Zendesk의 PCI DSS 표준 준수

Zendesk는 판매자이자 서비스 제공업체 역할을 합니다. 판매자로서 Zendesk는 PCI DSS를 준수합니다. 클라우드 기반 서비스 제공업체인 Zendesk는 결제 카드 처리 수명 주기에서 어떤 역할도 하지 않습니다. 고객은 비즈니스 요구 사항을 충족하는 방식으로 Zendesk 인스턴스를 사용할 수 있지만 Zendesk는 청구 시스템으로 사용되거나 신용카드 데이터를 전송 및/또는 저장하기 위한 것이 아닙니다.

서비스 제공업체인 Zendesk는 기업이 Zendesk 상담원 인터페이스의PCI 규격 티켓 필드를 통해 사용자 지정 티켓 필드에 개인 계정 번호(PAN)를 입력할 수 있는 기능을 제공합니다. PCI 호환 티켓 필드에 입력한 결제 카드 번호는 데이터가 Zendesk 플랫폼에 제출되기 전에마지막 4자리로 삭제됩니다. 이 필드 및 관련 컨트롤은 PCI를 준수합니다. Zendesk PCI DSS 규정 준수는 Support 제품에만 적용됩니다.

규정 준수 증명(AoC) 사본을 요청합니다('아티팩트' 아래).

보안 및 규정 준수에 대한 Zendesk 접근 방식

Zendesk는 업계에서 인정하는 보안 제어 및 개인정보 보호 프레임워크를 사용하여 플랫폼의 보안을 유지하고 PCI DSS와 같은 업계 규정을 준수합니다. 여기에는 다음이 포함됩니다.

물리적 보안

Zendesk는 ISO 27001, PCI DSS 서비스 제공업체 레벨 1 및/또는 SOC 2 준수 인증을 받은 AWS 데이터 센터에서 주로 서비스 데이터를 호스팅합니다. AWS에서 규정 준수에 대해 알아보세요.

데이터 호스팅 위치

Zendesk는 전 세계에 위치한 AWS 데이터 센터를 사용합니다. Zendesk 서비스 데이터의 데이터 호스팅 위치에 대해 알아보세요.

또한 특정 영역에서 데이터 위치 선택을 제공합니다. 제품, 플랜 및 지역별 서비스에 대한 자세한 내용은지역별 데이터 호스팅 정책을 참조하세요.

네트워크 보안

Zendesk의 네트워크는 주요 AWS 보안 서비스, Cloudflare 에지 보호 네트워크와의 연동, 정기 감사 및 알려진 악성 트래픽 및 네트워크 공격을 모니터링 및/또는 차단하는 네트워크 인텔리전스 기술을 통해 보호됩니다.

아키텍처

Zendesk의 네트워크 보안 아키텍처는 여러 보안 영역으로 구성되어 있습니다. 데이터베이스 서버와 같은 더 민감한 시스템은 가장 신뢰할 수 있는 영역에서 보호됩니다. 다른 시스템들은 기능, 정보 분류, 위험에 따라 해당 민감도에 알맞은 영역에 수용됩니다. 영역에 따라 추가적인 보안 모니터링 및 액세스 제어가 적용됩니다. 인터넷 사이에서, 그리고 내부적으로는 서로 다른 신뢰 영역들 사이에서 DMZ를 활용합니다.

암호화

Zendesk UI 및 API와의 모든 커뮤니케이션은 공용 네트워크를 통한 업계 표준 HTTPS/TLS(TLS 1.2 이상)를 통해 암호화됩니다. 또한 이메일의 경우 Zendesk 제품은 기본적으로 기회주의적 TLS(Transport Layer Security)를 활용합니다. AWS에 저장된 서비스 데이터는 AES 256 키 암호화 기술을 사용하여 암호화됩니다.

자동 삭제

고객이 PCI 의무를 이행할 수 있도록 돕기 위해 “자동 삭제”라는 기능을 만들었습니다. 이 기능은 PAN이 Zendesk 인스턴스에 들어갈 때Luhn 검사 알고리즘을 적용합니다. 이 도구가 일치하는 카드 번호를 식별하면 번호를 잘라내고(처음 6자와 마지막 4자까지) 변경이 발생했음을 나타내는 데이터에 태그를 지정합니다. 이렇게 하면 UI의 데이터를 마스킹하고, 로그 및 데이터베이스 항목에서 데이터를 삭제하고, Luhn 검사를 수행하기에 충분한 시간 동안만 저장합니다.

“자동 삭제” 기능은 사용 설정된 순간부터 새 데이터만 삭제합니다. 헬프 센터, Zendesk Chat 또는 기타 Zendesk 제품에는 적용되지 않습니다.

규정 준수 증명(AoC)의 혜택을 받으려면 신용카드 사용자 지정 필드를 사용 설정해야 합니다. 이 필드를 활성화하지 않으면 인스턴스가 AoC 또는 PCI 규격 환경의 이점을 누리지 못할 수도 있습니다.

참고: 저장 공간 예외에는 MIME 인코딩된 이메일과 일시 중단된 티켓의 사용자 지정 티켓 필드가 포함되지만 곧 이러한 두 가지 예외를 제거하는 기능이 출시될 예정입니다.

메시징의 경우:

상담사 워크스페이스가 활성화되어 있으면 메시징에서 결제 카드 정보가 자동으로 삭제됩니다. 이 내부 내용 삭제 기능은 앱 설정인 마스크CreditCardNumbers를 사용하여 제어할 수 있습니다. 자세한 내용은SunCo API 문서를 참조하세요.

자동 삭제 사용 설정 방법 알아보기

티켓 콘텐츠 내용 삭제에 대해 자세히 알아보기

PCI 규격 티켓 필드와 자동 삭제의 차이점은 무엇인가요?

두 기능의 주요 차이점은 내용 삭제 프로세스가 발생하는 시점과 그 결과 Zendesk가 갖는 PCI 규정 준수 의무입니다. PCI 규격 준수 티켓 필드를 사용하면 PAN이 Zendesk 플랫폼에 들어오기전에내용 삭제 기능이 수행됩니다. 이 기능은 PCI 규격으로 감사 및 인증을 받았으며 결제 카드 번호를 처리하도록 디자인되었습니다. 반면 자동 삭제 기능은 정보가 Zendesk 시스템에 입력된 후결제 카드 데이터를 식별하여 삭제합니다.

자동 내용 삭제는 PAN 정보를 수락하도록 디자인되지 않았습니다. PCI 규격을 준수하는 기능으로 PCI 책임을 관리하고 Zendesk에 들어오는 모든 곳에서 결제 카드 정보를 삭제할 수 있는 수단을 갖추도록 보장합니다. 인스턴스의 PCI 불만 사항을 설정하는 방법에 대해 자세히 알아보려면'PCI DDS를 준수하려면 어떻게 해야 하나요?'를 참조하세요.

법적 고지

Zendesk는 Zendesk 헬프 데스크 및 헬프 센터 서비스에 대해서만 신용카드 필드를 사용하는 가입자에 대해 “Payment Card IndustryAttestation of Compliance”(“AoC”)를 유지하며 Zendesk에서 제공하는 다른 서비스나 제품은 포함하지 않습니다. AoC는 Zendesk가 PCISSC(Payment Card Industry Security Standards Council)에서 규정한 대로 PCI DSS(Payment Card Industry Data Security Standard) 버전 3.1을 준수하고 있다는 사실을 증명합니다. Enterprise 플랜을 이용하는 Zendesk 가입자는 본 문서에 설명된 절차를 수행하여 Zendesk의 AoC의 혜택을 누릴 수 있습니다. 본 문서에 설명된 절차를 수행한 후 Zendesk 계정이 Zendesk PCI 규격 준수 환경으로 전환되려면 최대 5일(업무일 기준)이 소요될 수 있습니다.

본 문서는 해당 지역에서 라이선스를 취득했거나 공인된 전문 법률가의 법적 자문으로 활용할 수 없습니다. 특정 법률 또는 준수 관련 문제에 대해서는 항상 자격이 있는 전문가와 상의해야 합니다. 이 문서의 어떤 내용도 법적 자문 내용으로 간주되어서는 안 됩니다.

용어집

인수자– “판매 은행”, “인수 은행” 또는 “인수 금융 기관”이라고도 합니다. 결제 카드를 받기 위해 판매자와 관계를 시작하고 유지하는 엔티티입니다. 일반적으로 매입사는 판매자 계정의 PCI 준수 여부를 모니터링할 책임이 있습니다.

AoC– Attestation of Compliance의 약자입니다. 조직이 PCI를 준수하는지 여부와 방법을 보여주는 감사 보고서입니다.

카드 소유자 데이터– 카드 소유자 데이터는 최소한 전체 기본 계정 번호(PAN)로 구성됩니다. 카드 소유자 데이터는 전체 PAN과 카드 소유자 이름, 만료 날짜 및/또는 서비스 코드 중 하나의 형태로 나타날 수도 있습니다.

CDE– 카드 소유자 데이터 환경. 카드 소유자 데이터나 민감한 인증 데이터를 저장, 처리 또는 전송하는 사람, 프로세스 및 기술입니다.

DLP– 데이터 손실 방지. 데이터 손실 방지 소프트웨어는 잠재적인 데이터 위반 또는 데이터 손실 이벤트를 감지하도록 디자인되었습니다.

암호화– 특정 암호화 키 소유자를 제외하고는 정보를 이해할 수 없는 형태로 변환하는 프로세스입니다. 암호화를 사용하면 암호화 프로세스와 복호화 프로세스(암호화의 반대) 사이의 정보가 무단 공개되지 않도록 보호합니다.

Luhn 검사– “Mod 10” 알고리즘이라고도 하는 이 알고리즘은 신용카드 번호와 같은 다양한 식별 번호의 유효성을 검사하는 데 사용되는 간단한 체크섬 수식입니다. 대부분의 신용카드는 올바른 번호를 잘못 입력했거나 잘못된 번호와 구별하는 간단한 방법으로 알고리즘을 사용합니다.

마스킹– 표시되거나 인쇄될 때 데이터 세그먼트를 숨기는 방법입니다. 마스킹은 전체 PAN을 볼 비즈니스 요구 사항이 없을 때 사용됩니다. 마스킹은 표시되거나 인쇄될 때 PAN의 보호와 관련이 있습니다.

PCI 규격 준수 티켓 필드– 이 필드는 상담원의 신용카드 번호를 수락하도록 디자인되어 있으며, Zendesk 플랫폼에 데이터가 제출되기 전에 신용카드 번호를 마지막 4자리까지 자동으로 삭제합니다. Zendesk의 AoC를 활용하려면 이 필드를 사용 설정해야 합니다.

PCI-SSC– Payment Card Industry Security Standards Council의 약자. 이 위원회는 5개 신용카드 브랜드(Visa, MasterCard, American Express, Discover, JCB)에 의해 2006년에 설립되었습니다.

PCI-DSS– 결제 카드 업계 데이터 보안 표준. PCI SSC는 모든 판매자와 서비스 제공업체가 적용되는 통합 표준을 만들었습니다.

PAN– 기본 계정 번호. “계정 번호”라고도 합니다. 발급자와 특정 카드 소유자를 식별하는 고유한 결제 카드 번호(일반적으로 신용카드 또는 직불카드의 경우).

서비스 제공업체– 다른 법인을 대신하여 카드 소유자 데이터의 처리, 저장 또는 전송에 직접 관여하는 사업체(결제 카드 발급사가 아님). 여기에는 카드 소유자 데이터의 보안을 제어하거나 영향을 미칠 수 있는 서비스를 제공하는 회사도 포함됩니다. 예를 들어 호스팅 제공업체 및 기타 엔터티는 물론 관리되는 방화벽, IDS 및 기타 서비스를 제공하는 관리되는 서비스 제공업체가 있습니다.

QSA– 자격을 갖춘 보안 평가자. PCI SSC는 PCI 평가를 수행하고 PCI 검증을 지원하도록 인증한 회사를 보유하고 있습니다. QSA 회사로 지정되거나, 마찬가지로 QSA 회사의 개인이 개별 QSA로 인증될 수 있습니다.

내용 삭제 – PAN과 같이 필요하지 않은 민감한 정보를 제거하는 프로세스입니다.

SAQ– 자체 평가 설문지. PCI 규정 준수를 검증하는 법인은 QSA의 외부 평가를 받거나, SAQ를 작성하여 카드 브랜드나 가맹점 은행에 제출합니다.

토큰화– 신용카드 번호와 같은 의미 있는 텍스트 스트림을 실제 데이터를 나타내는 토큰이라는 데이터 요소로 나누는 프로세스이지만 그 자체로는 의미가 없습니다. 토큰화는 시스템이나 데이터베이스에서 신용카드 데이터를 제거하여 CDE의 범위를 줄이는 방법입니다.

잘림– PAN 데이터의 세그먼트를 영구 제거하여 전체 PAN을 읽을 수 없게 만드는 방법입니다. 잘림은 파일, 데이터베이스 등에 저장될 때 PAN의 보호와 관련이 있습니다.

번역 고지 사항: 본 문서는 콘텐츠에 대한 기본적인 이해를 제공하기 위해 자동 번역 소프트웨어를 사용하여 번역되었습니다. 정확한 번역을 제공하고자 합당한 노력을 기울였으나 Zendesk는 번역의 정확성을 보장하지 않습니다.

번역된 문서에 포함된 정보의 정확성과 관련하여 질문이 있으시면 문서의 공식 버전인 영문 버전을 참조하시기 바랍니다.