PCI DSS 준수

개요

140940_AWS_Multi-Logo Graphic_600x400_PCI

PCI DSS(Payment Card Industry Data Security Standard)는 American Express, Discover Financial Services, JCB International, MasterCard Worldwide 및 Visa Inc.가 설립한 PCI 보안 표준 위원회에서 관리하는 소유 정보 보안 표준입니다.

PCI DSS는 가맹점, 처리자, 인수자, 발행자 및 서비스 공급자를 비롯하여 카드 소지자 데이터(CHD) 및/또는 민감한 승인 데이터(SAD)를 저장, 처리 또는 전송하는 모든 단체에 적용됩니다. PCI DSS는 카드 회사에서 의무적으로 사용해야 하며, PCI(Payment Card Industry) 보안 표준 위원회에서 관리합니다.

AWS Artifact를 사용하여 PCI DSS 규정 준수 증명(AOC) 및 책임 요약을 요청하십시오.

  • AWS는 PCI DSS 인증을 받았습니까?

    예. AWS는 2010년부터 PCI DSS 인증을 받아오고 있습니다. 2016년 7월 11일부로 외부 공인 보안 평가 기관(QSAC)인 Coalfire Systems Inc.는 Amazon Web Services(AWS)가 PCI PCI Data Security Standard 3.2 레벨 1 서비스 공급자 평가를 성공적으로 완료했으며 아래 나열된 모든 서비스가 이를 준수함을 인증했습니다.

    서비스 공급자 레벨은 다음과 같이 정의됩니다.

    레벨 1: 매년 300,000건이 넘는 거래를 저장, 처리 및/또는 전송하는 모든 서비스 공급자

    레벨 2: 매년 300,000건 미만의 거래를 저장, 처리 및/또는 전송하는 모든 서비스 공급자

  • PCI DSS 준수 AWS 서비스

    Amazon Web Services(AWS)는 고객 카드 소지자 데이터(CHD)를 직접 저장, 전송 또는 처리하지 않는 클라우드 서비스 공급자(CSP)입니다. 하지만 AWS 고객은 AWS 제품을 사용하여 카드 소지자 데이터를 저장, 전송 또는 처리할 수 있는 자체 카드 데이터 환경(CDE)을 생성할 수 있습니다.

    PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.

  • 이러한 내용은 PCI DSS 가맹점 또는 서비스 공급자에 어떤 의미가 있습니까?

    AWS가 PCI DSS '규정 준수' 서비스 공급자라는 것은 AWS 제품 및 서비스를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객이 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS 기술 인프라를 신뢰할 수 있다는 뜻입니다.

  • 이러한 내용은 PCI DSS 가맹점 고객이 아닌 고객에게는 어떤 의미가 있습니까?

    AWS가 PCI DSS 규정을 준수한다는 것은 AWS가 모든 수준에서 정보 보안을 위해 최선을 다하고 있음을 보여줍니다. 독립적인 외부 기관에서 PCI DSS 표준을 인증하므로 이는 AWS 보안 관리 프로그램이 종합적이고 선도적인 업계 사례를 따르고 있음을 보여줍니다. 이러한 인증은 AWS 고객에게 AWS 보안 사례에 대한 확신을 심어줍니다.

  • AWS 고객은 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니까? 아니면 완벽하게 규정을 준수하기 위해서는 추가 테스트가 필요합니까?

    모든 엔터티는 자체 PCI DSS 규정 준수 인증을 관리해야 합니다. 고객의 QSA는 AWS에 배포된 PCI 카드 소지자 환경에 해당하는 부분에 대해서는 AWS 규정 준수 증명(AOC)을 신뢰할 수 있지만, 다른 모든 PCI DSS 요구 사항을 충족하는 것은 고객의 책임입니다.

  • 자사에 책임이 있는 PCI DSS 규제 항목이 무엇인지 알아보려면 어떻게 해야 합니까?

    자세한 정보는 AWS PCI DSS 규정 준수 패키지에 포함된 "AWS 2016 PCI DSS 3.2 책임 항목 요약"을 참조하십시오. 자료는 요청 시 제공됩니다.

  • AWS PCI 규정 준수 패키지를 받으려면 어떻게 해야 합니까?

    AWS PCI 규정 준수 패키지는 AWS Artifact를 사용하는 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. 지금 AWS Artifact 시작하기.

  • AWS PCI DSS 규정 준수 패키지에는 어떤 것이 포함되어 있습니까?

    AWS PCI DSS 규정 준수 패키지에는 다음이 포함되어 있습니다.

    • AWS PCI DSS 3.2 규정 준수 증명(AOC)
    • AWS 2017 PCI DSS 3.2 책임 항목 요약

  • AWS는 Visa 글로벌 서비스 공급자 목록과 MarsterCard 규정 준수 서비스 공급자 목록에 포함되어 있습니까?

    예. AWS는 Visa 글로벌 서비스 공급자 목록MarsterCard 규정 준수 서비스 공급자 목록에 모두 포함되어 있습니다. 서비스 공급자 목록은 AWS가 PCI DSS 규정을 준수함을 성공적으로 입증했고 해당하는 Visa 및 MasterCard 프로그램 요구 사항을 모두 충족했음을 보여줍니다.

  • PCI DSS 표준을 준수하기 위해 단일 테넌트 환경이 필요합니까?

    아니요. AWS 환경은 가상화된 다중 테넌트 환경입니다. AWS는 보안 관리 프로세스, PCI DSS 요구 사항, 각 고객을 자체 보호되는 환경으로 효과적이며 안전하게 격리하는 기타 보완 규제 항목을 효과적으로 구현했습니다. 독립적인 QSA에서 이 안전한 아키텍처를 인증했으며 그 결과 2016년 4월에 발행된 PCI DSS 버전 3.2의 모든 요구 사항을 충족하는 것으로 확인되었습니다.

    PCI 보안 표준 위원회는 고객, 서비스 공급자 및 클라우드 컴퓨팅 서비스 평가자를 위한 지침으로 PCI DSS Cloud Computing Guidelines 2.0을 발행했습니다. 이 가이드라인은 서비스 모델을 소개하고 공급자와 고객 간에 규정 준수 역할 및 책임이 어떻게 공유되는지도 설명합니다.

    또한, Third-Party Security Assurance 2016은 카드 소지자 데이터를 공유하는 타사 서비스 공급자를 선정, 사용 및 관리하는 조직을 위한 추가 정보를 제공합니다.

  • 레벨 1 가맹점 QSA에서는 서비스 공급자의 데이터 센터를 직접 확인하길 요구합니까?

    가맹점의 QSA는 언제나 AWS 규정 준수 증명(AOC)을 사용하여 AWS 데이터 센터의 물리적 보안 규제 항목에 대한 포괄적인 평가를 입증할 수 있습니다.

  • 필요한 경우 AWS는 과학 수사를 지원합니까?

    예. AWS는 DSS 요구 사항 A 1.4에 맞추어 과학 수사를 관리합니다. 고객 또는 고객이 지정한 공인 인시던트 대응 평가 기관(QIRA)에서 필요시 AWS에 문의하여 과학 수사를 수행합니다.

  • 서버를 가동하거나 객체를 스토어에 업로드할 때 지정해야 할 특별한 PCI DSS 규정 준수 환경이 있습니까?

    아니요. 대상 범위 내 서비스를 지원하는 전체 인프라는 규정을 준수하며 별도 환경이나 사용해야 하는 특수 API가 없습니다. 전 세계적으로 이러한 서비스에 배포되었거나 이를 사용하는 모든 서버 또는 데이터 객체는 PCI DSS 규정 준수 환경 내에 있습니다.

  • AWS 규정 준수는 국제적으로 적용됩니까?

    예. 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), AWS GovCloud(US), 캐나다(중부), EU(아일랜드), 유럽(프랑크푸르트), 유럽(런던), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 아시아 태평양(서울), 아시아 태평양(뭄바이) 및 남아메리카(상파울루)에 있는 데이터 센터는 PCI DSS 표준을 준수합니다.

  • PCI DSS 표준은 공개되어 있습니까?

    예. PCI 보안 표준 위원회에서 표준 문서를 직접 다운로드할 수 있습니다.

  • AWS 플랫폼에서 PCI DSS 인증을 획득한 고객이 있습니까?

    예. 수많은 AWS 고객이 AWS에서 카드 소지자 환경의 전체 또는 일부를 성공적으로 배포하고 인증을 받았습니다. AWS는 PCI DSS 인증을 획득한 고객을 공개하지는 않지만, 고객 및 PCI DSS 평가 기관과 정기적으로 협력하여 AWS의 카드 소지자 환경에 대한 검사를 분기별로 계획, 배포, 인증 및 수행합니다.

  • 기업에서 PCI DSS를 준수하려면 어떻게 해야 합니까?

    기업이 매년 PCI DSS 규정을 준수함을 인증받는 데 사용하는 주요 접근 방식에는 두 가지가 있습니다. 첫 번째 접근 방식은 외부 공인 보안 평가자(QSA)가 해당하는 환경을 평가한 다음 규정 준수 보고서(ROC)와 규정 준수 증명(AOC)을 생성하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 큰 엔터티에서 주로 사용합니다. 두 번째 접근 방식은 자체 평가 질문지(SAQ)를 실시하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 작은 엔터티에서 주로 사용합니다.

    규정 준수를 적용할 책임은 PCI 위원회가 아니라 결제 회사와 인수자에 있다는 것을 유념해야 합니다.

    다음은 12개의 PCI DSS 요구 사항에 대한 전체적인 개요입니다.

    안전한 네트워크와 시스템을 구축 및 유지 관리

    1. 카드 소지자 데이터 보호를 위해 방화벽을 설치 및 유지 관리합니다

    2. 시스템 암호 및 기타 보안 파라미터에 업체에서 제공하는 기본값을 사용하지 않습니다

    카드 소지자 데이터 보호

    3. 저장된 카드 소지자의 데이터를 보호합니다

    4. 개방형 퍼블릭 네트워크에서 카드 소지자의 데이터를 암호화하여 전송합니다

    취약성 관리 프로그램을 유지 관리합니다

    5. 모든 시스템을 맬웨어로부터 보호하고 바이러스 방지 소프트웨어나 프로그램을 정기적으로 업데이트합니다

    6. 보안 시스템 및 애플리케이션을 개발하고 유지 관리합니다

    강력한 액세스 통제 방법 구현

    7. 업무와 관련하여 필요한 경우에만 카드 소지자의 데이터에 액세스합니다

    8. 시스템 구성 요소에 대한 액세스를 파악 및 인증합니다

    9. 카드 소지자 데이터에 대한 물리적인 액세스를 제한합니다

    정기적으로 네트워크를 모니터링 및 테스트

    10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링합니다

    11. 보안 시스템과 절차를 정기적으로 테스트합니다

    정보 보안 정책 유지 관리

    12. 모든 직원을 대상으로 정보 보안을 다루는 정책을 유지 관리합니다

compliance-contactus-icon
질문이 있으십니까? AWS 규정 준수 담당자에게 문의
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »