카드결제 보안 시스템(PCI DSS)의 준수항목은 고객의 신용정보 보호를 위한 세부적인 항목으로 정보 보안 및 관리에 대한 전반적인 가이드라인을 제시한다고 할 수 있다.

이 규정은 고객의 데이터를 저장 처리, 전송하는 카드가맹점 사업자라면 모두 준수해야한다. 또한 대상 업체는 정기적으로 표준규격을 준수하고 있음을 증명하여야 하고 그 결과를 자기 평가 설문지(Self Assessment Questionnaire)에 작성한다. 이를 이행하지 않을 시에는 벌금과 불이익 등의 제제가 따른다. PCI DSS의 준수항목을 보다 쉽게 이해할 수 있도록 다음과 같이 4가지로 요약한다.

첫째 네트워크 침입차단 시스템을 구축한다. 카드 단말기가 인터넷에 연결된 경우에는 방화벽을 설치하는데 이는 PCI DSS의 통제 조건에 맞추어야 한다. 전화 모뎀사용의 단말기도 지정된 인원만이 사용할 수 있도록 ID와 비밀번호로 사용의 제약을 두어야 하며 사용에 대한 시간과 사용자의 기록이 반드시 남아 있어야 한다.

둘째 인증된 단말기와 승인 프로그램을 사용한다. 이는 개인의 신용정보의 보호를 하기 위한 필수 항목이며 반드시 PCI DSS의 승인된 프로그램을 설치해야한다.

셋째 네트워크 접속의 모니터링이다. 정기적인 점검을 통해 PCI DSS의 요구조건에 맞게 운영되고 있는지 확인해야 하며 이는 해커의 침입으로 부터 고객의 신용정보 유출을 예방하는 기본이면서도 중요한 항목이라 할 수 있다.

이를 위해서는 네트워크 취약부분을 진단하는 바이러스 백신 프로그램을 항상 업데이트하고 카드결제 보안 프로그램도 최신버전의 패치나 보안 팩으로 설치해야 한다.

넷째 카드 승인을 통해 보관된 개인의 신용 정보는 암호화하여 철저히 관리되어야 하며 모든 접근은 암호화된 정보를 통해서만 가능해야 한다. 안전한 정보관리를 위해서는 반드시 정해진 규칙을 따라야 하며, 카드 거래와 관련된 보안 사항들은 모든 종업원 및 영업 관리자가 반드시 준수해야 한다.

그리고 적어도 일년에 한번의 점검을 통해 규칙과 절차를 점검하고 보완하여야 한다. 보다 자세한 사항은 해당 프로세싱 회사로 문의하거나 뱅크카드서비스로 문의하면 알 수 있다. (213)365-1122


패트릭 홍
<뱅크카드 서비스>