최근, Stripe가 직접적으로 카드 정보를 다루지 않고 클라이언트 내에서 자체적으로 토큰을 생성하는 등, 한국에 있는 결제 모듈과는 다른 방식을 채택을 하고 있다고도하고, 좀 더 보안적이라고 해서 PCI 컴플라이언스에 더 잘 충족한다는 말들 들었다.
단순히 결제 모듈 받아 쓰는 입장에선 알 필요가 없다만, 궁금해서 알아보기로 했다.
PCI DSS가 뭔데 ?
닷컴 버블 때, 웹으로 어떻게든 돈을 벌어보려고 카드 정보를 받았는데 이 때의 분위기가 HTML 개발자도 고액으로 데려가던 분위기라, 사용자의 보안같은 건 신경도 안 쓰던 때였다. 신용 카드사는 이를 막기 위해서 제각기 나름대로 보안책을 만들어서 웹 마스터들에게 요구했다.
당연히 신용 카드가 한 둘이겠는가, 도량형 통일 하듯 기준을 통일할 필요가 생겼다. 2006년 매출이 큰 5개의 신용 카드사가 모여서 카드 데이터를 안전하게 처리하기 위한 기준이 만들어졌다. 이 기준을 PCI DSS (Payment Card Industry Data Security Standards) 라고 한다.
구체적으로 PCI DSS에 무슨 내용이 있는지는 다음 사이트에서 확인할 수 있다.
대략적으로 아래와 같이 구분되는 조건들이 있으며 이 조건을 통과하려고 심사도 받는다고 한다.
돈이 오고가는 큰 회사 운영하기가 이렇게 어렵다는 걸 간접적으로 알게되네요.
1) PCI PTS = 하드웨어 설계자가 지켜야 할 점
2) PCI PA-DSS = 소프트웨어 개발자가 지켜야 할 점
3) PCI DSS = 민감정보 취급하는 모든 사람이 지켜야 할 점
4) PCI P2PE = 민감정보는 처음부터 끝까지 무조건 암호화
사업체에게 있어 pci dss가 가지는 의미는 의외로 aws 규정 준수 페이지에 잘 쓰여 있다.
PCI 규정 준수 – Amazon Web Services(AWS)
고객 ASV(Approved Scanning Vendor) 스캔이 AWS API 엔드포인트에서 TLS 1.0을 식별하는 경우, 이는 API에서 TLS 1.1 이상뿐만 아니라 여전히 TLS 1.0도 지원함을 의미합니다. PCI 범위 내 AWS 서비스 중 일부는 비 P
aws.amazon.com
이러한 규정을 기업 내에서 일일히 작성하는 것도 방법이겠으나 퍼블릭 클라우드를 사용하고 있다면 의외로 손을 줄일 수도 있다.
심지어 aws에서는 자사의 클라우드를 이용하는 고객들을 위해서 pci css등 각종 보안 규정에 대한 심사를 통과하기 위한 보고서를 온디맨드로 제공하는 aws Artifact라는 서비스도 제공한다.
reference)
www.pentasecurity.co.kr/column/what-is-pci-dss/
'미분류 > 💰 Import, fin-tech' 카테고리의 다른 글
| 아임포트로 손쉽게 결제 구현하기 (0) | 2021.05.08 |
|---|---|
| 전자 결제 서비스 제공 업체 탐색 (0) | 2021.03.31 |
| 아임포트 인증 결제(일반적인 결제) in Web (0) | 2021.02.01 |
| 그래서 무슨 PG를 써야 하나 (0) | 2021.02.01 |
| 결제 프로세스에 대하여 (이것이 k-결제 프로세스이다) (0) | 2021.02.01 |
