PCI DSS

개요

PCI DSS(Payment Card Industry Data Security Standard)는 American Express, Discover Financial Services, JCB International, MasterCard Worldwide 및 Visa Inc.가 설립한 PCI 보안 표준 위원회에서 관리하는 소유 정보 보안 표준입니다.

PCI DSS는 가맹점, 처리자, 인수자, 발행자 및 서비스 공급자를 비롯하여 카드 소지자 데이터(CHD) 또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하는 엔터티에 적용됩니다. PCI DSS는 카드 회사에서 의무적으로 사용해야 하며, PCI(Payment Card Industry) 보안 표준 위원회에서 관리합니다.

PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.

• AWS는 PCI DSS 인증을 받았습니까?

  예. Amazon Web Services(AWS)는 최상위 평가 수준인 PCI DSS 1 레벨 1 서비스 공급자 인증을 받았습니다. 규정 준수 평가는 독립적인 공인 보안 평가 기관(QSAC)인 Coalfire Systems Inc.에서 수행했습니다. PCI DSS 규정 준수 증명(AOC) 및 책임 요약은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.
  

• PCI DSS 규정 준수에 포함된 AWS 서비스는 무엇입니까?

  PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에서 PCI 탭을 확인하십시오. 이 서비스 사용에 대한 자세한 내용은 AWS로 문의하시기 바랍니다.
  

• 이러한 내용은 PCI DSS 가맹점 또는 서비스 공급자에 어떤 의미가 있습니까?

  AWS 서비스를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객은 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS 기술 인프라를 신뢰할 수 있습니다.

  AWS는 카드 소지자 데이터(CHD)를 직접 저장하거나 처리하지 않습니다. 하지만 고객은 AWS 서비스를 사용하여 카드 소지자 데이터를 저장, 전송 또는 처리할 수 있는 자체 카드 소지자 데이터 환경(CDE)을 생성할 수 있습니다.
  

• 이러한 내용은 PCI DSS 가맹점 고객이 아닌 나에게는 어떤 의미가 있습니까?

  PCI DSS 고객이 아니더라도 AWS의 PCI DSS 규정 준수는 모든 수준에서 정보 보안을 유지하려는 AWS의 헌신을 보여줍니다. 외부 독립 기관에서 PCI DSS 표준을 인증하므로 이는 AWS 보안 관리 프로그램이 종합적이며 선도적인 업계 사례를 따르고 있음을 보여줍니다.
  

• AWS 고객은 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니까? 아니면 완벽하게 규정을 준수하기 위해서는 추가 테스트가 필요합니까?

  고객은 자체 PCI DSS 규정 준수 인증을 관리해야 하며, 고객 환경이 모든 PIS DSS 요구 사항을 충족함을 검증하기 위해서는 추가 테스트가 필요합니다. 하지만, AWS에 배포된 PCI 카드 소지자 데이터 환경(CDE)에 해당하는 부분의 경우 Qualified Security Assessor(QSA)가 추가 테스트 없이 AWS 규정 준수 증명(AOC)을 신뢰할 수 있습니다.
  

• 자사에 책임이 있는 PCI DSS 제어 항목이 무엇인지 알아보려면 어떻게 해야 하나요?

  자세한 내용은 고객에게 제공되는 AWS PCI DSS 규정 준수 패키지의 "AWS PCI DSS 책임 요약"을 참조하세요. 이 문서는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작을 통해 자세히 알아보세요. AWS Security Assurance Services 팀의 감사 및 규정 준수 자문 서비스를 요청할 수도 있습니다.

• AWS PCI 규정 준수 패키지를 받으려면 어떻게 해야 하나요?

  AWS PCI 규정 준수 패키지는 AWS Artifact를 통해 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.
  

• AWS PCI DSS 규정 준수 패키지에는 어떤 것이 포함되어 있습니까?

  AWS PCI 규정 준수 패키지에는 다음이 포함되어 있습니다.

  • AWS PCI DSS 3.2.1 규정 준수 증명(AOC)
  • AWS PCI DSS 3.2.1 책임 항목 요약

• AWS는 Visa 글로벌 서비스 공급자 목록과 MasterCard 규정 준수 서비스 공급자 목록에 포함되어 있습니까?

  예. AWS는 Visa Global Registry of Service Providers와 MasterCard Compliant Service Provider List에 모두 포함되어 있습니다. 서비스 공급자 목록은 AWS가 PCI DSS 규정을 준수함을 성공적으로 입증했고 해당하는 Visa 및 MasterCard 프로그램 요구 사항을 모두 충족했음을 보여줍니다.
  

• PCI DSS 표준을 준수하기 위해 단일 테넌트 환경이 필요합니까?

  아니요. AWS 환경은 가상화된 멀티 테넌트 환경입니다. AWS는 보안 관리 프로세스, PCI DSS 요구 사항, 각 고객을 자체 보호 환경으로 효과적이며 안전하게 격리하는 기타 보완 제어 항목을 효과적으로 구현했습니다. 독립적인 QSA에서 이 안전한 아키텍처를 검증했으며 그 결과 PCI DSS의 모든 적용 가능한 요구 사항을 충족하는 것으로 확인되었습니다.

  PCI 보안 표준 위원회는 고객, 서비스 공급자 및 클라우드 컴퓨팅 서비스 평가자를 위해 PCI DSS Cloud Computing Guidelines를 발행했습니다. 이 가이드라인은 서비스 모델을 소개하고 공급자와 고객 간에 규정 준수 역할 및 책임이 어떻게 공유되는지도 설명합니다.
  

• 레벨 1 가맹점의 QSA도 AWS 데이터 센터를 물리적으로 확인해야 합니까?

  아니요. AWS 규정 준수 증명(AOC)은 AWS 데이터 센터의 물리적 보안 제어 항목에 대해 포괄적인 평가가 수행되었음을 보여줍니다. 가맹점의 QSA가 AWS 데이터 센터의 보안을 확인할 필요는 없습니다.
  

• AWS에서는 과학 수사를 지원합니까?

  AWS는 PCI-DSS하에서 "공유 호스팅 공급자"로 간주되지 않습니다. 따라서, DSS 요건 A1.4는 해당 사항이 없습니다. 당사의 공동 책임 모델에 따라, 당사는 고객들이 AWS의 추가 지원 없이 자체 AWS 환경에서 디지털 포렌식 조사를 수행할 수 있게 지원합니다. 이러한 지원은 AWS 서비스와 AWS Marketplace를 통해 제공되는 타사 솔루션 사용을 통해 제공됩니다. 자세한 내용은 다음 리소스를 참조하십시오.

  • AWS에서 보안 인시던트 대응 및 디지털 포렌식 단순화
  • AWS 보안 인시던트 대응 안내서

• 서버에 연결하거나 객체를 스토어에 업로드할 때 지정해야 할 특별한 PCI DSS 규정 준수 환경이 있습니까?

  PCI DSS 규정을 준수하는 AWS 서비스를 사용하는 한, 범위 내 서비스를 지원하는 전체 인프라가 규정을 준수하게 되므로 별도 환경이나 특별 API를 사용할 필요가 없습니다. 전 세계적으로 이러한 서비스에 배포되었거나 이를 사용하는 모든 서버 또는 데이터 객체는 PCI DSS 규정 준수 환경 내에 있습니다. PCI DSS 규정 준수에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에서 PCI 탭을 확인하십시오..
  

• AWS 규정 준수는 국제적으로 적용됩니까?

  예. 규정 준수 로케이션의 전체 목록은 AWS Artifact에서 최신 PCI DSS AOC를 참조하십시오.
  

• PCI DSS 표준은 공개되어 있습니까?

  예. PCI DSS 표준은 PCI 보안 표준 위원회 문서 라이브러리에서 다운로드할 수 있습니다.
  

• AWS 플랫폼에서 PCI DSS 인증을 획득한 고객이 있습니까?

  예. 수많은 AWS 고객이 AWS에서 카드 소지자 환경의 전체 또는 일부를 성공적으로 배포하고 인증을 받았습니다. AWS는 PCI DSS 인증을 획득한 고객을 공개하지는 않지만, 고객 및 PCI DSS 평가 기관과 정기적으로 협력하여 AWS의 카드 소지자 환경에 대한 검사를 분기별로 계획, 배포, 인증 및 수행합니다.
  

• 기업에서 PCI DSS를 준수하려면 어떻게 해야 하나요?

  기업이 매년 PCI DSS 규정을 준수함을 인증받는 데 사용하는 주요 접근 방식에는 두 가지가 있습니다. 첫 번째 접근 방식은 외부 공인 보안 평가자(QSA)가 해당하는 환경을 평가한 다음 규정 준수 보고서(ROC)와 규정 준수 증명(AOC)을 생성하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 큰 엔터티에서 주로 사용합니다. 두 번째 접근 방식은 자체 평가 질문지(SAQ)를 실시하는 것입니다. 이 접근 방식은 처리하는 트랜잭션 볼륨이 작은 엔터티에서 주로 사용합니다.

  규정 준수를 적용할 책임은 PCI 위원회가 아니라 결제 회사와 인수자에 있다는 것을 유념해야 합니다.
  

• PCI DSS 규정 준수를 위한 요구 사항에는 어떤 것이 있나요?

  다음은 PCI DSS 요구 사항에 대한 전체적인 개요입니다.

  안전한 네트워크와 시스템을 구축 및 유지 관리	1. 네트워크 보안 제어를 설치하고 유지 관리합니다. 2. 보안 구성을 모든 시스템 구성 요소에 적용합니다.
  계정 데이터 보호	3. 저장된 계정 데이터를 보호합니다. 4. 개방형 퍼블릭 네트워크를 통한 전송 중에 강력한 암호화로 카드 소지자 데이터를 보호합니다.
  취약성 관리 프로그램 유지 관리	5. 악성 소프트웨어로부터 모든 시스템과 네트워크를 보호합니다. 6. 안전한 시스템 및 소프트웨어를 개발하고 유지 관리합니다.
  강력한 액세스 통제 방법 구현	7. 업무와 관련하여 필요한 경우에만 시스템 구성 요소 및 카드 소지자 데이터에 액세스합니다. 8. 사용자를 식별하고 시스템 구성 요소에 대한 액세스를 인증합니다. 9. 카드 소지자 데이터에 대한 물리적인 액세스를 제한합니다.
  정기적으로 네트워크를 모니터링 및 테스트	10. 시스템 구성 요소 및 카드 소지자 데이터에 대한 모든 액세스를 기록하고 모니터링합니다. 11. 시스템 및 네트워크의 보안을 정기적으로 테스트
  정보 보안 정책 유지 관리	12. 조직 정책 및 프로그램을 통해 정보 보안을 지원합니다.

• AWS 서비스 PCI PIN, PCI P2PE 인증을 받은 서비스가 있나요?

  예. AWS CloudHSM은 PCI PIN 인증을 받았으며 AWS Payment Cryptography는 PCI PIN 및 P2PE 인증을 받았습니다. AWS Artifact에서 이에 대한 보고서를 사용할 수 있습니다.

• AWS에서 PCI 3DS 증명을 사용할 수 있나요?

  예. 연례 PCI 3DS 보고서를 Artifact에서 확인할 수 있습니다. AWS가 3DS 업무를 직접 수행하는 것은 아니지만 AWS PCI 3DS 규정 준수 증명은 고객이 AWS에서 실행되는 서비스에 대해 자체 PCI 3DS 규정 준수를 달성하는 데 도움이 될 수 있습니다.