Nexcess가 귀하의 상점이 PCI 준수를 유지하는 데 도움이 되는 방법

PCI 호환 저장소를 보유하려면 자신과 호스팅 제공업체 모두의 지속적인 노력이 필요합니다. 지름길은 없지만 신뢰할 수 있는 웹 호스팅 제공업체를 선택하는 것이 효과적인 시작점입니다. 그럼에도 불구하고 대부분의 PCI 요구 사항은 판매자인 귀하만 충족할 수 있습니다. 호스트와 판매자 사이의 경계선과 고객을 위해 PCI를 넘어선 가치가 있는 이유에 대해 자세히 알아보려면 계속 읽으십시오.

PCI 란 무엇입니까?

전자 상거래에서 PCI는 PCI DSS(Payment Card Industry Data Security Standards)의 약어입니다. 2004년에 만들어진 PCI DSS는 소비자를 보호하고 신용 카드 사기를 방지하는 것을 목표로 합니다. PCI 보안 위원회 의 5개 회원사인 VISA, MasterCard, American Express, Discover 및 JCB 의 신용 카드 데이터를 수신, 처리 또는 저장하는 모든 조직에 필요합니다 .

요구 사항 목록은 간단히 말해서 광범위합니다. 요구 사항은 6개 범주에 걸쳐 있으며 각 범주는 수백 개의 특정 요구 사항으로 나뉩니다. 일부는 독점적으로 판매자 또는 호스팅 제공업체의 도메인에 속하지만 일부는 둘 다로 확장됩니다. 또한 안전보장이사회는 소비자에 대한 새로운 위협에 대처하기 위해 주기적으로 조정을 하기 때문에 PCI 규정 준수는 일회성 요구 사항이 아닙니다.

규정 준수는 "일단 완료" 이벤트가 아닙니다. 규정 준수를 유지하려면 매일, 매주, 매월 및 연간 작업이 필요합니다. 6개의 범주로 나누어진 12개의 일반 요구 사항이 있습니다. 설명을 위해 동일한 범주를 나열했지만 PCI DSS 내에서 보다 구체적인 요구 사항도 포함했습니다.

PCI 비준수는 위반 조직의 규모, 심각성 및 기타 요인에 따라 매월 $5000~$100,000 사이의 벌금을 부과할 수 있습니다. 규정을 준수하지 않으면 법적 조치, 보안 위반 및 수익 손실이 발생할 수도 있습니다.

호스팅 제공업체를 위한 PCI 요구 사항

일반적인 판매자가 호환 호스팅 제공업체의 서비스에 참여하지 않고 PCI를 준수하는 것은 사실상 불가능합니다. 자체 웹사이트를 호스팅하는 판매자는 판매자에 대한 요구 사항 외에도 호스팅 공급자 요구 사항을 충족해야 합니다. 이러한 모델은 Amazon 및 WalMart와 같은 대규모 기업에서 작동하지만 다른 기업은 거의 없습니다.

다음은 PCI 준수 호스팅 제공업체로서의 위상을 유지하는 시스템 및 정책의 주요 내용입니다. "카드 소지자 데이터 환경"이라는 용어는 신용 카드 데이터를 저장, 처리 또는 전송하는 모든 시스템과 카드 소지자 데이터 환경 자체에 액세스할 수 있는 모든 시스템을 의미합니다.

우리는 카드 소지자 데이터 환경과 다른 네트워크 간의 모든 연결을 모니터링하는 웹 응용 프로그램 방화벽(WAF)을 유지 관리합니다. ModSec은 민감한 영역에 대한 공개 액세스를 금지하고 신뢰할 수 없는 연결을 식별하며 승인되지 않은 당사자로부터 IP 주소 및 라우팅 정보를 숨깁니다.

알려진 모든 보안 취약점을 해결하는 모든 시스템 구성 요소에 대해 업계에서 인정하는 구성 표준을 적용합니다 . 이는 웹 서비스를 호스팅하는 데 필요한 내부 및 외부 네트워크, 운영 체제 및 하드웨어로 확장됩니다.

우리는 공용 네트워크를 통해 전송되는 경우에도 카드 소유자 데이터를 암호화하고 보호하는 암호화 및 보안 프로토콜을 적용합니다. SSL 인증서 및 기타 신뢰할 수 있는 보안 키는 일방적으로 시행됩니다. 최신 TLS 암호만 허용됩니다.

우리는 24시간 보안 정책과 이를 구현하도록 훈련된 팀을 통해 데이터 센터에 대한 물리적 액세스를 제한합니다. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다.

• 90일 간의 영상 기록이 있는 비디오 감시
• 대부분의 지역에서 최소 2단계 인증(PIN, 출입 카드)으로 보안 출입, 카드 소지자 데이터 환경을 수용하는 지역에서 3단계 인증(PIN, 출입 카드, 지문)
• 모든 팀 구성원의 가시적 식별
• 무단 공개 접근을 방지하는 방문자 정책, 승인된 외부 개인은 필요한 영역에만 액세스할 수 있으며 항상 에스코트됩니다.
• 팀 구성원은 역할에 필요한 경우에만 카드 소유자 데이터 환경에 액세스할 수 있습니다.
• 네트워크 잭, 무선 액세스 포인트, 게이트웨이, 네트워크 및 기타 통신 회선에 대한 액세스 제한

우리는 네트워크 리소스 및 카드 소지자 데이터에 대한 액세스를 추적하고 모니터링 하지만 로그를 유지 관리하고 자체 애플리케이션(Magento, WordPress 등)에 대한 로그인을 모니터링하는 것은 고객에게 있습니다.

우리는 정기적으로 보안 시스템과 프로세스 를 테스트하고 정기적으로 내부 침투 테스트를 수행하고 중요한 인프라 업그레이드 후에도 수행합니다.

판매자를 위한 PCI 요구 사항

적절하게 구현된 PCI 규정 준수는 판매자가 일반적으로 인정되는 데이터 보안 모범 사례를 준수하는 데 도움이 됩니다. PCI 준수 공급자와 호스팅하는 것은 확실한 첫 번째 단계이지만, 준수하려면 여전히 귀하의 조치가 필요합니다.

상점에서 신용 카드를 결제로 허용하는 경우 해당 데이터를 저장하는지 여부에 관계없이 PCI를 준수해야 합니다. PCI 호환 웹 호스트를 선택하는 것은 첫 번째 단계일 뿐입니다. 대부분의 신뢰할 수 있는 웹 호스트는 요청 시 각 책임에 대해 설명하는 자료를 판매자에게 제공할 수 있지만 궁극적으로 이러한 요구 사항을 이해하고 충족하는 것은 판매자의 몫입니다.

유감스럽게도 "모든 경우에 적용되는" 체크리스트는 없습니다. 귀하의 구체적인 책임은 일반적으로 상점에서 매년 처리하는 신용 ​​카드 거래 수에 따라 결정되는 판매자 수준(1–4, 1이 가장 높음)에 따라 다릅니다.

대부분의 판매자에 대한 일반적인 프로세스는 다음과 같습니다.

1. 적절한 PCI DSS 요구 사항을 식별, 이해 및 구현합니다.
2. 자가 평가 설문지(SAQ)를 작성하십시오. SAQ는 요구 사항을 요약한 체크리스트입니다. 귀하의 레벨에 따라 일부 또는 전체가 귀하에게 적용됩니다. 레벨 1 상인이 가장 많은 요구 사항을 가지고 있습니다. 레벨 4, 최소.
   SAQ에서 단순히 "모든 상자를 선택"하려는 유혹을 물리치십시오. 그렇게 하는 것은 고객을 위험에 빠뜨리고 귀하의 비즈니스를 책임에 노출시킵니다. PCI는 위반으로 인해 손실을 입을 수 있으며 이에 대한 대응으로 SAQ 및 AOC를 조사할 수 있습니다.
3. 시스템에 대한 외부 취약점 스캔을 수행하는 독립적이고 자격을 갖춘 기관인 ASV(Approved Scanning Vendor) 의 분기별 스캔에 제출 하십시오.
4. 귀하가 SAQ를 수행할 자격이 있고 실제로 최선을 다해 SAQ를 수행했음을 입증하는 문서인 AOC(Attestation of Compliance)를 작성하십시오.
5. 1등급 가맹점으로 분류되면 현장 평가를 포함한 추가 조치를 취해야 합니다.

PCI 규정 준수의 상당한 장애물을 오르는 것이 마음에 들지 않는다면 혼자가 아닙니다. 호스팅 제공업체는 중복 책임과 관련된 질문에 답변할 수 있으며 타사 QSA(Qualified Security Assessors)는 기업이 PCI 문제를 해결하는 데 도움을 줄 수 있습니다(유료).

PayPal, Auth.net 및 기타 결제 서비스만 결제 옵션으로 제공하는 비즈니스라도 PCI를 준수해야 합니다. 이러한 비즈니스는 여전히 신용 카드 데이터를 전송해야 하기 때문입니다.

보편적인 구성 요소 중 하나는 모든 서비스 공급자가 PCI를 준수하는지 확인해야 한다는 것입니다. 여기에는 호스팅 제공업체가 포함되지만 결제 프로세서, 결제 게이트웨이, POS 제공업체 및 고객의 카드 소지자 데이터를 다루는 기타 모든 주체로 확장됩니다.

PCI를 넘어서

PCI 규정 준수가 충분하다면 유명 조직의 침해 사고가 훨씬 줄어들 것입니다. 준수가 만족을 의미해서는 안 됩니다.

실제로 PCI 규정 준수는 "Cardholder Data Security 101"입니다. 이것은 최소한의 수용 가능한 표준이자 합리적인 도입이지만 PCI는 오류가 없습니다. 신용 카드 회사는 규정 준수를 요구합니다. PCI 표준을 준수하는 판매자는 단순히 말만 하는 기업보다 소비자를 보호하는 데 더 효과적이지만 PCI 준수는 첫 번째 단계일 뿐입니다.

주기적으로만 업데이트되는 대규모 큐레이트 문서인 PCI의 특성상 취약합니다. "현재" 버전에서 충분하다고 간주되는 표준은 종종 부적절한 것으로 노출됩니다. PCI가 "따라잡기"까지 몇 달 또는 몇 년이 걸릴 수 있으며 악의적인 사용자는 PCI의 한계를 잘 알고 있습니다.

최고의 보호는 지식입니다. Nexcess에는 최신 위협, 침해 및 대응책에 정통한 웹 보안을 전문으로 하는 팀원이 있습니다. 많은 판매자가 보안 전문가의 서비스를 받기를 꺼릴 수 있습니다. 최소한 전자상거래 애플리케이션에 대한 보안 알림을 구독하고 최소한 하나의 신뢰할 수 있는 웹 보안 뉴스 소스를 따르는 것이 좋습니다. 두 소스 모두 PCI보다 훨씬 빠르게 반응하며, 이를 따르면 화재가 되기 전에 "연기를 감지"하는 데 도움이 됩니다.

목록에 있습니다!

저희는 Visa 글로벌 레지스트리에서 공식적으로 인정한 PCI 준수 제공업체의 "목록"에 있다는 사실을 잊지 마십시오. 이는 우리가 PCI 규정 준수 요구 사항을 충족하고 초과하도록 보안 정책을 검토하고 개선하기 위한 지속적인 노력을 보여주었다는 것을 의미합니다. PCI 호환 제공업체를 찾고 있다면 Nexcess에서 호스팅한다는 것은 승인되고 인정받는 제공업체에서 호스팅한다는 의미입니다. Nexcess를 통한 PCI 호환 호스팅에 대해 자세히 알아보십시오.

PCI 규정 준수에 대한 지침은 월요일~금요일 오전 9시~오후 5시(동부 시간)에 영업 팀에 문의하십시오 .