맨위로가기

지불 카드 산업 데이터 보안 표준

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

지불 카드 산업 데이터 보안 표준(PCI DSS)은 신용카드, 직불카드 등 카드 결제 정보의 보안을 위해 제정된 산업 표준이다. 2004년 주요 카드 회사들이 공동으로 발표하고 2006년 지불 카드 산업 보안 표준 위원회(PCI SSC)가 설립되어 관리하고 있다. PCI DSS는 카드 소지자 데이터를 안전하게 처리하기 위한 12가지 주요 요건을 제시하며, 준수 여부는 외부 기관 또는 자체 평가를 통해 검증된다. 대한민국에서도 PCI DSS 준수의 중요성이 강조되지만, 비용 부담, 국내 환경 적용의 어려움, 법률 간 중복 등의 논란이 존재한다. 비판과 함께 IT 보안에 대한 기업의 관심을 높이는 효과가 있다는 옹호론도 있다.

더 읽어볼만한 페이지

  • 지불카드 - 체크카드
    체크카드는 은행 계좌와 연결되어 예금 잔액 내에서 신용카드 가맹점에서 결제 가능한 카드로, 대한민국에서 2000년대 초반부터 발급이 확대되었으며 소득공제 혜택과 소비 통제에 유용하지만 할부 거래 제한 및 은행 전산 점검 시간에는 사용이 불가능하다.
  • 지불카드 - 선불카드
    선불카드는 미리 금액을 충전하여 사용하는 카드로, 대중교통, 통화, 소액결제 등에 사용되며, 익명성으로 인해 돈세탁에 악용될 가능성이 있어 규제 강화가 요구된다.
  • 정보 프라이버시 - 비식별화
    비식별화는 개인정보 보호를 위해 식별 가능 정보를 제거 및 변경하는 과정으로, 데이터 유용성을 유지하면서 필요시 복원 가능하다는 점에서 익명화와 구별되며, 재식별 가능성 및 기술적 한계에 대한 논의가 지속되고 있다.
  • 정보 프라이버시 - 일반 데이터 보호 규칙
    일반 데이터 보호 규칙(GDPR)은 개인 정보 보호를 강화하고 EU 역내 규제를 통합하기 위해 2018년 5월 25일부터 EU 27개 회원국에 시행된 법규이다.
  • 기술법 - 인공지능 규제
    인공지능 규제는 인공지능 기술 발전으로 인한 사회적, 윤리적 문제에 대응하기 위한 법적, 정책적 움직임이며, 국가별로 인식 차이를 보이며 완전 자율 무기 규제 등 다양한 쟁점을 포함한다.
  • 기술법 - 일반 데이터 보호 규칙
    일반 데이터 보호 규칙(GDPR)은 개인 정보 보호를 강화하고 EU 역내 규제를 통합하기 위해 2018년 5월 25일부터 EU 27개 회원국에 시행된 법규이다.
지불 카드 산업 데이터 보안 표준
개요
이름지불 카드 산업 데이터 보안 표준
영어 명칭Payment Card Industry Data Security Standard
약칭PCI DSS
설명신용 카드 정보를 안전하게 처리하기 위한 보안 표준
상세 내용
개발 주체주요 지불 카드 회사 (비자, 마스터카드, 아메리칸 익스프레스, 디스커버, JCB)
목적신용 카드 데이터 도난 방지 및 고객 정보 보호
적용 대상신용 카드 정보를 처리, 저장, 전송하는 모든 조직
요구 사항12가지 주요 요구 사항 및 하위 요구 사항 (세부 사항은 본문 참조)
최신 버전4.0
이전 버전3.2.1
규정 준수 방법자체 평가 설문지 (SAQ) 또는 현장 감사
규정 위반 시 제재벌금, 카드 처리 권한 정지 등
특징전 세계적으로 인정받는 표준
정기적인 업데이트를 통해 변화하는 위협에 대응
기업의 규모와 거래량에 따라 준수 수준이 다름
주요 요구 사항
요구 사항 1카드 소지자 데이터를 보호하기 위해 방화벽을 설치하고 유지 관리하십시오.
요구 사항 2벤더에서 제공하는 시스템 기본값 및 기타 보안 매개변수를 적용하십시오.
요구 사항 3저장된 카드 소지자 데이터를 보호하십시오.
요구 사항 4공개 네트워크를 통해 카드 소지자 데이터를 전송할 때 암호화하십시오.
요구 사항 5안티바이러스 소프트웨어를 사용하고 정기적으로 업데이트하십시오.
요구 사항 6보안 시스템 및 응용 프로그램을 개발하고 유지 관리하십시오.
요구 사항 7카드 소지자 데이터에 대한 액세스를 비즈니스에 필요한 사람으로 제한하십시오.
요구 사항 8각 컴퓨터 액세스 권한이 있는 사람에게 고유한 ID를 할당하십시오.
요구 사항 9카드 소지자 데이터에 대한 물리적 액세스를 제한하십시오.
요구 사항 10네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링하십시오.
요구 사항 11보안 시스템 및 프로세스를 정기적으로 테스트하십시오.
요구 사항 12정보 보안 정책을 유지 관리하십시오.
버전 정보
버전 3.2.12018년 5월에 발표
버전 4.02022년 3월에 발표, 2024년 3월 31일까지 이전 버전 사용 가능, 2025년 3월 31일부터는 버전 4.0만 사용 가능
추가 정보
관련 법규개인 정보 보호법, 전자 금융 거래법 등
참고 자료PCI 보안 표준 협의회 공식 웹사이트
PCI DSS Version 4.0 변경점

2. 역사

신용카드, 직불 카드, 선불 카드 등 카드 결제는 편리성으로 인해 상점 및 웹 결제에서 사용 비율이 높아지면서, 방대한 카드 정보 관리가 필요하게 되었다. 카드 결제 관련 시스템 및 네트워크 보안 침해로 카드 이용자, 결제 상점, 카드 발행 회사가 손해를 입는 상황이 확산되자, 주요 카드사들은 자체적인 보안 대책을 개발해 가맹점에 준수를 촉구했다. 그러나 각 카드사가 독자적으로 지시했기 때문에 대응이 통일되지 않아 큰 성과를 거두지 못했다. 이후, 증가하는 보안 위험에 대한 우려를 불식시키기 위해 2004년 12월, 주요 카드 회사가 공동으로 PCI 데이터 보안 표준을 발표하고, 2006년에는 지불 카드 산업 보안 표준 위원회(PCI SSC)를 설립했다.

2. 1. 제정 배경

초기에 비자, 마스터카드, 아메리칸 익스프레스, 디스커버, JCB 등 5개의 주요 카드사들은 각자 다른 보안 프로그램을 운영했다. 비자는 카드 소지자 정보 보안 프로그램, 마스터카드는 사이트 데이터 보호, 아메리칸 익스프레스는 데이터 보안 운영 정책, 디스커버는 정보 보안 및 규정 준수, JCB는 데이터 보안 프로그램을 운영했다.[2] 각 프로그램의 목적은 가맹점이 카드 소지자 데이터를 안전하게 처리하도록 하여 카드 발급사에 추가적인 보호를 제공하는 것이었다.[2]

그러나 카드사별로 다른 표준을 적용하면서 발생하는 혼란과 비효율성을 해결하기 위해, 2004년 12월에 이들 카드사들이 공동으로 PCI DSS 1.0 버전을 발표했다.[2] 이후 지불 카드 산업 보안 표준 위원회(PCI SSC)가 설립되어, 이들 회사는 정책을 조정하여 PCI DSS를 만들었다.[2]

2. 2. PCI SSC 설립

마스터카드, 아메리칸 익스프레스, 비자, JCB 인터내셔널, 디스커버 파이낸셜 서비스는 2006년 9월에 지불 카드 산업 보안 표준 위원회(PCI SSC)를 설립했다.[3] 이는 지불 카드 산업 데이터 보안 표준(PCI DSS)의 발전과 개발을 관리하는 행정 및 지배 기구 역할을 한다. PCI SSC는 독립적인 민간 기관으로, 등록 후 PCI 개발에 참여할 수 있다. 각 참여 기관은 특별 관심 그룹(SIG)에 가입하여 그룹이 지시하는 활동에 기여할 수 있다.[4] PCI SSC는 PCI 관련 기준 제정·유지, 평가 절차 확립, 인증 심사 회사 교육·시험 등을 실시한다.

2. 3. 버전 업데이트

지불 카드 산업 보안 표준 위원회(PCI SSC)는 변화하는 보안 위협과 기술 환경에 대응하기 위해 PCI DSS를 지속적으로 업데이트해 왔다. 주요 카드 브랜드들은 각자 다른 보안 프로그램을 운영했었다.

카드 브랜드보안 프로그램
비자카드홀더 정보 보안 프로그램
마스터카드사이트 데이터 보호
아메리칸 엑스프레스데이터 보안 운영 정책
디스커버정보 보안 및 준수
JCB데이터 보안 프로그램



이러한 프로그램들의 상호 운용성 문제를 해결하기 위해, 주요 신용 카드 기관들의 공동 노력으로 2004년 12월에 PCI DSS 1.0 버전이 출시되었다.[2] 이후 PCI SSC가 설립되어, 2006년 9월에 마스터카드, 아메리칸 엑스프레스, 비자, JCB 인터내셔널 및 디스커버 파이낸셜 서비스는 PCI DSS의 개발을 관리하는 기구로 PCI SSC를 설립했다.[3]

PCI DSS의 버전 업데이트 내역은 다음과 같다.[4]

버전날짜비고
1.02004년 12월 15일
1.12006년 9월명확화 및 사소한 개정
1.22008년 10월명확성 향상, 유연성 개선, 진화하는 위험 및 위협 해결
1.2.12009년 7월표준과 지원 문서 간의 명확성과 일관성을 높이기 위한 사소한 수정
2.02010년 10월
3.02013년 11월2014년 1월 1일부터 2015년 6월 30일까지 유효
3.12015년 4월2016년 10월 31일부터 폐지
3.22016년 4월2018년 12월 31일부터 폐지
3.2.12018년 5월2024년 3월 31일부터 폐지
4.02022년 3월업데이트된 방화벽 용어, 다단계 인증(MFA) 구현을 위한 요구 사항 8의 확장, 보안 입증 유연성 증가, 위험 노출 운영 및 관리를 설정하기 위한 목표 위험 분석[5]


3. 주요 요건

지불 카드 산업 데이터 보안 표준(PCI DSS)은 카드 소지자 데이터를 보호하기 위해 12가지 주요 요구 사항을 제시하며, 이들은 6개의 관련 그룹으로 구성된다. 각 요구 사항과 하위 요구 사항은 'PCI DSS 요구 사항', '테스트', '지침'의 세 섹션으로 나뉜다.[1]

PCI DSS 버전 3.2.1의 12가지 요구사항은 다음과 같다.[1]


  • 네트워크 및 시스템의 안전한 구성, 방화벽 시스템 설치 및 유지 관리
  • 시스템 기본 비밀번호 변경
  • 보유하는 카드 데이터 보호
  • 전송하는 카드 데이터 암호화
  • 시스템 및 안티 바이러스 소프트웨어 업데이트
  • 안전한 시스템 개발 및 유지보수
  • 카드 데이터의 이용 목적 제한
  • 시스템 접근 제한
  • 카드 데이터 접근 제한
  • 시스템 및 카드 데이터 접근 로그 감시
  • 시스템 및 절차의 정기적인 확인
  • 담당자의 정보 보안 방침 철저 준수

3. 1. 6가지 요구 사항 그룹

PCI DSS는 준수를 위해 12가지 요구 사항을 가지고 있으며, 이는 다음과 같은 6개의 관련 그룹으로 구성된다.

1. 안전한 네트워크 및 시스템 구축 및 유지 관리

2. 카드 소유자 데이터 보호

3. 취약점 관리 프로그램 유지

4. 강력한 접근 통제 조치 구현

5. 정기적인 네트워크 모니터링 및 테스트

6. 정보 보안 정책 유지 관리

각 PCI DSS 버전은 이 6가지 요구 사항 그룹을 다르게 나누었지만, 12가지 요구 사항은 표준이 제정된 이후로 변경되지 않았다. 각 요구 사항과 하위 요구 사항은 다음 세 섹션으로 나뉜다.

1. PCI DSS 요구 사항: 요구 사항을 정의한다. PCI DSS 승인은 요구 사항이 구현될 때 이루어진다.

2. 테스트: 적절한 구현을 확인하기 위해 평가자가 수행하는 프로세스 및 방법론.

3. 지침: 요구 사항의 목적과 해당 콘텐츠를 설명하며, 적절한 정의에 도움이 될 수 있다.

PCI DSS 버전 3.2.1에서 12가지 요구 사항은 다음과 같다.

1. 카드 소유자 데이터를 보호하기 위해 방화벽 시스템을 설치하고 유지 관리한다.

2. 시스템 비밀번호 및 기타 보안 매개변수에 대해 벤더가 제공하는 기본값을 사용하지 않도록 한다.

3. 저장된 카드 소유자 데이터를 보호한다.

4. 공개된 공용 네트워크에서 카드 소유자 데이터의 전송을 암호화한다.

5. 모든 시스템을 멀웨어로부터 보호하고, 안티 바이러스 소프트웨어 또는 프로그램을 업데이트한다.

6. 안전한 시스템 및 애플리케이션을 개발하고 유지 관리한다.

7. 업무상 알 권리에 따라 카드 소유자 데이터에 대한 접근을 제한한다.

8. 시스템 구성 요소에 대한 접근을 식별하고 인증한다.

9. 카드 소유자 데이터에 대한 물리적 접근을 제한한다.

10. 네트워크 리소스 및 카드 소유자 데이터에 대한 접근을 추적하고 모니터링한다.

11. 정기적으로 보안 시스템 및 프로세스를 테스트한다.

12. 모든 직원을 위한 정보 보안을 다루는 정보 보안 정책을 유지 관리한다.

3. 2. 12가지 요구 사항 (PCI DSS 버전 3.2.1 기준)

PCI DSS는 준수를 위해 12가지 요구 사항을 가지고 있으며, 이는 다음과 같은 6개의 관련 그룹으로 구성된다.

  • 안전한 네트워크 및 시스템 구축 및 유지 관리
  • 카드 소유자 데이터 보호
  • 취약점 관리 프로그램 유지
  • 강력한 접근 통제 조치 구현
  • 정기적인 네트워크 모니터링 및 테스트
  • 정보 보안 정책 유지 관리


각 PCI DSS 버전은 이 6가지 요구 사항 그룹을 다르게 나누었지만, 12가지 요구 사항은 표준이 제정된 이후로 변경되지 않았다.

PCI DSS 버전 3.2.1에서 12가지 요구 사항은 다음과 같다.

1. 카드 소유자 데이터를 보호하기 위해 방화벽 시스템을 설치하고 유지 관리한다.

2. 시스템 비밀번호 및 기타 보안 매개변수에 대해 벤더가 제공하는 기본값을 사용하지 않도록 한다.

3. 저장된 카드 소유자 데이터를 보호한다.

4. 공개된 공용 네트워크에서 카드 소유자 데이터의 전송을 암호화한다.

5. 모든 시스템을 멀웨어로부터 보호하고, 안티 바이러스 소프트웨어 또는 프로그램을 업데이트한다.

6. 안전한 시스템 및 애플리케이션을 개발하고 유지 관리한다.

7. 업무상 알 권리에 따라 카드 소유자 데이터에 대한 접근을 제한한다.

8. 시스템 구성 요소에 대한 접근을 식별하고 인증한다.

9. 카드 소유자 데이터에 대한 물리적 접근을 제한한다.

10. 네트워크 리소스 및 카드 소유자 데이터에 대한 접근을 추적하고 모니터링한다.

11. 정기적으로 보안 시스템 및 프로세스를 테스트한다.

12. 모든 직원을 위한 정보 보안을 다루는 정보 보안 정책을 유지 관리한다.

4. 준수 및 검증

PCI DSS는 카드 소지자 데이터를 처리, 저장 또는 전송하는 모든 주체가 구현해야 하지만, 모든 주체가 PCI DSS 준수 여부를 공식적으로 검증받아야 하는 것은 아니다.

PCI SSC에 의해 인증되는 기관은 다음과 같다.


  • QSA(Qualified Security Assessor): 방문 심사를 실시하여 PCIDSS의 준수 상황을 확인·판정한다.
  • ASV(Approved Scanning Vendors): PCIDSS 요건 11.2에 규정된 취약점 스캔 서비스를 제공하는 벤더이다.
  • PFI(PCI Forensic Investigator): PCIDSS 요건에 규정된 포렌식 조사를 실시하는 인증 단체이다.

4. 1. 준수 대상

비자와 마스터카드는 가맹점과 서비스 제공업체가 PCI DSS에 따라 검증받도록 요구한다. 비자는 자격을 갖춘 가맹점이 연간 PCI DSS 검증 평가를 중단할 수 있도록 하는 기술 혁신 프로그램(TIP)을 제공하는데, 가맹점은 EMV 또는 지점 간 암호화와 같은 사기 방지를 위한 대체 예방 조치를 취하는 경우 자격이 주어진다.

발급 은행은 PCI DSS 검증을 받을 필요는 없지만, PCI DSS를 준수하는 방식으로 민감한 데이터를 보호해야 한다. 매입 은행은 PCI DSS를 준수해야 하며, 감사를 통해 준수 여부를 검증받아야 한다. 보안 침해 시, 침해 당시 PCI DSS를 준수하지 않은 주체는 카드 브랜드 또는 매입 은행으로부터 추가적인 제재(벌금 등)를 받을 수 있다.

PCI DSS는 카드 회원 정보를 저장, 처리 또는 전송하는 모든 회원 기관, 가맹점, 서비스 제공업체에 적용되며, 그중 카드 취급 건수가 많은 사업자는 PCI SSC가 인증하는 심사 기관에 의한 준수성 확인이 필요하다.

4. 2. 검증 방법

준수성 검증은 보안 제어 및 절차가 PCI DSS에 따라 구현되었는지 평가하고 확인하는 과정을 포함한다. 검증은 외부 기관 또는 자체 평가를 통해 연간 평가로 수행된다.[12] PCI DSS는 카드 회원 정보를 저장, 처리 또는 전송하는 모든 회원 기관, 가맹점, 서비스 제공업체에 적용되며, 그중 카드 취급 건수가 많은 사업자는 PCI SSC가 인증하는 심사 기관에 의한 준수성 확인이 필요하다.

PCI SSC에 의해 인증되는 기관은 다음과 같다.

  • QSA(Qualified Security Assessor): 방문 심사를 실시하여 PCIDSS의 준수 상황을 확인·판정한다.
  • ASV(Approved Scanning Vendors): PCIDSS 요건 11.2에 규정된 취약점 스캔 서비스를 제공하는 벤더.
  • PFI(PCI Forensic Investigator): PCIDSS 요건에 규정된 포렌식 조사를 실시하는 인증 단체.

4. 2. 1. 준수 보고서 (ROC, Report on Compliance)

PCI 공인 보안 평가자(QSA)가 수행하며, PCI DSS 표준에 대한 기업의 준수 여부를 독립적으로 검증한다.[1] ROC가 완료되면 ROC 보고 템플릿과 준수 증명서(AOC)가 생성된다.[1]

PCI DSS는 카드 회원 정보를 저장, 처리 또는 전송하는 모든 회원 기관, 가맹점, 서비스 제공업체에 적용되며, 그중 카드 취급 건수가 많은 사업자는 PCI SSC가 인증하는 심사 기관에 의한 준수성 확인이 필요하다.[1]

PCI SSC에 의해 인증되는 기관은 다음과 같다.[1]

기관명설명
QSA (Qualified Security Assessor)방문 심사를 실시하여 PCIDSS의 준수 상황을 확인·판정한다.
ASV (Approved Scanning Vendors)PCIDSS 요건 11.2에 규정된 취약점 스캔 서비스를 제공하는 벤더.
PFI (PCI Forensic Investigator)PCIDSS 요건에 규정된 포렌식 조사를 실시하는 인증 단체.


4. 2. 2. 자체 평가 설문지 (SAQ, Self-Assessment Questionnaire)

PCI DSS 자가 평가 설문지(SAQ, Self-Assessment Questionnaire)는 중소 규모의 가맹점 및 서비스 제공업체가 자체 PCI DSS 규정 준수 상태를 평가하기 위한 검증 도구이다. SAQ에는 여러 유형이 있으며, 각 유형은 사용되는 엔터티 유형과 결제 모델에 따라 그 내용이 달라진다. 각 SAQ 질문에는 예 또는 아니요로 답하며, "아니요" 응답의 경우 엔터티는 향후 구현 사항을 표시해야 한다. ROC와 마찬가지로 SAQ를 기반으로 한 규정 준수 증명서(AOC, Attestation of Compliance)도 작성된다.

4. 3. 보고 수준

PCI DSS 표준의 적용을 받는 기업은 PCI를 준수해야 한다. 이들이 준수 여부를 증명하고 보고하는 방법은 연간 거래 건수와 거래 처리 방식에 따라 결정된다. 매입사 또는 결제 브랜드는 재량에 따라 조직을 보고 수준으로 지정할 수 있다.[9] 가맹점 수준은 다음과 같다.

수준거래 건수
레벨 1연간 6백만 건 이상
레벨 21백만 건 ~ 6백만 건
레벨 32만 건 ~ 1백만 건 및 모든 전자 상거래 가맹점
레벨 42만 건 미만



각 카드 발행사는 준수 수준에 대한 표와 서비스 제공업체에 대한 표를 유지한다.[10][11]

4. 4. 보안 평가사

PCI 보안 표준 위원회는 평가 활동을 수행하기 위해 회사와 개인을 인증하는 프로그램을 운영한다. PCI SSC(Payment Card Industry Security Standards Council)는 PCI 관련 기준 제정 및 유지, 평가 절차 확립, 인증 심사 회사 교육 및 시험 등을 실시한다.

4. 4. 1. 공인 보안 평가사 (QSA, Qualified Security Assessor)

PCI 보안 표준 위원회(PCI Security Standards Council)에서 인증한 개인으로, 다른 법인의 지불 카드 산업 데이터 보안 표준(PCI DSS) 준수 여부를 검증한다. 공인 보안 평가사(QSA)는 PCI 보안 표준 위원회에서 인증을 받은 QSA 회사에 고용되어 후원을 받아야 한다.[1] 카드 취급 건수가 많은 사업자는 PCI SSC가 인증하는 심사 기관을 통해 PCI DSS 준수성을 확인해야 한다.[1]

PCI SSC가 인증하는 기관은 다음과 같다.[1]

기관명설명
QSA (Qualified Security Assessor)방문 심사를 실시하여 PCI DSS 준수 상황을 확인·판정한다.
ASV (Approved Scanning Vendors)PCI DSS 요건 11.2에 규정된 취약점 스캔 서비스를 제공한다.
PFI (PCI Forensic Investigator)PCI DSS 요건에 규정된 포렌식 조사를 실시한다.


4. 4. 2. 내부 보안 평가사 (ISA, Internal Security Assessor)

내부 보안 평가사(ISA)는 PCI 보안 표준 위원회에서 후원하는 기관으로부터 자격증을 취득한 개인으로, 해당 기관에 대한 PCI 자체 평가를 수행할 수 있다. ISA 프로그램은 레벨 2 가맹점이 마스터카드의 규정 준수 유효성 검사 요구 사항을 충족하도록 돕기 위해 설계되었다.[15] ISA 인증을 통해 개인은 소속 기관에 대한 평가를 수행하고 PCI DSS 규정 준수를 위한 보안 솔루션 및 제어를 제안할 수 있다. ISA는 QSA와의 협력 및 참여를 담당한다.[12]

5. 대한민국 현황 및 과제

대한민국은 신용카드 보급률이 높고 온라인 결제 시장이 발달하여 PCI DSS 준수가 매우 중요하다. 그러나 국내에서는 PCI DSS 준수에 대한 인식과 노력이 아직 부족한 상황이다. 특히 중소 가맹점은 보안 투자 여력이 부족하고 전문 인력이 없어 PCI DSS 준수에 어려움을 겪고 있다.

금융 당국은 PCI DSS 준수를 위한 가이드라인을 제공하고 교육 및 홍보 활동을 강화해야 한다. 카드사 및 PG사는 가맹점의 PCI DSS 준수를 지원하기 위한 기술적, 재정적 지원을 확대해야 한다.

더불어민주당은 소상공인 및 중소 가맹점의 PCI DSS 준수 부담을 완화하고, 금융 소비자의 개인 정보 보호를 강화하기 위한 정책 마련에 힘써야 한다.

6. 비판 및 논란

비자마스터카드는 지불 카드 산업 데이터 보안 표준(PCI DSS) 비준수에 대해 벌금을 부과하며, 이는 때때로 논란의 대상이 된다. 일부에서는 PCI DSS가 카드사에 이익을 안겨주는 시스템이며, 고객 카드 데이터 보호에는 실효성이 떨어진다고 비판한다.[21] 마이클스최고 정보 책임자(CIO)인 마이클 존스는 PCI DSS 요구 사항이 구현 비용이 많이 들고, 준수하기 어려우며, 주관적인 해석과 시행이 가능하다는 점을 지적했다.[22]

PCI DSS가 최소 표준으로는 보안 문제를 근절하기에 충분하지 않다는 비판도 있지만, 브루스 슈나이어는 기업이 IT 보안에 더 많은 관심을 기울이도록 하는 효과가 있다는 점을 들어 이 표준에 찬성했다.[23] PCI 위원회 총괄 매니저 밥 루소는 PCI 표준이 구체성과 상위 수준의 개념을 결합한 구조이며, 이해 관계자가 자격을 갖춘 보안 평가자(QSA)와 협력하여 적절한 보안 제어를 결정할 수 있는 유연성을 제공한다고 반박했다.[24]

비자 최고 기업 위험 관리 책임자 엘렌 리치는 2018년에 유출 사고 발생 시점에 PCI DSS를 준수하는 것으로 밝혀진 기관이 없다고 말했다.[25] 실제로 하트랜드 결제 시스템의 2008년 유출 사고로 1억 개의 카드 번호가 유출되었으며, 당시 한나포드 브라더스와 TJX 컴퍼니도 유사한 유출 사고를 겪었는데, 이들 모두 PCI DSS를 준수하는 것으로 검증된 상태였다.[26]

PCI DSS 준수 평가는 특정 시점에 가맹점과 서비스 제공업체의 준수 여부를 조사하며, 일반적으로 대표적인 시스템과 프로세스에 대한 준수를 입증하기 위해 표본 추출을 사용한다. 연간 유효성 검사 및 평가 주기 동안 모든 시스템과 프로세스에 걸쳐 준수를 달성하고, 입증하고, 유지하는 것은 가맹점과 서비스 제공업체의 책임이다.

준수 유효성 검사는 레벨 1~3의 가맹점에만 필요하며, 카드 브랜드 및 인수 은행에 따라 레벨 4에는 선택 사항일 수 있다. 비자의 가맹점 준수 유효성 검사 세부 정보에 따르면, 레벨 4 가맹점 준수 유효성 검사 요구 사항은 인수 은행에서 설정한다. 2005년과 2007년 사이에 발생한 지불 카드 유출 사고의 80% 이상이 레벨 4 가맹점에 영향을 미쳤다.

참조

[1] 웹사이트 Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2.1 May 2018 https://www.pcisecur[...] PCI Security Standards Council, LLC 2018-09-04
[2] 간행물 A Survey of Payment Card Industry Data Security Standard 2010
[3] 웹사이트 About Us https://www.pcisecur[...] 2022-12-15
[4] 웹사이트 Document Library https://www.pcisecur[...] PCI Security Standards Council 2020-11-12
[5] 웹사이트 Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0 https://www.pcisecur[...] PCI Security Standards Council 2022-04-08
[6] 웹사이트 PCI DSS Quick Reference Guide https://www.pcisecur[...] 2020-11-12
[7] 웹사이트 Information Supplement: PCI DSS Wireless Guidelines https://www.pcisecur[...] 2018-08-08
[8] 웹사이트 PCI DSS v4.0 Resource Hub https://blog.pcisecu[...] 2023-03-24
[9] 웹사이트 Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards https://www.pcisecur[...] 2007-02-21
[10] 웹사이트 Visa in Europe https://www.visaeuro[...] 2019-02-08
[11] 웹사이트 Things Merchants Need to Know | Process Payment Data & Secured Transactions | Mastercard https://www.masterca[...] 2019-02-08
[12] 웹사이트 Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2 https://www.pcisecur[...] PCI Security Standards Council, LLC 2018-09-04
[13] 웹사이트 Qualified Security Assessors https://listings.pci[...] PCI Security Standards Council 2023-05-18
[14] 웹사이트 Qualification Requirements for Qualified Security Assessors (QSA) https://docs-prv.pci[...] PCI Security Standards Council
[15] 웹사이트 Avoid Paying For PCI Certification You Don't Need https://www.fiercere[...] 2018-03-26
[16] 문서 Minnesota's PCI Law: A Small Step on the Path to a Statutory Duty of Data Security Due Care https://heinonline.o[...] 2008
[17] 웹사이트 MINN. STAT. § 325E.64 https://www.revisor.[...] 2019-10-10
[18] 웹사이트 NEV. REV. STAT. § 603A.215 https://www.leg.stat[...] 2019-10-10
[19] 문서 Private Ordering in Light of the Law: Achieving Consumer Protection through Payment Card Security Measures https://heinonline.o[...] 2012
[20] 웹사이트 2010 Wash. Sess. Laws 1055, § 3. http://leg.wa.gov/Co[...] 2019-10-10
[21] 잡지 Rare Legal Fight Takes on Credit Card Company Security Standards and Fines https://www.wired.co[...] 2019-03-30
[22] 간행물 Do the Payment Card Industry Data Standards Reduce Cybercrime? A Hearing before the Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology of the Committee on Homeland Security, House of Representatives, One Hundred Eleventh Congress, First Session, March 31, 2009. https://www.hsdl.org[...] GPO 2019-03-30
[23] 웹사이트 Bruce Schneier Reflects on a Decade of Security Trends https://www.schneier[...] Schneier on Security 2019-03-08
[24] 웹사이트 Can PCI Compliance be Harmful to Your Security Initiative? https://www.brightta[...] 2020-10-09
[25] 웹사이트 Post-breach criticism of PCI security standard misplaced, Visa exec says https://www.computer[...] 2009-03-19
[26] 학위논문 Cyber safety: systems thinking and systems theory approach to managing cyber security risks https://dspace.mit.e[...] Massachusetts Institute of Technology 2020-10-08
[27] 서적 PCI DSS Version 4.0における変更点のポイント 第一回 ~移行スケジュールと主な変更点の概要~ https://www.intellil[...] 2023-07-13
[28] 문서 PCI DSS バージョン3.2.1 P.5
[29] 간행물 A Survey of Payment Card Industry Data Security Standard 2021-02-09
[30] 서적 PCI DSSとは https://www.jcdsc.or[...] 2021-02-12
[31] 뉴스 What You Need to Know About PCI DSS Compliance: UK Costs & Checklist https://storekit.com[...] 2018-12-18
[32] 웹인용 An Introduction to PCI DSS https://www.cryptoma[...] Cryptomathic 2018-09-04
[33] 웹인용 Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2.1 May 2018 https://www.pcisecur[...] PCI Security Standards Council, LLC


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com