신용카드 정보를 노린 해킹이나 카드 분실 도난 사고가 증가하면서 고객 정보 보호를 위한 수준이 강화되고 있다. 오늘은 고객의 정보강화를 위한 카드 보안 표준시스템인 PCI에 대해서 알아보기로 하자.

PCI는 카드 결제시 카드소유자의 정보를 보호하기 위해 PCI 보안 표준 협의회(PCI security standards council)에 의해 정해진 기준이다.

이 기준은 카드 소유자의 정보를 보유, 전달, 혹은 프로세싱하는 모든 단체에 적용되며 모든 카드 거래상에서 준수되어지고 있는 규정이라 할 수 있다.

주요 신용카드 회사들인 비자, 마스터, 디스커버, 아메리칸 익스프레스 등도 PCI 보안기준법을 시행하고 있으며 협회는 이 법을 관리감독하고 있다.

PCI 보호 기준 협회의 보안 기준의 내용을 크게 3가지로 나누어 알아보자.

첫째 PIN입력 거래시의 보안 요구사항(PCI TPS)에 대한 규정이다. PCI TPS는 카드 거래를 일으키는 단말기를 말하는데 카드 단말기를 제작하는 회사는 반드시 PIN PTS 보안 요구 조건에 맞도록 개발하여 협회의 인증서를 받아야 한다.

또한 카드사용을 하는 모든 머천트도 반드시 인증된 카드 단말기만을 사용하여야 한다. 인증된 단말기를 사용하더라도 새로운 보안기준이 나오면 그에 맞는 새로운 단말기로 교체하여 사용해야 하는 것 또한 머천트가 지켜야 할 보안 기준법의 일부이다.

예를 들어 예전의 보안시스템인 TES단말기를 사용하던 가맹점주는 2010년 7월부터는 3TDES 방식을 사용하는 단말기로 교체해야 한다.

둘째로 신용카드의 모든 거래는 지정된 승인 프로그램을 사용하여 일어나는데 이때 사용되는 프로그램도 ‘Payment Application Data Security’의 기준에 맞추어 개발돼야 하며 머천트는 이 규정에서 인증된 승인 프로그램만을 사용해야 한다. 인증되지 않은 승인 프로그램은 올 7월부터 사용할 수 없게 됐다.

셋째, 신용카드 거래를 하는 머천트는 고객의 카드 정보를 보관 또는 저장할 수 없는 등의 보안 규정을 준수 하여야 한다.

위의 세가지 기준을 종합하여 설명하면 카드 거래를 하는 머천트는 3TDES가 설치된 카드 단말기와 더불어 인증된 카드승인 프로그램을 갖추어야 한다는 것이다.

이 모든 환경이 PCI DSS의 기준에 맞는 시스템이라야 하는데 PCI DSS란 카드정보 보호를 위한 최소한의 요건을 규정한 표준규격으로 자세한 내용은 다음 칼럼에서 계속하기로 한다.

보다 자세한 사항은 해당 프로세싱 회사로 문의하거나 뱅크카드서비스로 문의하면 알 수 있다.
(213)365-1122


패트릭 홍
<뱅크카드 서비스>