Payment Card Industry Data Security Standard(PCI DSS)는 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 조직에 적용됩니다. 현재 버전인 PCI DSS v4.0.1은 맞춤형 검증 접근 방식, 대상 위험 분석, 인증, 암호화, 보안 인식에 대한 새로운 요구사항을 포함하여 중요한 변경을 도입했습니다. Self-Assessment Questionnaire(SAQ) 완료 또는 Qualified Security Assessor(QSA)와 Report on Compliance(ROC) 준비 여부와 관계없이 요구사항은 상세하며 집행은 실질적입니다.
Top Floor는 PCI DSS v4.0.1에 대한 격차 평가를 수행하고, 카드 소유자 데이터 환경(CDE) 경계를 식별하며, 우선순위와 구현 노력별로 발견사항을 다루는 교정 로드맵을 작성합니다. 네트워크 세그먼테이션, 토큰화, 범위 내 시스템 수를 최소화하는 아키텍처 결정을 통해 CDE 범위를 줄이도록 돕습니다.
이전에 모범 사례로 지정되었던 여러 요구사항이 2025년 3월 31일에 의무화되었으며 현재 완전히 시행 중입니다. 이를 해결하지 않은 조직은 평가 시 발견사항 대상이 됩니다. 현재 의무화된 요구사항에 대한 격차를 식별하고 교정 우선순위를 지정합니다.
Frameworks: PCI DSS v4.0.1, PCI Software Security Framework (SSF), PCI PIN Security
대상
- 온라인 결제를 처리하는 이커머스 플랫폼
- 결제 프로세서 및 결제 서비스 제공업체
- 카드 데이터를 다루는 POS 시스템을 보유한 소매업체
- 결제 기능을 통합하는 SaaS 기업
- 카드 거래를 발행하거나 취득하는 금융 기관
제공 내용
- PCI DSS v4.0.1 격차 평가 및 범위 검토
- 카드 소유자 데이터 환경(CDE) 경계 문서
- 범위 축소 전략(세그먼테이션, 토큰화)
- 우선순위 발견사항 포함 교정 로드맵
- SAQ 완료 지원 및 QSA 감사 준비
- PCI 특화 요구사항에 대한 정책 및 절차 개발
자주 묻는 질문
침투 테스트로 PCI DSS 컴플라이언스 강화
실제 공격 시뮬레이션으로 보안 통제를 검증하세요. OSCP 인증 전문가가 외부, 내부, 웹 앱, 모바일, API, IoT, 무선, Red Team 등 8개 분야에 걸쳐 수동 방법론 기반 테스트를 수행합니다.
침투 테스트 자세히 보기