Payment Card Industry Data Security Standard (PCI DSS) Auditing and Compliance

Any business that transmits, processes or stores cardholder data must comply with the PCI DSS. Thales eSecurity can help simplify the compliance effort

PCI DSS Requirements

Merchants, banks, payment service providers, and other parties that play a role in processing credit and debit card payments must protect the privacy of account data—both to meet core business goals and to fulfil obligations under the Payment Card Industry Data Security Standard (PCI DSS). The standard defines strict compliance requirements for the processing, storage, and transmission of account data. PCI DSS compliance must be validated periodically, and failure to comply can result in fines or even the termination of the ability to process card payments.

Thales eSecurity can help organizations working with cardholder data to comply with several aspects of PCI DSS compliance, including those relating to data encryption, access control, authentication, monitoring and auditing.

PCI DSS

Download our PCI Compliance & Data Protection for Dummies book.

Check out our Top 10 keys to PCI DSS success.

Check out our Top 10 actions to avoid common PCI DSS pitfalls.

6개의 핵심 원칙에 대한 200회 이상의 테스트

PCI DSS 표준 (www.pcisecuritystandards.org) 은 12개의 일반 보안 영역에 속한 6개의 핵심 원칙에 대해 200회 이상의 평가를 받을 것을 요구하고 있습니다. 이 테스트는 광범위하고 보편적인 보안 사례와 암호화, 키 관리 및 기타 데이터 보호 기법 등의 기술이 포함됩니다.

PCI DSS 감사 및 규제 준수와 관련된 위험
  • 해당 규제를 준수하지 않으면 벌금이 부과되거나 요금이 인상되고, 심지어 신용 카드 처리 자격을 상실할 수도 있습니다.
  • Complying with the PCI DSS cannot be considered in isolation; organizations are subject to multiple security mandates and data breach disclosure laws or regulations. On the other hand, PCI compliance projects can easily be side-tracked by broader enterprise security initiatives.
  • Guidance and recommendations linked to PCI DSS requirements include common practices that are likely to be already in place. However some aspects, specifically those associated with encryption, might be new to the organization and implementations can be disruptive, negatively impacting operational efficiency if not designed correctly.
  • It is all too easy to end up with a fragmented approach to security based on multiple proprietary vendor solutions and inadequate technologies that are expensive and complex to operate.
  • Opportunities exist to reduce the scope of PCI DSS obligations and therefore reduce cost and impact; however, organizations can waste time and money if they do not exercise care to ensure that new systems and processes will in fact be accepted as compliant.
통합된 규제 준수 솔루션

수십 년 동안 은행 및 금융 기관들이 업계 규제를 준수할 수 있도록 지원해 온 경험을 바탕으로, Thales eSecurity는 저장된 카드 명의자 데이터를 보호하고, 전송 시 데이터를 암호화하며, 필요한 정보만 액세스하도록 해주는 통합 제품 및 서비스를 제공합니다. 이외에도, Thales는 파트너들과의 밀접한 협력을 통해 규제 준수 부담 범위를 감소시키는 포괄적인 솔루션을 제공합니다.

PCI DSS의 6가지 핵심 원칙 충족

Thales eSecurity는 기업이 PCI DSS의 6가지 핵심 원칙을 충족할 수 있도록 해주는 포괄적인 솔루션을 제공합니다.

  • 카드 명의자 데이터 보호. 카드 명의자 데이터 보호 규제 준수를 위해서는 공공 네트워크로 흘러 들어가는 카드 명의자 데이터에 대한 암호화와 저장된 카드 명의자 데이터에 대한 보호가 필요합니다. 이는 트랜잭션 시점부터 시작됩니다. Thales eSecurity nShieldpayShield HSM은 선두적인 모바일 기기 결제 승인 (mPOS) 솔루션은 물론 선두적인 결제 데이터 보호 솔루션과 협력하여, 기업들이 카드 명의자 데이터를 보호하고 PCI DSS 규제를 준수할 수 있도록 지원합니다. 또한, 가맹점은 트랜지션 중인 데이터를 보호하기 위한 네트워크 암호화 및 SSL/TLS 암호화, 스토리지 및 데이터베이스 암호화를 위한 Vormetric Transparent Encryption, Vormetric Application Encryption, Vormetric Tokenization with Dynamic Masking 그리고 저장 데이터 보호와 범위 감소를 위한 점대점 암호화 등의 기술을 구현할 필요가 있습니다.
  • 강력한 액세스 제어 조치 구현. 모든 데이터 보호 기법은 액세스 제어와 함께 실행되어야 합니다. PKI와 디지털 인증서와 같은 암호화 기법들은 비밀번호 급 보안 수준을 넘어가는 사용자 및 시스템 인증에서 광범위하게 사용됩니다. 이외에도, 필요한 경우에만 암호화된 데이터에 액세스할 수 있도록 해주는 암호화 키 액세스 제어를 위해 Vormetric Data Security ManagerVormetric Encryption Key Management는 강력한 추가적인보안 단계를 제공합니다.
  • 보안 네트워크 구축 및 유지관리. 네트워크 레벨 암호화 외에, 네트워크 보안에서 중요한 또 다른 요소는 네트워크 장치들에 대한 강력한 인증입니다. 장치 레벨에서 디지털 크리덴셜을 사용하는 경우가 늘고 있습니다. 이는 기업 PKI를 위한 중요한 보안 고려사항입니다.
  • 네트워크에 대한 규칙적인 모니터링 및 테스트. Control and monitoring of all network access to sensitive data, including that by privileged users, must be underpinned by PCI-compliant audit logs. Vormetric Transparent Encryption provides logging of access at the file-system level, supporting log storage in the Vormetric Data Security Manager, in an organization’s security information and event management (SIEM) system, or in another log collection solution.
  • 취약성 관리 프로그램 유지. 악성 코드를 주입하여 비즈니스 애플리케이션을 와해시키는 것을 목적으로 하는 지능형 지속 공격의 등장으로, 디지털 서명코드 서명의 사용이 비즈니스 시스템과 애플리케이션 소프트웨어의 무결성과 진정성을 입증하는 하나의 방법으로 주목 받고 있습니다.
  • 정보 보안 정책 유지. PCI DSS는 내부 공격의 위험을 최소화하기 위해 직원들 간에 책임을 명확히 구분하는 것에 큰 주안점을 둡니다. Vormetric Data Security Manager는 이러한 구분을 지원하며, 규제 준수 사실을 입증해주는 신뢰할 수 있는 이벤트 기록을 생성하는데 필요한 강력한 메커니즘을 제공합니다.

eBooks : PCI Compliance & Data Protection for Dummies

If your business relies on card payments and faces the challenge of maintaining ongoing compliance with PCI DSS, this book is for you. It explains the requirements for protecting account data, controlling access to the data and the associated monitoring and logging activities that you need to adopt. Ultimately the book acts as a valuable and practical reference guide that you can come back to time and again to assist with your ongoing compliance and help you avoid the common pitfalls that can lead to serious data breaches or failed audits.

Download

Research and Whitepapers : Using Encryption and Access Control for PCI DSS 3.0 Compliance in AWS

Compliance and security continue to be top concerns for organizations that plan to move their environment to cloud computing. Besides that, achieving PCI compliance is not a simple task....

Download

Research and Whitepapers : Vormetric Data Security: Complying with PCI DSS 3.0 Encryption Rules

This white paper outlines how to use Vormetric Transparent Encryption to meet PCI DSS 3.0 Requirements with Data-at-Rest Encryption, Access Control and Data Access Audit Logs in traditional server, virtual, cloud and big data environments....

Download

Research and Whitepapers : Fortrex: Evaluation of the Vormetric Token Server

Fortrex Qualified Security Assessor (QSA) evaluated the Vormetric Token Server, and determined when properly implemented and configured within a secured cardholder environment, it can reduce the scope of the systems included in the scope of a PCI DSS assessment. They also qualified that the solution can be leveraged to tokenize other sensitive data within a corporate environment. Fortrex detailed their evaluation process in their white paper, Evaluation of the Vormetric Token Server.

Download

인터랙티브 동영상 시청하기 자세히 보기
라이브 데모 예약하기 예약하기
전문가와 상담하기 연락하기