PCIDSS
1. PCIDSS의 개요
- 신용카드를 취급하는 가맹점과 서비스 제공업체들이 준수해야
하는 엄격한 정보보호 표준.
- 2011.12까지는 PCIDSS1.21과 2.0 병행
가능하나, 2012년 이후에는 2.0을 기준으로 인증받아야 함.
2. PCIDSS 버전 2.0에 대한 요약
- 기존의 모호한 표현의 요구사항을 명확히 표현하고,
- 최신의 정보보호 위협과 보안통제 경향을 반영
1) 서버당 하나의 기능 요구, 가상 서버도 하나의 기능만.
2) 민감한 신용카드 인증 데이터 보관 조직은 신용카드 발급회사와 신용카드 발급서비스 지원회사
3) 신용카드번호(PAN)을 잘라낸 값과 해쉬값이 같이 저장할때의 위험 고려 -> 추가적인 보안통제 적용
4) 평문을 통한 키 관리를 수동으로 운영할때(키 생성, 전송, 적재, 저장, 파기), 키에 대한 "split knowledge, dual control" 원칙을 명시하고, 전체 키 재구성을 위한 두,세사람의 조합
5) OWASP, SANS SWE Top 25, CERT Secure Coding을 적용한 개발 프로세스 구현
6) 원격 접속시 two-factor 인증의 예로 토큰을 사용한 라디우스와 토큰을 사용한 TACACS를 추가
7) NTP 데이터에 대한 접근 제한 및 중요 시스템에 대한 NTP 설정변경을 로깅, 모니터링, 검토하도록 명시
8) 분기별 취약성 스캔, 스캔결과중
"high"에 대해서는 조치, 재스캔 확인
3. PCIDSS에서의 요구 정보 활동 및 주기
1) 매일 : 서버 및 네트워크 장비의 로그 검토
2) 매주 : 파일 무결성 모니터링 검토, 안티바이러스 스캔 보고서
3) 매월 : 패치 관리
4) 매 분기 : 데스크탑, 파일 서버, 데이터베이스를 대상으로 카드 데이터 검색 및 데이터 보존과 폐기 적용
서버 및 네트워크 장비를 대상으로 내부에서 취약성 분석
모든 공인 IP를 대상으로 외부에서 ASV 스캐닝
사용자계정권한 검토, 90일 비로그인 계정 삭제, 무선 분석기 통한 무선 장비 탐지
FW, 라우터 보안 룰셋 검토
5) 매년
암호키 교체, 외부 매체 보안장소에 대한 물리적 보안 점검, 내.외부 보관 저장매체에 대한 자산 조사
내부, 외부 침투 테스트(네트워크), 어플리케이션 침투 테스트,
위험 평가, 보안정책 및 절차 검토, 정보보호 인식 제고 교육, 침해 사고 대응 교육, 침해사고 대응 훈련
임직원의 정보보호 정책 및 절차 읽고 이해했다는 확인 서명 받기
0 개의 댓글:
댓글 쓰기