メインコンテンツにスキップ

PCI DSS 준수 지원 컨설팅 서비스 본격 배포

2016년 4월 15일

Dai Nippon Printing Co., Ltd. (본사:도쿄 사장:기타지마 요시토시 자본금:1,144억엔 이하:DNP)는, 기업이 자사의 보안 체제를, 크레딧 업계에 있어서의 국제적인 보안 기준인 PCIDSS ※1에 준거시킬 때의 지원을 실시하는 컨설팅 서비스를 본격 전개합니다.

【PCI DSS 준거 지원 컨설팅 서비스 제공 개시의 배경】

○ 일본 신용 협회의 지침에의 대응

일본 크레딧 협회는 2016년 2월에 발표한 「신용 카드 거래에 있어서의 보안 대책 강화를 위한 실행 계획」으로, 국내의 신용 카드 정보 관리의 기준을 PCIDSS로 하고 있습니다. 또한 신용정보를 취급하는 업계 각사에게 PCI DSS 준거를 전제로 한 정보 보안 관리 체제를 정비하도록 요구하고 있습니다. 이 때문에, 자사의 관리 체제 중에서 PCIDSS에 이미 준거하고 있는 부분과, 현시점에서의 미준거의 부분을 파악해, 모든 것을 준거시키기 위해서 필요한 시책 등에 대해서 외부의 전문가에게 의견을 요구하는 기업이 늘고 있습니다.

○ 클라우드 서비스 외 BPO 수탁 사업자의 요구 증가에 대응

신용 카드를 발행하는 사업자가 클라우드 서비스 사업자 등에 신용 카드 정보의 취급을 외부 위탁하는 경우는, 그 외부 위탁 사업자에게도 PCIDSS 준거가 요구됩니다. PCI DSS 준거는 이러한 BPO 수탁 사업자의 사업 확대에 필수적이기 때문에 PCIDSS 준거를 목표로 하는 기업의 수요 증가가 전망된다.

○ 인바운드 등 향후 보급기에 대응

최근 해외에서의 방일 여행객이 증가하고 있으며, 국내 기업은 인바운드 대응 서비스 개발을 가속화하고 있습니다. 그 어느 때보 다 사이버 범죄 등의 표적이 될 가능성도 높아지기 때문에 앞으로 보다 고도의 보안 체제를 구축하고 싶다는 기운이 높아질 것으로 예상된다.

○ 신용 업계 이외의 요구 증가에 대응

PCI DSS는 정보 보안 정책에 대한 구체적인 수치 기준을 제시합니다. 이 때문에 신용카드 번호를 기밀정보나 개인정보 등으로 대체함으로써 사내 정보보안기준으로 PCIDSS를 이용할 수 있습니다. 이를 통해 제조업 등 신용카드 업계 이외에도 PCIDSS를 사내 보안기준으로 도입하는 기업이 늘어나고 있으며, 앞으로도 컨설팅 수요증가가 예상된다.

【DNP와 PCI DSS】

DNP는 2008년 국내 인쇄회사로 처음으로 PCI DSS 인증을 받았습니다. 이후, PCIDSS에 관한 내부 감사나 전문가로서의 자격을 가지는 사람을 사내에 확보해, PCI DSS에 관한 노하우를 축적해 왔습니다. 또한 신용카드 국제 브랜드 인증 공장으로서 PCIDSS보다 엄격한 PCI 카드 제조 기준의 감사를 지속적으로 받고 있습니다. 또한 올해 1월에는 DNP 카시와 데이터센터에서 운용하는 클라우드 기반 서비스 'MediaGalaxy(미디어 갤럭시) 클라우드'에서 PCIDSS의 최신 버전인 Version 3.1의 인증을 취득하고 있습니다.

이번 DNP는 이러한 PCI DSS에 관한 노하우와 경험을 활용하여 PCI DSS 준수 지원 컨설팅 서비스를 제공합니다.

【PCI DSS 준거 지원 컨설팅 서비스의 개요】

기업의 요구에 따라 다음 4가지 단계에서 컨설팅 서비스를 제공합니다.

1. PCI DSS 괴리 분석(PCI DSS 준거 대응 개시시)

PCI DSS 준수 대상 범위 및 PCI DSS 각 항목의 요구 사항을 준수하지 않는 항목을 시각화하고 PCIDSS 준수 인증에 필요한 과제를 추출합니다.

2. 지속적인 준거 지원(PCI DSS 준거 대응 추진기~QSA※2에 의한 온사이트 평가※3 직전기)

기업이 운용의 룰화, 프로세스의 적정화 및 시스템 개선을 할 때의 어드바이스, Q&A 대응 등을 실시합니다.

3. 후속 조치 (QSA에 의한 현장 평가시)

QSA의 방문 인터뷰나 시찰시의 동석 및 Q&A 대응 등을 실시합니다.

4. PCI DSS 유지 후속 (PCI DSS 준수 후)

정기적인 후속 조치, PCI DSS가 버전 업그레이드되었을 때의 최신 정보 제공 등을 실시합니다.

1단계의 비용은 규모에 따라 변동하지만, 1개의 업무, 1개소의 업무 거점, 1개의 데이터 센터의 경우에 500만엔 정도를 예정하고 있습니다.

2단계 이후에는 매월마다 계속 계약이 됩니다.

【향후의 대처】

DNP는 PCI DSS 준거 지원 컨설팅과 그 결과 필요한 보안 강화 솔루션의 제공 등도 함께 2018년도까지 3년간 약 10억엔의 매출을 목표로 합니다.

  1. PCI DSS(Payment Card Industry Data Security Standards) : 국제 신용카드 브랜드 5사에 의해 설립된 PCISSC(PCI Security Standards Council)가 카드 발행회사나 가맹점 등에 대하여 카드 회원 정보의 보호나 안전한 거래의 실현을 목적으로 하여 책정한 보안 업계 기준. 다음과 같은 항목에 대한 구체적인 관리 방법이나 운용 등이 규정되어 있습니다.
· 안전한 네트워크 및 시스템 구축 및 유지 · 강력한 액세스 제어 기술 도입
· 카드 회원 데이터 보호 · 네트워크 정기 모니터링 및 테스트
· 취약성 관리 프로그램 유지 · 정보 보안 정책 유지
  • 2. QSA (Qualified Security Assessor) : PCI SSC 인증 보안 평가자의 약자.
  • 3. 현장 평가 : 연간 일정 건수 이상의 신용카드 취급 사업자, 서비스 프로바이더는 QSA의 방문 평가가 필요하다.
  • 뉴스 릴리스에 기재된 제품의 가격, 사양, 서비스 내용 등은 발표일 현재의 것입니다. 그 후 예고 없이 변경하는 경우가 있기 때문에, 미리 양해해 주십시오.
뉴스톱으로