PCI DSS

개요

PCI DSS(Payment Card Industry Data Security Standard)는 American Express, Discover Financial Services, JCB International, MasterCard Worldwide 및 Visa Inc.가 설립한 PCI 보안 표준 위원회에서 관리하는 소유 정보 보안 표준입니다.

PCI DSS는 가맹점, 처리자, 인수자, 발행자 및 서비스 공급자를 비롯하여 카드 소지자 데이터(CHD) 또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하는 엔터티에 적용됩니다. PCI DSS는 카드 회사에서 의무적으로 사용해야 하며, PCI(Payment Card Industry) 보안 표준 위원회에서 관리합니다.

PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.

  • 예. Amazon Web Services(AWS)는 최상위 평가 수준인 PCI DSS 1 레벨 1 서비스 공급자 인증을 받았습니다. 규정 준수 평가는 독립적인 공인 보안 평가 기관(QSAC)인 Coalfire Systems Inc.에서 수행했습니다. PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.

  • PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에서 PCI 탭을 확인하십시오. 이 서비스 사용에 대한 자세한 내용은 AWS로 문의하시기 바랍니다.

  • AWS 서비스를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객은 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS 기술 인프라를 신뢰할 수 있습니다.

    AWS는 카드 소지자 데이터(CHD)를 직접 저장하거나 처리하지 않습니다. 하지만 고객은 AWS 서비스를 사용하여 카드 소지자 데이터를 저장, 전송 또는 처리할 수 있는 자체 카드 소지자 데이터 환경(CDE)을 생성할 수 있습니다.

  • PCI DSS 고객이 아니더라도 AWS의 PCI DSS 규정 준수는 모든 수준에서 정보 보안을 유지하려는 AWS의 헌신을 보여줍니다. 외부 독립 기관에서 PCI DSS 표준을 인증하므로 이는 AWS 보안 관리 프로그램이 종합적이며 선도적인 업계 사례를 따르고 있음을 보여줍니다.

  • 고객은 자체 PCI DSS 규정 준수 인증을 관리해야 하며, 고객 환경이 모든 PIS DSS 요구 사항을 충족함을 검증하기 위해서는 추가 테스트가 필요합니다. 하지만, AWS에 배포된 PCI 카드 소지자 데이터 환경(CDE)에 해당하는 부분의 경우 Qualified Security Assessor(QSA)가 추가 테스트 없이 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니다.

  • 자세한 내용은 고객에게 제공되는 AWS PCI DSS 규정 준수 패키지의 "AWS PCI DSS 책임 요약"을 참조하세요. 이 문서는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.

  • AWS PCI 규정 준수 패키지는 AWS Artifact를 통해 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.

  • AWS PCI 규정 준수 패키지에는 다음이 포함되어 있습니다.

    • AWS PCI DSS 3.2.1 규정 준수 증명(AOC)
    • AWS PCI DSS 3.2.1 책임 항목 요약
  • 예, AWS는 Visa 글로벌 서비스 공급자 목록MasterCard 규정 준수 서비스 공급자 목록에 모두 포함되어 있습니다. 서비스 공급자 목록은 AWS가 PCI DSS 규정을 준수함을 성공적으로 입증했고 해당하는 Visa 및 MasterCard 프로그램 요구 사항을 모두 충족했음을 보여줍니다.

  • 아니요. AWS 환경은 가상화된 멀티 테넌트 환경입니다. AWS는 보안 관리 프로세스, PCI DSS 요구 사항, 각 고객을 자체 보호 환경으로 효과적이며 안전하게 격리하는 기타 보완 제어 항목을 효과적으로 구현했습니다. 독립적인 QSA에서 이 안전한 아키텍처를 검증했으며 그 결과 PCI DSS의 모든 적용 가능한 요구 사항을 충족하는 것으로 확인되었습니다.

    PCI 보안 표준 위원회는 고객, 서비스 공급자 및 클라우드 컴퓨팅 서비스 평가자를 위해 PCI DSS Cloud Computing Guidelines를 발행했습니다. 이 가이드라인은 서비스 모델을 소개하고 공급자와 고객 간에 규정 준수 역할 및 책임이 어떻게 공유되는지도 설명합니다.

  • 아니요. AWS 규정 준수 증명(AOC)은 AWS 데이터 센터의 물리적 보안 제어 항목에 대해 포괄적인 평가가 수행되었음을 보여줍니다. 가맹점의 QSA가 AWS 데이터 센터의 보안을 확인할 필요는 없습니다.

  • AWS는 PCI-DSS하에서 "공유 호스팅 공급자"로 간주되지 않습니다. 따라서, DSS 요건 A1.4는 해당 사항이 없습니다. 당사의 공동 책임 모델에 따라, 당사는 고객들이 AWS의 추가 지원 없이 자체 AWS 환경에서 디지털 포렌식 조사를 수행할 수 있게 지원합니다. 이러한 지원은 AWS 서비스와 AWS Marketplace를 통해 제공되는 타사 솔루션 사용을 통해 제공됩니다. 자세한 내용은 다음 리소스를 참조하십시오.

  • PCI DSS 규정을 준수하는 AWS 서비스를 사용하는 한, 범위 내 서비스를 지원하는 전체 인프라가 규정을 준수하게 되므로 별도 환경이나 특별 API를 사용할 필요가 없습니다. 전 세계적으로 이러한 서비스에 배포되었거나 이를 사용하는 모든 서버 또는 데이터 객체는 PCI DSS 규정 준수 환경 내에 있습니다. PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에서 PCI 탭을 확인하십시오..

  • 예. 규정 준수 로케이션의 전체 목록은 AWS Artifact에서 최신 PCI DSS AOC를 참조하십시오.

  • 예. PCI DSS 표준은 PCI 보안 표준 위원회 문서 라이브러리에서 다운로드할 수 있습니다.

  • 예. 수많은 AWS 고객이 AWS에서 카드 소지자 환경의 전체 또는 일부를 성공적으로 배포하고 인증을 받았습니다. AWS는 PCI DSS 인증을 획득한 고객을 공개하지는 않지만, 고객 및 PCI DSS 평가 기관과 정기적으로 협력하여 AWS의 카드 소지자 환경에 대한 검사를 분기별로 계획, 배포, 인증 및 수행합니다.

  • 기업이 매년 PCI DSS 규정을 준수함을 인증받는 데 사용하는 주요 접근 방식에는 두 가지가 있습니다. 첫 번째 접근 방식은 외부 공인 보안 평가자(QSA)가 해당하는 환경을 평가한 다음 규정 준수 보고서(ROC)와 규정 준수 증명(AOC)을 생성하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 큰 엔터티에서 주로 사용합니다. 두 번째 접근 방식은 자체 평가 질문지(SAQ)를 실시하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 작은 엔터티에서 주로 사용합니다.

    규정 준수를 적용할 책임은 PCI 위원회가 아니라 결제 회사와 인수자에 있다는 것을 유념해야 합니다.

  • 다음은 PCI DSS 요구 사항에 대한 전체적인 개요입니다.

    안전한 네트워크와 시스템을 구축 및 유지 관리

    1. 카드 소지자 데이터 보호를 위해 방화벽을 설치 및 유지 관리합니다.

    2. 시스템 암호 및 기타 보안 파라미터에 업체에서 제공하는 기본값을 사용하지 않습니다.

    카드 소지자 데이터 보호

    3. 저장된 카드 소지자의 데이터를 보호합니다.

    4. 개방된 퍼블릭 네트워크에서 카드 소지자의 데이터를 암호화하여 전송합니다.

    취약성 관리 프로그램 유지 관리

    5. 맬웨어 대비해 모든 시스템을 보호하고 바이러스 방지 소프트웨어나 프로그램을 정기적으로 업데이트합니다.

    6. 안전한 시스템 및 애플리케이션을 개발하고 유지 관리합니다.

    강력한 액세스 통제 방법 구현

    7. 업무와 관련하여 필요한 경우에만 카드 소지자의 데이터에 액세스합니다.

    8. 시스템 구성 요소에 대한 액세스를 파악 및 인증합니다.

    9. 카드 소지자 데이터에 대한 물리적인 액세스를 제한합니다.

    정기적으로 네트워크를 모니터링 및 테스트

    10. 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링합니다.

    11. 보안 시스템과 절차를 정기적으로 테스트합니다/

    정보 보안 정책 유지 관리

    12. 모든 직원에 대해 정보 보안을 다루는 정책을 유지 관리합니다.

  • AWS는 모든 서비스에서 TLS 1.0 사용을 중단하도록 캠페인을 벌이지는 않습니다. 이 프로토콜 옵션이 필요한 일부 고객(예: PCI가 아닌) 때문입니다. 하지만 AWS 서비스에서는 고객의 서비스에서 TLS 1.0을 비활성화할 때 해당 고객에 미치는 영향을 개별적으로 평가하고 있으며 TLS 1.0의 중단을 선택할 수도 있습니다. 고객은 FIPS 엔드포인트를 사용하여 강력한 암호화의 사용을 확인할 수도 있습니다. AWS는 모든 FIPS 엔드포인트를 TLS 버전 1.2 이상으로 업데이트할 것입니다. 자세한 내용은 이 블로그 게시물을 참조하세요.

  • PCI 범위 내 AWS 서비스는 모두 TLS 1.1 이상을 지원하며 이러한 서비스 일부는 TLS 1.0을 필요로 하는 고객(비 PCI)을 위해 이 버전 또한 지원합니다. 안전한 TLS(예: TLS 1.1 이상)를 사용하는 AWS와 핸드셰이크를 할 수 있도록 시스템을 업그레이드하는 것은 고객의 책임입니다. 고객은 클라이언트와 로드 밸런서 간에 암호화 프로토콜 협상에서 TLS 1.2 등을 사용하도록 보장하는 사전에 정의된 AWS 보안 정책을 선택함으로써 TLS 1.1 이상을 사용하는 안전한 통신을 위해 AWS 로드 밸런서(Application Load Balancer 또는 Classic Load Balancer)를 사용 및 구성해야 합니다. 예를 들어 AWS Load Balancer 보안 정책 ELBSecurityPolicy-TLS-1-2-2018-06에서는 TLS 1.2만 지원합니다.

  • 고객 ASV(Approved Scanning Vendor) 스캔이 AWS API 엔드포인트에서 TLS 1.0을 식별하는 경우, 이는 API에서 TLS 1.1 이상뿐만 아니라 여전히 TLS 1.0도 지원함을 의미합니다. PCI 범위 내 AWS 서비스 중 일부는 비 PCI 워크로드를 위해 TLS 1.0이 필요한 고객을 위해 이를 계속 지원할 수 있습니다. 고객은 Qualys SSL Labs와 같은 도구를 사용하여 AWS API 엔드포인트가 TLS 1.1 이상을 지원한다는 증명을 ASV에 제공하여 사용되는 프로토콜을 식별할 수 있습니다. 또한, 고객은 TLS 1.1 이상만 지원하는 해당하는 보안 정책(예: ELBSecurityPolicy-TLS-1-2-2017-01은 v1.2만 지원)으로 구성된 AWS Elastic Load Balancer를 통해 연결함으로써 안전한 TLS 핸드셰이크를 지원한다는 증거를 제공할 수도 있습니다. ASV는 고객에게 스캔 취약성 분쟁 프로세스를 따르도록 요청할 수 있으며, 명시된 증거는 규정 준수의 증거로 사용될 수 있습니다. 또는 ASV에 일찍 관여하여 스캔하기 전에 ASV에 이 증거를 제공하면 평가를 간소화하고 ASV 스캔이 통과되도록 지원할 수 있습니다.

질문이 있으신가요? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »