PCI DSS 4.0 규제 준수 기한이 다가오고 있습니다.

PCI DSS 4.0 규제 준수 기한이 다가오고 있습니다.

​

결제 카드 정보를 저장, 처리 및 전송하는 모든 기업들에게 PCI DSS(Payment Card Industry Data Security Standard) 준수는 필수적인 사항입니다. 소비자의 결제 데이터는 IT 보안 방어를 지속적으로 공격하는 범죄자들에게 있어강력한 표적입니다. 사실상 모든 주요 금융 기관, 소매업체 및 수십 개의 결제 처리업체가 데이터 침해의 피해자가 되었으며, 재정적 피해와 평판이 하향되는 피해를 입었습니다.

​

2022년 탈레스 데이터 위협 보고서 – 금융 서비스 에디션 버전에 따르면, 52%의 금융관련 기관에서 데이터 위반을 경험했다고 보고했습니다.게다가 43%는 위반된 데이터 양, 심각도, 사이버 공격 범위가 증가되었다고 보고되었습니다. 또한 IBM 2023년 데이터 위반 보고서는 금융 서비스가 평균 590만 달러의 데이터 위반에 불과하다는 것을 나타냅니다.

​

규제 준수 기한은 빠르게 다가오고 있습니다.

​

PCI 데이터 보안 표준(PCI DSS)은 카드 소유자 데이터와 민감한 인증 데이터가 저장, 처리, 전송되는 곳마다 이를 보호하기 위해 결제 카드 데이터를 처리하는 기업에서 시행해야 하는 보안 제어를 표준화하기 위해 2008년에 개발되었습니다. 표준의 새 버전인 PCI DSS 4.0은 2022년 3월 31일에 발표되었으며, 우리가 제대로 인지하기도 전에 기업은 2024년 3월 31일의 규제 준수 기한을 맞이하게 됩니다. 즉, 개정된 표준의 규제를 준수하기까지 7개월 밖에 남지 않았습니다.

​

새 버전에는 많은 업데이트가 포함되어 있으며, 변경 문서의 요약에서 학인할 수 있습니다. 이 블로그에서는 두 가지 요구 사항에 초점을 맞추고 Thales CipherTrust Data Secrutiy Platform 솔루션이 기업의 규제 준수 간소화에 어떤 도움을 줄 수 있는지 설명하고자 합니다.

​

요구 사항 3: 저장된 계정 데이터 보호

​

카드 소지자 데이터를 수용하고 처리하는 기업은 해당 데이터가 로컬에 저장되거나 내부 개인 또는 외부 공용 네트워크를 통해 원격 서버 또는 서비스 제공업체로 전송되는 경우 해당 데이터를 보호하고 무단 노출이나 부정 사용을 방지해야 합니다.

​

요구 사항 3.2에서는 데이터 보존 및 폐기 정책, 절차 및 프로세스를 구현하여 계정 데이터 저장을 최소한으로 유지하도록 요구합니다. 이러한 정책은 법적 및 비즈니스 요구 사항을 충족하기 위해 데이터 저장소 볼륨 및 보존 시간 단축을 최소한으로 적용해야 합니다. 이 데이터를 더 이상 저장할 필요가 없으면 조직은 안전한 폐기를 위한 프로세스를 확립하여 데이터를 복구할 수 없게 만들어야 합니다.

​

안전한 데이터 저장은 암호화 및 키 관리와 밀접한 관련이 있습니다. 데이터 보존 기간이 끝나면 암호화 키를 파기해야 하며, 데이터가 저장, 백업 또는 마이그레이션되는 위치에 관계없이 모든 데이터 인스턴스를 디지털 방식으로 파쇄해야 합니다. 제어 및 기술을 사용하여 계정 데이터 저장을 최소한으로 유지하는 데이터 보안 프로그램을 설정하려면 조직은 먼저 민감한 데이터가 어디에 있는지에 대한 가시성을 확보해야 합니다.

​

Thales CipherTrust Data Discovery and Classification은 조직이 문제 해결의 우선순위를 정할 수 있도록 여러 클라우드 플랫폼과 기존 데이터 저장소에서 정형 및 비정형 규제 데이터를 효율적으로 찾을 수 있도록 합니다.

​

요구 사항 3.4.1 및 3.5.1에서는 표시 시 기본 계좌 번호(PAN)를 마스킹해야 합니다. 은행 식별 번호(BIN)와 마지막 4자리가 표시되는 최대 자릿수입니다. 컴퓨터 화면, 지불 카드 영수증, 종이 보고서 등에 전체 PAN이 표시되면 승인되지 않은 개인이 이 데이터를 획득하여 사기적으로 사용할 수 있습니다. 합법적인 비즈니스 요구가 있는 사람에게만 전체 PAN이 표시되도록 하면 승인되지 않은 사람이 PAN 데이터에 액세스하는 위험이 최소화됩니다.

​

Thales CipherTrust Tokenization 솔루션에는 사용자의 역할에 따라 여러 가지 동적 데이터 마스킹 옵션이 포함되어 있습니다. 보안 관리자는 전체 필드를 토큰화하여 반환하거나 필드의 일부를 동적으로 마스킹하는 정책을 설정할 수 있습니다. 예를 들어, 보안 팀은 고객 서비스 담당자 자격 증명을 가진 사용자가 마지막 4자리가 보이는 신용 카드 번호만 수신하도록 하는 반면, 고객 서비스 감독자는 일반 신용 카드 번호 전체에 액세스할 수 있도록 정책을 설정할 수 있습니다.

​

요구 사항 12: 조직 정책 및 프로그램을 통한 정보 보안 지원

​

조직의 전반적인 정보 보안 정책은 전체 비즈니스의 분위기를 설정하고 직원에게 기대되는 사항을 알려줍니다. 모든 직원은 카드 소지자의 데이터 민감도와 이를 보호할 책임을 인지하고 있어야 합니다.

​

요구사항 12.5에는 PCI DSS 범위가 최소한 12개월에 한 번, 그리고 카드 소지자 데이터 환경(CDE)에 중요한 변화가 있을 때 조직에 의해 문서화되고 확인된다는 점을 자세히 설명합니다. 변화하는 비즈니스 및 위험 환경에 맞춰 정책과 절차를 조정하는 것이 필요합니다. 최소한 범위 평가 및 검증에는 다양한 지불 단계 및 승인 채널에 대한 모든 데이터 흐름을 식별하는 것이 포함되어야 합니다.

​

Thales CipherTrust Data Discovery and Classification은 기본 계정 번호(PAN)를 포함하여 PII(개인 식별 정보)의 모든 소스와 위치를 쉽게 식별할 수 있습니다. 또한 솔루션은 정의된 CDE 외부의 시스템 및 네트워크나 정의된 환경 내의 예상치 못한 위치에 있는 PAN을 찾을 수도 있습니다. 이 솔루션을 사용하면 기업은 모든 스토리지 위치에서 정형 및 비정형 규제 데이터를 효율적으로 찾을 수 있으므로 불일치 해결에 대해 더 나은 우선순위 결정을 내릴 수 있습니다.

​

Thales Data Protection으로 PCI DSS 4.0을 준비하세요

​

위 내용은 주목할만한 PCI DSS 4.0 요구 사항 중 두 가지에 불과합니다. 전체 요구 사항 목록과 Thales 데이터 보호 솔루션이 2024년 3월 31일 기한을 준수하기 위해 규정 준수 시간을 단축하는 데 어떻게 도움이 되는지 알아보려면 전체 문서를 다운로드하세요.

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.