|
|
 |
귀사가 AIS 기준을 충족하는지 확인하세요.
Visa는 귀사가 PCI 기준을 충족하는지를 판단하는 가장 효과적인 방법으로서 PCI 자가진단서, 분기별 취약점 분석, 보안실사 등을 이용할 것을 권고합니다.
| | | | |  | 자가진단서 | | 취약점 분석 | | 보안실사 | | 비용은 얼마나 드는가? | | | |
자가진단서
자가진단서는 무료 비공개 툴로서 귀사의 PCI 기준 충족 정도를
측정하는 데 사용할 수 있습니다. 자가진단서는 ‘예/아니오’ 질문으로 구성되어 있습니다.
온라인 자가진단서를 작성·완료하기 위해 아래 절차를 따르세요.
지불결제카드 산업 데이터 보안 기준(‘ 다운로드/자료’ 섹션 참고)을 숙지하세요. 그 후 대부분의 기업은 인쇄할 수 있는 자가진단서를 다운로드 하여 답변을 취합한 다음 온라인 자가진단을 완료하고자 합니다. 인쇄할 수 있는 자가진단서에 대해서는 ‘ 다운로드/자료’ 섹션을 참고하세요. 인쇄할 수 있는 서식을 다운로드 한 후 질문을 귀사 조직 내의 적절한 전문가에게 배포하여 정확한 답변을 확보해야 합니다. 정책 및 준법관리, 물리적 보안, 정보보안 등을 담당하는 전문가가 포함되어야 합니다. 자가진단서를 작성하세요.
온라인 자가진단서의 결과는 PCI 평가 보고서를 통해 귀사에 통지됩니다. 이 보고서는 평가된 귀사의 리스크 수준을 약술합니다.
매월 10,000개 미만의 Visa 거래를 결제하고 TrustSG seal(싱가포르)을 획득한 전자상거래 가맹점은 자동적으로 PCI 기준을 충족합니다. 이들 가맹점은 자가진단서를 작성할 필요가 없습니다. TrustSG seal에 대한 자세한 정보는 www.trustsg.org.sg를 참고하기 바랍니다.
| |
취약점 분석
외부 취약점 분석은 귀사가 잠재적 외부 위협에 대한 보안수준을
평가할 수 있게 합니다. 검사 툴을 이용하여 네트워크 장비, 호스트,
어플리케이션이 알려진 취약점에 안전한지 여부를 테스트합니다.
이 검사는 취약점을 파악한 후 이를 고치기 위해 실시됩니다.
외부 / 원격 취약점 분석 – 귀사의 네트워크가 인터넷에 연결되어
있다면, 외부 해커의 공격을 받을 수 있습니다. 따라서 인터넷 기반
네트워크에 접속 가능한 귀사의 모든 장치는 방어벽 등 보호장치
밖에서 취약점이 있는지 검사할 필요가 있습니다.
취약점 분석은 비침투 테스트(non-intrusive test) 방식으로 수행됩니다. 모든 검사는 https://sdp.mastercardintl.com/vendors/vendor_list.shtml에
등재된 승인 업체 리스트에서 선정된 제3자의 호환 네트워크 보안검사 업체가 수행해야 합니다.
분기별 분석은 월평균 거래량이 10,000개 이상인 모든 가맹점과
서비스 업체에 의무적으로 요구됩니다. 추가 취약점 분석은 교정조치가 성공적으로 이루어지도록 하기 위해 시행됩니다. 네트워크 또는 애플리케이션 수정이 프로덕션 환경에 이루어졌다면, 새로운 취약점이 인프라에 발생하지 않았는지 확인하기 위해 추가 검사가 요구될 수 있습니다.
새로운 취약점이 계속 발견되기 때문에, Visa는 귀사가 내부 및 외부 (원격) 네트워크 취약점 분석을 정기적으로 수행할 것을 강력히 권고
합니다.
| |
보안실사
보안실사는 1개월에 50,000개 이상의 Visa 거래를 결제, 저장 또는
전송하는 모든 당사자에게 권장되는 독립 리스크 평가입니다.
보안실사는 Visa 전담 보안실사 업체가 수행해야 합니다. 보안실사
업체는 전문 IT 보안실사를 제공하고 귀사의 PCI 기준 충족상황을
확인할 수 있는 Visa가 승인한 기관입니다.
보안실사 업체는 보안실사 중에 12가지 PCI 요건을 중심으로 정해진 테스트 절차를 따릅니다. 귀사는 다운로드/자료 섹션에서 보안실사 중에 보안실사 업체가 수행할 보안실사 절차의 사본을 다운로드 할 수 있습니다.
다운로드/자료 섹션에서 아태지역 Visa 전담 보안실사 업체의 리스트를 확인할 수 있습니다. Visa 아태지역의 지불결제 보안서비스팀도
보안실사 서비스를 제공하고 있습니다. 자세한 사항은 Sophia Chen에게 문의하기 바랍니다.
현재 보안 컨설팅 업체를 고용하여 보안실사를 수행하고 있고, 업체가 Visa 보안실사 업체가 되고자 한다면, 매입사에 문의하기 바랍니다. Visa는 해당 업체의 자격요건을 평가할 것입니다. 물론, 자격요건
획득이 반드시 보장되는 것은 아닙니다.
| |
비용은 얼마나 드는가?
PCI 온라인 자가진단서와 취약점 분석은 Visa 아태지역이 무료로 제공합니다. 평가·검증·수정의 실제 과정은 귀사의 비용으로 이루어집니다. 소요기간과 준수 비용은 귀사가 기준을 이미 준수하고 있는 정도에
따라 다릅니다.
보안실사는 보안실사 업체나 Visa 아태지역의 보안서비스팀(VPSS)이 수행해야 합니다. 이 서비스의 비용을 VPSS나 귀사가 선호하는 보안실사 업체와 협상하는 것은 전적으로 귀사에 달려 있습니다. 평가·검증·수정의 실제 과정은 귀사의 비용으로 이루어지며, 소요기간과 준수
비용은 기준에 대한 귀사의 기존 준수도에 따라 다릅니다.
현재 VPSS나 Visa 보안실사 업체를 고용하여 연례 시스템 실사를
수행하고 있는 당사자는 연례 실사의 범위를 확대하여 AIS 기준이
포함되도록 할 것을 권장합니다. 이 경우, 요건 충족과 관련된 비용과
자원을 모두 절감할 수 있습니다.
| | | |
|
|
|
