PCI 자주 묻는 질문
PCI 규정 준수 가이드에 오신 것을 환영합니다.
자주 묻는 질문에 대한 답변을 찾으려면 아래 링크를 클릭하십시오.나는 이것이 내가 할 수있는 일이 아니라는 것을 알고 있지만,나는 내가 할 수있는 일을 알고 있다고 생각한다.이 경우 PCI DSS 가 누구에게 적용됩니까?
Q3:
PCI 데이터 보안 표준(PCI DSS)은 어디에서 찾을 수 있습니까?
Q4:
PCI 규정 준수’레벨’은 무엇이며 어떻게 결정됩니까?
Q5:
PCI DSS 요구 사항을 충족시키기 위해 중소기업(레벨 4 상인)은 무엇을해야합니까?전화로 신용 카드를 가져가는 것은 PCI 와 어떻게 작동합니까?
Q7:
전화를 통해 신용 카드 만 수락하면 PCI DSS 가 여전히 나에게 적용됩니까?타사 프로세서를 사용하는 조직은 PCI DSS 를 준수해야 합니까?
Q9:
내 비즈니스는 여러 위치에,이 각각의 위치는 유효성을 검증하는 데 필요한 PCI?
Q10:
우리는 전자 상거래 만합니다. 어떤 SAQ 를 사용해야합니까?
Q11:
회사가 저장되지 않은 신용 카드 데이터를 PCI 규정 준수에는 적용되지 않죠?직불 카드 거래가 PCI 의 범위에 있습니까?SSL 인증서가있는 경우 PCI 를 준수합니까?내 회사는 신용 카드 데이터를 저장하려고합니다. 우리는 어떤 방법을 사용할 수 있습니까?비준수에 대한 처벌은 무엇입니까?
Q16:
‘카드 소지자 데이터’로 정의되는 것은 무엇입니까?’상인’의 정의는 무엇입니까?서비스 제공자를 구성하는 요소는 무엇입니까?지불 신청서를 작성하려면 어떻게해야합니까?
Q20:
지불 게이트웨이는 무엇입니까?
Q21:
PA-DSS 란 무엇입니까?
Q22:
할 수 있는 충분한 신용 카드 번호에 인쇄되는 소비자의 영수증의 사본?
Q23:
필요 취약점을 스캔을 준수하는지 검증하기 위해?취약성 스캔이란 무엇입니까?
Q25:
얼마나 자주 취약점 검사를해야합니까?
Q26:
내 비즈니스가 협력을 거부하면 어떻게해야합니까?집에서 사업을 운영하는 경우 해커에게 심각한 목표가 있습니까?내가 손상된 경우 어떻게해야합니까?
Q29:
당국이 요구하는 법률을 위반 데이터 통하여 영향을 받는 당사자?나는 이것이 내가 할 수있는 유일한 방법이라고 생각한다.: PCI 는 무엇입니까?
A:지불 카드 산업 데이터 보안 표준(PCI DSS)은 보안 표준을 보장하도록 설계는 모든 회사는 허용,처리,저장하거나 전송하는 신용 카드 정보를 유지하고 안전한 환경.
카드 결제 업계 보안 표준위원회(PCI SSC)에 시작되었다 월 7,2006 년 관리를 지속적인 진화의 카드로 지불업(PCI)안전 기준으로 개선에 초점을 지불 계정 보안내 거래 과정입니다. PCI DSS 는 PCI SSC(www.pcisecuritystandards.org),주요 지불 카드 브랜드(Visa,MasterCard,American Express,Discover 및 JCB.). 지불 브랜드와 취득자는 PCI 협의회가 아닌 규정 준수를 시행 할 책임이 있음을 유의하는 것이 중요합니다. PCI DSS 의 사본은 여기에서 확인할 수 있습니다.
위로 돌아 가기
Q2:PCI DSS 는 누구에게 적용됩니까?
A:PCI DSS 는 카드 소유자 데이터를 수락,전송 또는 저장하는 거래의 크기 또는 수에 관계없이 모든 조직에 적용됩니다.
위로 돌아 가기
Q3: PCI 데이터 보안 표준(PCI DSS)은 어디에서 찾을 수 있습니까?
A:현재 PCI DSS 문서는 PCI Security Standards Council 웹 사이트에서 찾을 수 있습니다.
맨 위로 돌아 가기
Q4:PCI 준수’레벨’은 무엇이며 어떻게 결정됩니까?
A:모든 가맹점은 12 개월 동안 비자 거래량에 따라 4 가지 가맹점 수준 중 하나에 해당합니다. 거래량은(‘DBA’)로 사업을하는 상인의 비자 거래(신용,직불 및 선불 포함)의 집계 수를 기준으로합니다. 는 경우에는 가맹점 공사는 하나 이상의 DBA 는,비자,구매자들을 고려해야 합계 총 볼륨의 거래를 저장,처리되거나 전송에 의하여,기업체를 결정하는 검증 수준입니다. 는 경우에 데이터의 집계되지 않는 기업체하지 않는 저장,처리하거나 전송하는 카드 소유자를 대신하여 데이터를 여러 Dba,인수 업체를 계속할 것을 고려하는 DBA 는 개별 트랜잭션이 볼륨을 확인하는 검증 수준입니다.
Visa 에 의해 정의 된 상인 수준:
가맹점 수준
Description
1
어떤 상인에 관계없이 승인 채널을 통한 처리 6M 비자 거래합니다. 어떤 상는 비자 재량에 따라 결정을 충족해야 합 레벨 1 인 요구 사항의 위험을 최소화 비자 시스템입니다.
2
어떤 상인에 관계없이 승인 채널 처리 1M6M 비자 거래합니다.
3
어떤 판매자 처리 20000 1M 비자 전자상거래합니다.
4
어떤 판매자 처리 더 적은 20,000 비자 전자 상거래는 거래 당해,그리고 다른 모든 가맹점 관계없이 승인 채널을 처리하 1M 비자 거래합니다.
*모든 가맹점은 고통을 침해를 초래 계정에서 데이터가 손상될 수 있습레이션이 더 높은 검증 수준입니다.
맨 위로 돌아 가기
Q5:PCI DSS 요구 사항을 충족시키기 위해 중소기업(레벨 4 상인)은 무엇을해야합니까?
A:하의 요구를 만족하는 PCI,상인이 다음 단계를 완료해야 합니다:
- 결정하는 자가 평가 설문지(SAQ)귀하의 비즈니스 사용해야 하을 준수하는지 검증하기 위해. 선택하는 데 도움이되는 아래 차트를 참조하십시오. (확대하려면 차트를 클릭하십시오.)
- 완전한 자가 평가 설문지에 따라 이 지침에 포함되어 있습니다.
- PCI SSC 승인 스캔 공급 업체(ASV)를 사용하여 통과 취약성 검사를 완료하고 증거를 얻으십시오. 참고 스캔은 모든 가맹점에 적용되지 않습니다. SAQ A-EP,SAQ B-IP,SAQ C,SAQ D-Merchant 및 SAQ D-Service Provider 에 필요합니다.
- 전체(SAQ 도구에 있음)에서 관련 준수 증명을 완료하십시오.
- SAQ,통과 스캔의 증거(해당되는 경우)및 기타 요청 된 문서와 함께 준수 증명을 취득자에게 제출하십시오.
블로그 게시물 읽기,”THE PCI Basics/Quick Guide-작은 상인은 PCI 준수를 달성하기 위해 무엇을해야합니까?”
위로 가기
Q6:전화로 신용 카드를 가져가는 것은 PCI 와 어떻게 작동합니까?
A:다음 게시물,”전화로 신용 카드를 가져가는 것은 PCI 와 어떻게 작동합니까?”전화를 통해 신용 카드 정보를 가져갈 때(예:콜센터에서)PCI 규정 준수 책임을 설명합니다. 이 게시물은 2014 년에 게시되었지만 현재 버전의 PCI DSS 와 여전히 관련이 있습니다.
위로 돌아 가기
Q7: 나는 단지 전화를 통해 신용 카드를 허용하는 경우,PCI DSS 는 여전히 나에게 적용합니까?
A:그렇습니다. 결제 카드 소지자 데이터를 저장,처리 또는 전송하는 모든 비즈니스는 PCI 준수 여야합니다.
맨 위로 돌아 가기
Q8:타사 프로세서를 사용하는 조직은 PCI DSS 를 준수해야합니까?
A:그렇습니다. 제 3 자 회사를 사용하는 것만으로도 PCI DSS 준수에서 회사를 배제하지 않습니다. 그것은 그들의 위험 노출을 줄이고 결과적으로 규정 준수를 검증하기위한 노력을 줄일 수 있습니다. 그러나,그들이 PCI DSS 를 무시할 수 의미하지 않는다.
위로 돌아 가기
Q9: 내 비즈니스에는 여러 위치가 있으며 각 위치는 PCI 규정 준수를 검증하는 데 필요합니까?
A:비즈니스 위치가 동일한 세금 ID 로 처리하는 경우 일반적으로 모든 위치에 대해 매년 한 번만 유효성을 검사해야합니다. 과,각 위치에 대한 PCI SSC 승인 스캔 공급 업체에 의해 분기 별 통과 네트워크 스캔을 제출(ASV),해당되는 경우.
위로 가기
Q10:우리는 전자 상거래 만합니다. 어떤 SAQ 를 사용해야합니까?
A:그것은 당신의 쇼핑 카트 설정 방법에 따라 달라집니다. 참조 PCI SAQ3.1:전자 상거래 옵션 설명.
위로 돌아 가기
Q11: 내 회사는 신용 카드 데이터를 저장하지 않으므로 PCI 규정 준수가 우리에게 적용되지 않습니까?
A:신용 카드 또는 직불 카드를 지불 형태로 수락하는 경우 PCI 준수가 귀하에게 적용됩니다. 카드 데이터의 저장은 위험하므로 카드 데이터를 저장하지 않으면 안전하고 준수하는 것이 더 쉬울 수 있습니다.
맨 위로 돌아 가기
Q12:직불 카드 거래가 PCI 범위에 있습니까?
A: 범위에서 카드를 포함한 모든 직불카드,신용,그리고 선불 카드와 브랜드가 하나의 카드에 연결/브랜드 로고에 참여하는 PCI SSC–아메리칸 익스프레스 발견,JCB,MasterCard,Visa 국제적입니다.
맨 위로 돌아 가기
Q13:SSL 인증서가있는 경우 PCI 를 준수합니까?
A:아니오. SSL 인증서는 웹 서버를 악의적인 공격 또는 침입으로부터 보호하지 않습니다. High assurance SSL 인증서는 아래와 같은 고객 보안 및 안심의 첫 번째 계층을 제공하지만 PCI 규정 준수를 달성하기위한 다른 단계가 있습니다. 질문을 참조하십시오”중소기업(레벨 4 상인)이 PCI 요구 사항을 충족시키기 위해해야 할 일은 무엇입니까?”
- 보안 연결을 사는 고객의 브라우저와 웹서버
- 유효성 검사에는 웹 사이트 운영자는 합법적,법적으로 책임 있는 조직
관련 블로그 게시물”PCI DSS v3.1SSL:당신은 지금 무엇을해야.”
Back to Top
Q14:내 회사는 신용 카드 데이터를 저장하려고합니다. 우리는 어떤 방법을 사용할 수 있습니까?
A:신용 카드 데이터를 저장해야하는 대부분의 상인은 반복 청구를 위해 그것을하고 있습니다. 최를 저장하는 방법을 신용 카드 데이터에 대한 반복되는 청구를 이용하여 타인의 신용카드 볼트 및 토큰 공급자입니다. 을 이용하여 볼트,카드 데이터 제거에서 소유하고 있는 주어진 다시”토큰”을 위해 사용될 수 있는 목적의 반복 결제. 를 사용하여 타사 이동할 위험을 저장하는 카드 데이터를 전문적으로 하는 사람하고는 모두의 보안 통제를 유지하는 카드 데이터 안전하다.
를 저장해야 하는 경우에는 카드 데이터 자신이 당신의 바위한 자가 평가는 매우 높고 있어야 할 수 있습니다 QSA(인 보안 평가 기관)와서 현장 감사를 수행하이 있는지 확인 컨트롤의 모든 장소에서 필요를 충족 PCI DSS 사양입니다.
관련 블로그 게시물 참조,”반복 청구를 위해 카드 데이터를 안전하게 저장할 수 있습니까?”
위로 돌아 가기
Q15:비준수에 대한 처벌은 무엇입니까?
A:지불 브랜드는 재량에 따라 PCI 준수 위반에 대해 매월$5,000~$100,000 의 인수 은행에 벌금을 부과 할 수 있습니다. 은행은 결국 상인을 때릴 때까지이 벌금을 따라 통과 할 가능성이 큽니다. 또한 은행은 귀하의 관계를 해지하거나 거래 수수료를 인상 할 가능성이 큽니다. 처벌은 공개적으로 논의되거나 널리 공개되지는 않지만 중소기업에 파국적 일 수 있습니다. 노출을 개략적으로 설명해야하는 판매자 계정 계약을 숙지하는 것이 중요합니다.
에 대한 자세한 처벌을 준수하지 않을에서 우리의 블로그 포스팅”어떻게 할 수 있습 PCI 규정 준수 노력을 궁극적으로 귀하의 비즈니스에 저장할 돈?”
위로 돌아 가기
Q16: ‘카드 소지자 데이터’로 정의되는 것은 무엇입니까?
A:PCI 보안 표준위원회(SSC)을 정의하는’카드 소지자 데이터로 전체 기본 계좌 번호(PAN)또는 전체 팬와 함께 다음과 같은 요소:
- 성명
- 만료 날짜
- 서비스 코드
민감한 인증 데이터를되지 않도록 보호해야 합니다,을 포함한 전체 자석 줄무늬 데이터 CAV2,CVC2,CVV2,CID,핀,핀 블록과 더 있습니다.
위로 돌아 가기
Q17:’상인’의 정의는 무엇입니까?
A: 의 목적을 위해 PCI DSS,가맹점으로 정의하는 엔터티를 지불을 지지 베어링 카드의 로고 다섯 가지원 PCI SSC(아메리칸 익스프레스 발견,JCB,마스터카드 또는 비자)으로 재화 또는 용역에 대한 대금지급 및/또는 서비스입니다. 참고는 가맹점 지불을 지지 카드로 지불을 위한 상품 또는 서비스할 수도 있습 서비스 공급자는 경우,서비스의 판매에 그 결과 저장,처리,또는 전송하는 카드 소유자를 대신하여 데이터를 다른 상인 또는 서비스 제공 업체입니다. 예를 들어,ISP 는 가맹점 지불을 지지 카드를 위해 월별 결제이지만,또한 서비스 공급자는 경우 그것은 호스트 가맹점으로 고객입니다. 출처:PCI SSC
맨 위로 돌아 가기
Q18:서비스 제공 업체는 무엇입니까?
A:PCI SSC 정의 서비스 공급자 이 방법:
“사업체가 아닌 지불 브랜드에 직접 관여 처리,저장,전송하는 카드 소지자 데이터입니다. 여기에는 카드 소유자 데이터의 보안을 제어하거나 영향을 줄 수있는 서비스를 제공하는 회사도 포함됩니다.”(출처:www.pcisecuritystandards.org)
“가맹점으로 서비스 공급자”역할을 추가로 지정된 PCI SSC 으로”가맹점 지불을 지지 카드로 지불을 위한 상품 또는 서비스다면 서비스를 판매하는 결과를 저장,처리,또는 전송하는 카드 소유자를 대신하여 데이터를 다른 상인 또는 서비스 제공 업체입니다.”서비스 제공 업체로서 규정 준수를 달성하는 방법에 대해 자세히 알아보십시오. 블로그 게시물,”PCI 준수 및 서비스 제공 업체를 참조하십시오.”
맨 위로 돌아 가기
Q19:지불 응용 프로그램은 무엇입니까?
A:PCI 규정 준수와 관련하여 지불 응용 프로그램은 무엇을 구성합니까? 용어 지불 응용 프로그램은 PCI 에서 매우 광범위한 의미를 갖는다. 결제 응용 프로그램은 아무것도는 저장,처리,또는 전송하는 카드 데이터를 전자적으로. 즉,판매 시점 시스템(예:Verifone swipe 터미널,ALOHA 터미널 등)의 모든 것을 의미합니다.)레스토랑에서 웹 사이트 전자 상거래 쇼핑 카트(예:CreLoaded,osCommerce 등)는 모두 지불 응용 프로그램으로 분류됩니다. 따라서 모든 소프트웨어 설계되었습니다를 터치 신용 카드 데이터로 간주됩 결제 응용 프로그램.
맨 위로 돌아 가기
Q20:지불 게이트웨이는 무엇입니까?
A: 지불 게이트웨이는 카드 브랜드에 프런트 엔드 연결 역할을하는 은행이나 프로세서에 가맹점을 연결합니다. 그들은 그들이라는 게이트웨이기 때문에 그들은 많은 입력의 다양한 다른 응용 프로그램 및로 사람들의 입력이 해당 은행이나 프로세서입니다. 통신 게이트웨이와 함께 은행 또는 프로세서를 사용하여 전화 접속의 연결,웹 기반의 연결 또는 비공개로 개최 임대 회선.
위로 돌아 가기
Q21:PA-DSS 란 무엇입니까?
A: PA-DSS 의미를 지불 애플리케이션 데이터 보안 표준에 의해 유지되 PCI 보안 표준위원회(SSC)을 주소 중요한 문제의 결제 응용 프로그램 보안입니다. 의 요구 사항에 PA-DSS 지를 보장하기 위해 설계되었는 공급업체가 제공하는 제품을 지원하는 상인을 확보하기 위해 많은 노력을 기울이 PCI DSS 규정 준수하고 제거하의 저장소에 민감한 카드 소지자 데이터입니다.
PCI SSC 관리 프로그램을 검증하는 지불 응용 프로그램의 준수에 대하여 PA-DSS,그리고 발행하고 목록을 유지 관리 PA-DSS 검증 응용 프로그램. 자세한 내용은 PCI 보안 표준을 참조하십시오. 또한 여기에 PCI DSS 와 PA-DSS 사이의 중요한 차이에 대한 우리의 블로그 게시물을 참조하십시오.
위로 돌아 가기
Q22:소비자의 영수증 사본에 전체 신용 카드 번호를 인쇄 할 수 있습니까?
A:PCI DSS 요구 사항 3.3 국”마스크 팬 표시하는 경우(여섯 번째와 마지막 네 숫자는 최대의 숫자의 번호가 표시될).”안 요구를 금지하지 않는 인쇄의 전체 카드 번호 또는 만료 날짜에는 영수증(또는 가맹점 사본 또는 소비자 사본)참고 하시기 바랍 PCI DSS 재정의하지 않은 어떤 다른 법률을 제정될 수 있는 무슨이에 인쇄된 영수증(미국과 같은 공정하고 정확한 신용거래법(FACTA)또는 다른 적용 가능한 법률).
PCI DSS 요구 사항 3.3″참고에서 기울임 꼴 참고 참조: 이 요구사항을 대체하지 않는 엄격한 요구 사항에 대한 장소에 표시의 카드 데이터—예를 들어,법률 또는 카드 결제표에 대한 요구 사항 point-of-sale(POS)를 확인합니다. 상인이 저장 한 모든 종이 영수증은 PCI DSS,특히 물리적 보안에 관한 요구 사항 9 를 준수해야합니다.” 출처:PCI SSC
맨 위로 돌아 가기
Q23:컴플라이언스를 검증하기 위해 취약점 스캔이 필요합니까?
A: 자격이 있는 경우에 특정 자가 평가 설문지(SAQs)또는 전자적으로 저장하는 카드 소유자 데이터 포스트 권한 부여,다음 분기별로 검사하여 PCI SSC 승인 검사 업체(ASV)은 필요한 규정을 준수하도록 하기 위해. 버전 3 에서 다음 Saq 중 하나에 해당하는 경우.x PCI DSS,다음은 필요가 전달 ASV 검색:
- SAQ A-EP
- SAQ B-IP
- SAQ C
- SAQ D-상
- SAQ D-서비스 공급자
Back to Top
질문 24: 는 무엇입 취약점 검색?
A: 취약점 검사에는 가맹점 또는 서비스 제공 업체의 시스템에 취약점이 있는지 확인하는 자동화 된 도구가 포함됩니다. 이 도구를 실시하 non-intrusive 검색을 원격으로 검토 네트워크 및 웹 기반으로 하는 응용 프로그램에서 외부 연결한 IP(인터넷 프로토콜)주소가 제공하는 상인에 의해 또는 서비스를 제공합니다. 이 검사는 해커가 회사의 개인 네트워크를 대상으로 사용할 수있는 운영 체제,서비스 및 장치의 취약점을 식별합니다. 에 의해 제공되는 승인 검사 업체(ASV 의)등과 같은 ControlScan,스캔이 필요하지 않은 상인이나 서비스 공급자에게 소프트웨어를 설치하는 자신의 시스템에서,아무도 서비스 거부 공격이 수행됩니다. 여기에서 취약점 검사에 대해 자세히 알아보세요.
맨 위로 돌아 가기
Q25:얼마나 자주 취약점 검사를해야합니까?
A:분기당 90 일마다/한 번,위의 기준에 맞는 사람들은 합격 스캔을 제출해야합니다. 상인 및 서비스 제공자는 제출하여야 합 준수 문서(성공적인 검사 보고서)에 따르면 시간표에 의해 결정된 그들의 취득자. 스캔은 ControlScan 과 같은 PCI SSC 승인 스캔 벤더(ASV)에 의해 수행되어야 합니다.
관련 블로그 게시물”내부 vs 외부 취약점을 검사:당신은 왜 필요합니다.”
위로 돌아 가기
Q26:내 사업이 협력을 거부하면 어떻게해야합니까?
A:PCI 는 그 자체로 법이 아닙니다. 표준은 주요 카드 브랜드 Visa,MasterCard,Discover,AMEX 및 JCB 에 의해 만들어졌습니다. 에서 자신의 인수 업체/서비스 제공자의 재량에 따라,상인을 준수하지 않 PCI DSS 될 수 있습니다 벌금,카드 교체 비용,비용이 많이 드는 법정 감사,브랜드 이미지 손상,etc.,위반 이벤트가 발생해야합니다.
한 upfront 노력과 비용을 준수하 PCI DSS,당신은 크게 위험을 줄이는 데 도움을 주기 위해서 직면하는 이들이 매우 불쾌하고 비용이 많이 드는 결과를 초래한다. ControlScan 이 PCI DSS 를 단순화하는 데 어떻게 도움이되는지 알아보십시오.
맨 위로 돌아 가기
Q27:내 집에서 사업을 운영하는 경우 해커에게 심각한 목표입니까?
A:그렇습니다. 그들은 일반적으로 잘 보호되지 않기 때문에 가정 사용자는 틀림없이 단순히 가장 취약하다. 을 채택하는 경로의 저항을 최소한 모델,침입자가 종종에서 사용자 홈—종종 활용하들은 항상-광대역 연결하고 일반적인 가정용 프로그램과 같은 채팅,인터넷 게임 P2P 파일 공유 어플입니다. ControlScan 의 스캐닝 서비스는 가정 사용자와 네트워크 관리자는 모두 파악하고 해결하는 보안상 취약에 그들의 데스크탑이나 노트북 컴퓨터입니다.
관련 블로그 게시물,”귀하의 소규모 비즈 확보를위한 5 가지 모범 사례를 참조하십시오.”
위로 돌아 가기
Q28:손상된 경우 어떻게해야합니까?
A:동안 많은 지불 카드 데이터 유출을 쉽게 예방하고,그들이 할 수 있고 여전히 발생하는 모든 규모의 기업을.
중소기업이 침해당한 것을 발견 한 경우 다음 단계를 도울 수있는 좋은 자료가 많이 있습니다. 다음을 권장합니다:
- 법무부,모범 사례에 대한 대응 및 피해자보고 사이버 침해사고
- PCI 회의 응답,데이터 유출을–이 방법을 안내하는 사건 관리를 위한
- 전자거래협회(ETA),데이터 위반 응답:아홉 단계에 대한 가이드 소상공인에게
Back to Top
Q29: 당국이 요구하는 법률을 위반 데이터 통하여 영향을 받는 당사자?
A:절대적으로. 캘리포니아는 영향을받는 당사자에게 데이터 유출을보고하는 촉매제입니다. 주정부는 2003 년에 위반 통지 법을 시행했으며 현재 거의 모든 주에서 유사한 법이 시행되고 있습니다.
As of April12,2017 년 NCSL.org 보고서:마흔 여덟국,컬럼비아 특별구,Guam,Puerto Rico 과 버진 아일랜드가 입법을 제정이 필요한 개인,정부 또는 교육은 엔터티를 통한 개인 보안 침해의 정보를 포함하는 개인 식별 정보.
위로 돌아 가기
A:지불 카드 산업 데이터 보안 표준(PCI DSS)은 보안 표준을 보장하도록 설계는 모든 회사는 허용,처리,저장하거나 전송하는 신용 카드 정보를 유지하고 안전한 환경.
카드 결제 업계 보안 표준위원회(PCI SSC)에 시작되었다 월 7,2006 년 관리를 지속적인 진화의 카드로 지불업(PCI)안전 기준으로 개선에 초점을 지불 계정 보안내 거래 과정입니다. PCI DSS 는 PCI SSC(www.pcisecuritystandards.org),주요 지불 카드 브랜드(Visa,MasterCard,American Express,Discover 및 JCB.). 지불 브랜드와 취득자는 PCI 협의회가 아닌 규정 준수를 시행 할 책임이 있음을 유의하는 것이 중요합니다. PCI DSS 의 사본은 여기에서 확인할 수 있습니다.
위로 돌아 가기
Q2:PCI DSS 는 누구에게 적용됩니까?
A:PCI DSS 는 카드 소유자 데이터를 수락,전송 또는 저장하는 거래의 크기 또는 수에 관계없이 모든 조직에 적용됩니다.
위로 돌아 가기
Q3: PCI 데이터 보안 표준(PCI DSS)은 어디에서 찾을 수 있습니까?
A:현재 PCI DSS 문서는 PCI Security Standards Council 웹 사이트에서 찾을 수 있습니다.
맨 위로 돌아 가기
Q4:PCI 준수’레벨’은 무엇이며 어떻게 결정됩니까?
A:모든 가맹점은 12 개월 동안 비자 거래량에 따라 4 가지 가맹점 수준 중 하나에 해당합니다. 거래량은(‘DBA’)로 사업을하는 상인의 비자 거래(신용,직불 및 선불 포함)의 집계 수를 기준으로합니다. 는 경우에는 가맹점 공사는 하나 이상의 DBA 는,비자,구매자들을 고려해야 합계 총 볼륨의 거래를 저장,처리되거나 전송에 의하여,기업체를 결정하는 검증 수준입니다. 는 경우에 데이터의 집계되지 않는 기업체하지 않는 저장,처리하거나 전송하는 카드 소유자를 대신하여 데이터를 여러 Dba,인수 업체를 계속할 것을 고려하는 DBA 는 개별 트랜잭션이 볼륨을 확인하는 검증 수준입니다.
Visa 에 의해 정의 된 상인 수준:
가맹점 수준 | Description |
1 | 어떤 상인에 관계없이 승인 채널을 통한 처리 6M 비자 거래합니다. 어떤 상는 비자 재량에 따라 결정을 충족해야 합 레벨 1 인 요구 사항의 위험을 최소화 비자 시스템입니다. |
2 | 어떤 상인에 관계없이 승인 채널 처리 1M6M 비자 거래합니다. |
3 | 어떤 판매자 처리 20000 1M 비자 전자상거래합니다. |
4 | 어떤 판매자 처리 더 적은 20,000 비자 전자 상거래는 거래 당해,그리고 다른 모든 가맹점 관계없이 승인 채널을 처리하 1M 비자 거래합니다. |
*모든 가맹점은 고통을 침해를 초래 계정에서 데이터가 손상될 수 있습레이션이 더 높은 검증 수준입니다.
맨 위로 돌아 가기
Q5:PCI DSS 요구 사항을 충족시키기 위해 중소기업(레벨 4 상인)은 무엇을해야합니까?
A:하의 요구를 만족하는 PCI,상인이 다음 단계를 완료해야 합니다:
- 결정하는 자가 평가 설문지(SAQ)귀하의 비즈니스 사용해야 하을 준수하는지 검증하기 위해. 선택하는 데 도움이되는 아래 차트를 참조하십시오. (확대하려면 차트를 클릭하십시오.)
- 완전한 자가 평가 설문지에 따라 이 지침에 포함되어 있습니다.
- PCI SSC 승인 스캔 공급 업체(ASV)를 사용하여 통과 취약성 검사를 완료하고 증거를 얻으십시오. 참고 스캔은 모든 가맹점에 적용되지 않습니다. SAQ A-EP,SAQ B-IP,SAQ C,SAQ D-Merchant 및 SAQ D-Service Provider 에 필요합니다.
- 전체(SAQ 도구에 있음)에서 관련 준수 증명을 완료하십시오.
- SAQ,통과 스캔의 증거(해당되는 경우)및 기타 요청 된 문서와 함께 준수 증명을 취득자에게 제출하십시오.
블로그 게시물 읽기,”THE PCI Basics/Quick Guide-작은 상인은 PCI 준수를 달성하기 위해 무엇을해야합니까?”
위로 가기
Q6:전화로 신용 카드를 가져가는 것은 PCI 와 어떻게 작동합니까?
A:다음 게시물,”전화로 신용 카드를 가져가는 것은 PCI 와 어떻게 작동합니까?”전화를 통해 신용 카드 정보를 가져갈 때(예:콜센터에서)PCI 규정 준수 책임을 설명합니다. 이 게시물은 2014 년에 게시되었지만 현재 버전의 PCI DSS 와 여전히 관련이 있습니다.
위로 돌아 가기
Q7: 나는 단지 전화를 통해 신용 카드를 허용하는 경우,PCI DSS 는 여전히 나에게 적용합니까?
A:그렇습니다. 결제 카드 소지자 데이터를 저장,처리 또는 전송하는 모든 비즈니스는 PCI 준수 여야합니다.
맨 위로 돌아 가기
Q8:타사 프로세서를 사용하는 조직은 PCI DSS 를 준수해야합니까?
A:그렇습니다. 제 3 자 회사를 사용하는 것만으로도 PCI DSS 준수에서 회사를 배제하지 않습니다. 그것은 그들의 위험 노출을 줄이고 결과적으로 규정 준수를 검증하기위한 노력을 줄일 수 있습니다. 그러나,그들이 PCI DSS 를 무시할 수 의미하지 않는다.
위로 돌아 가기
Q9: 내 비즈니스에는 여러 위치가 있으며 각 위치는 PCI 규정 준수를 검증하는 데 필요합니까?
A:비즈니스 위치가 동일한 세금 ID 로 처리하는 경우 일반적으로 모든 위치에 대해 매년 한 번만 유효성을 검사해야합니다. 과,각 위치에 대한 PCI SSC 승인 스캔 공급 업체에 의해 분기 별 통과 네트워크 스캔을 제출(ASV),해당되는 경우.
위로 가기
Q10:우리는 전자 상거래 만합니다. 어떤 SAQ 를 사용해야합니까?
A:그것은 당신의 쇼핑 카트 설정 방법에 따라 달라집니다. 참조 PCI SAQ3.1:전자 상거래 옵션 설명.
위로 돌아 가기
Q11: 내 회사는 신용 카드 데이터를 저장하지 않으므로 PCI 규정 준수가 우리에게 적용되지 않습니까?
A:신용 카드 또는 직불 카드를 지불 형태로 수락하는 경우 PCI 준수가 귀하에게 적용됩니다. 카드 데이터의 저장은 위험하므로 카드 데이터를 저장하지 않으면 안전하고 준수하는 것이 더 쉬울 수 있습니다.
맨 위로 돌아 가기
Q12:직불 카드 거래가 PCI 범위에 있습니까?
A: 범위에서 카드를 포함한 모든 직불카드,신용,그리고 선불 카드와 브랜드가 하나의 카드에 연결/브랜드 로고에 참여하는 PCI SSC–아메리칸 익스프레스 발견,JCB,MasterCard,Visa 국제적입니다.
맨 위로 돌아 가기
Q13:SSL 인증서가있는 경우 PCI 를 준수합니까?
A:아니오. SSL 인증서는 웹 서버를 악의적인 공격 또는 침입으로부터 보호하지 않습니다. High assurance SSL 인증서는 아래와 같은 고객 보안 및 안심의 첫 번째 계층을 제공하지만 PCI 규정 준수를 달성하기위한 다른 단계가 있습니다. 질문을 참조하십시오”중소기업(레벨 4 상인)이 PCI 요구 사항을 충족시키기 위해해야 할 일은 무엇입니까?”
- 보안 연결을 사는 고객의 브라우저와 웹서버
- 유효성 검사에는 웹 사이트 운영자는 합법적,법적으로 책임 있는 조직
관련 블로그 게시물”PCI DSS v3.1SSL:당신은 지금 무엇을해야.”
Back to Top
Q14:내 회사는 신용 카드 데이터를 저장하려고합니다. 우리는 어떤 방법을 사용할 수 있습니까?
A:신용 카드 데이터를 저장해야하는 대부분의 상인은 반복 청구를 위해 그것을하고 있습니다. 최를 저장하는 방법을 신용 카드 데이터에 대한 반복되는 청구를 이용하여 타인의 신용카드 볼트 및 토큰 공급자입니다. 을 이용하여 볼트,카드 데이터 제거에서 소유하고 있는 주어진 다시”토큰”을 위해 사용될 수 있는 목적의 반복 결제. 를 사용하여 타사 이동할 위험을 저장하는 카드 데이터를 전문적으로 하는 사람하고는 모두의 보안 통제를 유지하는 카드 데이터 안전하다.
를 저장해야 하는 경우에는 카드 데이터 자신이 당신의 바위한 자가 평가는 매우 높고 있어야 할 수 있습니다 QSA(인 보안 평가 기관)와서 현장 감사를 수행하이 있는지 확인 컨트롤의 모든 장소에서 필요를 충족 PCI DSS 사양입니다.
관련 블로그 게시물 참조,”반복 청구를 위해 카드 데이터를 안전하게 저장할 수 있습니까?”
위로 돌아 가기
Q15:비준수에 대한 처벌은 무엇입니까?
A:지불 브랜드는 재량에 따라 PCI 준수 위반에 대해 매월$5,000~$100,000 의 인수 은행에 벌금을 부과 할 수 있습니다. 은행은 결국 상인을 때릴 때까지이 벌금을 따라 통과 할 가능성이 큽니다. 또한 은행은 귀하의 관계를 해지하거나 거래 수수료를 인상 할 가능성이 큽니다. 처벌은 공개적으로 논의되거나 널리 공개되지는 않지만 중소기업에 파국적 일 수 있습니다. 노출을 개략적으로 설명해야하는 판매자 계정 계약을 숙지하는 것이 중요합니다.
에 대한 자세한 처벌을 준수하지 않을에서 우리의 블로그 포스팅”어떻게 할 수 있습 PCI 규정 준수 노력을 궁극적으로 귀하의 비즈니스에 저장할 돈?”
위로 돌아 가기
Q16: ‘카드 소지자 데이터’로 정의되는 것은 무엇입니까?
A:PCI 보안 표준위원회(SSC)을 정의하는’카드 소지자 데이터로 전체 기본 계좌 번호(PAN)또는 전체 팬와 함께 다음과 같은 요소:
- 성명
- 만료 날짜
- 서비스 코드
민감한 인증 데이터를되지 않도록 보호해야 합니다,을 포함한 전체 자석 줄무늬 데이터 CAV2,CVC2,CVV2,CID,핀,핀 블록과 더 있습니다.
위로 돌아 가기
Q17:’상인’의 정의는 무엇입니까?
A: 의 목적을 위해 PCI DSS,가맹점으로 정의하는 엔터티를 지불을 지지 베어링 카드의 로고 다섯 가지원 PCI SSC(아메리칸 익스프레스 발견,JCB,마스터카드 또는 비자)으로 재화 또는 용역에 대한 대금지급 및/또는 서비스입니다. 참고는 가맹점 지불을 지지 카드로 지불을 위한 상품 또는 서비스할 수도 있습 서비스 공급자는 경우,서비스의 판매에 그 결과 저장,처리,또는 전송하는 카드 소유자를 대신하여 데이터를 다른 상인 또는 서비스 제공 업체입니다. 예를 들어,ISP 는 가맹점 지불을 지지 카드를 위해 월별 결제이지만,또한 서비스 공급자는 경우 그것은 호스트 가맹점으로 고객입니다. 출처:PCI SSC
맨 위로 돌아 가기
Q18:서비스 제공 업체는 무엇입니까?
A:PCI SSC 정의 서비스 공급자 이 방법:
“사업체가 아닌 지불 브랜드에 직접 관여 처리,저장,전송하는 카드 소지자 데이터입니다. 여기에는 카드 소유자 데이터의 보안을 제어하거나 영향을 줄 수있는 서비스를 제공하는 회사도 포함됩니다.”(출처:www.pcisecuritystandards.org)
“가맹점으로 서비스 공급자”역할을 추가로 지정된 PCI SSC 으로”가맹점 지불을 지지 카드로 지불을 위한 상품 또는 서비스다면 서비스를 판매하는 결과를 저장,처리,또는 전송하는 카드 소유자를 대신하여 데이터를 다른 상인 또는 서비스 제공 업체입니다.”서비스 제공 업체로서 규정 준수를 달성하는 방법에 대해 자세히 알아보십시오. 블로그 게시물,”PCI 준수 및 서비스 제공 업체를 참조하십시오.”
맨 위로 돌아 가기
Q19:지불 응용 프로그램은 무엇입니까?
A:PCI 규정 준수와 관련하여 지불 응용 프로그램은 무엇을 구성합니까? 용어 지불 응용 프로그램은 PCI 에서 매우 광범위한 의미를 갖는다. 결제 응용 프로그램은 아무것도는 저장,처리,또는 전송하는 카드 데이터를 전자적으로. 즉,판매 시점 시스템(예:Verifone swipe 터미널,ALOHA 터미널 등)의 모든 것을 의미합니다.)레스토랑에서 웹 사이트 전자 상거래 쇼핑 카트(예:CreLoaded,osCommerce 등)는 모두 지불 응용 프로그램으로 분류됩니다. 따라서 모든 소프트웨어 설계되었습니다를 터치 신용 카드 데이터로 간주됩 결제 응용 프로그램.
맨 위로 돌아 가기
Q20:지불 게이트웨이는 무엇입니까?
A: 지불 게이트웨이는 카드 브랜드에 프런트 엔드 연결 역할을하는 은행이나 프로세서에 가맹점을 연결합니다. 그들은 그들이라는 게이트웨이기 때문에 그들은 많은 입력의 다양한 다른 응용 프로그램 및로 사람들의 입력이 해당 은행이나 프로세서입니다. 통신 게이트웨이와 함께 은행 또는 프로세서를 사용하여 전화 접속의 연결,웹 기반의 연결 또는 비공개로 개최 임대 회선.
위로 돌아 가기
Q21:PA-DSS 란 무엇입니까?
A: PA-DSS 의미를 지불 애플리케이션 데이터 보안 표준에 의해 유지되 PCI 보안 표준위원회(SSC)을 주소 중요한 문제의 결제 응용 프로그램 보안입니다. 의 요구 사항에 PA-DSS 지를 보장하기 위해 설계되었는 공급업체가 제공하는 제품을 지원하는 상인을 확보하기 위해 많은 노력을 기울이 PCI DSS 규정 준수하고 제거하의 저장소에 민감한 카드 소지자 데이터입니다.
PCI SSC 관리 프로그램을 검증하는 지불 응용 프로그램의 준수에 대하여 PA-DSS,그리고 발행하고 목록을 유지 관리 PA-DSS 검증 응용 프로그램. 자세한 내용은 PCI 보안 표준을 참조하십시오. 또한 여기에 PCI DSS 와 PA-DSS 사이의 중요한 차이에 대한 우리의 블로그 게시물을 참조하십시오.
위로 돌아 가기
Q22:소비자의 영수증 사본에 전체 신용 카드 번호를 인쇄 할 수 있습니까?
A:PCI DSS 요구 사항 3.3 국”마스크 팬 표시하는 경우(여섯 번째와 마지막 네 숫자는 최대의 숫자의 번호가 표시될).”안 요구를 금지하지 않는 인쇄의 전체 카드 번호 또는 만료 날짜에는 영수증(또는 가맹점 사본 또는 소비자 사본)참고 하시기 바랍 PCI DSS 재정의하지 않은 어떤 다른 법률을 제정될 수 있는 무슨이에 인쇄된 영수증(미국과 같은 공정하고 정확한 신용거래법(FACTA)또는 다른 적용 가능한 법률).
PCI DSS 요구 사항 3.3″참고에서 기울임 꼴 참고 참조: 이 요구사항을 대체하지 않는 엄격한 요구 사항에 대한 장소에 표시의 카드 데이터—예를 들어,법률 또는 카드 결제표에 대한 요구 사항 point-of-sale(POS)를 확인합니다. 상인이 저장 한 모든 종이 영수증은 PCI DSS,특히 물리적 보안에 관한 요구 사항 9 를 준수해야합니다.” 출처:PCI SSC
맨 위로 돌아 가기
Q23:컴플라이언스를 검증하기 위해 취약점 스캔이 필요합니까?
A: 자격이 있는 경우에 특정 자가 평가 설문지(SAQs)또는 전자적으로 저장하는 카드 소유자 데이터 포스트 권한 부여,다음 분기별로 검사하여 PCI SSC 승인 검사 업체(ASV)은 필요한 규정을 준수하도록 하기 위해. 버전 3 에서 다음 Saq 중 하나에 해당하는 경우.x PCI DSS,다음은 필요가 전달 ASV 검색:
- SAQ A-EP
- SAQ B-IP
- SAQ C
- SAQ D-상
- SAQ D-서비스 공급자
Back to Top
질문 24: 는 무엇입 취약점 검색?
A: 취약점 검사에는 가맹점 또는 서비스 제공 업체의 시스템에 취약점이 있는지 확인하는 자동화 된 도구가 포함됩니다. 이 도구를 실시하 non-intrusive 검색을 원격으로 검토 네트워크 및 웹 기반으로 하는 응용 프로그램에서 외부 연결한 IP(인터넷 프로토콜)주소가 제공하는 상인에 의해 또는 서비스를 제공합니다. 이 검사는 해커가 회사의 개인 네트워크를 대상으로 사용할 수있는 운영 체제,서비스 및 장치의 취약점을 식별합니다. 에 의해 제공되는 승인 검사 업체(ASV 의)등과 같은 ControlScan,스캔이 필요하지 않은 상인이나 서비스 공급자에게 소프트웨어를 설치하는 자신의 시스템에서,아무도 서비스 거부 공격이 수행됩니다. 여기에서 취약점 검사에 대해 자세히 알아보세요.
맨 위로 돌아 가기
Q25:얼마나 자주 취약점 검사를해야합니까?
A:분기당 90 일마다/한 번,위의 기준에 맞는 사람들은 합격 스캔을 제출해야합니다. 상인 및 서비스 제공자는 제출하여야 합 준수 문서(성공적인 검사 보고서)에 따르면 시간표에 의해 결정된 그들의 취득자. 스캔은 ControlScan 과 같은 PCI SSC 승인 스캔 벤더(ASV)에 의해 수행되어야 합니다.
관련 블로그 게시물”내부 vs 외부 취약점을 검사:당신은 왜 필요합니다.”
위로 돌아 가기
Q26:내 사업이 협력을 거부하면 어떻게해야합니까?
A:PCI 는 그 자체로 법이 아닙니다. 표준은 주요 카드 브랜드 Visa,MasterCard,Discover,AMEX 및 JCB 에 의해 만들어졌습니다. 에서 자신의 인수 업체/서비스 제공자의 재량에 따라,상인을 준수하지 않 PCI DSS 될 수 있습니다 벌금,카드 교체 비용,비용이 많이 드는 법정 감사,브랜드 이미지 손상,etc.,위반 이벤트가 발생해야합니다.
한 upfront 노력과 비용을 준수하 PCI DSS,당신은 크게 위험을 줄이는 데 도움을 주기 위해서 직면하는 이들이 매우 불쾌하고 비용이 많이 드는 결과를 초래한다. ControlScan 이 PCI DSS 를 단순화하는 데 어떻게 도움이되는지 알아보십시오.
맨 위로 돌아 가기
Q27:내 집에서 사업을 운영하는 경우 해커에게 심각한 목표입니까?
A:그렇습니다. 그들은 일반적으로 잘 보호되지 않기 때문에 가정 사용자는 틀림없이 단순히 가장 취약하다. 을 채택하는 경로의 저항을 최소한 모델,침입자가 종종에서 사용자 홈—종종 활용하들은 항상-광대역 연결하고 일반적인 가정용 프로그램과 같은 채팅,인터넷 게임 P2P 파일 공유 어플입니다. ControlScan 의 스캐닝 서비스는 가정 사용자와 네트워크 관리자는 모두 파악하고 해결하는 보안상 취약에 그들의 데스크탑이나 노트북 컴퓨터입니다.
관련 블로그 게시물,”귀하의 소규모 비즈 확보를위한 5 가지 모범 사례를 참조하십시오.”
위로 돌아 가기
Q28:손상된 경우 어떻게해야합니까?
A:동안 많은 지불 카드 데이터 유출을 쉽게 예방하고,그들이 할 수 있고 여전히 발생하는 모든 규모의 기업을.
중소기업이 침해당한 것을 발견 한 경우 다음 단계를 도울 수있는 좋은 자료가 많이 있습니다. 다음을 권장합니다:
- 법무부,모범 사례에 대한 대응 및 피해자보고 사이버 침해사고
- PCI 회의 응답,데이터 유출을–이 방법을 안내하는 사건 관리를 위한
- 전자거래협회(ETA),데이터 위반 응답:아홉 단계에 대한 가이드 소상공인에게
Back to Top
Q29: 당국이 요구하는 법률을 위반 데이터 통하여 영향을 받는 당사자?
A:절대적으로. 캘리포니아는 영향을받는 당사자에게 데이터 유출을보고하는 촉매제입니다. 주정부는 2003 년에 위반 통지 법을 시행했으며 현재 거의 모든 주에서 유사한 법이 시행되고 있습니다.
As of April12,2017 년 NCSL.org 보고서:마흔 여덟국,컬럼비아 특별구,Guam,Puerto Rico 과 버진 아일랜드가 입법을 제정이 필요한 개인,정부 또는 교육은 엔터티를 통한 개인 보안 침해의 정보를 포함하는 개인 식별 정보.
위로 돌아 가기
Leave a Reply