카드 결제 PCI 준수란 무엇인가요?

PCI 준수란 PCI DSS(Payment Card Industry Data Security Standard)를 충족하는 과정입니다. 이는 주요 카드 브랜드들이 카드 데이터가 노출되거나 악용될 위험을 줄이기 위해 만든 보안 규칙입니다.

비즈니스가 신용카드나 체크카드를 취급한다면(가끔만 받더라도) PCI가 적용될 수 있습니다. 여기에는 대면 결제, 온라인 결제(체크아웃), 모바일 리더기, 가상 단말기, 그리고 때로는 정기 결제(반복 과금)도 포함됩니다.

대부분의 소규모 비즈니스에서 PCI 준수는 보통 승인된 결제 도구를 사용하고, 카드 데이터가 여러분의 시스템에 닿을 수 있는 범위를 제한하며, 장치와 소프트웨어를 최신 상태로 유지하고, 결제 처리자나 은행이 요청하는 양식을 작성하는 것을 의미합니다. 정확한 단계는 카드 수용 방식에 따라 달라집니다.

NodeBridge IT는 PCI 준수 서비스를 제공하지 않으며 여러분의 시스템에 접근하지도 않습니다. 저희는 일반적인 교육을 제공하며, 옵션을 이해하는 데 도움이 필요하다면 독립적인 관리형 IT 서비스 제공업체(MSP, Managed IT services provider)를 찾는 것을 도와드릴 수 있습니다.

PCI가 중요한 이유는 카드 데이터가 민감하기 때문입니다. 결제 정보가 부주의하게 처리되면 사기, 승인 취소(차지백), 계정 문제, 결제 파트너로부터의 제재, 그리고 긴 정리(복구) 과정으로 이어질 수 있습니다. 그 누구도 “해킹 불가능한 네트워크”를 약속할 수는 없지만, 좋은 실천은 위험을 줄일 수 있습니다.

또한 결제 처리자(카드 결제 대행사), 머천트 서비스 회사, 매입 은행(acquiring bank), 카드 파트너가 여러분에게 PCI 상태를 확인해 달라고 요구할 수 있기 때문이기도 합니다. 쉽게 말해, 카드 데이터를 더 안전하고 통제된 방식으로 다루는지 알고 싶어 한다는 뜻입니다.

소규모 비즈니스 운영자 입장에서는 대개 기술적인 목표보다는 실용적인 목표가 더 중요합니다. 노출을 줄이는 결제 방식을 쓰고, 시스템을 잘 관리하며, 꼭 필요한 강한 이유가 없으면 카드 번호를 저장하지 않는 방식으로 설계를 피해야 합니다.

어디서부터 시작해야 할지 잘 모르겠다면, 저희 답변 페이지에서 일상적인 언어로 흔한 IT 및 보안 주제를 다룹니다.

결제 구성에 따라 일이 간단할 수도, 더 복잡할 수도 있습니다. 예를 들어 단독 카드 단말기(스탠드얼론 터미널)를 쓰는 커피숍은, 통합 시스템을 사용하는 클리닉, 판매점(리테일러), 온라인 스토어와는 PCI 부담이 보통 매우 다릅니다.

고객을 호스팅된 체크아웃 페이지로 안내하는 비즈니스는 범위가 더 작을 수 있습니다. 여기서 범위란 카드 데이터에 영향을 줄 수 있는 사람, 장치, 시스템, 프로세스를 뜻합니다. 범위가 작을수록 요구사항도 대체로 줄어듭니다.

사무실 컴퓨터에 카드를 입력하고, 결제 정보를 저장하며, 전자상거래 사이트를 운영하거나, 결제 도구를 다른 비즈니스 시스템과 연결하는 비즈니스는 범위가 더 클 수 있습니다. 보통 그러면 문서화가 더 필요하고, 통제가 더 늘어나며, 지속적인 관심도 더 요구됩니다.

요구사항은 업종과 주(지역), 결제 파트너의 규칙에 따라서도 달라질 수 있습니다. PCI는 HIPAA와도 다릅니다. HIPAA는 의료 데이터에 대한 미국의 건강 보험 이동성 및 책임에 관한 법률(Health Insurance Portability and Accountability Act)이며, PCI는 은행 수수료에 대한 규칙이 아니라 결제 카드 보안 요구사항을 의미합니다. 여기서 말하는 PCI는 결제 카드 보안 요구사항입니다.

좋은 PCI 실천은 보통 복잡성을 줄이는 것부터 시작합니다. 많은 소규모 비즈니스는 카드 데이터가 가능하면 자기 컴퓨터와 네트워크에 닿지 않도록 카드 결제용으로 평판이 좋은 도구를 쓰는 편이 더 낫습니다. 카드 데이터에 연결되는 시스템이 적을수록 관리해야 할 것도 줄어듭니다.

또한 좋은 것은 기본적인 IT 관리 규율을 뜻합니다. 업무용 장치를 최신 상태로 유지하세요. 더 이상 지원되지 않는 오래된 라우터, 컴퓨터, 결제 하드웨어는 교체해야 합니다. 강력하고 고유한 비밀번호를 사용하고, 가능할 때 결제 및 관리자 계정에 MFA(다중 요소 인증, multi-factor authentication)를 사용하세요.

직원이 결제 시스템에 접근할 수 있는 컴퓨터를 사용한다면, 그 장치는 신중하게 관리되어야 합니다. 여기에는 보안 및 소프트웨어 업데이트를 설치하는 패치 적용이 포함될 수 있고, 바이러스 백신 또는 더 고급의 EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응) 도구를 사용하며, 명확한 사용자 권한을 설정하는 것도 포함될 수 있습니다. 엔드포인트는 노트북, 데스크톱, 휴대폰처럼 여러분의 비즈니스 시스템에 연결되는 어떤 장치든 의미합니다.

문서화도 중요합니다. 결제를 누가 담당하는지(벤더), 누가 결제 도구에 접근할 수 있는지, 영수증과 리포트가 어디에 저장되는지, 그리고 무언가 이상해 보일 때 어떻게 해야 하는지를 알아두어야 합니다. 탄탄한 제공업체는 백업을 어떻게 생각해야 할지도 도와줄 수 있습니다. “3-2-1 백업”이라는 표현을 들어볼 수 있는데, 이는 중요한 데이터를 3개의 복사본으로 만들고, 2가지 종류의 저장장치에 나누어 보관하며, 그중 1개는 오프사이트(offsite)에 보관한다는 의미입니다. 이 방식이 카드 데이터 저장을 “그 자체로” 안전하게 만들어주지는 않지만, 건강한 비즈니스 운영의 일부입니다.

MSP(관리형 IT 서비스 제공업체, managed IT services provider)는 PCI 주변의 기술적인 측면을 이해하는 데 도움을 줄 수 있습니다. 예를 들어 환경을 점검하고, PCI 범위를 줄이는 데 기여하며, 장치 관리를 개선하고, 결제 벤더와의 조율을 돕고, 정기 작업이 누락되지 않도록 확인하는 것 등이 포함될 수 있습니다.

또한 RMM과 vCIO 같은 용어를 들을 수 있습니다. RMM은 원격 모니터링 및 관리(remote monitoring and management)이며, 많은 제공업체가 업무용 컴퓨터의 장치 상태를 추적하고 업데이트를 처리하기 위해 사용하는 소프트웨어입니다. vCIO는 가상 최고정보책임자(virtual Chief Information Officer)로, 상근 IT 리더십이 없는 비즈니스를 위해 IT 계획과 우선순위를 세우는 데 도움을 주는 사람을 뜻합니다.

일부 제공업체는 서비스 조건을 이해하는 것도 도와줍니다. 예를 들어 SLA는 서비스 수준 계약(service level agreement)입니다. 응답 목표, 포함되는 항목, 포함되지 않는 항목을 설명합니다. 이는 “무중단을 보장”하거나 “완벽한 보안”을 약속하는 문구는 아닙니다.

NodeBridge IT는 MSP가 아니며 여러분의 시스템을 관리, 모니터링, 보안 처리, 수리, 접근하지 않습니다. 지원이 필요하시면, 여러분의 규모, 필요, 지역에 맞는 독립적인 제공업체를 연결해 드릴 수 있습니다.

먼저 한 가지 기본 질문부터 시작해 보세요. “현재 카드 데이터는 제 비즈니스에서 어떻게 이동하나요?” 고객이 결제하는 모든 장소, 관련된 모든 장치, 그리고 그 결제를 건드리는 모든 벤더를 목록으로 적어보세요. 이 한 가지 작업만으로도 많은 부분이 한눈에 정리되는 경우가 많습니다.

그다음, 결제 처리자나 은행이 완료하길 요구하는 항목을 확인하세요. 보통 설문지나 포털을 제공합니다. 질문이 헷갈린다면, 소규모 비즈니스 환경을 이해하는 독립적인 IT 제공업체와 상의할 시점일 수 있습니다.

여러분이 보안 전문가가 될 필요는 없습니다. 다만 결제 구성, 지원되는 도구, 그리고 필요할 때의 현실적인 도움(어떤 도움을 받을 수 있는지)에 대한 명확한 그림은 필요합니다. 원하시면 독립적인 관리형 IT 제공업체와 매칭해 드릴 수 있습니다. 저희의 매칭 서비스는 비즈니스를 대상으로 무료이며, 기본 비즈니스 및 연락처 정보만 수집합니다.