PCI 호스팅 : 의미와 필요할 때

온라인으로 지불을 수락 할 계획이라면 아마도 그 용어를 발견했을 것입니다. PCI 호스팅.모든 비즈니스가 가지고 있어야 할 것 같지만 필요한지 여부는 지불 및 카드 소지자 데이터를 처리하는 방법에 따라 다릅니다.

이 기사는 PCI 호스팅의 의미를 설명하고, 비즈니스가 PCI DSS 표준을 따라야하는지 파악하고 PCI 호스팅이 실제로 좋은 경로인지를 명확히하는 데 도움이됩니다.결제 데이터 보안에 대한 귀하의 책임에 대해 확신이 없다면이 안내서는 상황을 더 명확하게 만듭니다.

PCI DSS는 무엇입니까?

PCI 호스팅에 대해 이야기하기 전에 이해하는 데 도움이됩니다 PCI DSS, 도로도 알려져 있습니다 결제 카드 산업 데이터 보안 표준.PCI DSS는 저장, 처리 또는 전송 될 때마다 신용 카드 정보를 보호하기위한 일련의 보안 지침입니다.이 규칙은 Visa, Mas

이러한 표준을 설정하는 목표는 사기로 이어질 수있는 데이터 유출의 가능성을 줄이는 것입니다.그들을 준수한다는 것은 지속적인 보안 조치 (예 : 카드 데이터 암호화)를 지불하여 지불을 안전하게 유지하는 것을 의미합니다.

PCI 호스팅이란 무엇입니까?

PCI 호스팅 PCI DSS가 요구하는 보안 규칙을 충족하기 위해 설정된 웹 호스팅 환경입니다.여기에는 다음과 같은 것들이 포함됩니다.

• 결제 데이터를 분리하고 안전하게 유지하기위한 방화벽 및 네트워크 컨트롤
  
• 서버를 통해 이동하는 데이터의 암호화
  
• 민감한 정보에 가까운 사람을 제한하는 강력한 액세스 컨트롤
  
• 비정상적인 것을 발견하기 위해 활동을 추적하는 로깅 시스템

간단히 말해, PCI 호스팅은 카드 소지자 데이터를 보호하기 위해 구축 된 안전한 기초를 제공합니다.

즉, PCI 친화적 인 호스트를 사용하는 것만으로도 자동으로 준수하는 것은 아닙니다..호스팅 제공 업체는 안전한 환경을위한 도구를 제공하지만 비즈니스는 여전히 PCI 표준을 충족하는 소프트웨어, 프로세스 및 정책을 관리해야합니다.

PCI 호스팅 커버 및 그렇지 않은 것

PCI 호스팅 제공 업체는 방화벽, 네트워크 컨트롤 및 액세스 제한과 같은 많은 기술 요구 사항을 처리합니다.

하지만, 자신을 관리하는 데 여전히 책임이 있습니다, 포함:

• 소프트웨어와 플러그인을 최신 상태로 유지하십시오. 오래된 응용 프로그램 또는 확장자를 소개 할 수 있습니다 보안 위험 보안 서버에서도.
  
• 사용자 액세스 관리 : 사용자에게 필요한 권한 만 있는지 확인하고 가능한 한 2 요인 인증을 가능하게하십시오.
  
• 로그 및 활동 모니터링 : 로그를 정기적으로 검토하여 문제가되기 전에 특이한 행동을 발견하십시오.
  
• 카드 데이터 노출 최소화 : 필요한 것만 수집하고 가능한 경우 토큰 화를 사용하여 위험을 줄입니다.
  
• 취약성 스캔 수행 : PCI 호환 서버에서 호스팅 된 경우에도 약점을 찾기 위해서는 정기적 인 스캔이 필요하며 일반적으로 귀하의 책임입니다.

비즈니스가 PCI 준수 여야하는지 아는 방법

PCI 호스팅이 필요한지 결정하려면 첫 번째 단계는 비즈니스가 실제로 PCI DSS 요구 사항을 충족 해야하는지 여부를 알아내는 것입니다.그것은 PCI 범위라는 것을 이해하는 것으로 시작합니다.

PCI 범위는 신용 카드와 접촉 할 비즈니스 환경의 어떤 부분을 평가하는 과정을 말합니다.

여기에는 다음이 포함됩니다.

• 서버
  
• 응용
  
• 네트워크
  
• 워크 스테이션
  
• 이러한 시스템에 액세스 할 수있는 직원

설정의 어느 부분이 결제 데이터를 터치하는 경우 간단히 PCI 범위에 있으며 PCI DSS 규칙을 따라야합니다.

그것에 대해 간단히 생각하는 방법은 다음과 같습니다.

• 만약 신용 카드 데이터는 언제든지 서버를 통과합니다.지불 처리 중에는 시스템이 범위에 있습니다.
• 대신, 당신의 결제 처리는 환경 밖에서 전적으로 발생합니다 (예를 들어, 타사 결제 게이트웨이를 통해), 서버는 카드 데이터를 보거나 저장하지 않으므로 범위가 떨어질 수 있습니다.이 경우 PCI 호스팅이 필요하지 않을 수 있습니다.

PCI 호스팅이 필요하지 않은 경우

많은 비즈니스는 민감한 정보를 처리하는 외부 결제 솔루션에 의존하여 호스팅 환경을 PCI 범위에서 유지합니다.일반적인 예는 다음과 같습니다.

• 호스팅 된 결제 페이지 : Stripe Checkout, PayPal 또는 Square와 같은 서비스는 자체 서버에서 지불 세부 정보를 안전하게 수집합니다.귀하의 웹 사이트는 고객을 거기에 보내 서 서버가 카드 데이터를 처리하지 않습니다.
  
• 토큰 화를 통한 임베디드 결제 양식 : 결제 프로세서는 사용자의 브라우저에서 지불 제공 업체로 직접 카드 데이터를 보내는 Stripe Elements 또는 Braintree 호스팅 필드와 같은 임베디드 양식을 제공합니다.귀하의 시스템은 토큰 만 가져옵니다. 이는 데이터를 훔치는 데 사용할 수없는 참조입니다.
  
• 카드 데이터 저장 없음 : 전체 신용 카드 번호를 저장하지 않고 토큰 화 된 청구 또는 금고 서비스를 사용하는 경우 스토리지 책임은 준수 제공자와 함께 자신의 시스템을 더 간단하게 유지합니다.

이것이 지불 흐름이 작동하는 방식이면 호스팅 환경이 일반적으로 범위가 아니며 PCI 호스팅이 필요하지 않을 수 있습니다.

PCI 호스팅이 필요한 경우

자체 인프라가 카드 소지자 데이터와 직접 상호 작용할 때 PCI 호스팅이 필요합니다.PCI 호스팅이 귀하에게 적용되는 징후는 다음과 같습니다.

• 귀하는 자신의 지불 양식을 호스팅합니다. 고객이 귀하의 웹 사이트에서 호스팅 된 양식에 신용 카드 정보를 입력하는 경우 해당 데이터가 서버를 통과하여 범위에 배치합니다.
  
• 전체 카드 번호를 저장합니다. 구독, 반복 청구 또는 지불 지연에 관계없이 서버에 전체 카드 데이터를 저장하면 보안 요구 사항이 높아집니다.
  
• 사용자 정의 결제 시스템을 실행합니다. 자체 결제, 게이트웨이 또는 시점 솔루션을 구축 한 경우 호스팅 환경은 지불 흐름의 일부이며 PCI 표준을 충족해야합니다.
  
• 공식적인 PCI 감사의 적용을받습니다. 대량의 거래를 처리하는 비즈니스는 호스팅 환경 검토를 포함한 감사를받을 수 있습니다.

이러한 상황에서 호스팅 제공 업체 선택 PCI 요구 사항에 익숙하고 규정 준수 준비 기능을 제공하는 것이 중요합니다.

12 개의 PCI DSS 요구 사항

PCI 범위를 확인한 후 다음 단계는 규정 준수가 실제로 필요한 내용을 이해하는 것입니다.여기에서 12 개의 PCI DSS 요구 사항이 제공됩니다. 이는 카드 소지자 데이터를 올바르게 보호하기 위해 모든 비즈니스 비즈니스가 따라야하는 기준 표준입니다.

1. 방화벽을 사용하여 데이터를 보호하십시오 - 방화벽은 검문소 역할을하며, 무단 액세스를 차단하기 위해 네트워크 트래픽을 필터링합니다.
   
2. 기본 비밀번호 및 설정을 변경합니다 - 기본 자격 증명은 널리 알려져 있고 취약하므로 강력하고 고유 한 비밀번호를 사용하십시오.
   
3. 저장된 카드 데이터를 보호하십시오 - 카드 소지자 데이터를 암호화하고 제한합니다.덜 유지할수록 위험이 적습니다.
   
4. 운송중인 데이터를 암호화합니다 - 사용 TLS와 같은 암호화 카드 데이터가 공개 또는 신뢰할 수없는 네트워크를 통해 이동할 때.
   
5. 안티 바이러스와 맬웨어 방지를 사용하십시오 - 악성 소프트웨어를 잡고 중지하기 위해 이러한 도구를 업데이트하십시오.
   
6. 시스템과 응용 프로그램을 안전하게 유지하십시오 - 정기적으로 소프트웨어를 패치하고 취약점을 빠르게 수정하십시오.
   
7. 카드 소지자 데이터에 대한 액세스를 제한합니다 - 직무를 수행하기 위해 필요한 사람들에게만 접근 할 수 있습니다.
   
8. 사용자에게 고유 ID를 할당합니다 - 개별 로그인을 사용하면 사용자 활동을보다 쉽게 추적 할 수 있습니다.
   
9. 물리적 접근을 제어합니다 - 카드 소지자 데이터를 저장하는 장치 나 문서에 물리적으로 도달 할 수있는 사람을 제한하십시오.
   
10. 접근을 기록하고 모니터링하십시오 - 의심스러운 활동을 감지하고 감사를 지원하기 위해 자세한 로그를 유지하십시오.
    
11. 보안 시스템을 정기적으로 테스트합니다 - 취약성 스캔 및 침투 테스트를 실행하여 약점을 찾아 고정합니다.
    
12. 보안 정책을 유지하십시오 - 보안 절차를 문서화하고 관련된 모든 사람이 자신의 역할을 이해하도록하십시오.

시간이 지남에 따라 PCI 준수 유지

한 번 PCI DSS 표준을 충족시키는 것만으로는 충분하지 않습니다.규정 준수는 비즈니스 및 기술이 발전함에 따라 카드 소지자 데이터를 안전하게 유지하기 위해 정기적으로주의를 기울여야하는 지속적인 노력입니다.

다음은 장기적으로 준수하는 데 도움이되는 몇 가지 주요 관행입니다.

1. PCI 범위를 정기적으로 검토하십시오

새로운 시스템, 통합 또는 서비스를 추가하면 환경이 변경 될 수 있습니다.필요한 모든 영역을 다루는지 확인하기 위해 설정 카드 데이터의 어떤 부분을 주기적으로 재평가하십시오.

2. 소프트웨어 및 시스템을 업데이트하십시오

보안 패치 및 업데이트는 취약점을 수정하기 위해 릴리스됩니다.일회성 작업이 아닌 작업의 일상적인 부분을 업데이트하십시오.

3. 지속적인 모니터링 및 로깅을 수행하십시오

지속적인 모니터링은 의심스러운 활동을 일찍 포착하는 데 도움이됩니다.로그가 정기적으로 검토되고 안전하게 저장되어 있는지 확인하십시오.

4. 취약점 스캔 및 침투 테스트 일정

이 테스트를 최소한 분기별로 또는 주요 변경 후에 실행하십시오.공격자가 찾기 전에 약점을 드러냅니다.

5. 보안 모범 사례에 대해 팀을 훈련시킵니다

직원은 핵심 방어선입니다.정기 교육은 카드 소지자 데이터를 보호하고 위협을 인식하는 데있어 자신의 역할을 이해하는 데 도움이됩니다.

6. 보안 정책 및 절차를 업데이트하십시오

위협이 발전하고 비즈니스가 성장함에 따라 문서를 최신 상태로 유지하십시오.이를 통해 팀이 조정 및 감사 준비를합니다.

7. 필요할 때 자격을 갖춘 보안 평가자와 협력하십시오

비즈니스가 공식적인 PCI 감사를받는 경우 QSA와 파트너 관계를 맺으면 추적을 유지하고 프로세스를 더 매끄럽게 만들 수 있습니다.

PCI 준수를 지속적인 우선 순위로 취급하면 위험을 줄이고 고객을 안전하게 유지합니다.오늘날 사전에 유지하면 내일 비용이 많이 드는 문제가 절약됩니다.

마무리

모든 비즈니스에 PCI 호스팅이 필요한 것은 아닙니다.호스팅 된 체크 아웃, 토큰 화 양식 또는 금고를 사용하기 때문에 Card Holder 데이터가 서버를 터치하지 않으면 호스팅 환경이 PCI 범위를 벗어날 수 있습니다.

시스템이 카드 데이터를 저장, 처리 또는 전송하는 경우 PCI-Ready 호스팅에 투자하는 것은 규정 준수를 충족시키고 고객을 보호하기위한 현명한 단계입니다.

호스팅 또는 보안에 대한 결정을 내리기 전에 전체 결제 흐름을 신중하게 검토하십시오.PCI 범위의 환경에 적합한 위치를 이해하면 시간, 돈 및 두통을 도로로 절약 할 수 있습니다.