고객 정보 강화에 대한 인식이 날로 높아지고 있는 가운데 신용카드의 개인정보 보호를 위한 법 규정도 필연적 상황이 되었다. 오늘은 PA DSS (Payment Application Data Security standard), 즉 카드 승인정보 보호를 위한 표준규격에 대해 알아보자.

Payment application(이하 승인 프로그램)이란 카드 거래를 수행하는 단말기에 설치되거나 연결되어서 신용카드의 거래 승인을 수행하는 승인 프로그램을 말한다.

그리고 보안시설이 되어 있는 승인 프로그램은 ‘카드지불 보안 시스템’(PCI DSS) 환경 아래서 신용카드의 매그네틱 정보나, 카드 인증 코드, 핀 넘버 등의 개인정보를 보호하게 된다. 따라서 POS 단말기 등의 컴퓨터 네트웍에 해커가 침입하여 내부정보를 유출하는 등의 보안상의 개인 정보피해를 최소화 할 수 있게 만드는 것이다.

카드 결제 승인 때 보안이 되어 있는 승인 프로그램의 기준과 지침 등을 정하여 만든 것이 PA DSS 즉 ‘카드 승인정보 보호규격’이며 이것은 PCI 보안 표준협의회(PCI Security Standards Council)에서 관리하고 있다. 승인 프로그램을 구입 또는 설치한 가맹점이 고객의 카드 승인을 이행할 경우에 지켜야 할 지침은 다음과 같다.

첫째, 가맹점은 카드 지불 보안 시스템의 환경 아래에서 카드 승인정보 보호규격을 준수하고 있는 승인 프로그램을 사용해야 한다.

둘째, 카드 승인 프로그램 회사로부터 제공된 지시에 따라 승인 프로그램을 구성해야 한다.

셋째, 카드 지불 보안 시스템의 기준에 맞는 카드승인 프로그램을 구성해야 하며 승인 프로그램의 구성과 환경은 카드 지불 보안 시스템에 부합하는 상태로 항상 유지되어야 한다. 카드 프로세싱 회사 등에 의해 제공되는 승인 프로그램은 항상 최근 정보로 업데이트 돼 있어야 하며 PCI 보안 표준협의회에서 인증된 승인 프로그램 리스트에 있는 제품을 사용해야 한다.

예를 들어 승인 프로그램으로 PC-Charge 5.8X 버전을 사용한 가맹점들은 2010년 12월31일까지 5.9X 또는 그 이상의 버전으로 업그레이드를 마쳐야만 카드 지불 보안 시스템 상태를 유지할 수 있다.

주로 해커들은 시스템 구축이 잘 되어 있는 대형 가맹점보다는 보안에 소홀하기 쉬운 작은 가맹점을 쉽게 접근하는 경향이 많으므로 카드 승인 환경구축에 주의를 기울여야 하겠다.

보다 자세한 사항은 해당 프로세싱 회사로 문의하거나 뱅크카드 서비스로 문의하면 알 수 있다. (213)365-1122


패트릭 홍
<뱅크카드 서비스>