PCI-DSS이란 무엇인가요?

PCI-DSS는 여섯 범주에 걸쳐 12개 핵심 요구사항을 정의한다. 안전한 네트워크 인프라 구축·유지, 카드 소지자 데이터 보호, 취약점 관리 프로그램 유지, 강력한 접근 통제 조치 구현, 네트워크의 정기적 모니터링과 테스트, 그리고 정보 보안 정책 유지다. 이 표준은 가맹점, 프로세서, 매입사, 발급사, 서비스 제공자 등 결제 카드 처리에 관여하는 모든 주체에 적용된다.

요구사항 3과 4는 암호화와 특히 관련이 있다. 요구사항 3은 저장된 카드 소지자 데이터의 보호(구체적인 암호화·해싱·절단 방법 포함)를 요구하고, 요구사항 4는 개방형 공용 네트워크를 통한 전송 시 카드 소지자 데이터의 암호화를 요구한다. 요구사항 7은 알 필요(need-to-know) 기반 접근을 규정하고, 요구사항 8은 시스템 구성요소에 대한 모든 접근에 고유 식별과 강력한 인증을 요구한다. 준수는 거래량에 따라 자가 평가 설문 또는 현장 감사로 검증된다.

PCI-DSS 준수는 실제 카드 소지자 데이터 환경(CDE)을 넘어 CDE의 보안에 영향을 줄 수 있는 모든 시스템에 미친다. 여기에는 결제 시스템의 자격 증명이 어떻게 관리·공유되는지가 포함된다. 결제 처리 시스템의 데이터베이스 비밀번호나 API 키를 이메일이나 암호화되지 않은 채널로 공유하는 것은 강력한 접근 통제와 암호화에 대한 PCI-DSS 요구사항의 정신, 그리고 흔히 문구까지 위반한다.

Vaulted가 PCI-DSS을 사용하는 방법

Vaulted는 결제 시스템과 카드 소지자 데이터 환경의 자격 증명을 공유하는 암호화된 일회성 채널을 제공함으로써 PCI-DSS 준수를 뒷받침한다. 팀이 데이터베이스 자격 증명, 결제 게이트웨이 API 키, PCI 관련 시스템의 접근 토큰을 공유해야 할 때, Vaulted는 데이터가 전송 전 클라이언트 측에서 AES-256-GCM으로 암호화되고 사용 후 자동 삭제되도록 보장한다. 이는 지속적인 평문 비밀을 이메일에서 제거하고 자기 파기 제로 지식 링크로 대체함으로써 PCI-DSS 요구사항 4(전송 중 데이터 암호화)와 요구사항 7(필요에 따른 접근 제한)에 부합한다.