지난번 칼럼까지 카드결제 보안시스템(PCI DSS)의 기능과 역할, 그리고 준수항목에 대해서 알아보았다. 이번 칼럼에서는 PCI ‘Compliance’의 과정에 대해 알아보기로 하자.

Compliance란 용어를 쉽게 표현하자면 규정 또는 준수로 해석할 수 있다. 따라서 여기서 말하는 컴플라이언스는 고객 정보보호, 자료보관 등과 관련하여 반드시 따라야하는 규정, 지침 등의 규제를 준수하는 것을 의미한다.

모든 가맹점과 서비스 사업자는 PCI 규제 준수 의무를 갖는다. 카드 프로세싱 회사는 카드 소지자 데이터를 저장, 처리 또는 전송하는 소속 가맹점과 서비스 사업자로 하여금 프로그램을 준수하게 하는 책임이 있다. 즉, 카드 정보를 입력받고 물건을 판매하는 모든 가맹점이 대상이 되며 연간 카드거래 규모에 따라 평가방법이 달라진다.

그러나 공통적으로 가맹점은 PCI DSS 표준안을 준수해야 하고 지침에 따른 절차 확인이 이루어져야 한다. PCI DSS 표준 준수여부는 자가진단서(SAQ, Self-Assessment Questionnaire)와 취약점 점검 경과, 실사에 의해 이루어진다.

가맹점은 거래 수에 따라 레벨이 1~4의 네가지로 구분되는데 대부분의 가맹점이 속하는 중소 소매사업자인 레벨 4의 경우에 대해 알아보자.

우선 가맹점은 SAQ 답을 카드 프로세싱 회사에 제출해야하고, 온라인을 사용하여 거래하는 E-Commerce나 POS 시스템(Integrated POS System)을 사용하는 가맹점은 거래가 이루어지는데 필요한 승인, 저장, 처리하는 IP주소를 스캔하여 그 결과를 카드 프로세싱 업체에 보고하여야 한다. 만약 스캐닝 자료에 문제점이 발생하면 반드시 한정된 기한 안에 고쳐야하며 그 고친 결과를 다시 스캔 받아 결과가 통과되어야한다.

분기별로 스캐닝을 받는 이유 가운데 하나는 새로운 해킹코드가 개발되어 안전도가 인증되었던 시스템에 침투할 수 있기 때문이다. 그리고 가맹점이 사용하고 있는 지불 프로그램은 항상 가장 최근의 패치나 서비스 팩으로 업데이트 되어야 그러한 문제점을 최소화 할 수 있다.

SAQ 대한 대답이 만약 컴플라이언스에 적용되지 않는 경우에는 시스템을 그에 맞게 수정하여야하며 만약 수정하는 시간이 오래 걸린다면 한정된 시간을 연장하여 시스템을 PCI DSS에 맞도록 고칠 수 있다.

SAQ는 매년 한번씩 실시해야하며 만약 시스템에 변경이 생기면 SAQ와 스캔을 다시 받아야 한다. PCI DSS에 대한 구체적인 내용은 뱅크카드 서비스 고객센터에 문의하면 알 수 있다. (213)365-1122


패트릭 홍
<뱅크카드 서비스>