PCI DSS를 준수하는 방법을 이해하는 첫 번째 단계는 결제 카드 데이터로 간주되는 데이터와 그렇지 않은 데이터를 이해하는 것입니다. 일반적으로 이 규정은 결제 카드의 기본 계정 번호(PAN)에만 적용됩니다. 카드 소유자 이름, 만료일 및/또는 보안 코드와 같은 기타 데이터 요소가 PAN 없이 존재하는 경우에는 PCI DSS가 적용되지 않습니다. 하지만 이러한 기타 데이터 요소가 PAN과 함께저장, 처리 또는 전송되거나 카드 소유자 데이터 환경(CDE)에 존재하는 경우에는PCI 보안 표준 위원회 웹사이트에 따라 해당 PCI DSS 요구 사항에 따라 보호되어야 합니다. . 

PAN이 저장될 때 PCI 규정에 따라 암호화, 자르기, 토큰화 또는 단방향 해싱을 통해 읽을 수 없도록 해야 합니다(PCI FAQ 1222). 카드의 암호화 또는 토큰화 여부에 관계없이 암호화 키나 토큰 조회 테이블이 손상되면 PAN이 역전될 수 있으므로 PCI 요구 사항이 번호를 수용하는 시스템에 계속 적용됩니다. 하지만 시스템이 PAN의 최대 처음 6자리 또는 마지막 4자리만 저장하도록 마스킹되지 않고 번호가 잘리는 경우에는 해당 번호가 더 이상 PAN으로 간주되지 않으므로(PCI 자주 묻는 질문 1091) 필요하지 않습니다. 시스템이 PCI 요구 사항을 준수할 수 있도록 합니다. 

Zendesk가 PCI 규정 준수에 어떻게 도움이 되나요?

Zendesk에는PCI 규격 티켓 필드라는 기능이 있습니다. Zendesk 상담원 인터페이스의 사용자 지정 티켓 필드에 기본 계정 번호(PAN)를 입력할 수 있습니다. 그런 다음 데이터가 사용자 인터페이스에 제출되기 전에이 번호가 마지막 4자리까지 삭제됩니다. 이는 PCI 규정 준수를 위한 결제 카드 보호 요구 사항을 충족합니다. 이 PCI DSS 규격 기능은 Support 제품에만 적용됩니다. PCI 규정 준수를 지원하는 것을 포함하여 Zendesk가 사용하는 보안 및 개인정보 보호 제어 기능에 대해 자세히 알아보려면'Zendesk PCI 규격'을 참조하세요. 

규정 준수 증명(AoC) 사본 요청('아티팩트' 아래)

최종 사용자가 전체 PAN을 Zendesk 인스턴스에 넣는 것을 원하지 않으면 어떻게 해야 하나요? 

PCI 표준 준수를 보장하기 위해 PCI 호환 티켓 필드를 통해서만 PAN을 입력할 것을 적극 권장하지만, 이 전용 필드 밖에서 입력되는 경우 이 데이터의 노출을 줄이기 위해 구현할 수 있는 완화 방법이 있습니다. 

자동 삭제

Zendesk에는 “자동 삭제”라는 기능이 있습니다. 관리 센터에서 사용 설정한 후에는 사용 설정되는 순간부터 새 결제 카드 관련 데이터를 삭제하는 데 사용할 수 있습니다. 이렇게 하면 시스템이 12~16자 길이의 숫자를 검색하여 내용을 삭제할 수 있습니다. 처음 6자리와 마지막 4자리. 이로써 민감한 데이터가 과도하게 공유되거나 오용될 가능성을 완화합니다.. 메시징 티켓도 지원합니다. 헬프 센터, Zendesk Chat 또는 기타 Zendesk 제품에는 자동 삭제 기능이 적용되지 않습니다. 

수동 내용 삭제(API 도구 사용)

데이터 손실 방지(DLP) 및 API 도구를 사용하려면 Zendesk 티켓 데이터를 안전한 위치로 내보내야 합니다. 자세한 방법은CSV 또는 XML을 통해 티켓 데이터 내보내기 문서를참조하세요. 그런 다음증분 API를 사용하여 특정 날짜 범위에서 티켓을 가져오거나목록 댓글 API를 사용하여 티켓에서 티켓 댓글을 가져올 수 있습니다. 필요한 결제 카드 데이터를 분리한 후에는 사용 가능한 많은 오픈 소스 도구 중 하나를 적용하여 PAN과 같은 민감한 데이터를 식별할 수 있습니다. 내용 삭제API를 사용하면 티켓 댓글에서 이 정보를 제거할 수 있습니다. 

사용량 및 저장 공간 제어

또한 절대적으로 필요할 때 그리고 합법적인 비즈니스 필요성의 일부로서 결제 카드 데이터만 저장하여 민감한 계정 소유자 데이터의 노출을 최소화할 수 있습니다. PCI DSS를 준수하기 위해 이메일, 인스턴트 메시지, 채팅 또는 기타 커뮤니케이션을 통해 보호되지 않는 PAN을 공유하는 것도 피해야 합니다. 

마찬가지로 PAN은 백업 위치, 로그 및 휴대용 장치를 포함하여 저장될 때 항상 읽을 수 없어야 합니다. 단방향 해시 암호화, PIN의 마지막 4자리만 보여주는 잘림 및 암호화, 마스킹 및/또는 잘림의 유사한 저장 제어 방법을 사용할 수도 있습니다. 

일반적인 보안 성공 사례로서 시스템이나 일상 업무 내에서 결제 카드 데이터의 비준수 노출, 사용 또는 배포를 인지하고 보고하도록 직원들을 교육시켜야 합니다. 

애플리케이션이나 시스템이 PCI 규정 준수 범위 내에 있는지 확인하려면 어떻게 해야 하나요?

시스템에서 결제 카드 데이터를 저장, 전송 또는 처리하나요? 그렇다면 PCI 범위 내에 있는 것입니다. 각 회사는 자사 환경 내에서 PCI DSS 요구 사항이 적용되는 시스템을 식별할 책임이 있습니다. 이 평가를 할 때 PCI는 결제 카드 데이터를 저장, 전송 또는 처리하는 모든 기본 시스템이 PCI의 범위 내에 있어야 할 뿐만아니라그러한 기본 시스템에 직접 연결된 모든 시스템을 요구한다는 사실을 기억하는 것이 중요합니다. 다음 단계를 사용하여 범위를 탐색할 수 있습니다.

1. 먼저 결제 카드 데이터를 전송, 처리 및/또는 저장할것으로 예상되는모든 알려진 데이터 흐름 및 시스템을 인식하고 문서화합니다. 이러한 시스템이 기준 CDE를 구성합니다.
2. 둘째, 기준 환경에직접 연결된모든 시스템 구성 요소를 문서화합니다. 이러한 시스템도 CDE의 일부로 간주됩니다.
3. 셋째, 결제 카드 데이터를 전송, 처리 및/또는 저장하고 있다고 믿을 만한 이유가있는 CDE 외부의 시스템을 살펴봅니다. 찾은 모든 것을 문서화하고 CDE까지의 경로를 추적하세요. 가장 일반적인 예로는 이메일 시스템, 헬프 데스크, HR 저장소, 재무 리포팅 시스템, 회사 스프레드시트 등이 있습니다.

PCI DSS 규정 준수를 보다 쉽게 관리할 수 있도록 하려면 어떻게 해야 하나요?  

PCI DSS 규정 준수를 보다 쉽게 관리할 수 있도록 전체 PCI 범위를 줄여야 합니다. CDE를 검토하고 결제 카드 데이터를 전송, 처리 또는 저장하는 인터페이스를 면밀히 조사하세요. 운영에 중요한 민감한 데이터만 수집하여 사용하도록 요구하는 데이터 보호 성공 사례를 준수하세요. 스스로에게 다음과 같이 물어보세요.

• 비즈니스 프로세스에서 결제 카드를 사용해야 하나요? PAN을 어떻게 사용하고 있나요?
• 전체 PAN을 참조 번호로 저장하고 있나요, 아니면 다른 비즈니스 프로세스(예: 자동 청구 또는 지불 거절)를 지원하는 데 사용되나요? 전체 PAN을 참조 번호로 사용하는 경우 이를 잘라서 사용 및 저장 공간을 제한할 수 있나요?
• 카드 번호가 특정 시스템에 입력되는지 여부를 제어할 수 있나요? 예를 들어 시스템이 웹 양식, 이메일,헬프 데스크또는 기타 클라이언트용 인터페이스와 연결되어 있나요? 그렇다면 시스템에 입력되는 데이터를 제거하거나 내용을 삭제하는 방법을 개발할 수 있나요?
• 실제로 필요하지 않은 CDE에 연결되는 보조 시스템이 있나요? 방화벽 규칙을 통해 그러한 시스템을 세분화하거나 인터페이스를 모두 제거할 수 있나요?
• 중요한 비즈니스 프로세스가 아키텍처적으로 건전한가? 일부 프로세스를 단순화하고 PCI 범위에서 시스템을 제거할 수 있나요?
• 편의를 위해 결제 카드 데이터를 저장하고 있나요? 저장 공간 사용 사례가 내부 이해관계자들에 의해 명확하게 동의되고 이해되어 있나요? 아니면 미래의 필요에 대비하여 저장되고 있나요?
• 전체 PAN에 액세스하는 것이 특별한 경우인가요, 아니면 일반적인 방법인가요? Zendesk 아키텍처가 이러한 예외적인 경우를 지나치게 수용하나요?

PCI 범위를 줄이면 PCI 요구 사항이 적용되는 시스템 수를 줄이고, 감사 프로세스 비용을 절감하며, 환경에서 공격 대상의 수를 제한하는 이점이 있습니다. 경험, 리소스 및 사용 가능한 시간에 따라 PCI 전문가의 도움을 받아 범위 지정 노력을 안내해 드리는 것이 좋습니다.

 

법적 고지

 

용어집

취득자 – “판매 은행”, “인수 은행” 또는 “인수 금융 기관”이라고도 합니다. 결제 카드를 받기 위해 판매자와 관계를 시작하고 유지하는 엔티티입니다. 일반적으로 매입사는 판매자 계정의 PCI 준수 여부를 모니터링할 책임이 있습니다.

AoC – Attestation of Compliance의 약자입니다. 조직이 PCI를 준수하는지 여부와 방법을 보여주는 감사 보고서입니다.

카드 소유자 데이터 – 최소한 카드 소유자 데이터는 전체 기본 계정 번호(PAN)로 구성됩니다. 카드 소유자 데이터는 전체 PAN과 카드 소유자 이름, 만료 날짜 및/또는 서비스 코드 중 하나의 형태로 나타날 수도 있습니다.

CDE – 카드 소유자 데이터 환경: 카드 소유자 데이터 또는 민감한 인증 데이터를 저장, 처리 또는 전송하는 사람, 프로세스 및 기술입니다.

DLP – 데이터 손실 방지. 데이터 손실 방지 소프트웨어는 잠재적인 데이터 위반 또는 데이터 손실 이벤트를 감지하도록 디자인되었습니다.

암호화 – 특정 암호화 키 소유자를 제외하고는 정보를 이해할 수 없는 형태로 변환하는 프로세스입니다. 암호화를 사용하면 암호화 프로세스와 복호화 프로세스(암호화의 반대) 사이의 정보가 무단 공개되지 않도록 보호합니다.

Luhn 검사 – “Mod 10” 알고리즘이라고도 하는 이 알고리즘은 신용카드 번호와 같은 다양한 식별 번호의 유효성을 검사하는 데 사용되는 간단한 체크섬 수식입니다. 대부분의 신용카드는 올바른 번호를 잘못 입력했거나 잘못된 번호와 구별하는 간단한 방법으로 알고리즘을 사용합니다.

마스킹 – 표시되거나 인쇄될 때 데이터 세그먼트를 숨기는 방법입니다. 마스킹은 전체 PAN을 볼 비즈니스 요구 사항이 없을 때 사용됩니다. 마스킹은 표시되거나 인쇄될 때 PAN의 보호와 관련이 있습니다.

PCI 규격 준수 티켓 필드 – 이 필드는 상담원의 신용카드 번호를 허용하도록 디자인되어 있으며, Zendesk 플랫폼에 데이터가 제출되기 전에 신용카드 번호를 마지막 4자리까지 자동으로 삭제합니다. Zendesk의 AoC를 활용하려면 이 필드를 사용 설정해야 합니다.

PCI-SSC – Payment Card Industry Security Standards Council의 약자. 이 위원회는 5개 신용카드 브랜드(Visa, MasterCard, American Express, Discover, JCB)에 의해 2006년에 설립되었습니다.

PCI-DSS – 결제 카드 업계 데이터 보안 표준. PCI SSC는 모든 판매자와 서비스 제공업체가 적용되는 통합 표준을 만들었습니다.

PAN – 기본 계정 번호. “계정 번호”라고도 합니다. 발급자와 특정 카드 소유자를 식별하는 고유한 결제 카드 번호(일반적으로 신용카드 또는 직불카드의 경우).

서비스 제공업체 – 다른 법인을 대신하여 카드 소유자 데이터의 처리, 저장 또는 전송에 직접 관여하는 사업체(결제 카드 발급사가 아님). 여기에는 카드 소유자 데이터의 보안을 제어하거나 영향을 미칠 수 있는 서비스를 제공하는 회사도 포함됩니다. 예를 들어 호스팅 제공업체 및 기타 엔터티는 물론 관리되는 방화벽, IDS 및 기타 서비스를 제공하는 관리되는 서비스 제공업체가 있습니다.

QSA – 자격을 갖춘 보안 평가자. PCI SSC는 PCI 평가를 수행하고 PCI 검증을 지원하도록 인증한 회사를 보유하고 있습니다. QSA 회사로 지정되거나, 마찬가지로 QSA 회사의 개인이 개별 QSA로 인증될 수 있습니다.

내용 삭제 – PAN과 같이 필요하지 않은 민감한 정보를 제거하는 프로세스입니다.

SAQ – 자체 평가 설문지. PCI 규정 준수를 검증하는 법인은 QSA의 외부 평가를 받거나, SAQ를 작성하여 카드 브랜드나 가맹점 은행에 제출합니다.

토큰화 – 신용카드 번호와 같은 의미 있는 텍스트 스트림을 실제 데이터를 나타내는 토큰이라는 데이터 요소로 나누는 프로세스는 의미가 없습니다. 토큰화는 시스템이나 데이터베이스에서 신용카드 데이터를 제거하여 CDE의 범위를 줄이는 방법입니다.

잘림 – PAN 데이터의 세그먼트를 영구 제거하여 전체 PAN을 읽을 수 없게 만드는 방법입니다. 잘림은 파일, 데이터베이스 등에 저장될 때 PAN의 보호와 관련이 있습니다.