PCI-DSS v4.0 로드맵: 교육, 분석 및 시스템 개선의 과정을 계획하기

PCI-DSS v4.0 로드맵:

교육, 분석 및 시스템 개선의 과정을 계획하기

신용카드 산업 데이터 보안 표준(PCI-DSS) v4.0은 카드 소지자 데이터를 보호하고 산업 전체의 안전한 평판을 유지하는 것에 관한 것입니다.

사이버 위협은 빈도, 벡터 및 복잡성 면에서 계속 증가하고 진화하고 있어, 특히 결제 데이터에 대해 더 강력한 보호가 필요합니다.

하지만, PCI-DSS의 이 새로운 버전은 단순히 기준을 높이는 것만은 아닙니다. 기업들이 데이터를 보호하는 방식에 있어 더 유연성을 제공할 수 있도록 하고 있습니다.

​

주요 초점은 항상 보안을 유지하는 것에 있습니다.

​

신용카드 산업 보안 표준 위원회는 2025년 3월부터 적용될 표준을 설정했습니다. 귀하의 준수 기한은 PCI 컴플라이언스 여정의 현재 위치와 기존 인증의 만료 시기에 따라 달라질 것입니다.

​

A24는 PCI-DSS v3.2.1의 폐지에 앞서 자체 HSMaaS 인프라에 대한 PCI-DSS v4.0 규정 준수 평가를 완료하고 2023년 11월에 첫 번째 v4 규정 준수 인증을 받았습니다. 따라서 당사는 결제 산업의 숙련된 서비스 제공자이자 새로운 표준을 준수합니다.

​

사이버 보안 노력과 지속적인 개선을 우선시하여 위험과 영향을 최소화하는 접근 방식이 올바른 방향으로 나아가도록 할 것임을 알고 있습니다.

​

고객 사례

​

우리 고객 중 한 업체는 클라우드 기반 서비스와 API를 사용하여 전 세계적으로 자금 이동을 지원하는 혁신적인 제품과 결제 옵션을 제공하는 상장된 글로벌 결제 플랫폼입니다. 영국, 유럽, 호주에서 운영되고 있어 글로벌 확장 가능한 접근 방식이 필요했습니다.

​

도전 과제는 다면적이었습니다:

• 비즈니스와 고객 경험의 디지털 전환을 제공합니다.
• 애플리케이션을 Microsoft Azure로 마이그레이션하고 자체 데이터 센터를 폐기합니다.
• PCI-DSS v4를 포함한 모든 관련 규정 및 표준을 준수합니다.

​

Azure로의 워크로드 마이그레이션을 추진하면서, 곧 일부 요소가 클라우드에 잘 맞지 않는다는 것이 발견되었습니다: 여기에는 하드웨어 보안 모듈과 Mastercard 게이트웨이가 포함되었습니다.

​

이 중요한 인프라 관리 경험이 있는 숙련된 팀원을 유지하는 것의 어려움과 함께, 대안적 접근이 필요했습니다. 그러나 이는 인프라와 애플리케이션이 더 이상 동일한 위치에 있지 않을 경우 고객 경험에 대한 추가적인 우려를 가져왔습니다.

​

솔루션

​

A24는 Thales payShield 10K HSM을 기반으로 하는 컴플라이언트 암호화 인프라 솔루션을 설계, 구축 및 운영합니다. 이 인프라는 클라우드(이 경우 마이크로소프트 애저)에 인접한 전 세계 Equinix 데이터 센터에 위치해 있습니다.

​

탈레스는 플랫폼의 선제적 관리, 문서화 및 컴플라이언스에 대한 책임을 지며, 키 수탁자에게 탈레스 제품을 효율적으로 사용할 수 있도록 교육합니다. 기존 HSM뿐만 아니라 신규 장치도 제공되었습니다. 마스터카드 MPS 게이트웨이도 동일한 위치에 호스팅되어 Azure에서 가상화할 수 없는 고객 인프라의 모든 요소를 처리합니다.

​

결과

​

우리는 이 글로벌 결제 플랫폼 제공업체가 시드니, 멜버른, 런던 등 두 대륙에서 PCI-DSS 4.0 인증을 받을 수 있도록 지원했습니다.

​

• 새로운 클라우드 지향 솔루션은 성능과 고객 경험을 극대화합니다.
• 전략적인 확장에 있어 규정을 준수하고 안전한 암호화를 위한 글로벌 청사진을 제공합니다.
• 장기적인 파트너와 함께 인프라를 관리하고 운영을 간소화하기 위한 숙련되고 유능한 글로벌 24/7 리소스에 액세스할 수 있습니다.

​

PCI DSS v4.0은 상당한 개선을 제공합니다

​

새로운 표준은 특히 결제를 처리하는 시스템과 네트워크를 보호하는 방법에 있어 상당한 개선을 가져오며 다음을 포함한 최신 HSM 서비스를 사용할 수 있게 합니다:

​

• 키 로딩 장치 및 HSM 원격 관리 플랫폼 기능
• 벤더가 제출한 장치 관리 정보
• 클라우드 기반 HSM as a Service
• 다중 테넌트 사용 보안 요구 사항

​

입증된 단계별 접근 방식

​

이러한 새로운 요구 사항에 대비하려면 업데이트를 이해하고, 현재 시스템을 평가하고, 필요한 변경 사항을 구현해야 합니다. 여기 조직을 향상시키는 PCI DSS v4.0 컴플라이언스 여정이 될 수 있는 단계별 접근 방식이 있습니다.

​

지식에서 행동으로: 교육, 격차 분석 및 PCI DSS 4.0 컴플라이언스 로드맵

​

PCI DSS v4.0에 도입된 주요 변경 사항, 즉 더 엄격한 인증 요구 사항, 더 광범위한 암호화 사용, 더 유연한 컴플라이언스 시연 등을 이해하는 데 시간을 할애하십시오.

이를 통해 가장 큰 영향을 미칠 리소스에 집중하고 불필요한 작업을 피할 수 있습니다. 워크샵, 웨비나, 교육 세션을 활용하여 이러한 변경 사항이 특정 비즈니스 프로세스, 시스템 보안 요구 사항, 네트워크 보안 프로토콜에 어떤 영향을 미칠 수 있는지 이해함으로써 모든 이해관계자가 비즈니스에 참여할 수 있는 방법을 찾으십시오.

​

격차 분석 및 위험 평가

​

현재 상태에서 원하는 상태로의 포괄적인 평가 프로세스를 수행합니다. 이는 조직의 컴플라이언스 상태 평가로 시작됩니다. 다음으로 격차 분석을 통해 이 상태를 새로운 요구 사항과 비교하여 인증, 암호화, 모니터링 등 주의가 필요한 영역을 파악합니다. 마지막으로 가장 중요한 취약점을 식별하고 수정 우선순위를 결정하기 위해 위험 평가를 수행합니다.

​

규정 준수를 위한 전략적 계획

​

격차 분석 결과를 바탕으로 새로운 요구 사항을 충족하기 위한 단계를 설명하는 컴플라이언스 로드맵을 개발합니다. 이러한 계획은 일반적으로 타임라인, 마일스톤, 자원 할당 및 데이터 주권 문제에 대한 지침을 포함합니다.

​

유용한 팁: 공개 클라우드 환경에서 데이터 주권이 어떻게 적용되는지에 대한 유용한 리소스는 데이터 주권 | IDEMIA에서 확인할 수 있습니다.

​

시장 및 국경을 넘어 운영하는 기업을 위한 새로운 표준뿐만 아니라 시장 및 글로벌에서 새롭게 등장하는 표준에 맞춰 조직의 보안 정책 및 절차를 업데이트하는 것은 지속적인 운영 및 컴플라이언스 요구 사항에 대한 신중한 검토를 보장하는 한 가지 방법입니다. 이는 PCI DSS뿐만 아니라 시장에 적용되는 기타 관련 규정을 포함해야 합니다. 예를 들어, 유럽 디지털 운영 복원력 법(DORA)을 고려해 보십시오.

​

기술 및 프로세스 지속 개선

​

새로운 암호화 및 인증 요건을 충족하는 데 도움이 되는 보안 기술을 선택하고 구현하세요. 여러분의 설명서는 항상 간단하지 않으며 평가하고 고려해야 할 여러 가지 솔루션이 있습니다. 파트너의 전문 지식을 활용하면 한 가지 솔루션의 이점을 다른 솔루션과 비교하고 특히 혼합된 클라우드 솔루션을 통합하려는 경우 특정 고급 전문 장비의 기능에 대해 조직의 팀을 더 잘 교육할 수 있습니다.

​

고객이 PIN 보안을 위해 안전한 암호화 장치(SCD)가 필요한 경우와 같은 한 가지 영역은 신뢰 관리 장치라고도 알려진 탈레스 TMD입니다. 안전한 대칭 키 관리를 가능하게 하는 작고 직관적이며 자체 내장된 안전한 암호화 장치(SCD)입니다. 탈레스 TMD는 PCI PIN 보안을 비롯한 다른 표준과 관련된 보안 표준을 준수하는 방식으로 중요한 키를 안전하게 관리하고 공유할 수 있도록 설계되었습니다.

​

또한 프로세스 개선 사항도 고려해 보세요. 카드 소지자 데이터를 처리하는 프로세스를 재설계하여 업데이트된 표준을 준수하고 기술적 해결책과 일치하도록 하여 규정을 준수하는 방식으로 운영되도록 합니다.

​

지속적인 컴플라이언스와 카드 소지자 데이터 환경의 보안을 보장하기 위해 조직은 모니터링 시스템을 선택하거나 업그레이드하는 데 대한 지침을 통해 이점을 얻을 수 있습니다. 또한 침투 테스트, 취약점 스캔, 보안 평가와 같은 정기적인 테스트 루틴을 구축하는 것이 중요합니다. 이러한 테스트는 구현된 제어가 효과적이고 진화하는 규정을 준수하는지 확인하는 데 도움이 됩니다.

​

추가로 PCI DSS 4.0 요구 사항의 각 요소가 어떻게 충족되는지 반영하여 모든 변경 사항과 데이터 흐름이 잘 문서화되어 있는지 확인합니다.

​

​

직원 교육, 협력사 관리, 지속적인 지원

​

안전한 데이터 처리 관행을 유지하려면 직원들에게 최신 PCI DSS 요구 사항에 대한 지속적인 교육이 필요합니다.

조직은 특정 역할에 맞게 교육 프로그램을 맞춤화하여 핵심 인력이 책임을 이해할 수 있도록 할 수 있습니다.

또한 협력사가 카드 소지자 데이터를 처리하는 경우 PCI DSS 4.0에 대한 협력사의 컴플라이언스를 관리하는 것이 중요합니다.

최근 고객이 겪은 클라우드 중단 사태의 예로는 2024년 5월 2일 UniSuper 시스템이 며칠 동안 오프라인 상태였던 경우가 있습니다.

​

• UniSuper 서비스에 영향을 미친 시스템 중단

​

전환을 탐색하고 지속적인 컴플라이언스를 보장하기 위해 조직은 지속적인 지원과 컨설팅을 통해 이점을 얻을 수 있습니다. 이 지원에는 구현 중 또는 사후 컴플라이언스 중에 발생하는 모든 질문이나 어려움을 해결하기 위한 피드백 메커니즘을 구축하는 것이 포함될 수 있습니다.

​

PCI DSS 4.0은 다양한 기술 또는 방법론을 활용하여 구현을 맞춤화할 수 있는 더 많은 유연성을 제공합니다. Equinix와 같은 제3자 데이터 센터에서 호스팅하면 액세스 제어에 대한 더욱 강력한 접근 방식을 제공하고 92개 이상의 국가에서 배포할 수 있습니다.

신중한 접근 방식을 취하고 이러한 단계를 따르면 PCI DSS 4.0으로의 전환을 크게 용이하게 하여 새로운 요구 사항을 준수할 뿐만 아니라 전반적인 데이터 보안 태세를 강화할 수 있습니다.

​

A24와 Thales

​

A24와 Thales는 안전하고 확장 가능한 클라우드 인접 기술을 사용하여 멀티 클라우드 보안을 독립적이고 접근 가능하며 유연하게 만듭니다. A24 솔루션에 통합된 온프레미스 payShield 10k HSM과 Thales가 호스팅하는 payShield Cloud HSM 서비스를 모두 갖춘 Thales의 최첨단 기술의 장수는 투자 수익률(ROI)을 극대화하기 위해 자산을 활용하고자 하는 CIO와 CTO 모두에게 매력적입니다.

​

지불 결제 및 보안 문제에 대해 더욱 알고 싶으면 다음 웹사이트를 참고하여 주십시오.

 

탈레스 지불 결제 솔루션 알아보기

 

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.