최근 몇 년 동안 신용카드 정보를 노린 해킹이나 카드 분실·도난사고가 증가하면서 고객 정보를 보호하고, 보안사고로 인한 카드회사와 은행들의 잠재적인 손실을 최소화하기 위해 비자, 매스터카드사는 PCI DSS(Payment Card Industry Data Security Standard) 기준을 제정하였고 카드 가맹점이 의무적으로 시행해야 되는 두 가지 사항을 요구하고 있다. 두 가지의 의무사항은 자가 진단서(self assessment questionnaire)와 시스템 점검(scan)으로 오늘은 이들에 대해 알아보도록 하겠다.

첫째, 자가 진단서는 POS 시스템 또는 온라인 장바구니(shopping cart)를 통해 카드 거래를 하는 카드 가맹점이 직접 보안상태를 점검하여 작성하는 것으로 해당 카드 프로세싱 회사에 정기적으로 보고해야 한다. 자가 진단서는 카드를 받는 방식과 거래량에 따라 총 4가지로 구분이 되며, 카드 가맹점이 해킹이나 정보유출 등으로 새로운 문제가 생기거나 카드 시스템이 새로 업데이트가 되면 해당 자가 진단서 종류가 바뀔 수 있으므로 가맹점은 현재 어떤 형태의 진단서를 사용해야 되는지 인지하고 있어야 한다.

둘째, 고객 정보와 카드거래 정보를 스캔하는 시스템 점검으로, 이 또한 POS 시스템 또는 온라인 장바구니를 사용하여 카드 거래를 하는 업체가 모두 해당되며, 분기별로 시스템 점검을 시행하여 한다. 이 점검은 비자와 매스터카드사에서 인증 받은 회사를 통해서만 가능하며 시스템 점검 리포트는 해당 카드 프로세싱 회사를 통해 비자와 매스터카드사에 제출해야만 한다.

가맹점들에게 공통적으로 요구되는 자가 진단서와 시스템 점검이 기준치에 미달하여 통과되지 않을 경우, 비자와 매스터가 인정한 기간 안에 시정을 하겠다는 계획서와 시정을 하는 동안 카드 소유자들의 정보를 보호할 수 있는 방법들에 대한 계획서를 다시 제출해야 한다. 이에 대한 정보는 해당 프로세싱 회사를 통하거나 뱅크카드 서비스에 문의하면 자세히 알 수 있다.

패트릭 홍
<뱅크카드 서비스>

(213)365-1122