PCI DSS

개요

140940_AWS_Multi-Logo Graphic_600x400_PCI

PCI DSS(Payment Card Industry Data Security Standard)는 American Express, Discover Financial Services, JCB International, MasterCard Worldwide 및 Visa Inc.가 설립한 PCI 보안 표준 위원회에서 관리하는 소유 정보 보안 표준입니다.

PCI DSS는 가맹점, 처리자, 인수자, 발행자 및 서비스 공급자를 비롯하여 카드 소지자 데이터(CHD) 또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하는 모든 엔터티에 적용됩니다. PCI DSS는 카드 회사에서 의무적으로 사용해야 하며, PCI(Payment Card Industry) 보안 표준 위원회에서 관리합니다.

PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.

  • AWS는 PCI DSS 인증을 받았습니까?

    예. Amazon Web Services(AWS)는 최상위 평가 수준인 PCI DSS 3.2 레벨 1 서비스 공급자 인증을 받았습니다. 규정 준수 평가는 독립적인 공인 보안 평가 기관(QSAC)인 Coalfire Systems Inc.에서 수행했습니다. PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.

  • PCI DSS 규정 준수에 포함된 AWS 서비스는 무엇입니까?

    PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에서 PCI 탭을 확인하십시오. 이 서비스 사용에 대한 자세한 내용은 AWS로 문의하시기 바랍니다.

  • 이러한 내용은 PCI DSS 가맹점 또는 서비스 공급자에 어떤 의미가 있습니까?

    AWS 제품과 서비스를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객은 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS 기술 인프라를 신뢰할 수 있습니다.

    AWS는 카드 소지자 데이터(CHD)를 직접 저장하거나 처리하지 않습니다. 하지만 고객은 AWS 제품을 사용하여 카드 소지자 데이터를 저장, 전송 또는 처리할 수 있는 자체 카드 소지자 데이터 환경(CDE)을 생성할 수 있습니다.

  • 이러한 내용은 PCI DSS 가맹점 고객이 아닌 나에게는 어떤 의미가 있습니까?

    PCI DSS 고객이 아니더라도 AWS의 PCI DSS 규정 준수는 모든 수준에서 정보 보안을 유지하려는 AWS의 헌신을 보여줍니다. 외부 독립 기관에서 PCI DSS 표준을 인증하므로 이는 AWS 보안 관리 프로그램이 종합적이며 선도적인 업계 사례를 따르고 있음을 보여줍니다.

  • AWS 고객은 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니까? 아니면 완벽하게 규정을 준수하기 위해서는 추가 테스트가 필요합니까?

    고객은 자체 PCI DSS 규정 준수 인증을 관리해야 하며, 고객 환경이 모든 PIS DSS 요구 사항을 충족함을 검증하기 위해서는 추가 테스트가 필요합니다. 하지만, AWS에 배포된 PCI 카드 소지자 데이터 환경(CDE)에 해당하는 부분은 추가 테스트 없이 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니다.

  • 자사에 책임이 있는 PCI DSS 제어 항목이 무엇인지 알아보려면 어떻게 해야 합니까?

    자세한 내용은 고객에게 제공되는 AWS PCI DSS 규정 준수 패키지의 "AWS 2016 PCI DSS 3.2 책임 요약"을 참조하십시오. 이 문서는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.

  • AWS PCI 규정 준수 패키지를 받으려면 어떻게 해야 합니까?

    AWS PCI 규정 준수 패키지는 AWS Artifact를 사용하는 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.

  • AWS PCI DSS 규정 준수 패키지에는 어떤 것이 포함되어 있습니까?

    AWS PCI 규정 준수 패키지에는 다음이 포함되어 있습니다.

    • AWS PCI DSS 3.2 규정 준수 증명(AOC)
    • AWS 2017 PCI DSS 3.2 책임 항목 요약

  • AWS는 Visa 글로벌 서비스 공급자 목록과 MarsterCard 규정 준수 서비스 공급자 목록에 포함되어 있습니까?

    예. AWS는 Visa 글로벌 서비스 공급자 목록MarsterCard 규정 준수 서비스 공급자 목록에 모두 포함되어 있습니다. 서비스 공급자 목록은 AWS가 PCI DSS 규정을 준수함을 성공적으로 입증하며, 해당하는 Visa 및 MasterCard 프로그램 요구 사항을 모두 충족했음을 보여줍니다.

  • PCI DSS 표준을 준수하기 위해 단일 테넌트 환경이 필요합니까?

    아니요. AWS 환경은 가상화된 다중 테넌트 환경입니다. AWS는 보안 관리 프로세스, PCI DSS 요구 사항, 각 고객을 자체 보호 환경으로 효과적이며 안전하게 격리하는 기타 보완 제어 항목을 효과적으로 구현했습니다. 독립적인 QSA에서 이 안전한 아키텍처를 검증했으며 그 결과 2016년 4월에 발행된 PCI DSS 버전 3.2의 모든 요구 사항을 충족하는 것으로 확인되었습니다.

    PCI 보안 표준 위원회는 고객, 서비스 공급자 및 클라우드 컴퓨팅 서비스 평가자를 위해 PCI DSS Cloud Computing Guidelines 2.0을 발행했습니다. 이 가이드라인은 서비스 모델을 소개하고 공급자와 고객 간에 규정 준수 역할 및 책임이 어떻게 공유되는지도 설명합니다.

    또한, Third-Party Security Assurance 2016은 조직이 카드 소지자 데이터를 공유하는 타사 서비스 공급자를 선정, 사용 및 관리할 때 사용할 수 있는 추가 정보를 제공합니다.

  • 레벨 1 가맹점의 QSA도 AWS 데이터 센터를 물리적으로 확인해야 합니까?

    아니요. AWS 규정 준수 증명(AOC)은 AWS 데이터 센터의 물리적 보안 제어 항목에 대해 포괄적인 평가가 수행되었음을 보여줍니다. 가맹점의 QSA가 AWS 데이터 센터의 보안을 확인할 필요는 없습니다.

  • AWS에서는 과학 수사를 지원합니까?

    예. AWS는 DSS 요구 사항 A 1.4에 맞추어 과학 수사를 관리합니다. 고객 또는 고객이 지정한 공인 인시던트 대응 평가 기관(QIRA)에서 필요시 AWS에 문의하여 과학 수사를 수행합니다.

  • 서버에 연결하거나 객체를 스토어에 업로드할 때 지정해야 할 특별한 PCI DSS 규정 준수 환경이 있습니까?

    PCI DSS 규정을 준수하는 AWS 서비스를 사용하는 한, 범위 내 서비스를 지원하는 전체 인프라가 규정을 준수하게 되므로 별도 환경이나 특별 API를 사용할 필요가 없습니다. 전 세계적으로 이러한 서비스에 배포되었거나 이를 사용하는 모든 서버 또는 데이터 객체는 PCI DSS 규정 준수 환경 내에 있습니다. PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에서 PCI 탭을 확인하십시오.

  • AWS 규정 준수는 국제적으로 적용됩니까?

    예. 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), AWS GovCloud(US), 캐나다(중부), EU(아일랜드), 유럽(프랑크푸르트), 유럽(런던), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 아시아 태평양(서울), 아시아 태평양(뭄바이) 및 남아메리카(상파울루)에 있는 데이터 센터는 PCI DSS 표준을 준수합니다.

  • PCI DSS 표준은 공개되어 있습니까?

    예. PCI DSS 표준은 PCI 보안 표준 위원회 문서 라이브러리에서 다운로드할 수 있습니다.

  • AWS 플랫폼에서 PCI DSS 인증을 획득한 고객이 있습니까?

    예. 수많은 AWS 고객이 AWS에서 카드 소지자 환경의 전체 또는 일부를 성공적으로 배포하고 인증을 받았습니다. AWS는 PCI DSS 인증을 획득한 고객을 공개하지는 않지만, 고객 및 PCI DSS 평가 기관과 정기적으로 협력하여 AWS의 카드 소지자 환경에 대한 검사를 분기별로 계획, 배포, 인증 및 수행합니다.

  • 기업에서 PCI DSS를 준수하려면 어떻게 해야 합니까?

    기업이 매년 PCI DSS 규정을 준수함을 인증받는 데 사용하는 주요 접근 방식에는 두 가지가 있습니다. 첫 번째 접근 방식은 외부 공인 보안 평가자(QSA)가 해당하는 환경을 평가한 다음 규정 준수 보고서(ROC)와 규정 준수 증명(AOC)을 생성하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 큰 엔터티에서 주로 사용합니다. 두 번째 접근 방식은 자체 평가 질문지(SAQ)를 실시하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 작은 엔터티에서 주로 사용합니다.

    규정 준수를 적용할 책임은 PCI 위원회가 아니라 결제 회사와 인수자에 있다는 것을 유념해야 합니다.

  • PCI DSS 규정 준수를 위한 요구 사항에는 어떤 것이 있습니까?

    다음은 PCI DSS 요구 사항에 대한 전체적인 개요입니다.

    안전한 네트워크와 시스템을 구축 및 유지 관리

    1. 카드 소지자 데이터 보호를 위해 방화벽을 설치 및 유지 관리합니다

    2. 시스템 암호 및 기타 보안 파라미터에 업체에서 제공하는 기본값을 사용하지 않습니다

    카드 소지자 데이터 보호

    3. 저장된 카드 소지자의 데이터를 보호합니다

    4. 개방형 퍼블릭 네트워크에서 카드 소지자의 데이터를 암호화하여 전송합니다

    취약성 관리 프로그램을 유지 관리합니다

    5. 모든 시스템을 맬웨어로부터 보호하고 바이러스 방지 소프트웨어나 프로그램을 정기적으로 업데이트합니다

    6. 보안 시스템 및 애플리케이션을 개발하고 유지 관리합니다

    강력한 액세스 통제 방법 구현

    7. 업무와 관련하여 필요한 경우에만 카드 소지자의 데이터에 액세스합니다

    8. 시스템 구성 요소에 대한 액세스를 파악 및 인증합니다

    9. 카드 소지자 데이터에 대한 물리적인 액세스를 제한합니다

    정기적으로 네트워크를 모니터링 및 테스트

    10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링합니다

    11. 보안 시스템과 절차를 정기적으로 테스트합니다

    정보 보안 정책 유지 관리

    12. 모든 직원을 대상으로 정보 보안을 다루는 정책을 유지 관리합니다

  • TLS 1.0 프로토콜의 지속적인 지원에 대한 AWS의 입장은 무엇입니까?

    AWS는 모든 서비스에서 TLS 1.0 사용을 중단하도록 캠페인을 벌이지는 않습니다. 이 프로토콜 옵션이 필요한 일부 고객(예: PCI가 아닌) 때문입니다. 하지만 AWS 서비스에서는 고객의 서비스에서 TLS 1.0을 비활성화할 때 해당 고객에 미치는 영향을 개별적으로 평가하고 있으며 TLS 1.0의 중단을 선택할 수도 있습니다. 

  • 고객이 안전한 TLS를 위한 PCI 요구 사항을 준수하도록 AWS 아키텍처를 구성하려면 어떻게 해야 합니까?

    PCI 범위 내 AWS 서비스는 모두 TLS 1.1 이상을 지원하며 이러한 서비스 일부는 TLS 1.0을 필요로 하는 고객(비 PCI)을 위해 이 버전 또한 지원합니다. 안전한 TLS(예: TLS 1.1 이상)를 사용하는 AWS와 핸드셰이크를 할 수 있도록 시스템을 업그레이드하는 것은 고객의 책임입니다. 고객은 클라이언트와 로드 밸런서 간에 암호화 프로토콜 협상에서 TLS 1.2 등을 사용하도록 보장하는 사전에 정의된 AWS 보안 정책을 선택함으로써 TLS 1.1 이상을 사용하는 안전한 통신을 위해 AWS 로드 밸런서(Application Load Balancer 또는 Classic Load Balancer)를 사용 및 구성해야 합니다. 예를 들어 AWS 로드 밸런서 보안 정책 ELBSecurityPolicy-TLS-1-2-2018-06에서는 TLS 1.2만 지원합니다.

     

  • 고객 ASV(Approved Scanning Vendor) 스캔이 AWS API 엔드포인트에서 TLS 1.0을 식별하는 경우, 이는 API에서 TLS 1.1 이상뿐만 아니라 여전히 TLS 1.0도 지원함을 의미합니다. PCI 범위 내 AWS 서비스 중 일부는 비 PCI 워크로드를 위해 TLS 1.0이 필요한 고객을 위해 이를 계속 지원할 수 있습니다. 고객은 Qualys SSL Labs와 같은 도구를 사용하여 AWS API 엔드포인트가 TLS 1.1 이상을 지원한다는 증명을 ASV에 제공하여 사용되는 프로토콜을 식별할 수 있습니다. 또한, 고객은 TLS 1.1 이상만 지원하는 AWS 로드 밸런서 보안 정책(예: ELBSecurityPolicy-TLS-1-2-2017-01은 v1.2만 지원)으로 구성된 AWS Classic 또는 Application Load Balancer를 통해 연결함으로써 안전한 TLS 핸드셰이크를 지원한다는 증거를 제공할 수도 있습니다. ASV는 고객에게 스캔 취약성 분쟁 프로세스를 따르도록 요청할 수 있으며, 명시된 증거는 규정 준수의 증거로 사용될 수 있습니다. 또는 ASV에 일찍 관여하여 스캔하기 전에 ASV에 이 증거를 제공하면 평가를 간소화하고 ASV 스캔이 통과되도록 지원할 수 있습니다.

     

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »