네트워크 세분화 및 PCI 규정 준수

PCI DSS(Payment Card Industry Data Security Standard) 규정 준수 여정의 범위를 공식화할 때 출발점은 네트워크 세분화에서 시작됩니다. 여기에는 데이터 보안 요구 사항에 중점을 둔 컨트롤을 만드는 것뿐입니다.

PCI 네트워크 분할 표준을 충족하려면 먼저 표준의 목적과 목적을 이해해야 합니다.

카드 소지자 데이터 환경(CDE)이란 무엇입니까?

PCI DSS는 카드 소지자 데이터(CHD)를 개인의 직불 카드 또는 신용 카드와 관련된 개인 식별 데이터로 설명합니다. 이 정의에는 PAN(기본 계정 번호)과 서비스 코드, 카드 소유자 이름, 만료 날짜 및 기타 민감한 카드 인증 데이터도 포함됩니다. 간단히 말해서, CDH는 개인의 카드에 사기성 청구를 하거나 신원을 도용하는 데 사용할 수 있는 모든 정보로 구성됩니다.

카드 소지자 데이터 환경은 이 정보의 처리, 저장 또는 전송과 관련된 컴퓨터 또는 네트워크 시스템으로 구성됩니다. CDH에는 서버, 네트워크 장치, 컴퓨팅 장치 및 응용 프로그램과 같은 관련 시스템 구성 요소가 포함됩니다. 이는 가상 구성 요소, 보안 서비스, 네트워크 구성 요소, 응용 프로그램, 서버 유형 및 CDE에 연결된 기타 모든 것일 수 있습니다. 시스템이나 직원이 CHD에 액세스할 수 있는 경우 이를 회사의 다른 측면과 분리해야 합니다.

PCI DSS 및 네트워크 세분화

네트워크 세분화는 정보가 시스템을 통해 전송되는 방식을 살펴보는 것을 수반합니다. CDE는 강으로, 카드 소지자 데이터는 급류를 항해하는 카누로 봐야 합니다. 강에는 일반적으로 보트에 대한 여러 액세스 지점이 있습니다. 마찬가지로 네트워크에는 다양한 데이터 액세스 지점이 있습니다. 그들은 지류가 연결된 강과 같습니다. CHD가 네트워크 내의 경로를 따라 떠다닐 수 있는 한 댐을 건설하거나 해당 지류를 보호해야 합니다.

예를 들어 연결은 PCI DSS에 의해 무선, 가상화 및 물리적인 것으로 정의됩니다. 강 아래의 어느 지점에서나 CHD가 들어올 수 있습니다. 무선 연결에는 Bluetooth 연결 및 LAN이 포함될 수 있습니다. 물리적 연결은 USB 드라이브일 수 있습니다. 가상화된 연결은 일반적으로 가상 머신 및 가상 방화벽을 포함한 공유 리소스를 통합했습니다. CHD가 손상되지 않도록 이러한 데이터 액세스 지점을 보호하는 것이 좋습니다.

기업이 시스템 범위를 지정하는 방법

PCI DSS 범위 지정에는 CDE 강에서 발견되는 모든 데이터 액세스 지점과 지류에 대한 비판적인 평가가 수반되어야 합니다. PCI DSS 평가는 CHD가 수신되는 방법과 위치의 분류로 시작됩니다. CDE 강둑을 오르락내리락하는 동안 모든 지불 채널과 카드 소지자 데이터를 수락하는 방법을 정확히 찾아내야 합니다. 그 후 수집을 시작으로 파기, 폐기 및 이전에 이르는 정보 여정을 따르십시오.

또한 데이터가 저장, 처리 또는 전송되는 CDE의 위치를 ​​정확히 찾아 표시해야 합니다. 이 식별에는 누가 데이터를 처리하는지뿐만 아니라 정보가 어떻게 처리되는지 이해하는 것이 포함될 수 있습니다. 또한 데이터 환경을 보호하기 위해 도입한 프로세스와 기술을 문서화해야 합니다.

네트워크를 통한 정보 흐름을 추적한 후 CDE에 영향을 미치는 모든 프로세스, 사람 및 시스템 구성 요소를 통합해야 합니다. 이것은 CHD와 상호 작용하는 사람들을 넘어서 봐야 하기 때문에 이전 단계와 다른 중요한 단계입니다. 대신 데이터 환경을 주도하는 사람과 시스템 구성 요소에 집중해야 합니다.

데이터 리버를 검토한 후에는 정보를 보호하기 위한 컨트롤을 만들어야 합니다. 이것은 대부분의 강이 상륙을 특징으로 하는 것과 같은 방식으로 보트 타는 사람이 특정 지점에서 진입하는 것을 방지하기 위한 것입니다. 이를 이해하기 위해서는 컨트롤이 필수적입니다. 마찬가지로 중요한 정보가 갈 수 있는 위치와 액세스할 수 있는 사람을 제한하는 방법을 찾아야 합니다.

이를 위해서는 댐의 데이터 보안 버전을 설정해야 합니다. 여기에는 암호화 방법 및 방화벽 설정이 포함될 수 있습니다. 제어를 설정한 후에는 프로세스, 시스템 구성 요소 및 직원을 보호하는 데 적용해야 합니다. 가장 중요한 것은 변경 사항이 CDE와 함께 발전하도록 제어를 모니터링해야 한다는 것입니다.

범위를 벗어난 시스템이 있습니까?

범위 외 시스템은 PCI SSC(Payment Card Industry Security Standard Council)에서 CDE 시스템에 액세스할 수 없는 시스템으로 정의합니다. 특히 범위 외 시스템이 드물어졌습니다. PCI SSC는 시스템 구성 요소가 CHD를 저장, 처리 또는 전송해서는 안 된다고 규정하고 있습니다. 마찬가지로 CHD를 연결하는 네트워크 세그먼트에 연결하면 안 됩니다.

타사 및 서비스 제공업체는 PCI 보안 표준 준수 범위 내에 있습니다. 그들은 당신의 강의 숲 레인저와 비슷합니다. 비즈니스 파트너가 되어 원격 서비스를 제공합니다. 그들은 지속적으로 데이터 환경에 관여하기 때문에 CHD를 손상시킬 수 있는 위험을 초래할 수 있습니다. 이는 타사 모니터링에 참여하고 공급업체 에코시스템을 관리하는 것의 중요성을 강조합니다.

편집자 주: Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다. ReciprocityLabs.com에서 자세히 알아보십시오.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

• PCI DSS 로그 관리
• SOC2 감사 범위 지정
• 감사 요구 사항 – 미국 민간 기업
• 위험 관리 계획 – 무엇을 위한 것입니까?
• 내부 감사 효율성 데이터 분석 전략