PCI DSS 개요
PCI DSS QSA, SAQ 준수 평가 기업
로이스는 미국 PCI 위원회로부터 정식 인가를 받은 국내 QSA, SAQ 준수 평가 기업입니다.
→ 영문과 한글을 포함한 가이드 및 보고서를 제공하고 있으며 컨설팅에 기반한 준수 보고서를 신속하고 효율적으로 받아보실 수 있습니다.
PCI DSS 적용 대상
연간 신용카드 결제 거래(Transaction)가 600만 건 이상인 가맹점은 Level 1에 해당되며, 연 1회 의무적으로 QSA Audit가 필요합니다.
Level # 연간 Tx. SAQ ASV QSA
SAQ/AOC
L1 6백만 건
이상		 옵션 필수(분기) 필수(연간)
L2 1백만 ~
6백만 건		 필수(연간) 필수(분기) 옵션
L3 2만 ~
1백만 건		 필수(연간) 필수(분기) 옵션
L4 2만 건
이하		 필수(연간) 필수(분기) 옵션
※ Level에 따른 트랜잭션 건수 및 보안준수는 AMEX, VISA, Master, Discover, JCB 별로 동일하거나 상이함.
- SAQ (Self assessment questionnaire) : Client 담당자가 연 1회 자가 작성 후 제출
- ASV San (Approved scan vendor) : PCISSC로부터 인가 받은 Vendor에 의해 분기별 내·외부 취약점 진단 수행 후 제출
- QSA Roc&AoC (Qualified Security Assessor, Report of Compliance & Attestation of Compliance)
▶ 로이스는 PCISSC로부터 정식 인가를 받은 QSA 준수 평가 기관 이며 QSA 전문가를 보유하고 있음
PCI DSS 적용 기준
PCI DSS 는 크게 6개 통제 목적과 12개 요구사항, 세부 통제 항목들로 구성되어 있으며 조직 및 비즈니스 유형에 따라 차등 적용되도록 구성되어 있습니다.
NO Controls Sub Objects
1 보안 네트워크 구성 및 관리 방화벽 설치 및 유지
공급자가 제공한 기본 설정 및 파라미터 사용 금지
2 카드소유자 데이터의 보호 저장된 카드 소유자 데이터 보호
공개망에서의 카드데이터의 암호화 전송
3 취약점 관리 프로그램 유지 악성코드 방지 및 백신 S.W 최신화
보안시스템, 어플리케이션 개발 및 유지
4 강력한 접근통제 시행 카드 데이터의 접근 최소화(Need to Know)
시스템 접근시 인증 식별
카드 데이터의 물리적 접근 통제
5 주기적 모니터링 및 테스트 네트워크 접근 및 카드 데이터의 접근 추적 및 모니터링
보안 시스템 및 프로세스의 주기적테스트
6 정보보호 정책 관리 전사 임직원에 대한 정보보호 정책 준수
PCI DSS 평가 절차