ID TECH
문의
기술 게시물 전체 보기

기술 포스트

"PCI DSS 인증 리더기를 판매해 주실 수 있나요?"는 잘못된 질문입니다

ID TECH에는 결제 업계와 관련된 기술적인 질문이 많이 들어옵니다. 결제카드산업(Payment Card Industry) 요건에 대해 혼란스러워하시는 분들도 적지 않습니다. 예를 들어, "이 기기에 대한 PCI DSS 인증서를 발급해 주실 수 있나요?" 또는 "PCI 웹사이트에서 X 제품을 찾을 수 없는데, P2PE 인증을 받은 제품인가요?"와 같은 질문을 받곤 합니다.

이런 질문들은 자주 받는 편이지만, 때로는 잘못된 전제에서 비롯된 경우가 있습니다. 만약 'PCI 인증을 받지 않은 기기는 PCI 인증 기기보다 본질적으로 보안이 취약하다'는 가정에서 출발한 것이라면, 이는 사실이 아닙니다.

ID TECH는 PCI PTS SRED 인증 하드웨어(오른쪽 사진의 SREDKey, Augusta S, Spectrum Pro, SecuRED, VP8800 등)를 공급할 수 있습니다. 그러나 SRED 인증을 받지 않은 당사 기기들 역시 높은 보안 수준을 갖추고 있으며, 시장에서 개발 중인 대부분의 결제 솔루션에 활용할 수 있습니다.

PCI DSS는 하드웨어 기기만이 아니라 결제 시스템의 모든 측면에 대한 인증을 요구하는 시스템 솔루션입니다. PCI DSS에는 규정 준수 솔루션이 접근 보안 및 카드 소지자 데이터를 처리하는 방식에 관한 12가지 세부 요건이 포함되어 있습니다. 다음 항목들은 PCI 공식 문서.

통제 목표

PCI DSS 요건

요건들을 살펴보면, PCI가 솔루션 제공업체에게 특정 주변 결제 하드웨어를 솔루션에 포함하도록 요구한다는 내용은 없습니다. PCI는 주로 요건을 충족하는지 여부 에 초점을 맞추고 있으며, 방법 요구 사항을 충족하는 방법입니다. 솔루션 공급업체가 PCI DSS 인증을 취득할 때 비암호화 리더기를 사용할 수도 있지만, 그렇게 되면 시스템이 민감한 정보를 처리하는 방식에 대한 추가적인 검토를 받게 됩니다. 암호화 카드 리더기를 사용하면, 즉 가맹점이 로컬 환경이나 결제 환경 내에서 카드 데이터를 복호화할 수 없는 구조에서는, QSA(공인 보안 평가사)가 가맹점으로 하여금 요구 사항 3, 4, 9항에서 범위 축소 혜택을 실현할 수 있도록 지원할 가능성이 높습니다. (단, 실제 범위 축소 수준은 감사자가 결정합니다.)

PCI 요구 사항 중 하드웨어와 직접 관련된 항목은 극히 드뭅니다. PCI가 엄밀히 인증하는 하드웨어는 소위 PCI PTS(PIN 트랜잭션 보안) 또는 'SRED' 장치로, 이는 데이터의 보안 읽기 및 교환(SRED) 요구 사항이 적용되는 영역입니다. SRED가 아닌 장치도 SRED 장치와 동일한 암호화 기능을 갖출 수 있지만(실제로 대부분 그렇습니다), SRED 비인증 제품에는 SRED 자격 요건에 필요한 위변조 방지 메커니즘이 포함되어 있지 않습니다. (또한 PCI는 제조업체에 대해 소프트웨어의 안전한 개발 및 업그레이드 등과 관련한 엄격한 규정을 두고 있습니다. SRED 장치는 제품 생애 주기 전반에 걸쳐 보안이 유지되어야 합니다.) ID TECH의 암호화 장치는 'SRED' 장치가 아닌 경우에도 현재 인증된 다수의 PCI DSS 솔루션에 활용되고 있어 기술적으로 PCI 준수로 간주될 수 있지만, 리더기 자체가 "PCI 인증"을 받은 것은 아닙니다. PCI DSS 인증은 솔루션 전체에 적용되는 것으로, 장치 단위의 표준이 아닙니다.

P2PE

결제 업계에서는 "P2PE"(Point to Point Encryption)에 대한 오해가 흔히 존재합니다. 많은 경우, 사람들이 "P2PE"라고 말할 때 실제로는 E2EE(엔드투엔드 암호화)를 의미합니다. 가맹점이 카드 소지자 데이터를 하드웨어 수준에서 암호화하여 POS 애플리케이션으로 전달하고, 이를 (원격) 결제 게이트웨이로 전송하는 결제 시스템을 구축하는 경우, 이는 "엔드투엔드" 암호화에 해당합니다. P2PE는 공식 PCI 인증으로, 사용되는 하드웨어(SRED 장치여야 함), 배포 환경, 데이터 처리 방식(P2PE 규정 준수 필요), 결제 애플리케이션, 키 주입 및 복호화 설비 등 트랜잭션의 모든 측면을 포괄합니다. 단순히 SRED 장치를 도입하는 것만으로는 시스템이 자동으로 P2PE 규정을 준수하게 되지 않습니다.

P2PE 인증은 비용이 매우 높고 획득 사례도 드물다는 점을 이해해야 합니다. "P2PE"가 필요하다고 생각하는 대부분의 경우, 실제로는 그렇지 않습니다. 자신의 필요 사항을 충분히 검토하시기 바랍니다.

PCI 인증이나 결제 장치 보안에 대한 문의가 있으신가요? ID TECH의 기술 전문가들이 기꺼이 도움을 드립니다. 언제든지 아래로 연락 주십시오:

수신자 부담 전화번호
1-800-984-1010

이번 달 게시물은 ID TECH의 무인 솔루션 제품 관리자인 Jason Hall이 Kas Thomas의 의견을 반영하여 작성하였습니다.