지금 바로 Shopify로 판매를 시작하세요

지금 바로 Shopify 무료 체험을 시작한 다음, 과정의 모든 단계에서 여러분을 안내할 다양한 자료를 활용하세요.

무료 체험 시작자세히 알아보기
블로그|가이드

PCI DSS란? 요건 및 준수 방법

결제 보안을 위한 PCI DSS를 이해하세요. 온라인 결제 거래를 하는 기업을 위한 준수 수준, 요구 사항, 그리고 모범 사례를 알아보세요.

저자:
업데이트 날짜
PCI DSS 준수를 의미하는 초록색 체크 박스

온라인 쇼핑은 이제 대부분 사람들에게 자연스러운 일상입니다. 온라인에서 사람들은 클릭하고, 구매하며, 정보는 원활하게 처리됩니다. 이 모든 과정은 우리의 금융 데이터가 안전하다는 신뢰감 속에서 이루어집니다. 하지만 이러한 신뢰를 보장하기 위해 뒤에서는 무슨 일이 벌어지는지 궁금해 보신 적이 있나요?

그 답은 PCI DSS라는 일련의 보안 표준에 있습니다. 본 블로그에서는 이 약어의 의미와 온라인 판매자 및 고객에게 어떤 의미가 있는지 알아보겠습니다.

PCI DSS(결제 카드 산업 데이터 보안 표준)란?

PCI DSS는 Payment Card Industry Data Security Standard(결제 카드 산업 데이터 보안 표준)의 약자입니다. 이는 카드 소지자의 데이터를 안전하게 처리하도록 보장하기 위해 주요 신용카드 업체(Visa, Mastercard, American Express, Discover, JCB 등)가 요구하는 일련의 보안 요건입니다. 쉽게 말해, 민감한 고객 결제 정보를 보호하기 위한 규칙집이라고 할 수 있습니다.

PCI DSS는 2006년에 설립된 독립적인 전문가 그룹인 PCI 보안 표준 위원회(PCI SSC)가 관리합니다. 이 기준은 카드 정보 수집, 전송 또는 저장을 하는 모든 기업과 기관에, 그리고 규모나 거래량에 관계없이 적용됩니다.

적용 대상에는 매장과 서비스 제공업체뿐만 아니라 카드 결제를 처리할 수 있는 비영리 단체도 포함됩니다. 결제 처리를 외부에 맡기더라도 고객의 신용 카드 데이터 보호를 위해 PCI DSS 준수 책임이 있다는 점을 유념해야 합니다.

PCI DSS의 목적은 무엇인가요?

PCI DSS의 주요 목적은 민감한 카드 소지자 정보를 안전하게 보호하는 것입니다. 여기에는 직불카드 및 신용카드 번호, 카드 만료일, 보안 코드 등이 포함됩니다. PCI DSS는 강력한 결제 보안 조치를 요구하여 기업이 데이터 유출, 신원 도용 및 신용카드 사기를 줄이는 데 도움을 줍니다. 또한 기업이 민감한 정보를 처리하는 방법에 대한 명확한 기대치를 설정하여 모든 관련자를 위한 더욱 안전한 환경을 만듭니다.

PCI DSS의 6가지 원칙

PCI DSS는 12개의 핵심 요건을 다루며, 이는 관리 목표(control objectives)라고 하는 6개의 아래와 같은 그룹으로 구성되어 있습니다.

  1. 안전한 네트워크 및 시스템 구축 및 유지
  2. 카드 소지자 데이터 보호
  3. 취약성 관리 프로그램 유지
  4. 강력한 접근 제어 조치 구현
  5. 정기적인 네트워크 모니터링 및 테스트
  6. 정보 보안 정책 유지

12가지 PCI DSS 요구 사항

최신 버전은 PCI DSS 4.0(2022년 3월 발표)이며, 여기에는 다음의 12가지 핵심 준수 요건이 포함되어 있습니다.

  1. 카드 소지자 데이터를 보호하기 위한 방화벽 구성 설치 및 유지
  2. 시스템 비밀번호 및 기타 보안 매개변수에 대해 공급업체 제공 기본값을 사용하지 않기
  3. 저장된 카드 소지자 데이터 보호
  4. 공개 네트워크를 통한 카드 소지자 데이터 전송 암호화
  5. 모든 시스템을 악성 소프트웨어로부터 보호하고 정기적으로 안티바이러스 소프트웨어 또는 프로그램 업데이트
  6. 안전한 시스템 및 애플리케이션 개발 및 유지
  7. 업무 필요에 따라 카드 소지자 데이터에 대한 접근 제한
  8. 시스템 구성 요소에 대한 접근 식별 및 인증
  9. 카드 소지자 데이터에 대한 물리적 접근 제한
  10. 네트워크 자원 및 카드 소지자 데이터에 대한 모든 접근 추적 및 모니터링
  11. 보안 시스템 및 프로세스 정기 테스트
  12. 모든 직원에 대한 정보 보안 정책 유지

PCI DSS 준수 수준

가맹점은 PCI DSS를 준수해야 하며, 이를 인증하는 방법은 거래량 및 처리 방법에 따라 다릅니다. 기업이나 기관에 적용되는 PCI DSS 준수 수준은 총 4가지로 나뉩니다.

수준 1

수준 1 기업은 연간 600만 건 이상의 카드 거래를 처리하며, 가장 엄격한 요구 사항을 준수해야 합니다. 이 수준의 대형 가맹점은 다음을 수행해야 합니다.

  • 제3자 공인 보안 평가자(QSA)와 협력하여 연간 준수 보고서(ROC) 작성
  • 분기별 네트워크 취약성 스캔 및 연간 침투 테스트 수행
  • QSA의 서명이 포함된 준수 인증서(AOC) 작성

수준 2

연간 100만 건에서 600만 건의 카드 거래를 처리하는 가맹점은 수준 2에 해당합니다. 이 수준에서는 다음을 수행해야 합니다.

  • 연간 자가 평가 설문지(SAQ) 작성
  • 분기별 네트워크 취약성 스캔 수행
  • 준수 인증서(AOC) 작성

수준 2에서는 제3자 QSA 업체가 SAQ를 인증해야 할 수도 있으며, 분기별 네트워크 취약성 스캔을 제출해야 할 수도 있습니다.

수준 3

이 수준은 연간 2만 건에서 100만 건의 카드 거래를 처리하는 모든 기업 및 모든 전자상거래 판매자에게 적용됩니다. 수준 3에서는 다음을 수행해야 합니다.

  • 연간 SAQ 작성
  • 분기별 네트워크 스캔 수행
  • 준수 인증서(AOC) 작성

분기별 네트워크 취약성 스캔을 제출해야 할 수도 있습니다.

수준 4

수준 4는 연간 2만 건 미만의 거래를 처리하는 소규모 기업에 적용됩니다. 수준 4에서는 다음을 수행해야 합니다.

  • 연간 SAQ 작성
  • 분기별 네트워크 스캔 수행(보고 의무는 없음)
  • 준수 인증서(AOC) 작성

분기별 네트워크 취약성 스캔을 제출해야 할 수도 있습니다.

PCI DSS 준수의 장단점

PCI DSS를 구축하고 유지하는 데에는 일부 비용이 발생하지만, 데이터 유출이 초래할 수 있는 문제에 비하면 훨씬 적습니다. PCI DSS 준수는 고객과의 신뢰를 구축하므로 투자 가치가 있습니다. PCI DSS를 준수하면 다음과 같은 사항을 기대할 수 있습니다.

PCI DSS의 장점

  • 보안 문제 감소: 강화된 데이터 보안은 해커가 고객 정보를 훔치기 어렵게 만들어, 기업이 받을 수 있는 스트레스와 운영 중단 발생을 줄여줍니다.
  • 강화된 고객 관계: PCI DSS를 준수하면 고객에게 그들의 금융 정보를 보호하는 데 노력한다는 점을 보여주어 신뢰와 충성도를 높이는 데 도움이 됩니다.
  • 장기적인 비용 절감: 민감한 데이터를 사전에 보호하여 데이터 유출과 관련된 막대한 벌금, 비용이 많이 드는 소송, 평판 손상을 피할 수 있습니다.

PCI DSS의 단점

  • 설정 비용: PCI DSS 준수에는 보안 도구 및 직원 교육을 위한 초기 비용이 발생합니다.
  • 지속적인 관리: PCI 준수를 유지하려면 시스템을 정기적으로 점검하고 보안 보호를 업데이트하며 직원들이 최신 정보를 유지하도록 해야 합니다.
  • 변화하는 환경: 진화하는 위협과 기술 발전으로 업계는 항상 변화하고 있으며, 기업은 이에 따라가고 적응해야 합니다.
  • 복잡성: PCI DSS의 세부 사항은 복잡할 수 있습니다. 기업 규모와 유형에 따라 전문가의 도움이 필요할 수 있습니다.

PCI DSS 준수 모범 사례

다음은 PCI DSS 준수를 유지하고 고객 결제 정보를 안전하게 처리하는 데 도움이 되는 주요 모범 사례입니다.

  1. 접근 제한: 개인 고객 데이터는 필요에 따라 접근해야 합니다. 업무에 필요한 직원만 카드 소지자 데이터에 접근할 수 있어야 합니다.
  2. 강력한 방어 구축: 방화벽 및 안티바이러스 소프트웨어와 같은 보안 도구에 투자하고 정기적으로 업데이트합니다.
  3. 분리 유지: 안전한 네트워크 인프라는 카드 소지자 데이터를 다른 부분과 분리하여 네트워크를 세분화하는 것을 포함합니다.
  4. 암호화 유지: 고객 데이터를 저장하거나 전송할 때 암호화를 사용하여 무단 사용자가 정보를 읽을 수 없도록 합니다.
  5. 정기적인 점검 수행: 시스템 및 소프트웨어를 보안 패치로 최신 상태로 유지합니다.
  6. 팀 교육: 직원들에게 데이터 보안 모범 사례를 교육하고 훈련하여 우발적인 유출을 방지합니다.
  7. 강력한 비밀번호 시행: 비밀번호 복잡성 요건 및 정기적인 비밀번호 변경을 시행하고, 2단계 인증을 설정합니다.
  8. 감사 로그 유지: 시스템 활동을 모니터링할 수 있도록 상세한 감사 로그를 유지합니다.
  9. 대응 계획 수립: 보안 사고에 신속하고 효과적으로 대응할 수 있는 계획을 마련합니다.
  10. 공식화: 카드 소지자 데이터를 처리하고 보호하는 방법을 포함하는 회사 전체의 정보 보안 정책을 수립합니다.

기억하세요, PCI DSS 준수는 지속적인 과정입니다. 이러한 모범 사례를 따르면 데이터 유출 위험을 크게 줄이고, 여러분의 회사와 고객을 보호할 수 있습니다.

Shopify Payments로 준수 유지

Shopify 판매자에게 반가운 소식이 있습니다. Shopify가 여러분을 위해 작업을 완료했습니다. Shopify는 PCI DSS 준수를 보장하며, 이는 기본적으로 Shopify에서 운영되는 모든 스토어에 적용됩니다.

즉, 당사는 PCI 준수 서버에 고객의 청구 및 배송 정보를 안전하게 저장합니다. 또한, 연간 평가를 통해 준수를 검증하고 지속적인 위험 관리를 적극적으로 수행합니다. Shopify가 준수하는 내용에는 6가지의 모든 PCI 표준 카테고리를 포함되어 있으며, 이는 당사 플랫폼을 사용하는 모든 스토어에 적용됩니다.

간단히 말해, PCI 수준 1 인증을 유지하고 모든 거래를 보호하기 위해 상당한 시간과 비용을 투자한 Shopify를 사용하면 여러분의 스토어, 장바구니 및 웹 호스팅 모두를 보호할 수 있습니다.

PCI DSS FAQ

PCI DSS란 무엇인가요?

결제 카드 산업 데이터 보안 표준(PCI DSS)은 Visa, Mastercard, American Express, Discover, JCB

같은 주요 카드 업체들의 신용카드 처리를 위해 사용되는 정보 보안 표준입니다. 이 표준은 결제 보안을 위한 모범 사례를 설정하여 데이터 유출, 사기 및 신원 도용을 방지하는 데 도움을 줍니다. 법적으로 의무화되지는 않지만, 카드 결제를 처리하는 기업이나 기관은 계약상 요건을 충족해야 합니다.

PCI DSS가 다루는 4가지 사항은 무엇인가요?

PCI DSS는 다음의 4가지 핵심 영역을 다룹니다.

  • 카드를 사용한 디지털 거래 및 결제 처리
  • 결제 카드 데이터 저장
  • 카드 소지자 정보 전송
  • POS 장치, 제공업체 및 인수자를 포함한 카드 처리 환경 보안.

PCI DSS가 필요한 이유는 무엇인가요?

PCI DSS는 규모나 거래 수에 관계없이 결제 카드 정보를 처리, 전송 또는 저장하는 모든 기업과 기관에 적용됩니다. 또한 카드 처리 환경 자체에 대한 요건을 포함하고 있으며, 여기에는 POS 장치, 서버, 네트워크, 서비스 제공업체 및 제3자 결제 처리업체가 포함됩니다.

S팀
저자:
업데이트 날짜
문서 공유하기
subscription banner
Shopify가 제공하는 최신 정보 보기
블로그를 구독하고 받은 편지함으로 바로 전달되는 무료 전자상거래 팁, 영감, 자료를 받으세요.

언제든지 구독을 취소할 수 있습니다. 이메일을 입력하면 Shopify의 마케팅 이메일 수신에 동의하시는 것입니다.

Shopify와 함께 어디서나 제품을 판매하세요

비즈니스 여정을 진행하는 동시에 배우세요. Shopify를 무료로 체험해 보고, 창업과 비즈니스 운영 및 성장에 필요한 모든 도구를 살펴보세요.

무료 체험 시작

무료로 시작하고 이후 3개월 동안 월 US$1월에 이용하세요