Magento PCI 규정 준수란 무엇이며 Magento 매장에서 이를 필요로 하는 이유는 무엇입니까?
게시 됨: 2022-06-01전자 상거래는 최근 점점 더 빠르게 발전했습니다. 따라서 많은 기업이 Woocommerce, Shopify, … 특히 Magento와 같은 다양한 플랫폼에서 온라인 상점을 엽니다. 그 이유는 뛰어난 기능 때문입니다. 그러나 엄청난 이점과 함께 보안은 고객과 소유자 모두의 주요 관심사이기도 합니다. 구매자는 자신에게 피해를 줄 수 있는 제3자에게 개인 정보가 노출되는 것을 원하지 않으며 기업은 고객으로부터 신뢰를 얻기 위해 전문적인 이미지를 유지하기를 원합니다. 따라서 이 기사에서는 어려운 문제인 Magento PCI 규정 준수를 해결하는 데 도움이 되는 뛰어난 솔루션을 소개합니다.
우선 PCI 규정 준수에 대해 알고 있어야 합니다.
그렇다면 PCI 규정 준수란 무엇입니까?
PCI는 Payment Card Industry의 약자입니다. PCI 규정 준수는 전 세계의 지불 데이터 보안을 개선하기 위한 기본 표준 및 법률 모음입니다. 정책, 보안 관리, 네트워크 아키텍처, 소프트웨어 설계 및 기타 제한 사항이 포함됩니다. PCI DSS는 전자 상거래 비즈니스가 민감한 데이터를 위한 안전한 환경을 제공하기 위한 모범 사례를 수립합니다. 또 다른 지식은 PCI 보안 표준 위원회가 모든 PCI 규정 준수 표준을 개발하고 배포한다는 것입니다. PCI 보안 표준 위원회는 이러한 규정을 개발하고 전자 상거래 업계의 PCI 규정 준수를 감독하기 위해 2006년에 설립되었습니다. Visa, Mastercard, JCB International, Discover Financial Services 및 American Express는 위원회에서 대표하는 가장 큰 글로벌 지불 카드 네트워크 중 하나입니다.
PCI 준수는 온라인 상점을 운영하는 모든 비즈니스에 필수입니다. PCI DSS(Payment Card Industry Data Security Standards) 준수를 준수하고 달성하는 비즈니스를 PCI 준수라고 합니다.
알아야 할 다양한 PCI DSS 규정 준수 수준이 있습니다.
PCI 규정 준수에는 4가지 다양한 단계가 있으며, 각 단계는 공인 보안 평가자의 연간 평가와 다양한 범위의 승인된 스캔 공급업체의 분기별 스캔을 나타냅니다.
PCI DSS 준수 레벨 1
이것은 전자 상거래에 대한 PCI 준수의 초기 수준이며 수백만 건의 트랜잭션을 처리하는 조직에 사용됩니다. 다음과 같은 종류의 비즈니스에는 이 규칙이 적용됩니다.
- 연간 600만 건 이상의 Visa 또는 Mastercard 거래를 처리하는 전자 상거래 회사는 온라인 및 오프라인 거래로 구성됩니다(회사가 오프라인에 있는 경우).
- 매년 지불 촉진자는 약 300,000건의 거래를 실행합니다.
- Visa가 레벨 1로 간주하는 모든 온라인 상점
- 매년 공인 PCI 감사인이 감사를 실시하여 준수 여부를 확인합니다. 분기마다 레벨 1 조직은 승인된 스캔 공급업체(ASV)에서 PCI 스캔을 수행해야 합니다.
PCI DSS 규정 준수 레벨 2
이 형태의 규제는 일반적으로 거래량이 600만 미만인 대기업에 적합합니다.
- 연간 100만~600만 건의 Visa 거래가 온라인 결제와 물리적 결제 모두를 통해 판매자에 의해 수행됩니다.
- 연간 거래가 300,000건 이상인 지불 촉진자는 수요가 많습니다.
- 이러한 회사는 매년 분기마다 PCI 스캔과 함께 자체 평가 설문지(SAQ)를 작성해야 합니다.
PCI DSS 규정 준수 레벨 3
전자상거래에 대한 PCI 준수 수준은 연간 20,000~100만 건의 Visa 전자상거래를 수행하는 가맹점을 위한 것입니다.
레벨 2와 같은 이러한 회사는 연간 SAQ를 완료해야 하지만 특정 조건에서 분기별 스캔을 실행할 의무만 있습니다.
PCI DSS 준수 레벨 4
레벨 4는 거래가 적은 소규모 전자 상거래 비즈니스와 관련이 있습니다.
- 연간 Visa 거래가 20,000건 미만인 판매자는 자격이 없습니다.
- 연간 백만 건 이상의 Visa 거래를 실행하는 가맹점(온라인 및 오프라인)
연간 SAW가 필요하지만 분기별 PCI 스캔은 "필요에 따라" 수행됩니다.
위에 제공된 주요 PCI DSS 준수 수준에 대한 개요는 회사가 달성해야 하는 준수 수준을 결정하는 데 도움이 됩니다.
마젠토 PCI 규정 준수
마젠토 커머스 에디션
Magento 2 Commerce(Cloud) Edition, 특히 최신 버전인 Magento 2.4.4는 PCI 인증을 받은 레벨 1 솔루션 공급자로 이전 버전의 유산을 이어갑니다. PCI 규정 준수는 기업에서 점점 더 쉽게 접근할 수 있습니다. 그들은 Magento의 PCI 규정 준수 증명에 의존하여 기준을 충족했음을 입증할 수 있습니다.
Commerce Edition을 사용하는 대부분의 사람들은 연간 600만 건 이상의 거래를 처리하는 중견 기업이기 때문에 이는 매우 중요합니다.
또한 Magento 매장은 데이터를 Magento 서버에 저장하지 않고 결제 게이트웨이로 직접 전송하는 결제 게이트웨이와 연결되어 있습니다. Magento Open Source 및 Commerce 에디션 모두 이 기능이 있습니다.
Magento 오픈 소스 에디션
Open Source Edition에는 PCI 규정 준수 기능이 포함되어 있지 않습니다. 그러나 Magento 웹사이트를 PCI 규격으로 만들기 위한 몇 가지 옵션이 있습니다.
1. 제3자 서비스(예: PayPal Express)를 통한 결제
이것은 우리가 Commerce 에디션 섹션에서 언급한 방식입니다.
신용 카드 정보가 서버에 저장되지 않기 때문에 이 옵션을 선택하면 PCI를 준수할 필요가 없습니다. 과거에 타사 결제 게이트웨이를 사용하면 고객의 결제 프로세스가 중단될 수 있습니다. 그러나 이것은 더 이상 문제가 되지 않습니다.
예를 들어 Magento Stripe 통합과 같은 타사 지불 게이트웨이를 통해 판매자는 이제 원활한 결제 경험을 제공할 수 있습니다. 민감한 데이터가 Magento 서버에 저장되지 않은 경우 PCI 호환에 대한 재평가를 거치지 않고도 핵심 Magento 전자 상거래 애플리케이션을 변경할 수 있습니다.
2. PCI를 준수하는 SaaS 결제 애플리케이션을 사용합니다.
PCI 규격인 CRE Secure를 예로 들 수 있습니다. 고객은 다른 웹사이트로 연결되지만(URL 변경) 매장 디자인에 맞게 양식을 조정할 수 있습니다.
그리고 문제는 PCI를 준수해야 하는 이유입니다.
전자 상거래가 지난 몇 년 동안 시장을 지배했다고 해도 과언이 아닙니다. 이러한 발전과 함께 온라인 금융 거래와 관련하여 고객 데이터 보안에 대한 관심이 높아지고 있습니다. PCI 준수가 법으로 요구되지 않는다는 사실에도 불구하고 선례에 의해 그렇게 간주됩니다. 이는 카드 결제를 수락하는 동안 고객의 민감한 금융 정보를 보호하는 것이 귀하의 책임이기 때문에 발생합니다.
전자 상거래 비즈니스는 PCI를 준수함으로써 다음과 같은 다양한 이점을 얻을 수 있습니다.
데이터 침해
- PCI 규정을 준수하지 않으면 비즈니스가 데이터 유출, 유출 및 해커의 위험에 처해 심각한 수익 손실을 입을 수 있습니다.
- PCI 규정 준수는 사이버 범죄에 대한 방어를 강화하고 데이터 침해를 방지합니다.
- 또한 회사는 소송, 카드 교체 비용, 고객 보상 비용에 직면할 수 있습니다.
- 데이터 유출이 발견되고 귀사가 PCI를 준수하는 경우 유출 비용이 절감됩니다.
- 데이터 침해 수를 줄입니다. 가장 중요한 것은 사이버 공격으로부터 카드 소지자(고객)의 데이터를 보호하는 것입니다.
과태료와 과중한 벌금
- PCI 규칙을 준수하지 않으면 재정 자원을 완전히 고갈시킬 수 있는 다양한 벌금이 부과될 수 있습니다.
- 거래량과 미준수 기간에 따라 벌금은 월 $5,000에서 $100,000 사이일 수 있습니다.
- 정부 규정 준수 실패로 인해 지불 제공자가 부과하는 벌금 외에 상당한 벌금이 부과될 수 있습니다.
- 심각한 위반의 경우 벌금이 2천만 유로에 달할 수 있습니다.
- 회사가 다시 법을 위반할 경우 사기 혐의, 법의학 조사 및 가산금이 부과될 수 있습니다.
평판 및 수익 상실
- 최근 Verizon 설문조사에 따르면 고객의 69%가 경쟁업체보다 더 나은 거래를 제공하더라도 데이터 유출을 경험한 회사와 거래를 피하려고 합니다.
- 소비자 데이터 개인 정보 보호 문제에 대한 지식이 늘어남에 따라 소비자는 이제 높은 보안 기대치를 갖고 데이터 개인 정보 취약성에 대한 낮은 내성을 갖게 되었습니다.
- 데이터 침해는 고객 충성도를 감소시키는 동시에 브랜드의 평판에 해를 끼칠 수 있습니다.
Magento 매장에서 신용 카드 사용 중단
- 데이터 침해 후 PCI 규정을 준수하지 않으면 신용 카드 결제가 취소될 수 있습니다.
- 신용 카드 계정의 정지는 향후 귀하의 상점에서 신용 카드를 처리할 수 없도록 하기 때문에 귀하의 비즈니스에 더 심각한 손실입니다.
- 이러한 손실을 방지하려면 PCI 지침을 준수하는 엄격한 보안 정책이 필요합니다.
이제 PCI DSS 규정 준수 요구 사항 체크리스트로 이동합니다.
카드 소지자 데이터를 관리하고 지불 처리 네트워크를 유지 관리하는 회사를 위해 PCI SSC는 6개 섹션으로 나누어진 12개 표준을 설정했습니다. 규정을 준수하려는 모든 회사는 이러한 모든 요구 사항을 충족해야 합니다.
보안 네트워크 구축 및 유지 관리
첫 번째 요구 사항 집합은 보안 네트워크의 유지를 나타내며 회사가 다음을 수행해야 한다고 지정합니다.
- 방화벽을 설치하고 최신 상태로 유지합니다.
- 고객 데이터에서 공급업체 제공 암호 대신 사용자가 선택한 원래 암호를 사용합니다.
카드 소유자 데이터 보호
저장된 카드 소지자에 대한 정보를 보호합니다.
- 저장된 카드 소지자 데이터를 관리하기 위해 여러 수준의 보안이 사용됩니다.
- 카드 소지자 데이터를 필요 이상으로 보관하지 않도록 하여 이 PCI 규정 준수 요구 사항을 충족하는 것이 중요합니다.
- 고객이 지불 게이트웨이를 통해 신용 카드 정보를 입력할 수 있도록 하고 강력한 암호화 없이는 지불 정보를 보내지 마십시오.
인터넷을 통해 전송되는 카드 소지자에 대한 데이터를 암호화합니다.
- 개방형 및 공용 네트워크를 통한 카드 소유자 데이터 전송을 암호화합니다.
- 민감한 카드 데이터를 여러 시스템으로 전송하기 전에 암호화하는 것이 중요합니다. SSL 및 TLS 기술을 사용하여 이를 수행할 수 있습니다.
- 전송 중 데이터 암호화는 전송 중에 네트워크가 침해되더라도 소비자 데이터를 보호하기 때문에 매우 중요합니다.
- SSL 인증서는 안전한 데이터 전송을 승인하는 동시에 소비자의 신뢰를 높입니다.
취약점 관리
세 번째 범주는 회사가 네트워크 취약성을 관리하는 방법과 관련이 있으며 회사가 다음을 수행해야 합니다.
- 안티바이러스 소프트웨어를 정기적으로 사용하고 업데이트해야 합니다.
- 안전한 소프트웨어와 시스템을 만들고 유지합니다.
강력한 액세스 제어 조치 구현
카드 데이터에 대한 액세스 제한
카드 소지자 데이터에 대한 액세스는 업무상 알아야 할 사항이 있는 사람들에게만 제한되어야 합니다.
소수의 사람들에게 카드 소지자 데이터 액세스를 제한함으로써 사기 및 데이터 도난을 줄일 수 있습니다.
인증된 자격 증명이 있는 관리자에게 액세스 권한이 부여될 수 있습니다.
또한 액세스 제어를 모니터링하고 문서화하여 모든 시스템 수정 사항을 추적하는 데 도움이 됩니다.
제한된 항목을 통해 알아야 할 사람을 기준으로 보안 절차를 분류할 수 있으므로 모든 관리 작업을 명확하게 파악할 수 있습니다.
데이터 액세스를 위한 고유 ID
컴퓨터에 액세스할 수 있는 각 사람에게는 고유한 ID가 부여되어야 합니다.
고유 ID를 사용하여 승인된 각 개인의 활동을 추적할 수 있습니다.
추가 보호를 위해 2단계 인증을 수행하고 정기적으로 액세스 암호를 변경하고 자세한 로그를 보관하십시오.
또한 고유 ID를 사용하면 사용자 계정을 제어하고 모든 수준에서 사용자 액세스를 보호할 수 있으므로 IAM(Identity and Access Management)이 더 쉬워집니다.
데이터에 대한 물리적 액세스 제한
카드 소지자 데이터에 대한 물리적 접근은 제한되어야 합니다.
데이터 보안은 물리적 세계의 데이터 센터와 서버로 확장됩니다.
데이터는 온사이트 또는 오프사이트에 관계없이 승인된 액세스가 있는 안전한 환경에 유지되어야 합니다.
사내 데이터 센터는 불법 근로자와 방문자를 주시해야 합니다. 데이터 센터에 대한 액세스 권한을 부여하기 전에 정기적으로 보안 검사를 업데이트할 수도 있습니다.
데이터를 오프사이트에 보관하는 경우 스토리지 공급자가 사용하는 보안 예방 조치를 살펴보고 평판이 좋은 Magento 호스팅 서비스를 선택하십시오.
정기적으로 네트워크 모니터링 및 테스트
다섯 번째 표준 세트는 회사가 네트워크를 모니터링하고 검사하는 방법에 중점을 두고 있으며 회사에 다음을 요구합니다.
- 카드 소지자 데이터 및 네트워크 리소스에 대한 모든 액세스가 추적 및 모니터링됩니다.
- 보안 시스템 및 프로토콜을 정기적으로 평가합니다.
정보 보안 정책 유지
마지막으로 모든 시스템과 절차는 PCI DSS의 요구에 따라 정기적으로 테스트하여 보안이 유지되는지 확인해야 합니다.
그렇다면 PCI 규정 준수는 어떻게 얻을 수 있습니까?
온라인으로 카드 결제를 하거나 신용 카드 데이터를 보관하는 모든 회사 또는 조직은 PCI 준수 보안 표준 위원회를 통해 PCI를 준수해야 합니다.
기업은 일반적으로 전문 평가자 또는 회사를 고용하여 거래를 올바르게 수행하고 있는지 확인하여 매년 또는 분기마다 PCI 규정 준수를 확인해야 합니다.
그렇다면 PCI를 어떻게 준수합니까?
- 사용할 PCI 레벨을 결정하십시오. 조직에서 매년 처리하는 카드 거래의 양에 따라 4가지 수준 중 어느 수준이 할당될지 결정됩니다. PCI DSS 규정 준수에 대한 접근 방식에 영향을 미칩니다.
- 자기 평가(SAQ)를 위한 질문을 선택하십시오. 판매자 등급과 신용 카드 정보 처리 방식에 따라 7가지 유형을 유도합니다. 각 클래스는 PCI를 준수하기 위해 충족해야 하는 별도의 표준 세트를 나타냅니다.
- PCI DSS 인증 표준을 충족하는 보안 네트워크를 구축합니다. 취약점 스캐닝부터 보안 유지 및 복구에 이르기까지 모든 것을 이 방법으로 처리할 수 있습니다. 모든 무거운 작업을 처리하려면 정보 기술 계약자의 도움이 필요합니다.
- AOC(Attestation of Compliance) 양식 작성 – PCI DSS 감사 결과를 확인하는 문서입니다.
- PCI 규정 준수로 가는 길은 탐색하기 어려울 수 있습니다. 그러나 해커로부터 고객의 인식과 중요한 데이터를 보호하려면 그만한 가치가 있습니다.
Magento 상점 소유자로서 PCI DSS를 준수하는 SecurePay 플러그인을 설정할 것을 제안합니다. 소매업체의 경우 이는 처리를 위해 거래 정보를 SecurePay로 보내는 보다 비용 효율적인 방법이 될 것입니다.
게다가 PCI 규정 준수 비용이 얼마인지 걱정할 수 있습니까?
PCI 규정 준수 비용은 회사 규모, 카드 처리 절차 및 기타 고려 사항에 따라 다릅니다.
PCI DSS 규정 준수 비용은 다음 요인에 따라 소기업의 경우 연간 $300에 불과할 수 있습니다.
- 자체 평가 설문지(SAQ)에 대해 $50 – $200.
- 취약점 검색 비용은 IP 주소당 $100~$200입니다.
- 교육 및 정책 수립을 위해 직원당 약 $70.
- 수정 비용은 $100 ~ $10,000입니다(규정 준수 및 보안을 충족하는 데 필요한 작업량에 따라 다름).
주요 기업에 대한 PCI DSS 시험의 전체 비용은 다음을 포함하여 약 $70.000이 될 것으로 예상됩니다.
- 현장 감사: 약 $40,000
- 취약점 스캔 비용은 약 $1,000입니다.
- 침투 테스트를 위해 약 $15,000
- 정책 수립 및 교육에 $5,000.
- 교정(소프트웨어 및 하드웨어 업데이트 등): $10,000 – $500,000
엔터프라이즈 수준에서 PCI를 준수하는 비용은 저렴하지 않습니다. 그러나 PCI 규정 준수 수수료는 고객 정보나 회사의 장기적인 이미지를 위태롭게 할 가치가 없습니다.
마지막으로 Magento PCI 규정 준수에 대한 몇 가지 모범 사례를 제공합니다.
직원 교육
Magento PCI 규정 준수는 구현 전에 광범위한 지식과 교육을 필요로 하는 기술 요구 사항입니다.
귀하의 Magento 플랫폼이 전문가 팀에 의해 보호되고 있는지 확인하십시오.
직원 교육에 전념하거나 업계 전문가를 고용하여 Magento 규정 준수 및 보안을 지원하십시오.
자가 평가 설문지(SAQ)
소규모 소매업체를 대상으로 PCI DSS는 9개의 자체 평가 설문지를 발표했습니다.
SAQ는 보안을 평가하고 효과적인 수리 작업을 수행할 수 있는 기본 예/아니오 보안 평가 시험입니다.
평가를 완료하고 회사에 적합한 설문지를 결정한 후 규정 준수 증명을 추가할 수 있습니다.
PCI SAQ는 규정 준수 및 보안을 확인하는 역할을 합니다. 타사와 협업할 때 유리합니다.
정책 및 규정 준수 보고서 문서화
회사의 변경 사항 및 운영 프로세스를 정기적으로 문서화하여 보안 규정을 기록하십시오.
규정 준수 및 규정 준수 증명(RoC/AoC)에 대한 PCI 보고서는 보안 규정 준수 평가입니다.
자격을 갖춘 보안 평가자(QSA) 또는 자격을 갖춘 내부 평가자가 귀하의 Magento 매장이 카드 소지자 데이터를 처리하기에 안전한지 여부를 결정합니다.
정기적인 유지 보수를 수행
Magento PCI 규정 준수는 일회성 평가가 아닌 지속적인 관리 프로세스입니다.
취약성 검사를 정기적으로 수행하고 보안을 업데이트하며 규정 준수 절차를 철저히 문서화해야 합니다.
Magento 시스템 구성은 항상 변경되며, 이를 준수하지 않으면 규정 준수 제어를 상실하고 데이터 보안을 위험에 빠뜨릴 수 있습니다.
결론
인터넷 환경에서 보안 문제에 대처하는 것은 기업과 고객 모두에게 쉬운 일이 아닙니다. 따라서 Magento PCI 규정 준수는 기업이 온라인 환경에서 발생하는 위험을 줄이는 데 도움이 될 수 있습니다. 구매자가 매장에서 쇼핑할 때 더 안심할 수 있을 뿐만 아니라 고객의 신뢰를 구축하여 브랜드 이미지를 높이고 더 많은 고객을 유치할 수 있습니다. 그런 다음 Magento 매장 소유자라면 주저하지 말고 Magento PCI 준수를 구현하십시오. 무엇을 해야 할지 모르겠다면 당사 서비스인 Magento 개발을 방문하여 솔루션을 찾거나 편의를 위해 직접 당사에 문의하십시오.