11.전자금융거래법 통과와 PCI-DSS취득하기

핀테크시대 필수 감사 금감원의 전자거래금융법 감사

PCI-DSS인증 취득

9개 카드사 제휴에 대한  경험을 요약 한다.

전자금융거래법이나 PCI-DSS 등은 개인이 잘 해서 되는 업무는 아니다.

단지, 개인이 미리  알고 미리 준비하면  한결 수월하게 처리가 될수 있다.

업무 부서로는 보안부서, 사업부서, 개발부서, 개인정보보호부서, 인사부서, IDC 물리 인프라 관리자,

서버담당자, DB담당자, 네트워크 담당자, 백업 담당자 ,  IDC시설 관리회사(호스팅업체 자료)등 회사의 거의 모든 부서가 대응해야만 잘 처리되는 부분이다.

점검을 받고 나면, 다시 작업해야 하는 부분과 기존 자료를 사용해도 되는 부분이 구분되는 노하우를 얻을수 있다 ^^  

50%는 전금법 내용으로 커버 된다.

감사는 항상 급박하고 긴장된 시간을 보내게 되지만, 증적을 사전에 만들어 놓으면 급박함은 줄일수 있다.

감사에 문제가 되면 과징금, 회사 임원에 대한 징계까지 갈수 있는 사항이니 미리미리 준비하자~

크게 지적을 안받으면 성공이다 !!

아래 글은 개인적인 경험이므로 내용중 일부는 틀릴수 있다.

자 이제 시작해보자~  

혹, 일부 문제?가 될만한 부분은 생략하도록 하겠다. ^^

<1> 전자거래금융법(이하 전금법) 무사 통과하기

<2>  전자금융거래법 보다 빡센 PCI-DSS 인증 획득하기

<3> Payment 사업을 위한  9개 카드사 제휴 하기

<1> 전자거래금융법(이하 전금법) 무사 통과하기

1

대상 :  여신금융사, 우체국예금ㆍ보험 체신관서 ,새마을금고,새마을금고중앙회 ,금융업 및 금융 관련 업무를 행하는 곳이 대상이다. 자세한 대상은 전자금융거래법(아래)을 참고.

2

신규등록

전금법 적용을 받는 기관이 심사를 신청해 받는다.

3

준비

1) 전자금융감독규정(아래링크)의 각각의 항목 하나하나 체크해가며 증적을 준비한다.
     Excel로 정리하면 200여 항목을 준비해야 한다 - -

2) 등록한 후에도 매년 점검을 받게 된다.

3) 점검결과에 따라 법적인 과징금이나 임원에 대한 징계까지 가게 되므로 각 항목을 모두 사전에 준비해야한다.  특히, 백업소산 증적, 재해복구 훈련 증적은 필수 문의 항목이니 미리 준비/시행해야 한다.

전금법에서 인프라부분은 데이터센터 출입도 포함한다.

4

전금범  점검  프로세스 

1)  사전 자료를 제출한다.

2) 방문 심사를 받는다.

3) 심사결과가 나온다.

4) 결과에 대해 다른 부분은 증적자료로 소명을 한다.

5)  지적사항에 대해 개선을 진행한다.

6) 개선사항을 다시 보고한다.

7) 완료

5

자료  

전자금융거래법 http://www.law.go.kr/lsEfInfoP.do?lsiSeq=167420#

전자금융감독규정 http://www.fsc.go.kr/know/law_prst_list.jsp?menu=7410200&bbsid=BBS0080&sword=&sch2=&sch_law_kind=16&sch_idx=26

<2>  전자금융거래법 보다 빡센 PCI-DSS 인증 획득하기

1

정의 :  결제 카드 산업(PCI) 데이터 보안 표준

심사 : 글로벌 인증 심사이다.

법규 : PCI 3.2 를 따른다(2016년 기준),  엄청 많은 양의 자료와 증적을 요구한다.

일정 :  1년간 진행된다.

2

진행

1) PCI 3.2를 기준으로 각 담당자와 인터뷰가 진행된다.

2) 갭(GAP)에 대한 분석 보고서가 나온다.

3) 개선한다.

4) 증적자료를 제출한다.  

5) 심사를 받는다.

3

특이사항

서버에 파일의  변경이 일어났을때 감시하는 기능까지 요구하는 부분이 있다.

파일 변경감시하는 오픈소스를 이용하여 해결하면 된다.

4

참고사이트

PCI DSS 위키 https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

<3> Payment 사업을 위한  9개 카드사 제휴 하기

1

대상 서비스

xxx-Pay 서비스

2

대응

1) 국내 9개 카드사를 제휴하기위해 해당 기관의 심사 요청에 맞춰 대응해야 한다.

카드사마다 양식이 틀리다. 양식은 좀 통일 시켜줬으면 좋겠다.  

PPT몇백장 작성해 달라는곳도 있고 - -

대부분은 방문하여 심사를 한다.

1곳은 와서 심사를 받으라고 해서 갔다.

2) 카드사별 중점으로 보는 사항들이 있다.

카드사마다 중요하게 보는게 다르다.  담당자 전공이 다르기 때문이다.

인적 보안문제를 중요시 하는곳도 있다.

3) 전자금융거래법 기준을 충족하면 크게 무리는 없다.

내용은 전자금융 거래법과 다를게 없는데 양식만 다르다.

다음

페이스북 서버를 한번 보자~

https://brunch.co.kr/@topasvga/71

12.Facebook 서버와 OCP기술 보기

감사합니다.