PCI 규정 준수 요구 사항 달성 및 유지

게시 됨: 2022-06-30

Magento 1 비즈니스에서 신용 카드 정보를 처리하는 경우 PCI DSS의 300개 이상의 보안 요구 사항을 이미 알고 있을 수 있습니다. 익숙하지 않은 경우 이 문서에서 몇 가지 기본 사항을 다루고 규정 준수를 인증하기 위한 리소스를 제공합니다.

American Express, Discover, JCB International, Mastercard 및 Visa가 2006년에 설립한 PCI DSS(Payment Card Industry Data Security Standards)는 신용 카드 거래 처리와 관련된 데이터 보안의 최소 표준을 설정합니다. 결제 생태계 전반에서 사기 및 데이터 침해를 줄이는 데 도움이 되며 신용 카드를 통해 결제를 수락하거나 처리하는 모든 조직에 적용됩니다.

PCI DSS 규정 준수

PCI DSS 규정 준수에는 세 가지 주요 규칙이 포함됩니다.

  1. 소비자의 민감한 신용카드 데이터는 안전하게 수집 및 전송되어야 합니다.
  2. 해당 데이터는 카드 데이터 액세스에 대한 암호화, 지속적인 모니터링 및 보안 테스트를 활용하여 안전하게 저장되어야 합니다.
  3. 매년 필요한 보안 통제가 마련되어 있는지 검증

소비자의 민감한 데이터

카드 데이터를 처리하는 회사는 PCI DSS의 300개 이상의 보안 제어를 각각 충족해야 할 수 있습니다. 카드 데이터가 비즈니스 인프라를 잠시 이동하더라도 회사는 보안 소프트웨어 및 하드웨어를 구매, 구현 및 유지 관리해야 합니다.

회사 민감한 신용 카드 데이터를 처리할 필요가 없다면 그렇게 해서는 안 됩니다. Stripe와 같은 타사 솔루션은 신용 카드 데이터를 안전하게 수락하고 저장하여 상당한 복잡성, 비용 및 위험을 제거합니다. 카드 데이터가 비즈니스 서버에 절대 닿지 않는 경우 강력한 암호 사용과 같이 비교적 간단한 22가지 보안 제어만 확인하면 됩니다.

데이터를 안전하게 저장

조직에서 신용 카드 데이터를 처리하거나 저장하는 경우 카드 소지자 데이터 환경(CDE)의 범위를 정의해야 합니다. PCI DSS는 CDE를 신용 카드 데이터 또는 이에 연결된 모든 시스템을 저장, 처리 또는 전송하는 사람, 프로세스 및 기술로 정의합니다.

PCI DSS의 300개 이상의 보안 요구 사항이 모두 CDE에 적용되므로 PCI 검증 범위를 제한하기 위해 나머지 비즈니스와 지불 환경을 적절하게 분할하는 것이 중요합니다. 조직이 CDE 범위를 포함할 수 없는 경우 PCI 보안 제어는 회사 네트워크의 모든 시스템, 랩톱 및 장치에 적용됩니다. 아무도 그럴 시간이 없습니다.

필수 보안 제어에 대한 연간 검토

카드 데이터 승인 방식에 관계없이 신용 카드 결제를 처리하는 조직은 규정 준수를 유지하기 위해 매년 PCI 확인 양식을 작성해야 합니다.

12 PCI DSS의 주요 요구 사항

가장 최근의 보안 표준인 PCI DSS 버전 3.2.1에는 보안 모범 사례를 반영하는 300개 이상의 하위 요구 사항과 함께 12개의 주요 요구 사항이 포함되어 있습니다.

12가지 주요 요구 사항은 다음과 같습니다.

  1. 카드 소지자 정보를 보호하기 위한 방화벽 구성 설치 및 유지
  2. 시스템 암호 및 기타 보안 매개변수에 대해 공급업체 제공 기본값을 사용하지 마십시오.
  3. 저장된 카드 소유자 데이터 보호
  4. 개방형 또는 공용 네트워크를 통한 카드 소유자 데이터 전송 암호화
  5. 맬웨어로부터 모든 시스템을 보호하고 안티바이러스 소프트웨어를 정기적으로 업데이트합니다.
  6. 보안 시스템 및 애플리케이션 개발 및 유지
  7. 카드 소지자 데이터에 대한 액세스 제한
  8. 시스템 구성 요소에 대한 액세스 식별 및 인증
  9. 카드 소지자 데이터에 대한 물리적 액세스 제한
  10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스 추적 및 모니터링
  11. 보안 시스템 및 프로세스를 정기적으로 테스트
  12. 모든 직원의 정보 보안을 다루는 정책 유지

신규 기업은 각각 전체 PCI DSS 요구 사항의 하위 집합인 9개의 자체 평가 설문지를 통해 PCI 규정 준수를 검증할 수 있습니다. 어려움은 귀하의 비즈니스에 필요한 요구 사항을 파악하는 데서 비롯됩니다. 일부 기업은 각 PCI DSS 요구 사항이 충족되었는지 확인하기 위해 PCI 위원회에서 승인한 감사자를 고용합니다. 그리고 그것이 충분히 복잡하지 않은 것처럼 PCI 위원회는 3년마다 규칙을 수정하고 매년 업데이트를 발표합니다. 기업은 이러한 요소를 고려하여 어떻게 신용 카드 데이터를 보호하고 PCI 규정 준수를 유지할 수 있습니까?

보안 방법

공인 보안 평가자(QSA) 회사 고용, PCI 3단계 프로세스 활용, 그리고 Stripe와 협력하여 Nexcess Safe Harbor를 통한 PCI DSS 요구 사항으로 웹사이트를 보호하는 방법에는 여러 가지가 있습니다.

1. 자격을 갖춘 보안 평가자

공인 보안 평가자는 PCI 위원회에서 현장 PCI 데이터 보안 표준 평가를 수행할 수 있는 자격을 갖춘 데이터 보안 회사입니다. 평가자는 판매자 또는 서비스 제공자가 제공한 모든 기술 정보를 확인하고 표준이 충족되었는지 확인하기 위해 독립적인 판단을 사용합니다. QSA(Qualified Security Assessor) 회사 목록은 여기에서 찾을 수 있습니다.

2. PCI 3단계 프로세스

  1. 평가 카드 소지자 데이터를 식별하고 결제 카드 처리를 위한 IT 자산 및 비즈니스 프로세스의 인벤토리를 수집하고 취약점을 분석합니다.
  2. 절대적으로 필요한 경우가 아니면 취약점을 수정 하고 카드 소지자 데이터의 저장을 제거합니다.
  3. 보고서 적절한 인수 은행 및 카드 브랜드에 필요한 보고서를 작성하고 제출합니다.

3. 세이프 하버

Magento 1은 2020년 6월에 단종되어 Adobe가 공식 보안 업데이트 발행을 중단했을 때 수천 개의 전자 상거래 사이트를 규정 준수 회색 영역으로 만들었습니다.

전자 상거래 애플리케이션 자체는 PCI 규정 준수가 실제로 수반하는 것의 작은 부분에 불과하지만 여전히 Magento 1에서 전자 상거래 사이트를 실행하는 판매자에게 중요한 점은 플랫폼에 대해 더 이상 보안 패치 및 업데이트가 발행되지 않는다는 것입니다. Nexcess Safe Harbour와 같은 솔루션에 투자하지 않는 한 독자적입니다. 고객을 위해 Magento 1 모듈을 계속 사용하기로 약속한 Stripe을 확인하는 것이 좋습니다.

줄무늬

Stripe는 사용자가 Magento 1 내에서 Stripe 제품을 안전하게 사용할 수 있도록 최선을 다하고 있습니다. 이를 위해 Nexcess는 Stripe.js 및 Elements를 사용하여 사이트의 PCI 준수를 단순화하는 Stripe의 공식 Magento 1 모듈을 설치할 것을 권장합니다. Stripe는 이 솔루션이 PCI DSS(Payment Card Industry Data Security Standards)를 따르도록 Stripe Magento 1 모듈에 대한 버그 수정 및 보안 업데이트를 계속 출시할 것입니다.

결론

보시다시피 PCI 규정 준수를 달성하고 유지하는 것은 결코 쉬운 일이 아닙니다. 그러나 올바른 정보, 규정 준수 전문가의 지원 및 Nexcess Safe Harbor를 통해 Magento 1에서 계속 운영되는 기업은 고객의 신용 카드 데이터를 안전하게 보호할 수 있습니다.