1) PCI PTS (PIN Transaction Security)
신용카드 리더기 등 하드웨어 설계 및 검증 기준이다. 물리적 장비와 네트워크 트랜잭션을 통해 민감정보가 유출되는 것을 막기 위한 통신보안 및 데이터 암호화 등 보안표준 준수 여부를 확인한다.
2) PCI PA-DSS (Payment Application Data Security Standard)
어플리케이션 개발업체를 대상으로 하는 인증 기준이다. 카드사 및 회원사 그리고 신용카드 회원이 사용하는 업무용 소프트웨어에서 민감정보가 전송, 처리, 저장되는 과정에서의 통신보안 및 암호화 여부 등을 확인한다.
3) PCI DSS (Data Security Standard)
신용카드 인프라 총체적으로 안전한 네트워크와 시스템 구성 여부 등을 종합적으로 판단하는 기준이다. 계정통제 및 접근통제를 통해 업무환경의 엄격한 관리는 물론이고 정기적 보안감사 시행 여부 등 보안정책까지 포함하는 아주 넓은 개념이다. 하지만 기술적으로는 역시나 주로 어플리케이션 내부와 통신구간에서의 민감정보의 안전성 및 암호화 여부 등을 따져서 안전성을 판단한다.
4) PCI P2PE (Point to Point Encryption)
PCI DSS 전체의 밑바탕은 다름아닌 암호화다. 그냥 암호화가 아니라 P2P 암호화, 즉 신용카드 단말기에서부터 카드사 어플리케이션을 지나 데이터베이스에 저장될 때까지, 데이터가 이동하는 전 과정에 걸친 종단간 암호화다. 민감정보는 처음부터 끝까지 무조건 암호화되어 있어야 한다.
뭐가 막 복잡하니까 보다 간단히 정리해 보면,
1) PCI PTS = 하드웨어 설계자가 주의할 점
2) PCI PA-DSS = 소프트웨어 개발자가 주의할 점
3) PCI DSS = 민감정보 취급하는 모든 사람이 주의할 점
4) PCI P2PE = 민감정보는 처음부터 끝까지 무조건 암호화
이렇게 볼 수도 있다. 즉, 밑바탕인
'정보보안•정보보호관리체계 > PCI-DSS' 카테고리의 다른 글
| PCI-DSS란? (0) | 2024.03.01 |
|---|