이번 주에는 지난 칼럼에서 소개한 PCI DSS의 12가지 세부항목에 대해 알아보겠다. 지불결제 카드 산업 데이터 보안 표준안 (Payment Card Industry Data Security Standard: PCI DSS)은 6개의 관련 항목으로 요약된다.

첫째, 인터넷 방화벽 설치 및 유지

1. 카드 소유자 정보 보호를 위해 침입 차단 시스템을 설치하고 유지한다. 즉, 해킹하거나, 외부인이 네트웍에 무단 접근하는 것을 차단하기 위해 침입 차단 시스템을 설치하고 주기적으로 업데이트 한다.

2. 기본 설정된 패스워드와 보안 파라메터를 사용하지 않는다. Vendor가 설정한 패스워드를 비롯한 기본 설정치들은 해커들의 접근이 쉽기 때문에 기기나 시스템 설치 후 즉시 이를 변경함으로써 해커들로부터의 침입을 예방해야 한다.
예를 들어 POS 공급업체에서 POS 시스템을 공급할 때, 모든 가맹점에게 기본 설정으로 제공한 패스워드가 있다면 이는 반드시 변경되어야 한다.

둘째, 카드소유자의 정보 보호

3. 저장된 카드 소유자의 정보를 철저히 관리한다. 추출한 트랙 데이터의 모든 내용과 주로 카드 뒷면 서명란에 표기된 세 자리 수인 CVV코드, 그리고 비밀번호는 저장을 금하며 고객의 동의에 의한 영업에 필요한 정보만 저장해야 한다. 사용 중인 POS 소프트웨어가 상기의 정보들을 저장하고 있다면 지금 반드시 사용하고 있는 프로세서로 연락, 시정해야 한다. 현재 사용하고있는 소프트웨어가 공인된 것인지는 VISA 홈페이지(www.visa.com)에서 확인할 수 있다.

4. 카드 및 개인정보 전송 때 메세지를 암호화 한다. 민감한 카드 정보를 공중망을 통하여 전송하거나 저장할 때에는 반드시 암호화하여, 잠재되어 있는 해커들의 접근을 예방해야 한다.

(213)365-1122
패트릭 홍 <뱅크카드 서비스>