그림 DSS

누가 PCI DSS를 준수해야 합니까?

PCI 데이터 보안 표준 (PCI DSS) 의 목표는 처리, 저장 또는 전송되는 모든 곳에서 카드 소지자 데이터 (CHD) 와 민감한 인증 데이터 (SAD) 를 보호하는 것입니다.카드 소지자 데이터를 저장, 처리 또는 전송하는 모든 조직에서는 결제 보안을 유지해야 합니다.

PCI 보안 표준에는 다음에 대한 기술 및 운영 요구 사항이 포함됩니다.

• 결제 거래를 수락하거나 처리하는 조직
• 해당 거래에 사용되는 애플리케이션 및 장치의 소프트웨어 개발자 및 제조업체

2018년 5월에 릴리스된 PCI 3.2.1은 대상 조직이 준수해야 하는 최신 버전입니다.

규정 준수 검증은 조직의 판매자 수준 지정에 적합한 방법으로 매년 또는 분기별로 수행되며, 이는 처리되는 연간 신용 카드 거래량에 따라 달라집니다.

PCI 판매자 수준 및 감사 및 보고 요구 사항 요약

아래 표는 PCI 판매자 수준, 각 수준에서 일반적으로 사용되는 일반적인 결제 아키텍처, 해당 PCI 감사 및 보고 요구 사항에 대한 개요를 제공합니다.참고: 신용 카드 회사마다 판매자 수준 벤치마크에는 미묘한 차이가 있으므로 독자는 PCI 자문 및 QSA 파트너와 상담하여 조직에 적용되는 요구 사항을 정확하게 평가하는 것이 좋습니다.

PCI DSS를 위한 12가지 요구 사항

PCI DSS 3.2.1에는 6개의 목표, 12개의 요구 사항, 78개의 기본 요구 사항 및 400개 이상의 테스트 절차가 포함됩니다.아래 표에는 PCI DSS 목표 및 관련 요구 사항이 요약되어 있습니다.하위 요구 사항 및 테스트에 대한 자세한 내용은 다음을 참조하십시오. PCI DSS 레퍼런스 가이드.

PCI 규정 미준수로 인한 잠재적 위험

PCI DSS는 출시된 지 12년이 넘었지만 많은 조직이 감사 과정에서 심각한 부작용 발견에 계속 직면하고 있습니다.최근에 PCI 감사를 통과한 이후에도 데이터 침해가 발생했다는 보고를 계속하는 조직도 몇 개 있습니다.여기서 중요한 점은 규정 준수가 반드시 데이터와 애플리케이션의 보안을 의미하지는 않는다는 것입니다.규정 준수를 기준으로 삼아야 하며, 조직은 반드시 규정 적용 대상이 아닌 위협 요소를 식별하고 완화하는 데에도 집중해야 합니다. 규정 준수 의무.

이것들이 가장 일반적입니다 PCI 규정 준수 당면 과제:

1. 범위를 관리하고 PCI 감사 비용을 통제해야 합니다.PCI 안전보장이사회는 다음을 발표했습니다. 범위 지정 및 네트워크 세분화 가이드.이 문서는 해당 조직이 CDE (카드 소지자 데이터 환경) 구성 요소, PCI 연결 및 PCI 보안에 영향을 미치는 시스템, 범위를 벗어난 구성 요소를 식별하는 데 도움이 되는 프레임워크를 제공합니다.안타깝게도 데이터 센터 환경과 결제 아키텍처의 특성이 점점 더 동적이고 복잡해짐에 따라 범위 지정 및 세분화 프레임워크를 실행하는 것이 많은 조직에서 어려움을 겪고 있습니다.정적인 특정 시점 데이터와 네트워크 플로우 맵에 의존하여 PCI 구성 요소 인벤토리를 채우고 유지 관리할 경우 일관되지 않은 IT 변경 및 방화벽 변경 관리 관행과 함께 범위 지정 및 세분화 오류가 발생하여 결국 PCI 평가 실패와 감사 비용 증가로 이어집니다.
2. PCI 보안 규정 준수 및 세분화 상태를 지속적으로 유지할 수 없음PCI 보안 표준에 따르면 조직은 PCI 세분화 상태를 지속적으로 유지하고 PCI 요구 사항 및 기본 요구 사항을 지속적으로 준수해야 합니다.동적이고 복잡한 데이터 센터 및 결제 아키텍처와 보안 프로세스 및 IT 운영 전반의 불일치로 인해 보안 및 제어 격차가 발생합니다.IT 관행의 결과로 PCI 구성 요소는 동일한 영역, VLAN 또는 서브넷 내에서 비 PCI 구성 요소와 혼합되는 경우가 많으며 CDE로의 트래픽을 제한하는 추가 제어 기능이 없습니다.IT 변경 관리, 리소스 프로비저닝 및 방화벽 변경 관리 프로세스 간의 연결이 끊어지면 범위 내 PCI 연결 시스템의 인벤토리가 잘못되고 방화벽 규칙이 잘못 구성되는 경우도 있습니다.취약성 관리 및 패치 관리 프로세스가 제대로 이루어지지 않으면 조직이 PCI 보안 태세를 지속적으로 유지하지 못할 수도 있습니다. 버라이존 결제 보안 보고서 결제 보안 트렌드와 조직에서 지속적으로 경험하는 중요한 보안 과제에 대한 자세한 검토를 제공합니다.Verizon은 2010년부터 매년 이 보고서를 발행하고 있습니다.2020년 보고서에서 저자들은 다음과 같은 PCI 요구 사항이 관리 격차가 가장 크다는 결론을 내렸습니다.
3. 요구 사항 11.보안 시스템 및 프로세스 테스트
4. 요구 사항 5.악성 소프트웨어로부터 보호
5. 요구 사항 10.액세스 추적 및 모니터링
6. 요구 사항 12.보안 관리
7. 요구 사항 8.액세스 인증
8. 요구 사항 1.방화벽 구성 설치 및 유지 관리
9. 플랫 네트워크 사용.놀랍게도 오늘날 많은 조직에서 플랫 네트워크를 계속 사용하고 있습니다. 왜냐하면 이러한 네트워크는 설계가 간단하고 운영 및 유지 관리가 쉽기 때문입니다.그러나 플랫 네트워크란 PCI에 연결되지 않은 구성 요소 및 CDE가 아닌 구성 요소를 포함하여 환경의 모든 요소가 PCI 범위 내에 있다는 것을 의미하므로 PCI 감사 비용이 높아집니다.또한 플랫 네트워크란 악의적인 공격자가 단일 호스트를 성공적으로 손상시킬 수 있는 경우 네트워크를 쉽게 탐색하여 결제 애플리케이션과 카드 소지자 데이터베이스에 액세스할 수 있다는 의미이기도 합니다.
10. 원격 근무 운영 모델로의 안전한 전환이 필요합니다.전체 원격 근무 운영 모델로 전환하고 있는 조직은 이러한 변화가 PCI 환경의 범위에 어떤 영향을 미치는지, 그리고 CDE로의 합법적인 트래픽을 제어하기 위해 어떤 추가 제어를 구현해야 하는지 평가해야 합니다.예를 들어 직원 노트북에서 승인된 관리자의 결제 애플리케이션에 대한 합법적인 원격 액세스 보호, 원격 고객 지원 및 청구 보안, 인터넷에 연결된 비접촉식 키오스크와 데이터 센터 애플리케이션 간의 인증된 연결 보안 등이 있습니다.

PCI 데이터 보안 표준의 일반적인 구현 과제는 무엇입니까?

워크로드, 사용자, 디바이스, 연결 및 흐름에 대한 실시간 가시성은 다음과 같은 경우에 중요합니다.

• PCI 환경의 범위가 최신이고 정확한지 확인합니다. 즉, 세그멘테이션 및 방화벽 규칙이 올바르게 적용됩니다.
• 분기별 필수 내부 취약성 검사에 중요한 정보를 제공하고 이 정보를 사용하여 취약성과 관련된 잠재적 측면 공격 경로를 매핑합니다.
• 잠재적 공격의 지표가 될 수 있는 워크로드, 장치, 사용자, 연결 및 연결 실패의 변화에 대해 PCI 환경을 지속적으로 모니터링합니다.
• PCI 규정 준수 요구 사항에서 반드시 다루지 않는 공격 표면 및 위협 벡터의 변화를 식별합니다.

효과적인 PCI DSS 규정 준수에서 실시간 가시성의 중요성

• 실시간 가시성은 PCI 범위에 속하는 CDE, PCI 연결 및 PCI 보안에 영향을 미치는 시스템의 모든 연결을 지속적으로 모니터링하여 PCI 범위의 정확성을 보장하는 데 도움이 됩니다.그러면 조직은 호스트 기반 마이크로 세그멘테이션을 적용하여 해당 방화벽 규칙을 적용하여 PCI 환경으로의 인바운드 및 아웃바운드 트래픽을 “허용된” 또는 “합법적인” 트래픽으로만 제한할 수 있습니다.(요구 사항 1)
• PCI 환경의 효과적이고 정확한 세분화를 지속적으로 유지하면 PCI 감사 비용을 관리하는 데 도움이 됩니다.
• 잘못 구성되고 오래된 방화벽 규칙을 제거하면 대상 조직이 잠재적 데이터 침해에 노출되는 것을 줄일 수 있습니다.
• IT 자동화 도구 (예: Chef, Puppet, Ansible, Terraform) 와의 통합을 활용하여 워크로드 리소스 프로비저닝 및 프로덕션 환경으로의 릴리스와 동시에 세그멘테이션 정책을 프로비저닝할 수 있습니다.
• 실시간 가시성은 조직이 원격 근무로 전환할 때 PCI 범위의 변경 사항을 평가하는 데 도움이 됩니다.이를 통해 조직은 중대한 통제 허점과 잠재적 공격 벡터를 식별할 수 있습니다.그런 다음 조직은 호스트 기반 마이크로 세분화를 적용하여 집에 있는 장치에서 원격 사용자의 랩톱으로의 P2P 연결을 제한하고 사용자와 데이터 센터 애플리케이션 연결을 제어할 수 있습니다.
• 네트워킹 환경을 재설계하지 않고도 여러 VLAN, 영역 및 서브넷에 흩어져 있는 인증된 PCI 워크로드, 사용자 및 장치 간의 연결을 제어하고 IT 운영 변화를 따라잡을 수 있습니다.
• 클라우드 네이티브 및 그린필드 환경에서 조직은 컨테이너 오케스트레이션 플랫폼과의 통합을 활용하여 워크로드 생성 시 “세그멘테이션 정책”을 프로비전할 수 있습니다.
• 조직은 PCI 규정 준수 요구 사항을 직접 충족하는 것 외에도 마이크로 세분화를 적용하여 공격 표면을 줄이고 측면 이동을 차단하며 PCI 규정 준수의 빠른 확산을 억제할 수 있습니다. 랜섬웨어.

호스트 기반 마이크로 세분화를 사용하여 PCI 규정 준수 및 사이버 보안 문제 해결

• 실시간 가시성은 PCI 범위에 속하는 CDE, PCI 연결 및 PCI 보안에 영향을 미치는 시스템의 모든 연결을 지속적으로 모니터링하여 PCI 범위의 정확성을 보장하는 데 도움이 됩니다.그러면 조직은 호스트 기반 솔루션을 적용할 수 있습니다. 마이크로 세그멘테이션 PCI 환경으로의 인바운드 및 아웃바운드 트래픽을 “허용된” 또는 “합법적인” 트래픽으로만 제한하는 관련 방화벽 규칙을 적용합니다.(요구 사항 1)
• PCI 환경의 효과적이고 정확한 세분화를 지속적으로 유지하면 PCI 감사 비용을 관리하는 데 도움이 됩니다.
• 잘못 구성되고 오래된 방화벽 규칙을 제거하면 대상 조직이 잠재적 데이터 침해에 노출되는 것을 줄일 수 있습니다.
• IT 자동화 도구 (예: Chef, Puppet, Ansible, Terraform) 와의 통합을 활용하여 워크로드 리소스 프로비저닝 및 프로덕션 환경으로의 릴리스와 동시에 세그멘테이션 정책을 프로비저닝할 수 있습니다.
• 실시간 가시성은 조직이 원격 근무로 전환할 때 PCI 범위의 변경 사항을 평가하는 데 도움이 됩니다.이를 통해 조직은 중대한 통제 허점과 잠재적 공격 벡터를 식별할 수 있습니다.그런 다음 조직은 호스트 기반 마이크로 세분화를 적용하여 집에 있는 장치에서 원격 사용자의 랩톱으로의 P2P 연결을 제한하고 사용자와 데이터 센터 애플리케이션 연결을 제어할 수 있습니다.
• 네트워킹 환경을 재설계하지 않고도 여러 VLAN, 영역 및 서브넷에 흩어져 있는 인증된 PCI 워크로드, 사용자 및 장치 간의 연결을 제어하고 IT 운영 변화를 따라잡을 수 있습니다.
• 클라우드 네이티브 및 그린필드 환경에서 조직은 컨테이너 오케스트레이션 플랫폼과의 통합을 활용하여 워크로드 생성 시 “세그멘테이션 정책”을 프로비전할 수 있습니다.
• 조직은 PCI 규정 준수 요구 사항을 직접 충족하는 것 외에도 마이크로 세분화를 적용하여 공격 표면을 줄이고 측면 이동을 차단하며 PCI 규정 준수의 빠른 확산을 억제할 수 있습니다. 랜섬웨어.

자세히 알아보기

지금 시작하여 PCI를 준수하고 고객과 회사를 보호하기 위한 단계를 구현하십시오.

마이크로 세분화가 PCI DSS 범위를 줄이고 규정 준수를 달성하는 데 어떻게 도움이 되는지 백서 “PCI 규정 준수를 효과적으로 세분화하는 3단계”를 통해 자세히 알아보십시오.