- 1. 카드 회원 정보를 보호하기 위해 방화벽 구성을 설치하고 유지합니다.
- 2. 시스템 비밀번호와 기타 보안 매개변수에 벤더가 공급한 기본값을 사용하지 않도록 합니다.
데이터 보안 규제 준수
PCI DSS 규제 준수
카드 회원 정보를 저장, 처리 또는 전송하는 모든 업체는 PCI DSS를 준수해야 합니다. PCI DSS는 신뢰할 수 있는 안전한 결제 처리 환경을 조성하고 유지하는 것을 목적으로 6가지 범주로 분류, 12개의 기본 요건으로 구성됩니다. PCI 데이터 보안 표준(DSS)을 통해 모든 고객에게 안전한 거래를 제공하기 위해 매입사와 협력합니다. 먼저 지침 사항을 검토한 후 귀하가 관련 요건을 충족하는지 확인하세요.
-
-
- 3. 저장된 카드 회원 정보를 보호합니다.
- 4. 개방된 공용 네트워크 환경에서의 카드 회원 정보 전송을 암호화합니다.
-
- 5. 악성코드에 대비해 모든 시스템을 보호하고 안티 바이러스 소프트웨어나 프로그램을 정기적으로 업데이트합니다.
- 6. 보안 시스템과 애플리케이션을 개발 및 유지합니다.
-
- 7. 업무적 요구사항에 따라 카드 회원정보 접근을 제한합니다.
- 8. 시스템 구성요소에 대한 접근을 식별하고 인증합니다.
- 9. 카드 회원 정보에 대한 물리적 제어를 제한합니다.
-
- 10. 네트워크 자원과 카드 회원 정보에 대한 모든 접근을 추적하고 모니터링합니다.
- 11. 보안 시스템 및 프로세스를 정기적으로 검사합니다.
-
- 12. 전 직원을 대상으로 하는 정보 보안 정책을 준수합니다.
규제 준수 검증
충분한 시간을 들여 PCI DSS의 모든 요건을 충족했는지 확인합니다. 이 과정은 카드 회원 정보가 안전하게 처리되고 있는지 확인할 수 있으며 취약점을 효과적으로 발견해 해결할 수 있습니다. 12개월간 Visa 총 거래량에 따라 가맹점의 준수요건 및 절차를 결정합니다.
-
매년:
- 규제 준수 보고서("ROC")는 공인된 평가자("QSA") 또는 회사 책임자의 서명이 있는 경우 내부 감사자가 제출합니다. 내부 감사자의 경우 PCI SSC 내부 보안 평가사("ISA") 인증을 획득할 것을 권장합니다.
- 규제 준수 증명("AOC") 양식을 제출합니다.
매 분기:
- 승인 받은 스캔 벤더("ASV") 가 분기별 네트워크 스캔을 실시합니다.
-
매년:
- 자체 평가 질문지("SAQ")를 실시합니다.
- 규제 준수 증명("AOC") 양식을 제출합니다.
매 분기:
- 승인 받은 스캔 벤더("ASV") 가 분기별 네트워크 스캔을 실시합니다.
-
매년:
- 자체 평가 질문지("SAQ")를 실시합니다.
- 규제 준수 증명("AOC") 양식을 제출합니다.
매 분기:
- 승인 받은 스캔 벤더("ASV") 가 분기별 네트워크 스캔을 실시합니다.
-
매년:
- 자체 평가 질문지("SAQ")를 실시합니다.
- 규제 준수 증명("AOC") 양식을 제출합니다.
매 분기:
- (해당 시) 승인 받은 스캔 벤더("ASV")가 분기별 네트워크 스캔을 실시합니다.
- 자체 평가 질문지("SAQ")를 실시합니다.
기술 혁신 프로그램
보안 기술에 투자하고 규제 준수를 더욱 쉽게 만듭니다
EMV 칩 기술에 투자하거나 검증된 P2PE(Point-to-Point Encryption) 솔루션을 구현해 위조 사고 방지 조치를 취해 왔던 미국 가맹점은 Visa의 기술 혁신 프로그램(TIP)을 통해 이익을 얻을 수 있습니다. 이 프로그램은 매년 최소 75퍼센트(%)의 거래가 EMV 칩 사용 단말기 또는 검증된 P2PE 솔루션을 통해 발생했을 때, 해당 가맹점은 PCI DSS 준수를 검증해야 하는 요건에서 면제됩니다.
규제 및 평가
VCR(Visa 핵심 규칙)은 고객 금융 기관 및 Visa 결제 시스템에 참여하는 가맹점과 서비스 제공 업체의 활동을 관리합니다
가맹점의 매입사는 가맹점과 그 가맹점이 이용하는 서비스 제공자의 PCI 데이터 보안 표준(DSS) 규제 준수를 보장하는데 책임이 있습니다. 가맹점에서는 항상 완벽한 규제 준수를 지속해야 합니다. (VCR 섹션 ID #0002228 및 #0008031)
가맹점에서 PCI DSS를 준수하지 않거나 보안 문제를 시정하지 않는 경우, Visa는 해당 매입사에 준수 불이행 벌금을 부과할 수 있습니다. 매입사는 모든 벌금 지불에 책임이 있으며 Visa가 해당 가맹점에 어떤 벌금을 적용했는지 세부적으로 공유해서는 안됩니다. (VCR 섹션 ID #0001054)
정밀 조사 기간 동안의 입증에 따라 정보 유출 전과 유출 시점에 PCI DSS 준수 불이행의 증거가 없다면 벌금 부과가 보류될 수도 있습니다.Service Provider 및 결제 앱
안전한 거래를 지원하기 위해 승인받은 Service Provider 및 결제 앱과 제휴합니다.
Service Provider
Service Provider는 고객을 대신해 Visa 카드 회원의 정보를 처리합니다. 매입사는 Service Provider의 PCI DSS 준수를 보장합니다. 모든 Service Provider는 규제 준수를 필수로 합니다.
결제 앱
오직 안전하고 검증된 결제 앱만 이용합니다
보안 프로그램
항상 최신 보안 표준으로 최신 상태를 유지하세요
글로벌 PIN 보안 프로그램
PIN 거래 전표를 매입하거나 자체적으로 핵심 관리 서비스를 수행하는 가맹점은 Visa PIN 보안 요건을 준수해야 합니다.
아래의 링크를 통해 Visa의 글로벌 PIN 보안 프로그램에 대해 자세히 알아보세요.
QIR(Qualified Integrator Reseller) 프로그램
PCI QIR 교육 및 자격 프로그램은 가맹점 PA-DSS 검증 결제 시스템의 안전한 설치를 보장하기 위해 필요한 교육과 도구를 제공합니다. QIR이 적용된 가맹점에서는 귀하의 서비스를 이용해 결제 브랜드사가 서술한 요건을 충족할 수 있습니다.
추가 자료
영업 활동 보호에 대한 더 많은 정보를 찾아보세요
Integrator/Reseller를 이용해 가맹점의 결제 위험 최소화하기 (PDF, 1.2MB)
가맹점 Integrator를 표적으로 하는 사이버 범죄자 (PDF, 984KB)
정보 유출의 효과적 관리 (PDF, 984KB)
모든 가맹점이 알아야 할 Visa의 중요한 5가지 규칙 (PDF, 587KB)
전자상거래 결제 처리에 가해지는 위협 요소의 식별 및 완화조치 (PDF, 1.0MB)
결제 앱 보안 의무 (PDF, 61K)