최근 몇 년 동안 신용카드 정보를 노린 해킹이나 카드 분실 및 도난사고가 증가하면서 고객 정보를 보호하고, 보안사고로 인한 카드회사와 은행들의 잠재적인 손실을 최소화하기 위해 비자, 매스터카드사는 PCI DSS(Payment Card Industry Data Security Standard) 기준을 제정하였고 카드 가맹점이 의무적으로 시행해야 되는 두 가지 사항을 요구하고 있다. 두 가지의 의무사항은 자가 진단서(self assessment questionnaire)와 시스템 점검(scan)으로 오늘은 이들에 대해 알아보도록 하겠다.

첫째, 자가 진단서는 카드거래를 하고 카드 데이터를 전송, 보관, 처리하는 모든 카드 가맹점들이 직접 보안상태를 점검하여 작성하는 것으로 해당 카드 프로세싱 회사에 정기적으로 보고해야 한다. 자가 진단서는 카드를 받는 방식과 거래량에 따라 총 4가지로 구분이 되며, 카드 가맹점이 해킹이나 정보 유출 등으로 새로운 문제가 생기거나 카드 시스템이 새로 업데이트가 되면 해당 자가진단서 종류가 바뀔 수 있으므로 가맹점은 현재 어떤 형태의 진단서를 사용해야 되는지 인지하고 있어야 한다.

둘째, 고객 정보와 카드 거래 정보를 스캔하는 시스템 점검으로 모든 카드 가맹점들은 분기별로 시스템 점검을 시행해야 한다. 이 점검은 비자와 매스터카드사에서 인증 받은 회사를 통해서만 가능하며 시스템 점검 리포트는 해당 카드 프로세싱 회사를 통해 비자와 매스터카드사에 제출해야 한다.

가맹점들에게 공통적으로 요구되는 자가 진단서와 시스템 점검이 기준치에 미달하여 통과되지 않을 경우, 비자와 매스터카드가 인정한 기간 안에 시정을 하겠다는 계획서와 그 동안 카드 소유자들의 정보를 보호할 수 있는 방법들에 대한 계획서를 다시 제출해야 한다.
(213)365-1122


패트릭 홍 / 뱅크카드 서비스