이번 칼럼에서는 지난 6주에 걸쳐 알아봤던 지불결제 카드 산업 데이터 보안 표준안(이하 PCI DSS)의 위반 사례들과 이와 관련하여 반드시 알아두어야 하는 항목들에 대해 살펴보도록 하겠다.
가맹점들이 가장 많이 위반하는 사례들은 첫째, 공인되지 않은 결제 프로그램을 사용함으로 인해, 아래표에 같이 절대 저장해서는 안 되는 정보들을 컴퓨터에 저장하는 경우. 둘째, 저장이 가능한 정보일지라도 PCI DSS 요구사항에 맞추어 그 정보들을 암호화하여 저장해야 하나, 그렇지 못해 해킹에 쉽게 노출되는 경우. 그리고 마지막으로, 저장된 정보에 대해 강력하게 접근을 통제해야 하나 점원들이 쉽게 접근하도록 방치하여 저장된 정보들이 유출된 경우 등이 이에 해당한다. (도표참조)
상기한 사례들은 공인되지 않은 프로그램을 구입 후 사용하여, 머천트도 알지 못하는 사이 정보들이 암호화되지 않은 채 저장되고, 또 그 중요한 정보들이 해킹이나, 직원들을 통해 외부로 유출되어 문제점을 야기했다. 정보 보안과 관련한 문제들이 발생할 경우, 그 결과는 고스란히 머천트의 책임이 되어 결국 여러 손실로 귀결되므로, 규모나 비지니스 타입과 상관없이 카드를 통한 지불 방식을 채택한 업소는 반드시 PCI DSS에 부합하여야 함을 유념해야겠다.
(213)365-1122
패트릭 홍
<뱅크카드 서비스>