에 의해 게시 됨 Zevenet | 11 7 월, 2022 | 테크니컬

소개

달성하고 유지하는 과정 PCI DSS 규정 준수 어떤 조직에서도 쉽지 않습니다. 대규모 조직, 중견 기업 또는 소규모 기업이든 PCI DSS는 포괄적인 보안 요구 사항 집합으로 구성되어 있기 때문에 어려운 작업일 수 있습니다. 규정 준수를 달성하려면 지불 보안 프레임워크와 보안 제어 요구 사항의 구현을 잘 이해해야 합니다. 지불 카드 데이터를 처리하는 조직은 다음을 충족해야 합니다. PCI DSS 12 요구 사항 규정 준수를 보장하고 지불 환경을 보호합니다. 이러한 요구 사항은 조직이 사이버 위협 및 데이터 침해로부터 네트워크 및 인프라를 보호하기 위한 지침으로 작동합니다. 이러한 요구 사항에 대해 자세히 설명하면서 준비하는 데 유용한 몇 가지 팁을 공유했습니다. PCI DSS 규정 준수 감사.

PCI DSS 규정 준수 요구 사항 이해

PCI DSS 규정 준수 카드 소지자 데이터 보호에 중점을 둔 PCI 보안 표준 위원회에서 시행하는 보안 표준 및 프레임워크입니다. 이 표준은 민감한 지불 카드 소지자 데이터를 보호하기 위한 기술적 및 운영적 조치에 중점을 둔 위원회에서 요약한 12가지 요구 사항으로 구성됩니다. 조직은 이러한 보안 조치를 구현하여 달성하고 유지해야 합니다. PCI DSS 규정 준수. 따라서 PCI DSS 규정 준수를 준비하는 방법을 더 잘 이해할 수 있도록 간략하게 설명된 12가지 요구 사항이 아래에 나와 있습니다.

PCI DSS 요구 사항 1: 카드 소지자 데이터를 보호하기 위한 방화벽 구성 설치 및 유지 관리
판매자와 서비스 제공업체는 적절한 방화벽 및 라우터 구성으로 보안 네트워크를 유지해야 합니다. 이는 카드 데이터 환경을 보호하고 사이버 공격을 방지하기 위한 것입니다.

PCI DSS 요구 사항 2: 시스템 암호 및 기타 보안 매개변수에 대해 공급업체 제공 기본값을 사용하지 마십시오.
시스템과 소프트웨어는 기본 암호 및 설정과 함께 제공됩니다. 따라서 보안을 보장하기 위해 가맹점은 강력한 보안 암호 및 구성으로 조직의 시스템, 네트워크 및 장치를 강화해야 합니다. 또한 판매자는 시스템 강화 절차를 문서화하고 그에 따라 프로토콜을 따라야 합니다.

PCI DSS 요구 사항 3: 저장된 카드 소유자 데이터 보호
가맹점과 서비스 제공업체는 저장된 카드 소지자 데이터를 보호하기 위해 적절한 조치를 취해야 합니다. 암호화 기술을 사용하여 PAN 데이터를 데이터 침해로부터 보호해야 합니다.

PCI DSS 요구 사항 4: 개방형 또는 공용 네트워크를 통한 카드 소유자 데이터 전송 암호화
가맹점은 공용 또는 개방형 네트워크를 통해 전송되는 카드 소지자 데이터를 암호화해야 합니다. 또한 보안 조치 및 암호화 요구 사항을 시행하기 위한 보안 정책 절차 및 프로세스가 마련되어 있는지 확인해야 합니다.

PCI DSS 요구 사항 5: 안티바이러스 소프트웨어 또는 프로그램 사용 및 업데이트
판매자는 장치 및 응용 프로그램에 최신 안티바이러스 소프트웨어를 설치하여 시스템과 응용 프로그램을 업데이트하고 보안을 유지해야 합니다. 이는 맬웨어 및 기타 사이버 공격으로부터 보호하기 위한 것입니다.

PCI DSS 요구 사항 6: 보안 시스템 및 애플리케이션 개발 및 유지
보안 구현을 검토하고 위험을 완화하기 위해 보안 패치를 설치하는 것이 중요합니다. 이러한 보안 패치를 정기적으로 업데이트하는 것은 잠재적인 해킹 위험을 방지하는 데 필수적입니다. 가맹점은 카드 데이터 환경 내의 모든 시스템을 패치하고 개발의 모든 단계에서 보안을 구현해야 합니다. 또한 시스템 및 애플리케이션에서 새로운 취약점을 발견하기 위한 프로세스가 마련되어 있어야 합니다.

PCI DSS 요구 사항 7: 비즈니스 요구 사항에 따라 카드 소유자 데이터에 대한 액세스 제한
가맹점은 카드 소지자 데이터에 대한 액세스를 제한하기 위해 강력한 액세스 제어를 구현해야 합니다. 이는 민감한 카드 데이터에 대한 무단 액세스와 데이터 침해 또는 도난의 잠재적 위험을 방지합니다. 이를 위해 비즈니스 요구 사항에 따라 카드 소지자 데이터에 대한 액세스가 제한되도록 필요한 프로세스를 수립해야 합니다.

PCI DSS 요구 사항 8: 시스템 구성 요소에 대한 액세스 식별 및 인증
시스템 및 데이터에 대한 액세스를 정기적으로 추적하고 모니터링해야 합니다. 강력한 보안 통제 조치의 일환으로 승인된 모든 직원에게 고유한 ID를 할당해야 합니다. 이는 책임을 유지하기 위해 카드 환경에서 시스템 및 데이터에 액세스하는 활동을 추적하기 위한 것입니다.

PCI DSS 요구 사항 9: 카드 소지자 데이터에 대한 물리적 액세스 제한
카드 소지자 데이터에 대한 물리적 액세스를 제한하는 것은 보안 제어 조치를 구현하는 데 필수적인 부분입니다. 이를 위해서는 현장 액세스 제어의 구현, 로그 모니터링, 필요한 보안 정책 및 프로세스가 필요합니다. 또한 판매자는 물리적 보안 조치로 모든 장치와 시스템을 보호하고 모든 데이터의 백업을 유지해야 합니다.

PCI DSS 요구 사항 10: 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스 추적 및 모니터링
PCI DSS는 카드 데이터를 구성하는 시스템 및 네트워크를 포함한 모든 액세스 포인트의 실시간 추적 및 모터링이 필요합니다. 이는 카드 데이터 환경에 대한 취약점 및 위협의 악용을 식별하고 방지하기 위한 것입니다. 이러한 로그 삽입의 경우 정기적인 활동 추적을 위한 관리가 필수적입니다.

PCI DSS 요구 사항 11: 보안 시스템 및 프로세스를 정기적으로 테스트
정기적으로 취약점 평가 및 침투 테스트를 수행하는 것은 취약점에 대한 모든 시스템 프로세스를 테스트하는 데 필수적입니다. 이는 카드 데이터 환경 내에서 일정한 수준의 보안을 보장하고 유지하기 위한 것입니다. 데이터 보안이 항상 유지되도록 모든 시스템과 프로세스를 자주 테스트해야 합니다.

PCI DSS 요구 사항 12: 모든 직원의 정보 보안을 다루는 정책 유지
집행의 관점에서 정보 보안 프로세스를 다루는 정책을 만들고 유지하는 것이 필요합니다. 모든 직원과 제XNUMX자 공급업체는 이러한 정책에 액세스하여 자신의 책임을 더 잘 알 수 있어야 합니다. 또한 정보 보안 정책을 매년 검토하여 가맹점의 사이버 보안 프로그램을 PCI DSS의 요구 사항과 일치시켜야 합니다.

이제 PCI DSS를 달성하기 위해 구현해야 하는 기술 및 운영 요구 사항을 알았으므로 조직이 PCI DSS를 준비하는 방법을 살펴보겠습니다. PCI DSS 준수 감사.

PCI DSS 감사 준비 단계

PCI DSS 규정 준수 감사를 준비하는 것은 정말 스트레스가 될 수 있습니다. 최종 감사가 성공할 수 있도록 세심한 평가 검토와 프로세스 구현이 필요합니다. 즉, 여기에 준비하기 위해 따라야 할 몇 가지 단계가 있습니다. PCI DSS 감사 그리고 성공을 보장합니다.

규정을 준수한다고 가정하지 마십시오. PCI DSS 규정 준수 요구 사항은 종종 PCI 위원회에서 업데이트됩니다. 이러한 업데이트는 업계의 진화하는 기술 및 위협 환경을 기반으로 합니다. 의 최신 버전으로 PCI DSS 4.0 1년 2022분기에 출시될 예정인 이 기능은 위원회에서 도입하고 시행할 새로운 요구 사항에 주의를 기울여야 합니다. 이전에 PCI DSS를 준수했는지 여부에 관계없이 계속해서 준수 여부를 제안하는 것은 다가오는 감사뿐입니다. 규정 준수 감사는 모든 보안 조치가 구현되고 최신 데이터 보안 요구 사항에 부합하는지 확인하기 위한 평가입니다. 따라서 이전 PCI DSS 감사를 기반으로 규정을 준수한다고 가정하면 조직이 다가오는 감사에서 규정을 준수하지 않을 수 있습니다.

규정 준수 격차 분석 – 조직이 처음으로 PCI DSS 평가를 받는 경우 규정 준수 수준이 "있는 그대로" 어디에 있는지, 주요 격차가 무엇인지, 필요한 투자가 무엇인지 식별하는 것이 매우 중요합니다. 이를 위해 조직은 PCI DSS 규정 준수 요구 사항에 대한 격차 분석을 즉시 계속 수행해야 합니다. 이는 요구 사항의 단점을 평가 및 확인하고 시스템의 격차를 해소하기 위한 것입니다. PCI DSS는 지속적인 프로세스이며 비즈니스 운영을 보안 표준 및 사이버 보안 목표에 맞추기 위해 정책 절차 및 프로세스를 정기적으로 검토하고 업데이트해야 합니다. 따라서 특히 PCI DSS 규정 준수를 보장하기 위한 최종 감사 전에 격차 분석을 수행하고 잠재적인 규정 준수 격차를 수정하는 것이 중요합니다. 다시 말하지만 이는 규정 준수 측면뿐만 아니라 시스템, 네트워크 및 인프라의 보안 강화 측면에서도 마찬가지입니다.

모든 PCI DSS 요구 사항 해결 – 조직은 보안 표준 프레임워크의 준수를 보장하기 위해 PCI DSS 프레임워크에 설명된 12가지 요구 사항을 모두 해결했는지 확인해야 합니다. 요구 사항과 그 의미를 이해하는 것은 조직이 규정 준수에 필요한 조치를 구현하는 데 필수적입니다. 모든 요구 사항은 해당되는 경우 완전히 충족되어야 합니다. 이러한 요구 사항 중 하나라도 충족하지 못하면 감사에 실패하고 PCI DSS를 준수하지 않을 수 있습니다. 따라서 12가지 요구 사항을 충족하고 필요한 모든 보안 조치를 조직의 카드 데이터 환경 내에서 구현하는 것이 필수입니다.

네트워크 및 데이터 흐름도 생성 – 조직은 조직 전체의 네트워크 연결성과 조직 네트워크 전체의 카드 데이터 흐름을 이해하기 위해 정확한 네트워크 다이어그램을 만들고 유지 관리해야 합니다. 이를 통해 카드 데이터의 저장, 처리 및 전송을 포함하여 카드 데이터를 처리하는 조직의 네트워크 및 시스템에 대한 통찰력을 얻을 수 있습니다. 조직의 프로세스와 민감한 카드 데이터의 흐름을 반영하는 데이터 흐름도를 시각적으로 표현한 네트워크 다이어그램을 생성하면 작업의 단점을 식별하는 데 도움이 됩니다. 따라서 이러한 상세한 네트워크 다이어그램을 기반으로 조직은 시스템, 애플리케이션, 네트워크 및 카드 데이터를 처리하는 모든 액세스 포인트 전반에 걸쳐 보안 조치의 우선 순위를 지정할 수 있습니다.

위험 평가 – 위험 평가는 규정 준수 및 사이버 보안 프로그램의 필수적이고 필수적인 부분입니다. 조직이 처리하고 있는 위험 노출을 결정하고 이해하는 것이 중요합니다. 위험을 평가하고 심각도에 따라 위험 노출 수준을 분류하는 것은 기업이 보안 구현의 우선 순위를 정하는 데 중요합니다. 이를 위해 조직은 위협 및 취약성에 노출된 중요 자산을 식별하기 위해 매년 위험 평가를 수행해야 합니다. 이러한 평가는 조직이 진화하는 사이버 위협으로부터 시스템 네트워크와 데이터를 보호하기 위한 사전 조치를 취하는 데 도움이 됩니다. 또한 사이버 보안 프로그램을 PCI DSS 요구 사항에 지속적으로 맞추는 데 도움이 됩니다.

문서 정책 및 프로세스 – 규정 준수 정책, 프로세스, 절차, 공급업체 계약 및 계약에 관한 문서는 최신 상태여야 하며 수시로 업데이트되어야 합니다. PCI DSS 감사에서 모든 관련 문서를 증거로 유지하는 것이 중요합니다. 문서는 구현된 모든 보안 조치, 절차 및 조직 내에서 수립된 규정 준수 정책의 구현을 시행하는 프로세스로 구성되어야 합니다. 이러한 기록은 PCI DSS 규정 준수를 구현하고 유지하기 위한 조직의 노력을 명확하게 보여줍니다. PCI DSS 감사에는 정책 구현과 관련된 절차, 정책 및 기록과 관련된 문서 확인이 포함됩니다. 따라서 조직은 모든 문서가 업데이트되고 일상 업무와 일치하는지 확인해야 합니다. 정책, 절차 또는 운영 프로세스의 모든 변경 사항은 문서화되고 정기적으로 기록에 업데이트되어야 한다는 점에 유의하는 것도 중요합니다.

타사 공급업체 규정 준수 – 조직에서 데이터 처리 활동을 제XNUMX자 공급업체에 아웃소싱하지만 규정을 준수하는지 확인하는 것은 여전히 조직의 책임입니다. 판매자는 거래하는 타사 공급업체가 PCI DSS 요구 사항에 따라 책임을 인식하고 데이터를 처리하도록 해야 합니다. 규정 준수를 보장하지 않으면 데이터 침해가 발생하고 조직의 PCI DSS도 준수하지 않을 수 있습니다. 활동을 모니터링하는 데 필요한 조치가 구현되지 않으면 조직에 막대한 손실이 발생합니다. 이러한 이유로 규정 준수 및 사이버 보안에 있어 타사 공급업체 및 기타 이해 관계자와 관련된 프로그램이 중요합니다.

내부 평가 수행 – 때때로 내부 평가를 수행하는 것은 프로세스의 격차와 시스템의 약점을 식별하는 데 필수적입니다. 이는 교정 프로세스에 도움이 되고 규정 준수 프로그램의 격차를 해소합니다. 연례 내부 평가를 수행하는 것은 최종 PCI DSS 규정 준수 감사를 번거롭지 않게 만드는 데 필수적입니다. 조직은 최종 평가 전에 이러한 사전 평가 및 내부 감사를 수행하여 PCI DSS 규정 준수를 달성할 수 있는 더 나은 기회를 얻게 됩니다. 조직은 증거로 필요한 문서를 준비하고 PCI DSS 규정 준수를 보장하는 데 필요한 보안 조치를 구현했습니다.

최종 생각
PCI DSS 규정 준수는 지불 카드 업계의 가맹점 및 서비스 제공업체에게 불가피합니다. 그들은 모든 요구 사항을 충족하고 항상 지불 보안 표준 및 프레임워크를 준수하는지 확인해야 합니다. 이러한 이유로, 우리는 조직이 PCI DSS 요구 사항에 따라 규정 준수 프로그램이 순조롭게 진행되고 있는지 확인하기 위해 전문적이고 경험이 풍부한 규정 준수 컨설턴트 및 감사자를 온보딩하는 것을 적극 권장합니다. 숙련된 전문가의 정기적인 내부 감사 및 평가는 카드 데이터 및 환경을 보호하려는 조직의 노력과 노력을 반영하고 민감한 데이터를 보호하기 위한 규정 준수 의무를 충족하기 위한 사전 예방적 접근 방식과 이니셔티브를 반영합니다.