터와 기타 민감한 카드 소유자 정보를 라이프사이클 전반에 걸쳐 보호하기 위해 마련된 일련의 보안 요구 사항입니다.
PCI DSS는 카드 소유자 데이터를 저장, 처리, 전송하는 모든 판매자, 서비스 제공업체 또는 기타 조직과 카드 소유자 데이터를 저장, 처리, 전송하는 시스템에 연결된 모든 조직에 적용됩니다. (이러한 시스템을 카드 소유자 데이터 환경(CDE)이라고 합니다.) PCI DSS에는 조직이 카드 소유자 데이터를 보호하기 위해 구현해야 하는 상세한 보안 제어, 프로세스 및 테스트가 설명되어 있습니다. 이러한 보안 조치는 전자 상거래, POS(Point-of-Sale) 시스템, 무선 핫스팟, 모바일 디바이스, 클라우드 컴퓨팅 및 종이 기반 스토리지 시스템을 포함하여 카드 소유자 데이터 환경 전반의 광범위한 기능 영역에 적용됩니다.
PCI DSS 규정 준수를 위해서는 판매자 및 서비스 제공업체의 연간 보고가 필요하며, CDE에 중대한 변경 사항이 발생한 후에는 추가 보고가 필요합니다. 규정 준수를 검증하기 위해 조직의 보안 태세를 지속적으로 평가하고 보안 정책, 기술 또는 절차의 격차를 해결하기 위한 지속적인 교정이 필요합니다.
조직 및 서비스 제공업체는 공인 보안 평가자(QSA)의 평가를 받고 성공적으로 평가가 완료되면 규정 준수 증명(AOC)을 발급받을 수 있습니다.
PCI DSS의 첫 번째 버전은 2004년 지불 카드 브랜드인 American Express, Discover, JCB International, MasterCard 및 Visa에 의해 발표되었으며, 이들은 표준의 기술 요구 사항을 관리하기 위해 PCI 보안표준위원회(PCI SSC)를 공동으로 설립했습니다. 2020년에 PCI SSC는 UnionPay 은행 카드 협회를 추가했습니다. PCI DSS는 신원 도용, 사기 및 데이터 유출과 같은 지불 카드 데이터에 대한 최신 사이버 보안 위협을 해결하기 위해 주기적으로 업데이트됩니다.
IBM은 PCI DSS 레벨 1 서비스 제공자이며, 클라이언트는 IBM Cloud를 사용하여 PCI-DSS를 준수하는 환경과 애플리케이션을 구축할 수 있습니다.
많은 IBM Cloud 플랫폼 서비스가 공인 보안 평가자(QSA)로부터 PCI DSS 규정 준수 증명(AOC)을 획득했습니다.
PCI DSS의 최신 버전(v4.0)은 2022년 3월에 발표되었습니다. 조직은 규정 준수를 달성하기 위해 2025년 3월 31일까지 다음과 같은 12가지 요구 사항을 이행해야 합니다.
IBM Cloud는 특정 PCI DSS 요구 사항을 충족하고 규제 준수 여정을 신속하게 수행하는 데 도움이 되는 다음과 같은 서비스를 제공합니다.
1. 네트워크 보안 제어 설치 및 유지 관리
IBM Cloud Internet Services(CIS)
IBM Cloud Internet Services는 외부 웹 콘텐츠와 인터넷 애플리케이션이 클라우드에 도달하기까지 업계 최고의 보안과 성능으로 보호합니다.
IBM Cloud Gateway Appliances
게이트웨이 어플라이언스는 네트워크 트래픽에 대한 제어를 강화하고, 네트워크 성능을 가속화하며, 네트워크 보안을 강화할 수 있는 장치입니다.
Fortigate Security Appliance
가상 인프라 내에서 중요한 보안 제어를 구현하여 위험을 줄이는 데 도움이 되는 FortiGate 가상 어플라이언스 페어를 환경에 배포합니다.
Hardware Firewall
서비스 중단 없이 온디맨드 방식으로 프로비저닝되는 필수 보안 계층입니다.
2. 모든 시스템 구성 요소에 보안 구성 적용
IBM Security and Compliance Center
정책을 코드로 정의하고, 안전한 데이터 및 워크로드 배포를 위한 제어를 구현하고, 보안 및 규정 준수 상태를 평가하기 위한 통합 솔루션 제품군입니다.
IBM Security and Compliance Center - Workload Protection
소프트웨어 취약점을 찾아 우선순위를 지정하고, 위협을 탐지 및 대응하고, 구성과 권한 및 규정 준수를 소스에서 실행까지 관리합니다.
3. 저장된 카드 소유자 데이터 보호
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloud 서비스를 사용하면 IBM Cloud 서비스 전반에서 앱의 암호화된 키를 프로비저닝하고 저장할 수 있으므로 한 곳에서 데이터 암호화와 전체 키 수명 주기를 확인하고 관리할 수 있습니다.
IBM Security and Compliance Center - Data Security Broker - Manager
Security and Compliance Center 제품군의 보안 솔루션으로, 중앙 집중식 암호화 정책과 다양한 데이터 소스 전반의 데이터 감사를 제공합니다.
IBM Cloud Hyper Protect Virtual Servers
완전 관리형 기밀 컴퓨팅 컨테이너 런타임으로, 기술 보증이 적용되는 고도로 격리된 환경에서 민감한 컨테이너화된 워크로드를 배포할 수 있습니다.
IBM Cloud Hardware Security Module
변조 방지 하드웨어 장치 내에서 암호화 키를 보다 안전하게 관리, 처리 및 저장하여 암호화 인프라를 보호합니다.
IBM Cloud Storage Services
기존 워크로드 및 클라우드 네이티브 워크로드를 지원하는 동시에 확장 가능하고 보안이 뛰어나며 비용 효율적인 데이터 저장소를 제공합니다. 액세스 오브젝트, 블록 및 파일 스토리지와 같은 서비스를 프로비저닝하고 배포합니다.
IBM Cloud Database Services
인프라 및 데이터베이스 소프트웨어의 배포 및 업데이트, 인프라 운영, 백업을 포함하여 복잡하고 시간이 많이 걸리는 작업에서 개발자와 IT를 해방시킵니다.
4. 개방형 퍼블릭 네트워크를 통해 전송하는 동안 강력한 암호화로 카드 소유자 데이터 보호
5. 악성 소프트웨어로부터 모든 시스템과 네트워크 보호
6. 보안 시스템과 소프트웨어 개발 및 유지 관리
IBM Security and Compliance Center - Workload Protection
소프트웨어 취약점을 찾아 우선순위를 지정하고, 위협을 탐지 및 대응하고, 구성과 권한 및 규정 준수를 소스에서 실행까지 관리합니다.
IBM Cloud Container Registry
컨테이너 이미지를 완전히 관리되는 프라이빗 레지스트리에 저장하고 배포하세요. 프라이빗 이미지를 푸시하여 IBM Cloud Kubernetes Service 및 기타 런타임 환경에서 편리하게 실행할 수 있습니다.
IBM Cloud Continuous Delivery
엔터프라이즈를 지원하는 DevOps를 도입합니다. 앱 배포 작업을 지원하는 보안 툴체인을 만들고 빌드, 테스트, 배포 등을 자동화합니다.
IBM Cloud Kubernetes Service
네이티브 Kubernetes 환경에서 안전한 고가용성 클러스터를 배포합니다.
7. 비즈니스 요구 사항에 따라 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한
IBM Cloud App ID
웹 및 모바일 앱에 간편하게 인증을 추가합니다. 다단계 인증 및 싱글사인온(SSO)과 같은 고급 보안 기능으로 앱을 강화합니다.
IBM Cloud Identity and Access Management(IAM)
IBM Cloud Identity and Access Management 서비스는 IBM Cloud Platform에서 사용자를 안전하게 인증하고 모든 리소스에 대한 액세스를 일관되게 제어합니다.
8. 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
IBM Cloud Secrets Manager
기밀 정보를 동적으로 생성하고 애플리케이션에 임시 제공하면서 단일 위치에서 액세스를 제어할 수 있습니다. 오픈 소스 HashiCorp Vault를 기반으로 구축되었습니다.
9. 카드 소유자 데이터에 대한 물리적 접근 제한
IBM Cloud는 물리적 보안을 강화하기 위해 다음과 같은 몇 가지 조치를 사용합니다.
10. 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 로깅 및 모니터링
IBM Cloud Flow Logs for VPC
가상 프라이빗 클라우드(VPC) 내의 네트워크 인터페이스에서 송수신되는 IP(Internet Protocol) 트래픽에 대한 정보를 수집, 저장 및 표시할 수 있습니다.
IBM QRadar Suite
IBM Security QRadar Suite는 보안 분석가의 경험을 통합하고 전체 인시던트 라이프사이클에서 속도를 촉진하도록 설계된 최신 위협 감지 및 대응 솔루션입니다.
IBM Cloud Logs
IBM Cloud Logs를 통해 로그 관측 가능성을 확보하여 인프라 및 앱 성능을 개선합니다.
IBM Cloud Monitoring
인프라, 클라우드 서비스 및 애플리케이션에 대한 클라우드 모니터링 및 문제 해결을 제공합니다.
11. 시스템 및 네트워크의 보안을 정기적으로 테스트
IBM Security and Compliance Center
정책을 코드로 정의하고, 안전한 데이터 및 워크로드 배포를 위한 제어를 구현하고, 보안 및 규정 준수 상태를 평가하기 위한 통합 솔루션 제품군입니다.
IBM Security and Compliance Center - Workload Protection
소프트웨어 취약점을 찾아 우선순위를 지정하고, 위협을 탐지 및 대응하고, 구성과 권한 및 규정 준수를 소스에서 실행까지 관리합니다.
12. 조직 정책 및 프로그램으로 정보 보안 지원
IBM Security and Compliance Center
정책을 코드로 정의하고, 안전한 데이터 및 워크로드 배포를 위한 제어를 구현하고, 보안 및 규정 준수 상태를 평가하기 위한 통합 솔루션 제품군입니다.
IBM Security and Compliance Center - Workload Protection
소프트웨어 취약점을 찾아 우선순위를 지정하고, 위협을 탐지 및 대응하고, 구성과 권한 및 규정 준수를 소스에서 실행까지 관리합니다.
PCI DSS의 최신 버전(v4.0)은 2022년 3월에 발표되었습니다. 여기에는 카드 소유자 데이터 보호를 위한 12가지 요구 사항이 나열되어 있습니다. 조직은 규정 준수를 달성하기 위해 2025년 3월 31일까지 다음과 같은 12가지 요구 사항을 이행해야 합니다.
네트워크 보안 제어 설치 및 유지 관리
네트워크 보안 제어(NSC)에는 방화벽, 가상 디바이스, 컨테이너 시스템, 클라우드 보안 시스템과 시스템 및 데이터에 대한 액세스를 제어하는 기타 기술이 포함될 수 있습니다.
모든 시스템 구성 요소에 보안 구성 적용
공급업체에서 제공하는 기본 비밀번호 및 기타 기본 시스템 설정은 사이버 공격에 취약하므로 사용해서는 안 됩니다.
저장된 카드 소유자 데이터 보호
업무상 필요한 경우가 아니라면 조직은 카드 소유자 데이터를 저장해서는 안 됩니다. 저장한 경우 암호화, 마스킹 또는 다른 방법을 이용해 읽을 수 없도록 만들어야 합니다.
개방형 퍼블릭 네트워크를 통해 전송하는 동안 강력한 암호화로 카드 소유자 데이터 보호
해커가 카드 번호 및 개인 식별 정보(PII)와 같은 민감한 정보에 액세스하는 것을 방지하려면 퍼블릭 네트워크 전송 전이나 전송 중에 데이터를 암호화해야 합니다.
악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
스파이웨어, 키로거, 랜섬웨어, 스크립트 및 기타 바이러스와 같은 멀웨어를 막기 위해 바이러스 백신 소프트웨어 및 기타 방어 기능을 유지 관리합니다.
보안 시스템과 소프트웨어 개발 및 유지 관리
최신 보안 패치를 적용하고 앱 개발 시 보안 관행을 준수하여 데이터 유출 위험을 최소화할 수 있습니다.
비즈니스 요구 사항에 따라 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한
권한이 부여된 사용자가 작업을 수행하는 데 필요한 카드 소유자 정보만 볼 수 있도록 강력한 액세스 제어 조치를 실행합니다.
사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
민감한 시스템 및 데이터에 대한 컴퓨터 액세스 권한이 있는 모든 사용자에게 추적 가능한 인증 데이터가 있는 고유 ID를 할당해야 합니다.
카드 소유자 데이터에 대한 물리적 접근 제한
권한이 없는 사용자가 카드 소유자 데이터가 포함된 하드웨어나 하드 카피를 제거하지 못하도록 시스템에 대한 물리적 접근을 제한해야 합니다.
시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 로깅 및 모니터링
민감한 시스템 및 데이터의 로깅 및 모니터링을 자동화하면 의심스러운 활동을 탐지하고 유출 후 포렌식 분석을 지원하는 데 도움이 될 수 있습니다.
시스템 및 네트워크의 보안을 정기적으로 테스트
사이버 범죄자들은 변화하는 IT 환경에서 지속적으로 새로운 취약점을 찾기 때문에 침투 테스트와 취약점 스캔을 정기적으로 수행해야 합니다.
조직 정책 및 프로그램으로 정보 보안 지원
조직은 위험 식별 및 관리, 지속적인 보안 인식 교육, PCI DSS 규정 준수를 위한 절차가 정리된 포괄적인 정보 보안 정책을 수립해야 합니다.
PCI DSS가 적용되는 조직은 매년 규정 준수를 문서화해야 합니다. 대규모 조직은 상세한 규정 준수 보고서(ROC) 및 규정 준수 증명(AOC)을 제출해야 합니다. ROC 및 AOC 문서 모두 PCI 보안표준위원회의 인증을 받은 공인 보안 평가자(QSA)가 작성하고 서명해야 합니다. 중소 조직은 자체 평가 설문지(SAQ)를 작성하여 규정 준수를 검증할 수 있습니다.
조직에서 인터넷을 통해 카드 소유자 데이터를 전송하는 경우 보안 네트워크를 유지하기 위해 취약점 관리를 구현해야 할 수도 있습니다. 규정 준수를 위해 PCI SSC에서 인증한 승인된 스캔 공급업체(ASV)가 분기별 취약점 스캔을 수행하여 네트워크 보안을 테스트해야 합니다.
PCI DSS에 대한 보고 요구 사항은 조직에서 매년 처리하는 거래 수에 따라 다릅니다. 네 가지 규정 준수 레벨이 있습니다.
레벨 1
연간 600만 건을 초과하는 지불 카드 거래. 공인 보안 평가자가 작성한 규정 준수 보고서를 제출해야 합니다. 승인된 스캔 공급업체가 분기별 네트워크 취약점 스캔을 수행해야 합니다.
레벨 2
연간 100만~600만 건의 지불 카드 거래. 자체 평가 설문지를 작성해야 하며 분기별 네트워크 취약점 스캔을 수행해야 할 수도 있습니다.
레벨 3
연간 2만~100만 건의 지불 카드 거래. 자체 평가 설문지를 작성해야 하며 분기별 네트워크 취약점 스캔을 수행해야 할 수도 있습니다.
레벨 4
연간 2만 건 미만의 카드 거래. 자체 평가 설문지를 작성해야 하며 분기별 네트워크 취약점 스캔을 수행해야 할 수도 있습니다.
판매자와 지불 서비스 제공업체는 PCI DSS를 준수해야 하지만 법률, 정부 또는 PCI 보안표준위원회에서 이를 준수하도록 강제하지는 않습니다. 대신, Visa 또는 MasterCard와 같은 신용카드 회사와 카드 결제를 처리하는 은행 또는 금융 기관인 매입사에서 규정 준수를 관리합니다.
카드 소유자 데이터를 처리하거나 저장하는 조직은 일 년에 한 번 PCI DSS를 준수하는지 검증해야 합니다. 조직이 결제 처리를 아웃소싱하는 경우에도 신용카드 거래가 PCI DSS 표준의 요구 사항에 따라 보호된다는 것을 확인해야 합니다.
PCI DSS 미준수에 대한 벌금은 지불 카드 브랜드에서 설정하며 브랜드, 판매자 또는 서비스 제공업체, 관련된 은행 또는 기타 금융 기관이 협의합니다. 지불 카드 브랜드는 벌금 또는 수수료 목록을 게시하지 않으며 대체로 벌금 정보를 대중에게 공개하지 않습니다.
일반적으로 규정 미준수에 대한 벌금은 규정 미준수 첫 3개월 동안 미화 5,000~10,000달러, 6개월 동안 규정을 준수하지 않은 후에는 매월 미화 50,000~100,000달러로 다양합니다. 데이터 유출이 발생할 경우, 규정을 준수하지 않는 판매자 또는 서비스 제공업체는 고객 한 명당 미화 50~90달러, 최대 500,000달러까지 추가로 벌금을 물게 될 수 있습니다.
지불 카드 브랜드는 재량에 따라 훨씬 더 높은 벌금을 산정할 수 있으며, 조직의 PCI DSS 미준수, 특히 데이터 유출로 이어지는 미준수에 대해 최종 협의된 벌금은 조사, 정부 청구, 집단 소송 등의 비용을 충당하기 위해 수백만 또는 수억 달러에 달할 수 있습니다.
조직이 규정을 준수하지 않을 경우 벌금이 부과될 뿐 아니라 지불 카드 거래를 처리하는 것이 금지될 수 있습니다.
민감한 데이터 보호
카드 소유자 데이터와 관련된 데이터 유출은 심각한 결과를 초래합니다. 벌금, 법적 처벌 및 평판 훼손 외에도 기존 고객과 잠재 고객을 모두 잃는 결과를 낳을 수 있습니다. PCI DSS의 요구 사항은 민감한 데이터의 도난을 방지하는 데 도움이 됩니다.
고객의 신뢰도 향상
사기 및 신원 도용이 헤드라인에 자주 등장하기 때문에 소비자는 민감한 신용카드 정보를 소매업체에 제공하는 데 거부감을 느낄 수 있습니다. PCI DSS 규정 준수를 통해 고객은 자신의 데이터가 보호되고 있다는 믿음을 갖게 되어 더 안심하고 구매할 수 있습니다.
광범위한 규정 준수 지원
PCI DSS가 법적 의무 사항은 아니지만 PCI DSS를 통해 적용되는 보안 제어는 조직이 정부 규정을 준수하는 데 도움이 될 수 있습니다. PCI DSS 중 일부는 1996년 건강 보험 양도 및 책임에 관한 법률(HIPAA), 사베인즈-옥슬리법(Sarbanes Oxley Act) 및 일반 데이터 보호 규정(GDPR)과 같은 데이터 보호법을 보완합니다.
하이브리드 멀티클라우드 환경 전반에서 통합 보안과 규정 준수를 보장하고 위험을 파악할 수 있습니다.
저렴한 비용으로 확장 가능한 인프라를 구축하고 새로운 애플리케이션을 즉시 배포하고 수요에 따라 미션 크리티컬하고 민감한 워크로드를 확장할 수 있으며, 이 모든 작업을 보안이 강화된 플랫폼 내에서 수행할 수 있습니다.