PDF 버전 열기
PCI-DSS 요구 사항을 지원하기 위해 인프라 및 프로세스를 평가하세요.
새로운 PCI-DSS 4.0 요건에 대한 주요 업데이트 및 일정
PCI-DSS 4.0은 카드 소유자 데이터의 보안을 강화하기 위한 업데이트를 도입하여 결제 카드 업계의 현재 위험과 기술 발전을 해결합니다. 이 개정안을 통해 조직은 보안 목표를 준수하고, 다단계 인증을 카드 소유자 데이터 환경의 모든 액세스로 확장하고, 모든 네트워크에서 암호화를 강화하는 등 맞춤형 보안 조치를 채택할 수 있습니다. 또한 지속적인 위험 분석 및 완화, 보안 사고를 적시에 감지하고 대응할 수 있는 역량 개선이 더욱 강조됩니다. 이러한 새로운 요구 사항에는 전환 기간이 있어 조직이 기존 표준을 준수하면서 새 버전을 채택할 시간을 가질 수 있습니다.
CISO가 최신 PCI-DSS 업데이트에 우선순위를 두어야 하는 이유
이러한 업데이트된 표준을 준수하는 것은 규정 준수 유지뿐만 아니라 새롭게 등장하는 사이버 위협과 위험으로부터 보호하는 데에도 매우 중요합니다. 이러한 표준을 구현함으로써 조직은 위반에 대한 탄력성을 확보하여 평판을 보호하고 규정 미준수로 인해 발생할 수 있는 막대한 벌금을 피할 수 있습니다.
DSS 4.0 발효일: 2024년 3월, 2025년 3월까지 실현.
PCI-DSS 4.0은 지속적인 보안 프로세스를 일상적인 비즈니스 운영에 통합하는 것의 중요성을 강조합니다.
규정 준수는 일회성으로 끝날 수 없습니다 assessment. 이러한 접근 방식은 조직 내에서 보안 인식과 사전 예방적 위험 관리 문화를 조성하는 임무를 맡은 CISO에게 필수적입니다. 또한 PCI-DSS 4.0을 도입하면 안전한 결제 환경을 뒷받침하는 강력한 보안 인프라를 구축하여 비즈니스 가치를 창출하는 데 도움이 됩니다.
개발자가 규정을 준수하는 소프트웨어를 제공할 준비가 되어 있나요?
개발자는 소프트웨어 보안의 우수성을 달성하는 데 있어 필수적인 역할을 하지만 종종 활용도가 낮습니다. 개발자는 PCI DSS 4.0의 광범위한 그림과 소프트웨어 빌드에 대한 기본 접근 방식의 일부로 제어 및 통합할 수 있는 사항을 이해하는 것이 중요합니다.
PCI DSS의 요구 사항 6은 보안 소프트웨어 개발 및 유지 관리에 대한 기대치를 설명합니다.
여기에는 보안 개발 표준부터 개발자 교육, 구성 및 변경 제어 관리에 이르기까지 다양한 항목이 포함됩니다. 카드 소지자 데이터 네트워크(CHD)에서 사용되는 소프트웨어를 개발하는 모든 조직은 이러한 의무를 준수해야 합니다.
요구 사항 6.2.2에 설명된 대로 맞춤형 및 사용자 지정 소프트웨어를 개발하는 소프트웨어 개발 담당자는 12개월에 한 번 이상 다음과 같이 교육을 받습니다:
- 직무 및 개발 언어와 관련된 소프트웨어 보안에 대해 설명합니다.
- 안전한 소프트웨어 설계 및 보안 코딩 기술을 포함합니다.
- 소프트웨어의 취약점을 탐지하기 위한 보안 테스트 도구를 사용하는 방법을 포함합니다.
이 표준은 교육에 최소한 다음 항목이 포함되어야 한다고 명시하고 있습니다:
- 사용 중인 개발 언어
- 안전한 소프트웨어 설계
- 보안 코딩 기술
- 코드의 취약점을 찾기 위한 기술/방법 사용
- 이전에 해결된 취약점의 재유입을 방지하는 프로세스
또한 개발자는 모든 공격 기법(요구 사항 6.2.4.에 설명되어 있습니다.)을 숙지해야 합니다. 여기에는 예시로 제공되는 공격 범주 목록이 포함되어 있습니다:
- SQL, LDAP, XPath 또는 기타 명령, 매개변수, 개체, 결함 또는 인젝션 유형 결함을 포함한 인젝션 공격.
- 버퍼, 포인터, 입력 데이터 또는 공유 데이터를 조작하려는 시도를 포함하여 데이터 및 데이터 구조에 대한 공격.
- 취약하거나 안전하지 않거나 부적절한 암호화 구현, 알고리즘, 암호 모음 또는 작동 모드를 악용하려는 시도를 포함하여 암호화 사용에 대한 공격입니다.
- API, 통신 프로토콜 및 채널, 클라이언트 측 기능 또는 기타 시스템/애플리케이션 기능 및 리소스의 조작을 통해 애플리케이션의 특징과 기능을 악용하거나 우회하려는 시도를 포함한 비즈니스 로직에 대한 공격입니다. 여기에는 크로스 사이트 스크립팅(XSS) 및 크로스 사이트 요청 위조(CSRF)가 포함됩니다.
- 식별, 인증 또는 권한 부여 메커니즘을 우회하거나 악용하려는 시도 또는 이러한 메커니즘 구현의 취약점을 악용하려는 시도를 포함하여 액세스 제어 메커니즘에 대한 공격.
- 취약점 식별 프로세스에서 확인된 "고위험" 취약점을 통한 공격, 규정 6.3.1에 정의된 대로.
PCI-DSS 4.0 규정 준수에 Secure Code Warrior 도움이 되는 방법
가장 효과적인 교육 옵션은 규정 준수가 중요한 보안 코드 학습 프로그램의 부산물이 되는 애자일( learning platform )입니다. 특히 Secure Code Warrior 을 통해 취약성을 줄이고 개발자의 생산성을 높일 수 있습니다:
- 지식의 격차를 해소하고 개발자가 사용하는 언어와 프레임워크에 대한 정확한 교육을 제공함으로써 PCI 데이터를 안전하게 보호하는 방법에 대한 견고하고 일관된 이해를 제공합니다. 자세히 알아보기 Learning Platform.
- 지속적이고 측정 가능하며 확립된 기술 검증 프로세스를 제공하여 교육이 제대로 흡수되고 실무에 적용되었는지 확인합니다. 개발자를 위한 준비된 보안 코드 교육 경로에 대해 자세히 알아보세요.
- 적시에 상황에 맞는 마이크로버스트 학습을 제공하는 애자일 학습 방법을 통해 교육을 실시합니다. 일반적이고 빈번하지 않은 교육은 더 이상 실행할 수 없으며 취약성 감소에 원하는 영향을 미치지 못합니다. 지원되는 취약점에 대해 자세히 알아보세요.
- 보안 교육 및 코딩 표준을 문서화하는 데 도움을 주며, PCI-DSS 감사 시 규정 준수를 입증하는 데 유용합니다. PCI-DSS 4.0에 대한 자세한 분석은 백서 PCI DSS 4.0의 모든 것에서 확인할 수 있습니다.
PDF 버전 열기