brunch

You can make anything
by writing

C.S.Lewis

by Master Seo May 26. 2016

대규모인프라운영4.PCI-DSS취득하기


핀테크시대 필수 감사 금감원의 전자거래금융법 감사 무사히 통과하기, PCI-DSS인증 취득과정, 9개 카드사 제휴에 대한 경험을 공유하고자 한다.


전자금융거래법이나 PCI-DSS 등은 개인이 잘 해서 되는 업무는 아니다.

단지, 개인이 미리 여러 분야에 대해 알고 미리 준비하면  한결 수월하게 처리가 될수 있다.


협업 부서로는 보안부서, 사업부서, 개발부서, 개인정보보호부서, 인사부서, IDC 물리 인프라 관리 담당자, 서버담당자, DB담당자, 네트워크 담당자, 백업 담당자 ,  IDC시설 관리회사(호스팅업체 자료)등 회사의 거의 모든 부서가 대응해야만 잘 처리되는 부분이다.


한번이상 빡세게 해보면 노하우가 생기고, 다시 작업해야 하는 부분과 기존의 자료를 사용해도 되는 부분이 구분되는 노하우를 얻을수 있다 ^^


감사는 항상 급박하고 긴장된 시간을 보내게 되지만, 증적을 사전에 만들어 놓으면 급박함은 줄일수 있다.

감사에 문제가 되면 과징금, 회사 임원에 대한 징계까지 갈수 있는 사항이니 미리미리 준비하자~

크게 지적을 안받으면 성공이다 !! ^^


아래 글은 개인적인 경험이므로 내용중 일부는 틀릴수 있다.


자 이제 시작해보자~  

혹, 일부 문제?가 될만한 부분은 생략하도록 하겠다. ^^



1. 전자거래금융법(이하 전금법) 무사 통과하기


대상 :  여신금융사, 우체국예금ㆍ보험 체신관서 ,새마을금고,새마을금고중앙회 ,금융업 및 금융 관련 업무를 행하는 곳이 대상이다. 자세한 대상은 전자금융거래법(아래)을 참고.





신규등록

전금법 적용을 받는 기관이 심사를 신청해 받는다.


준비

1) 전자금융감독규정(아래링크)의 각각의 항목 하나하나 체크해가며 증적을 준비한다.
     Excel로 정리하면 200여 항목을 준비해야 한다 - -

2) 등록한 후에도 매년 점검을 받게 된다.

3) 점검결과에 따라 법적인 과징금이나 임원에 대한 징계까지 가게 되므로 각 항목을 모두 사전에 준비해야한다.  특히, 백업소산 증적, 재해복구 훈련 증적은 필수 문의 항목이니 미리 준비/시행해야 한다.

전금법에서 인프라부분은 데이터센터 출입도 포함한다.


전금범  점검  프로세스 

1)  사전 자료를 제출한다.

2) 방문 심사를 받는다.

3) 심사결과가 나온다.

4) 결과에 대해 다른 부분은 증적자료로 소명을 한다.

5)  지적사항에 대해 개선을 진행한다.

6) 개선사항을 다시 보고한다.

7) 완료


자료  

전자금융거래법 http://www.law.go.kr/lsEfInfoP.do?lsiSeq=167420#

전자금융감독규정 http://www.fsc.go.kr/know/law_prst_list.jsp?menu=7410200&bbsid=BBS0080&sword=&sch2=&sch_law_kind=16&sch_idx=26



2.PCI-DSS 인증 획득하기

정의 :  결제 카드 산업(PCI) 데이터 보안 표준

심사 : 글로벌 인증 심사이다.

법규 : PCI 3.2 를 따른다(2016년 기준),  엄청 많은 양의 자료와 증적을 요구한다.

일정 :  1년간 진행된다.


진행

1) PCI 3.2를 기준으로 각 담당자와 인터뷰가 진행된다.

2) 갭(GAP)에 대한 분석 보고서가 나온다.

3) 개선한다.

4) 증적자료를 제출한다.  

5) 심사를 받는다.


특이사항

서버에 파일의  변경이 일어났을때 감시하는 기능까지 요구하는 부분이 있다.

파일 변경감시하는 오픈소스를 이용하여 해결하면 된다.


참고사이트

PCI DSS 위키 https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard



3. Payment 사업을 위한  9개 카드사 제휴 하기


대상 서비스

xxx-Pay 서비스


대응

1) 국내 9개 카드사를 제휴하기위해 해당 기관의 심사 요청에 맞춰 대응해야 한다.

2) 카드사별 중점으로 보는 사항들이 있다.

3) 전자금융거래법 기준을 충족하면 크게 무리는 없다.





다음은  '인프라 업무요청 시스템'에 대해 이야기 하고자 한다.

https://brunch.co.kr/@topasvga/6

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari