전자상거래를 위한 PCI 규정 준수: 규정, 요구 사항, 수준 및 준수 방법

  • PCI DSS는 카드 데이터를 보호하는 계약 표준으로, 이 정보를 처리, 전송 또는 저장하는 모든 전자 상거래 사업체에 적용됩니다.
  • 여기에는 안전한 네트워크, 데이터 보호, 취약성 관리, 접근 제어, 모니터링, 보안 정책 등 6가지 목표와 12가지 요구 사항이 포함됩니다.
  • 검증은 볼륨(레벨 1~4)에 따라 다르며, 필요한 경우 분기별 SAQ/ROC, AOC 및 ASV 스캔이 포함됩니다.
  • 인증된 게이트웨이, 토큰화, 세분화를 사용하면 도달 범위와 위험이 줄어들지만 적절한 규정 준수를 대체할 수는 없습니다.
Susana Maria Urbano Mateos에 업데이트

4 분

PCI 준수

많은 소매점 전자 상거래 웹 사이트 PCI 규정 준수라는 용어는 이미 들어보셨겠지만, 온라인 비즈니스에서 이 용어가 실제로 어떤 의미를 갖는지 이해하는 사람은 많지 않을 것입니다. 그래서 아래에서 PCI 규정 준수가 무엇인지 간략하게 설명해 드리겠습니다. PCI 준수 전자 상거래에 왜 중요한지.

PCI 규정 준수 란 무엇입니까?

전자상거래를 위한 PCI 보안

먼저 이해해야합니다 PCI 규정 준수는 법률이나 정부 규정이 아닙니다.정확한 명칭은 PCI DSS로, "Payment Card Industry - Data Security"의 약자입니다. Standard"그리고 그것은 기본적으로 다음을 의미합니다. 안전 요구 사항이 있는 표준 규모에 관계없이 모든 상인이 준수해야 하는 사항입니다.

모든 판매자는 PCI 규정을 준수해야 합니다., 많은 수의 거래를 처리하지 않거나 제3자 공급자를 사용하지 않더라도 호스팅된 전자상거래 플랫폼신용카드 정보를 아웃소싱하는 것과 같습니다. 결제 프로세스를 아웃소싱하는 이러한 가맹점의 경우, PCI 범위 일반적으로 더 작으며 검증 요구 사항 그것들은 최소한이지만 사라지지는 않습니다.

PCI 규정 준수는 모든 비즈니스에 적용됩니다.

온라인 매장의 PCI 규정 준수

Muchos 전자 상거래 소매 업체 그들은 규모가 너무 작아서 PCI 규정 준수가 적용되지 않는다고 생각합니다. 실제로 이 표준은 다음과 같습니다. 결제 카드 데이터를 처리, 저장 또는 전송하는 모든 회사전자상거래 상점 주인이 보안을 심각하게 여기지 않고 해킹으로 인해 고객 정보가 유출되면 심각한 결과를 겪을 수 있습니다.

결과적으로, 신용카드 결제가 허용되는 경우 PCI 규정 준수가 필수입니다.; 준수하지 않으면 다음과 같은 결과가 발생할 수 있습니다. 계약상 벌금, 사고 추가 요금, 더 높은 인수 비용 그리고 극단적인 경우에는 카드 처리 능력 상실따라서 전자상거래에 대한 PCI 규정 준수의 중요성이 커지고 있습니다. 고객에게 더 신뢰할 수 있습니다.

PCI DSS 주요 요구 사항: 목표 및 통제

PCI DSS 컨트롤

PCI DSS는 제어를 다음과 같이 그룹화합니다. 6 가지 목표 y 12가지 기술 및 조직 요구 사항 보안을 강화하는:

  • 안전한 네트워크 구축 및 유지: 1) 방화벽이 올바르게 구성됨; 2) 기본 자격 증명 변경.
  • 소유자의 데이터를 보호하세요: 3) 저장된 데이터를 보호합니다. 4) 전송 중 암호화 공공 네트워크에서.
  • 취약점 관리: 5) 바이러스 백신/맬웨어 백신 업데이트; 6) 패치 및 보안 개발.
  • 액세스 제어: 7) 알아야 할 필요성에 따른 접근; 8) 고유 ID 및 MFA; 9) 물리적 통제.
  • 모니터링 및 테스트: 10) 등록 및 추적성 접근; 11) 정기적 테스트 및 스캐닝.
  • 보안 정책: 12) 정부와 훈련 모든 직원을 위해.

모범 사례는 다음과 같습니다. 네트워크 세분화토큰 화 저장된 데이터를 최소화하고, 침투 테스트를 실시하고, 반기별로 방화벽 규칙을 검토합니다.

규정 준수 및 검증 수준

전자상거래를 위한 PCI 검증

  • 레벨 1: 연간 6만 건 이상의 거래. 필요 ROC QSA 또는 자격을 갖춘 내부 감사자에 의해 AOC 연간 및 분기별 ASV 스캔.
  • 레벨 2-4: 볼륨을 낮춰야 합니다. SAQ 연간(적분에 따른 유형: 예: A, A-EP, D), AOC 그리고 해당되는 경우, 분기별 ASV.

이러한 요구 사항은 다음과 같습니다. 카드 브랜드와 계약. 준수하지 않으면 다음과 같은 결과가 발생할 수 있습니다. 경제적 파급 효과 그리고 운영.

전자상거래에서 규정 준수를 달성하고 유지하는 방법

1) 범위를 줄입니다: 호스팅 게이트웨이, 토큰화 및 세분화를 사용하여 환경에서 덜 민감한 데이터를 처리하도록 하세요. 2) 강화 구성: 기본 비밀번호를 제거하고 MFA와 최소 권한 원칙을 시행합니다. 3) 데이터 보호: 전송 중에는 암호화하고(강력한 TLS) 저장하는 경우에는 안전한 키 관리를 사용하여 암호화합니다. 4) 지속적인 감시: SIEM, 로그 보존, 알림 및 ASV 스캔 분기별. 5) 테스트: 주기적인 침투 테스트 및 결과 수정. 6) 취약점 관리: 인벤토리, 패치 및 바이러스 백신. 7) 정책 및 교육: 직원 인식 및 사고 대응.8) 문서: 최신 증거를 바탕으로 SAQ/ROC와 AOC를 준비합니다.

결제 게이트웨이 및 지갑

지불 게이트웨이 y 디지털 지갑으로 Paysafecard, PCI DSS도 준수해야 합니다. 인증은 범위를 줄이다 상인의 것이 아니라 면제하다 귀하의 환경에 적용되는 통제(예: 웹 보안, 액세스 관리 및 로그)를 준수합니다.

보호된 데이터 및 모범 사례

PCI는 다음과 같은 정보를 보호합니다. PAN (카드번호), 카드소지자 이름, 만료일, 서비스 코드, 트랙 데이터 및 민감한 인증 요소(예: CVV y PIN (후자는 절대 저장해서는 안 됩니다.) 주요 권장 사항: 데이터를 저장하지 마세요 필요하지 않는 한, 보유량을 최소화하세요 토큰화를 사용합니다.

이점과 위험

PCI DSS를 준수하면 사기, 보호합니다 평판 향상 자신 고객의. 비준수는 노출됩니다 간격, 벌금 부과, 의무적인 법적 검토, 카드 수락 능력 상실 등이 있습니다.

PCI DSS 채택은 문화를 강화합니다. 설계에 따른 보안 비용이 많이 드는 사고를 예방하고, 감사를 용이하게 하며, 고객에게 원활하고 안정적인 결제 경험을 보장합니다.

관련 기사 :
결제시 보안