PCI DDS는 개인카드 정보 유출에 따른 카드 소유자의 피해를 막기 위해 비자와 매스터카드가 제정한 규정으로, 지난주 칼럼에서 카드 가맹점은 신용카드 거래 수에 따라 레벨 4까지의 구분 기준과 레벨 1에서 레벨 3까지의 감사방법에 대해 알아보았다. 오늘은 대부분의 한인업체가 속한 레벨 4의 감사방법에 대해 알아보도록 하겠다.

레벨 4에 해당하는 가맹점은 1년간 카드 거래수가 온라인에서 2만건 이하이거나 오프라인에서 100만건 이하인 비즈니스를 말한다. 레벨 4에 가맹점의 감사방법은 해당 프로세서에 따라 카드 결제를 하기 위해 카드머신에 설치된 결제 프로그램과 보유금지 정보들의 다양성 때문에 그 방법이 여러 가지로 구별되어 진다. 현재 사용되고 있는 결제 프로그램에는 비자와 매스터카드사에서 보유를 금지한 고객카드의 CVS 코드(뒷면이나 앞면에 있는 세 자리 혹은 네 자리 코드), 직불카드의 비밀번호 또는 카드 뒷면에 마그네틱에 저장되어 있는 정보들을 보유하고 있는 가능성이 높으며, 그 정보들은 해커들의 공격을 받아 정보가 유출될 수 있는 높은 위험성을 가지고 있다. 따라서 모든 카드 회사들은 가맹점이 정보 보유와 유출의 문제가 있는 결제 프로그램의 유무를 가려내기 위해서 매년 자가 진단서 제출과 분기별 데이터 스캔을 요구하고 있다. 카드 거래금액이 크지 않아도 카드가맹점이 결제 프로그램을 인터넷 라인과 연결하여 사용한다면, PCI DDS의 레벨과 관계없이 분기별로 데이터 스캔과 자가 진단서를 제출해야 한다.

카드 가맹점들은 해당 프로세싱 회사에 문의하여 각각의 감사기준을 알아두어야 하며, 해당 프로세싱 회사가 제시하는 방법에 따라 정기적인 감사 보고서와 데이터 스캔 보고서를 제출해야 한다. 해당 프로세싱 회사의 가이드라인을 준수하지 못했을 경우에는 카드가맹점 권리가 취소될 수도 있으며, 카드정보 유출 때 최고 50만달러까지 벌금을 물게 될 수도 있다. 각 해당 프로세서나 뱅크카드 서비스에 문의하면 PCI DDS 규정에 대한 자세한 정보를 알 수 있다.

패트릭 홍
<뱅크카드 서비스>
(213)365-1122