결제 카드 산업 데이터 보안 표준(DSS) 준수는 금융기관, 가맹점 및 서비스 제공자를 포함하여 Visa 카드 소지자 정보를 저장, 처리하거나 전송하는 모든 업체에 요구됩니다. Visa의 프로그램은 참여자가 정기적으로 규제 준수를 입증하도록 요구함으로써 PCI DSS 준수를 관리합니다.
보안 표준을 최신 상태로 유지하기
PCI DSS 준수
모든 사람에게 이익이 되는 보안 표준.
-
Visa의 카드 소지자 정보 보안 프로그램(CISP)은 고객, 가맹점 및 서비스 제공자가 최고의 정보 보안 표준을 유지하는지 확인함으로써 Visa 카드 소지자를 보호하도록 고안된 준수 프로그램입니다.
PCI 보안 표준 위원회(SSC)가 PCI DSS 및 모든 지원 문서를 소유, 유지하고 관리하는 반면, Visa는 모든 데이터 보안 준수 시행 및 검증 계획을 관리합니다.
-
발행자와 전표 매입사는 모든 서비스 제공자, 가맹점 및 가맹점의 서비스 제공자가 PCI DSS 요건을 준수하도록 보장해야 할 책임이 있습니다.
가맹점 준수 검증은 거래량, 잠재적 위험 및 결제 시스템으로 유입된 노출에 따라 우선 순위가 매겨졌습니다.
발행자 및 전표 매입사는 레벨 1 및 레벨 2 서비스 제공자가 제3자 대행사(TPA) 등록 시, 그리고 그 이후 12개월마다 PCI DSS 준수 상태를 검증하는지 확인해야 합니다.
-
전표 매입사는 가맹점이 적절한 수준에서 검증하는 것을 보장하고 이러한 가맹점으로부터 필요한 준수 검증 문서를 확보해야 합니다. 또한 가맹점 은행과 가맹점은 준수 검증의 증거가 필요할 수 있는 다른 결제 카드 브랜드의 준수 보고 요건을 확인해야 합니다.
Visa와 직접적으로 연결되지 않는 레벨 1 서비스 제공업체는 연례 현장 PCI 데이터 보안 평가를 완료한 후 서비스 제공업체와 적격 보안 평가자(QSA)가 모두 서명한 준수 증명서(AOC)를 Visa에 제출해야 합니다. 레벨 2 서비스 제공자는 서명된 자체 평가 설문지(SAQ-D) 또는 QSA의 서명이 포함된 AOC를 제출해야 합니다. 서비스 공급업체가 Visa 글로벌 서비스 공급업체 등록부(등록부)에 등재되기 위해서는 PCI DSS 준수 확인이 필요합니다.
-
Visa 핵심 규칙(VCR)과 Visa 상품 및 서비스 규칙은 고객 금융기관, 그리고 더 나아가 Visa 결제 시스템의 참여자로서 서비스 제공자 및 가맹점의 활동에 적용됩니다.
발행자와 전표 매입사는 가맹점이 이용하는 서비스 제공자를 포함하여 서비스 제공자와 가맹점의 PCI DSS 준수를 보장해야 할 책임이 있습니다. 서비스 제공자와 가맹점은 항상 완전한 준수 상태를 유지해야 합니다. (VCR 섹션 ID #0002228 및 #0008031)
서비스 제공자나 가맹점이 PCI DSS를 준수하지 않거나 보안 문제를 해결하지 못한 경우, Visa는 발행자나 전표 매입사를 상대로 비 준수 평가액을 사정할 수 있습니다. 전표 매입사는 모든 평가액을 지급해야 할 책임이 있으며, Visa가 해당 서비스 제공자 또는 가맹점에 어떤 평가액을 부과했는지 표명해서는 안 됩니다. (VCR 섹션 ID #0001054)
전표 매입사는 [email protected] 으로 Visa 위험관리 팀에 연락하여 더 자세한 정보를 알아보십시오.
PIN 보안 프로그램
Visa는 모든 지역에서 PIN 보안 준수 검증을 단순화하고 있습니다.
결제 앱 데이터 보안 표준(PA-DSS)
Visa는 결제 앱 공급업체가 제품의 PA-DSS 준수를 개발하고 검증할 것을 강력히 권고합니다. PA-DSS 준수 앱은 가맹점 및 대행사가 공격을 받을 만한 잠재적인 취약성을 완화하고 민감한 카드 소지자 정보의 저장을 방지하며, 전반적인 PCI DSS 준수를 지원할 수 있도록 도와줍니다. PA-DSS는 승인 또는 결제의 일환으로 카드 소지인 정보를 저장, 처리 또는 전송하는 제3자 결제 앱 소프트웨어에만 적용됩니다. 사내 소프트웨어 앱은 가맹점이나 대행사의 PCI DSS 평가 내에서 적용됩니다.
-
많은 결제 앱 공급업체들이 PA-DSS 준수 결제 앱을 채택했지만, 알려진 취약점이 다시 유입되지 않도록 결제 소프트웨어에 대한 업데이트가 지속적으로 개발되어야 함에도 실상은 그렇지 않다는 우려가 커지고 있습니다. 또한 결제 소프트웨어가 고객 사이트에서 안전하게 실행되지 않는다는 우려도 있습니다.
가맹사와 대행사의 위험 노출 결과, 수 많은 결제 앱 회사들이 결제 앱과 시스템을 설치할 때 안전하지 않은 소프트웨어 관행을 유지하고 있고, 취약하거나 공유되거나 기본적인 접속 자격 증명서를 사용하는 고객을 지원하며, 제대로 구현되지 않은 원격 관리 도구를 사용하여 고객 사이트를 관리하고 있음이 드러나고 있습니다. 범죄자는 이러한 취약한 항목을 악용하여 카드 소지자 환경에 접속할 수 있습니다.
Visa는 일련의 모범 관행을 개발하여 결제 앱 회사가 중요한 소프트웨어 프로세스를 해결하도록 지원하고 있습니다. 실사의 일부로서 전표 매입사, 가맹점과 대행사는 이들이 사용 중인 결제 앱이 빈틈없이 계획된 소프트웨어 프로세스의 엄격한 과정을 통과했음을 확인해야 합니다.
-
Visa는 거래 승인 이후 민감한 카드 소지자 정보(예: 전체 마그네틱 띠 데이터, CVV2 또는 PIN 데이터)를 저장하도록 소프트웨어 공급업체가 특정 결제 앱을 설계했음을 확인했습니다. 이러한 카드 소지자 정보 요소의 저장은 PCI DSS 및 Visa 규칙에 대한 직접적인 위반입니다. 범죄자는 이러한 취약한 결제 앱을 사용하는 가맹점 및 대행사를 표적으로 삼고 있으며, 이러한 보안 취약성을 악용하여 카드 소지자 정보를 찾아 도용합니다.
Visa는 업데이트된 취약한 결제 앱 목록을 통해 필요에 따라 전표 매입사를 포함한 주요 이해 관계자에게 잠재적 취약성을 완화시키는 데 도움을 주기 위한 경고를 발송할 것입니다. 취약한 결제 앱을 발견하고, 해당 공급업체, 앱 버전, 민감한 카드 소지자 정보가 저장되어 있는 곳, 그리고 공급업체 연락처 정보에 대한 구체적인 정보가 있는 경우, 이메일([email protected])으로 Visa에게 알려주십시오. 제공된 모든 정보는 소프트웨어 공급업체를 통해 확인되며, Visa는 소프트웨어 공급업체에게 정보 출처를 밝히지 않으며 출처의 신원을 밝히는 정보를 공개하지 않습니다.
-
Visa는 2005년에 결제 앱 모범 관행(PABP)를 정리하여 소프트웨어 개발업체에 결제 앱 개발 지침을 제공했습니다. 이 지침은 가맹점과 대행사가 잠재적 취약성을 완화하고, 민감한 카드 소지자 정보(예: 전체 마그네틱 띠 데이터, CVV2 또는 PIN 데이터)를 저장하는 것을 방지하며, 전반적인 PCI DSS 준수를 지원하는 데 도움이 됩니다. 2008년에 PCI 보안 표준 위원회(ISA)는 Visa의 PABP를 채택하여 PA-DSS로서 표준을 발표했습니다. 이제 PA-DSS는 Visa 준수 프로그램을 위해 PABP를 대체합니다.