상담사 또는 최종 사용자가 신용카드 번호를 티켓에 입력하면 PCI 데이터 보안 표준(PCI DSS) 요구 사항을 충족하는 티켓 양식에 신용카드 필드를 추가할 수 있습니다.
이 문서에서는 PCI 규격을 준수하는 신용카드 필드를 추가하는 방법과 Zendesk를 보다 안전하게 활용하기 위한 추가적인 권장 사항에 대해 설명합니다. 이 권장 사항은 PCI 규격을 준수하도록 Zendesk 제품을 설정하는 방법을 제시하지는 않지만 Zendesk 제품을 보다 안전하게 활용하는 데는 도움이 됩니다.
이 문서에서 다루는 주제는 다음과 같습니다.
티켓 양식에 신용카드 번호 필드 추가하기
신용카드 번호에 PCI 규격 티켓 필드를 사용할 수 있습니다. 최종 사용자와 상담사는 필드에 신용카드 번호 전체를 입력할 수 있으며, 마지막 4개 번호를 제외한 다른 번호는 자동으로 삭제되어 표시됩니다.
이 필드를 사용 설정하면 계정이 Zendesk Support 인프라의 PCI 규격 준수로 전환됩니다. 계정이 전환될 때까지 최대 5일(업무일 기준)이 소요될 수 있습니다.
이 섹션에서는 필드 추가 방법과 제한 사항에 대해 설명합니다.
신용카드 번호 필드를 추가하려면 다음과 같이 하세요.
- 관리자로 Zendesk 계정에 로그인합니다.
- 관리 센터의 사이드바에서 개체 및 규칙을 클릭한 다음 티켓 > 필드를 선택합니다.
- 오른쪽에서 필드 추가를 클릭합니다.
- 신용카드 필드를 클릭합니다.
- 다음과 같은 필드 특성을 설정하고 저장을 클릭합니다.
필드 특성 값 제목 모든 이름 최종 사용자에 대해 읽기 전용 선택되지 않음(아래 참고 내용 참조) 최종 사용자 편집 가능 선택되지 않음 필수 상담사와 최종 사용자에 대해 선택되지 않음 상태로 둘 것을 적극 권장함
제한 사항
신용카드 번호 필드의 알려진 제한 사항은 다음과 같습니다.
제품 제한 사항
- Zendesk Support 모바일 앱 - 이 필드는 읽기 전용입니다.
- 웹 위젯 - 이 필드는 지원되지 않습니다.
- 모바일 SDK - 이 필드에 4자리 숫자만 입력할 수 있습니다.
- App Framework 앱 - Zendesk 마켓플레이스에서 설치된 앱에 이 필드가 기본으로 제공되는 경우, 브라우저 콘솔의 발신 필드 콘텐츠가 Zendesk에서 삭제되기 전에 앱에 표시될 수 있습니다. 앱을 활성화하기 전에 이러한 취약점이 있는지 자세히 알아보세요.
- 티켓 공유 - Zendesk 계정 간에 이 필드를 공유할 수 없습니다.
기타 제한 사항
- Zendesk Support는 신용카드 번호 전체를 저장하지는 않습니다.
- PCI에서는 신용카드의 처음 6자리 번호와 마지막 4자리 번호가 저장되지만, Zendesk Support에서는 마지막 4자리 번호만 저장됩니다.
- 신용카드 번호 필드에는 신용카드 번호만 저장될 수 있습니다. 필드에 입력된 다른 모든 문자는 입력한 내용이 저장될 때 제거됩니다.
- 신용카드 인증 데이터와 관련된 기타 필드를 지원하기 위한 바로 사용할 수 있는 기능이 제공되지 않습니다. 이러한 기능으로는 유효 기간, 카드 확인 값(CVV) 또는 개인 식별 번호(PIN) 필드가 있지만 이에 한정되지는 않습니다. PCI 규격을 준수하면서 Zendesk Support를 사용하려면 지원 티켓의 댓글에서 최종 사용자에게 이 정보를 요청하지 않아야 합니다. PCI DSS는 신용카드 승인 절차에만 이 정보를 사용하도록 허용하며, Zendesk Support는 결제 처리 애플리케이션이 아닙니다.
- 관리자가 사용 설정하는 추가 기능은 PCI 규격 신용카드 필드의 보안에 영향을 줄 수 있습니다. PCI 규격 필드가 올바르게 사용되면 Zendesk Support는 신용카드 번호를 수신하거나 저장하지 않지만 타사 앱, 브라우저 확장 프로그램/추가 기능, Talk 또는 이메일로 인해 최종 사용자의 카드 소유자 데이터가 노출될 수도 있습니다.
엄격한 비밀번호 요구 사항 구현하기
PCI 데이터 보안 표준을 준수하려면 상담사와 관리자는 이 섹션에 설명된 비밀번호 요구 사항을 충족해야 합니다. 조직의 정책에 따라 더욱 강력한 요구 사항이 필요할 경우에는 더욱 강력한 요구 사항을 구현하세요.
상담사와 관리자를 위해 Zendesk 로그인을 사용하는 경우에는 아래 단계를 따르세요. 상담사와 관리자를 위해 Google 로그인 또는 통합 인증(SSO)을 사용하는 경우에는 Google 계정 또는 통합 인증 서버가 이 섹션에 설명된 PCI DSS 비밀번호 요구 사항을 충족하는지 확인하세요.
- 관리자로 Zendesk 인스턴스에 로그인합니다.
- 관리 센터의 사이드바에서 계정을 클릭한 다음 보안 > 팀원 인증을 선택합니다.
- 비밀번호 수준 메뉴에서 사용자 지정을 선택합니다.
- 편집을 클릭합니다.
- 다음과 같은 요구 사항을 설정합니다.
설정 최소 요구 사항 거부할 이전 비밀번호 수 4개의 이전 비밀번호 최소 길이 7 숫자와 특수 문자를 포함해야 함 숫자만 대/소문자를 함께 사용해야 함 예 비밀번호 만료 90일 계정을 잠그기 전까지 실패한 로그인 시도 횟수 6 세션이 만료될 때까지 경과 분 수 15(참고 내용 참조) 참고: 15분 후에 잠기도록 워크스테이션이 구성되어 있으면 세션 만료 요구 사항은 선택 사항이며, 신뢰할 수 있는 네트워크에 있는 기기에서만 제한 시간 설정이 적용되도록 IP 제한이 구성됩니다. - 설정을 클릭하여 변경 내용을 저장합니다.
위에 설명한 비밀번호 요구 사항은 상담사와 관리자에게 적용됩니다. 최종 사용자의 경우 계정이 손상되지 않도록 방지하기 위해서는 다음과 같은 사항이 권장됩니다. 이는 PCI DSS에서 요구하는 조건은 아니지만 고객의 지원 계정을 보호하기 위해 고려해야 할 사항입니다. 최종 사용자의 경우 관리 센터 > 계정 > 보안 >최종 사용자 인증 페이지에서 높음 옵션을 선택하는 것이 좋습니다.
SSL이 사용되고 있는지 확인하기
PCI를 준수하려면 카드 소유자 데이터가 포함되어 있을 수 있는 공용 네트워크 상의 모든 커뮤니케이션을 암호화해야 합니다.
TLS 암호화를 사용하도록 Zendesk 인스턴스를 구성하려면 다음과 같이 하세요.
- 관리자로 Zendesk 계정에 로그인합니다.
- 관리 센터의 사이드바에서 계정을 클릭한 다음 보안 > 추가 설정을 선택합니다.
- SSL 탭을 클릭합니다.
- 호스팅된 SSL을 사용하는 경우에는 SSL 인증서가 유효한지 확인합니다. 또는 일반 SSL 섹션에서 사용 확인란이 선택되어 있는지 확인합니다.
Zendesk는 SSL이 더 이상 PCI DSS에 충분하지 않다고 판단하기 때문에 TLS를 사용합니다. Zendesk에서는 기본적으로 TLS 1.2를 사용하지만, TLS 1.2를 처리할 수 없는 시스템에서는 대체 옵션으로 TLS 1.1 및 TLS 1.0도 사용할 수 있습니다.
권장 사항: 기타 필드에 자동 삭제 사용 설정
최종 사용자 또는 상담사가 항상 신용카드 번호 필드를 사용할 것이라는 보장은 없습니다. 티켓 댓글이나 다른 사용자 지정 티켓 필드에 신용카드 번호를 입력할 수도 있습니다. 이러한 번호도 삭제하려면 헬프 센터의 티켓에서 신용카드 번호 자동으로 삭제하기를 참조하세요.
법적 고지
Zendesk는 신용카드 필드를 사용하는 가입자들을 위해 Zendesk 헬프 데스크 및 헬프 센터 서비스에 대해서만 PCI AoC(Payment Card Industry Attestation of Compliance)를 유지하며, Zendesk에서 제공하는 기타 서비스 또는 제품은 여기에 포함되지 않습니다. 아티팩트 > 직접 다운로드 리소스(비NDA) > 리소스 가져오기에서 AoC 사본을 요청하세요. AoC는 Zendesk가 PCISSC(Payment Card Industry Security Standards Council)에서 규정한 대로 PCI DSS(Payment Card Industry Data Security Standard) 버전 4.0을 준수하고 있다는 사실을 증명합니다. Enterprise 플랜을 이용하는 Zendesk 가입자는 본 문서에 설명된 절차를 수행하여 Zendesk의 AoC의 혜택을 누릴 수 있습니다. 본 문서에 설명된 절차를 수행한 후 Zendesk 계정이 Zendesk PCI 규격 준수 환경으로 전환되려면 최대 5일(업무일 기준)이 소요될 수 있습니다.
본 문서는 해당 지역에서 라이선스를 취득했거나 공인된 전문 법률가의 법적 자문으로 활용할 수 없습니다. 특정 법률 또는 준수 관련 문제에 대해서는 항상 자격이 있는 전문가와 상의해야 합니다. 이 문서의 어떤 내용도 법적 자문 내용으로 간주되어서는 안 됩니다.