지난 2주에 걸쳐 지불 결제카드 산업 데이터 보안 표준안(Payment Card Industry Data Security Standard: PCI DSS)의 인터넷 방화벽 설치 및 유지, 카드 소유자의 정보 보호, 보안관리 프로그램의 유지 그리고 강력한 접근제어 기준 마련과 관련한 세부 항목에 대해 알아보았다. 이번 칼럼에서는 나머지 세부항목에 대해 알아보겠다.
다섯째, 정기적인 네트웍 모니터와 테스트

10. 네트웍 자료와 카드 소유자 정보로의 모든 접속경로에 대해 체계적으로 모니터링 한다.
네트웍 자료와 카드 소유자의 정보는 일부의 사람만이 접근 권한을 가지도록 한다. 또한 POS 공급업체가 가맹점에서 사용중인 시스템 관리를 위한 리모트 액세스 기능을 가지고 있다면 무단 액세스를 방지하기 위한 적절한 통제조치를 가지고 있어야 한다.

11. 정기적으로 보안 시스템을 점검한다. POS 소프트웨어가 보안 업데이트를 받을 수 있는 프로그램과 연계하여 정기적으로 점검될 수 있도록 한다.

여섯째, 정보보안 정책 유지

12. 정보보안에 대한 보안운영 정책 및 지침을 마련한다.

세 번의 칼럼을 통해 소개했던 PCI DSS 세부 내용들은 카드 소유자 정보 취급과 관련하여 신용카드의 데이터를 저장하고, 처리하고, 전송하는 판매자와 기타 서비스 제공자를 포함한 신용카드 정보를 처리하는 모든 조직에 적용되는, 보안 실현을 위한 기본적인 프레임이라고 할 수 있겠다.

패트릭 홍<뱅크카드 서비스>