Microsoft Entra PCI-DSS 지침

아티클
10/29/2023

PCI SSC(Payment Card Industry Security Standards Council)는 결제 트랜잭션의 보안을 보장하기 위해 PCI-DSS(지불 카드 산업 정보 보안 표준)를 포함한 데이터 보안 표준 및 리소스를 개발하고 홍보하는 일을 담당합니다. PCI 규정을 준수하기 위해 Microsoft Entra ID를 사용하는 조직은 이 문서의 지침을 참조할 수 있습니다. 그러나 PCI 규정 준수를 보장하는 것은 조직의 책임입니다. IT 팀, SecOps 팀 및 솔루션 아키텍트는 결제 카드 정보를 처리, 처리 및 저장하는 보안 시스템, 제품 및 네트워크를 만들고 유지 관리하는 일을 담당합니다.

Microsoft Entra ID는 일부 PCI-DSS 제어 요구 사항을 충족하는 데 도움이 되고 CDE(카드 소유자 데이터 환경) 리소스에 대한 최신 ID 및 액세스 프로토콜을 제공하지만 이것이 카드 소유자 데이터를 보호하기 위한 유일한 메커니즘이 되어서는 안 됩니다. 따라서 이 문서 집합과 모든 PCI-DSS 요구 사항을 검토하여 고객 신뢰를 유지하는 포괄적인 보안 프로그램을 구축합니다. 전체 요구 사항 목록을 보려면 공식 PCI 보안 표준 협의회 웹 사이트(pcisecuritystandards.org)를 방문하세요. 공식 PCI 보안 표준 협의회 사이트

컨트롤에 대한 PCI 요구 사항

전역 PCI-DSS v4.0은 계정 데이터 보호를 위한 기술 및 운영 표준의 기준을 설정합니다. 이는 결제 카드 계정 데이터 보안을 장려 및 강화하고 전 세계적으로 일관된 데이터 보안 측정값의 광범위한 채택을 촉진하기 위해 개발되었습니다. 계정 데이터를 보호하기 위해 디자인된 기술 및 작업 요구 사항의 기준을 제공합니다. PCI-DSS는 결제 카드 계정 데이터가 있는 환경에 중점을 두도록 설계되었지만 위협으로부터 보호하고 결제 에코시스템의 다른 요소를 보호하는 데에도 사용할 수 있습니다."

Microsoft Entra 구성 및 PCI-DSS

이 문서는 PCI DSS(지불 카드 산업 정보 보안 표준)에 따라 Microsoft Entra ID를 사용하여 IAM(ID 및 액세스 관리) 관리를 담당하는 기술 및 비즈니스 리더를 위한 포괄적인 가이드 역할을 합니다. 이 문서에 설명된 주요 요구 사항, 모범 사례 및 방식을 따르면 조직은 PCI 비준수로 인한 범위, 복잡성 및 위험을 줄이는 동시에 보안 모범 사례 및 표준 준수를 촉진할 수 있습니다. 이 문서에서 제공되는 지침은 조직이 필요한 PCI DSS 요구 사항을 충족하고 효과적인 IAM 사례를 촉진하는 방식으로 Microsoft Entra ID를 구성하는 데 도움을 주기 위한 것입니다.

기술 및 비즈니스 리더는 다음 지침을 사용하여 Microsoft Entra ID로 IAM(ID 및 액세스 관리)에 대한 책임을 이행할 수 있습니다. 다른 Microsoft 워크로드의 PCI-DSS에 대한 자세한 내용은 Microsoft 클라우드 보안 벤치마크(v1) 개요를 참조하세요.

PCI-DSS 요구 사항 및 테스트 절차는 결제 카드 정보의 안전한 처리를 보장하는 12가지 주요 요구 사항으로 구성됩니다. 이러한 요구 사항은 조직이 결제 카드 트랜잭션을 보호하고 중요한 카드 소유자 데이터를 보호하는 데 도움이 되는 포괄적인 프레임워크입니다.

Microsoft Entra ID는 PCI-DSS 규정 준수를 지원하기 위해 애플리케이션, 시스템 및 리소스를 보호하는 엔터프라이즈 ID 서비스입니다. 다음 표에는 PCI 주요 요구 사항과 PCI-DSS 규정 준수를 위한 Microsoft Entra ID 권장 컨트롤에 대한 링크가 있습니다.

주요 PCI-DSS 요구 사항

PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에서 해결되거나 충족되지 않으므로 해당 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.

PCI 데이터 보안 표준 - 상위 수준 개요	Microsoft Entra ID에서는 PCI-DSS 컨트롤을 권장합니다.
보안 네트워크 및 시스템 빌드 및 유지	1. 네트워크 보안 컨트롤 설치 및 유지 관리 2. 모든 시스템 구성 요소에 보안 구성 적용
계정 데이터 보호	3. 저장된 계정 데이터 보호 4. 공용 네트워크를 통해 전송하는 동안 강력한 암호화로 카드 소유자 데이터를 보호합니다.
취약성 관리 프로그램 유지 관리	5. 악성 소프트웨어 6에서 모든 시스템 및 네트워크를 보호합니다. 보안 시스템 및 소프트웨어 개발 및 유지 관리
강력한 액세스 제어 조치 구현	7. 비즈니스에 의한 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스를 제한하려면 8을 알아야 합니다. 시스템 구성 요소 9에 대한 액세스를 식별하고 인증합니다 . 시스템 구성 요소 및 카드 소유자 데이터에 대한 실제 액세스를 제한합니다.
정기적으로 네트워크 모니터링 및 테스트	10. 시스템 구성 요소 및 카드 소유자 데이터 11에 대한 모든 액세스를 기록하고 모니터링합니다. 정기적으로 시스템 및 네트워크의 보안 테스트
정보 보안 정책 유지 관리	12. 조직 정책 및 프로그램을 통한 정보 보안 지원

PCI-DSS 적용 가능성

PCI-DSS는 CHD(카드 소유자 데이터) 및/또는 SAD(중요한 인증 데이터)를 저장, 처리 또는 전송하는 조직에 적용됩니다. 함께 고려되는 이러한 데이터 요소를 계정 데이터라고 합니다. PCI-DSS는 CDE(카드 소유자 데이터 환경)에 영향을 미치는 조직을 위한 보안 지침 및 요구 사항을 제공합니다. CDE를 보호하는 주체는 고객 결제 정보의 기밀성과 보안을 보장합니다.

CHD는 다음으로 구성됩니다.

PAN(기본 계좌 번호) - 발급자와 카드 소유자 계좌를 식별하는 고유한 결제 카드 번호(크레딧, 직불, 선불 카드 등)
카드 소유자 이름 – 카드 소유자
카드 만료 날짜 – 카드가 만료되는 날짜와 월입니다.
서비스 코드 - 추적 데이터에서 결제 카드의 만료 날짜 뒤에 표시되는 자기 줄무늬의 3자리 또는 4자리 값입니다. 이는 서비스 특성을 정의하고, 국가별 및 국내/지역 교환을 구별하거나 사용 제한을 식별합니다.

SAD는 카드 소유자를 인증하거나 결제 카드 트랜잭션을 권한 부여하는 데 사용되는 보안 관련 정보로 구성됩니다. SAD에는 다음이 포함되지만 이에 국한되지는 않습니다.

전체 추적 데이터 - 자기 줄무늬 또는 이에 상응하는 칩
카드 유효성 검사 코드/값 - 카드 CVC(유효성 검사 코드) 또는 CVV(유효성 검사 값)이라고도 합니다. 결제 카드 앞면이나 뒷면에 있는 3자리 또는 4자리 숫자입니다. 참여 결제 브랜드(PPB)에 따라 CAV2, CVC2, CVN2, CVV2 또는 CID라고도 합니다.
PIN - 개인 식별 번호
- PIN 블록 - 직불카드 또는 신용 카드 트랜잭션에 사용되는 PIN의 암호화된 표현입니다. 트랜잭션 중 중요한 정보의 안전한 전송을 보장합니다.

CDE를 보호하는 것은 고객 결제 정보의 보안과 기밀 유지에 필수적이며 다음과 같은 도움이 됩니다.

고객 신뢰 유지 - 고객은 자신의 결제 정보가 안전하게 처리되고 기밀로 유지되기를 기대합니다. 회사가 고객 결제 데이터를 도난당하는 데이터 침해를 경험하게 되면 회사에 대한 고객의 신뢰가 저하되고 명예가 훼손될 수 있습니다.
규정 준수 - 신용 카드 트랜잭션을 처리하는 회사는 PCI-DSS를 준수해야 합니다. 이를 준수하지 않을 경우 벌금, 법적 책임이 발생하고 결과적으로 명예가 훼손될 수 있습니다.
재정적 위험 완화 - 데이터 침해는 법의학 조사 비용, 법적 비용, 피해를 입은 고객에 대한 보상 등 상당한 재정적 영향을 미칩니다.
비즈니스 연속성 - 데이터 침해로 인해 비즈니스 운영이 중단되고 신용 카드 트랜잭션 프로세스에 영향을 미칠 수 있습니다. 이 시나리오는 수익 손실, 운영 중단 및 평판 손상으로 이어질 수 있습니다.

PCI 감사 범위

PCI 감사 범위는 CHD 및/또는 SAD의 스토리지, 처리 또는 전송의 시스템, 네트워크 및 프로세스와 관련됩니다. 계정 데이터가 클라우드 환경에 저장, 처리 또는 전송되는 경우 PCI-DSS는 해당 환경에 적용되며 규정 준수에는 일반적으로 클라우드 환경 유효성 검사 및 사용이 포함됩니다. PCI 감사 범위에는 다섯 가지 기본 요소가 있습니다.

CDE(카드 소유자 데이터 환경) - CHD 및/또는 SAD가 저장, 처리 또는 전송되는 영역입니다. 여기에는 네트워크, 네트워크 구성 요소, 데이터베이스, 서버, 애플리케이션, 결제 단말기 등 CHD와 관련된 조직의 구성 요소가 포함됩니다.
사람 - 직원, 계약자, 타사 서비스 공급자 등 CDE에 액세스할 수 있는 사용자는 PCI 감사 범위에 속합니다.
프로세스 - 권한 부여, 인증, 암호화, 모든 형식의 계정 데이터 저장 등 CHD와 관련된 모든 작업은 PCI 감사 범위에 속합니다.
기술 - 프린터와 같은 하드웨어, 검사, 인쇄 및 팩스를 보내는 다기능 디바이스, 시스템, 랩톱 워크스테이션, 관리 워크스테이션, 태블릿과 같은 최종 사용자 디바이스를 포함하여 CHD를 처리, 저장 또는 전송하는 기술 모바일 디바이스, 소프트웨어 및 기타 IT 시스템은 PCI 감사 범위에 속합니다.
시스템 구성 요소 – CHD/SAD를 저장, 처리 또는 전송하지 않을 수 있지만 CHD/SAD를 저장, 처리 또는 전송하는 시스템 구성 요소에 무제한으로 연결할 수 있거나 CDE의 보안에 영향을 줄 수 있는 구성 요소입니다.

PCI 범위를 최소화하면 조직은 보안 인시던트의 영향을 효과적으로 줄이고 데이터 침해 위험을 낮출 수 있습니다. 구분은 PCI CDE의 크기를 줄이는 데 유용한 전략이 될 수 있으며, 이를 통해 규정 준수 비용을 줄이고 다음을 포함하되 이에 국한되지 않는 조직의 전반적인 이점을 얻을 수 있습니다.

비용 절약 - 감사 범위를 제한함으로써 조직은 감사를 받는 데 소요되는 시간, 리소스 및 비용을 줄여 비용 절약으로 이어집니다.
위험 노출 감소 - PCI 감사 범위가 작아지면 카드 소유자 데이터 처리, 저장 및 전송과 관련된 잠재적 위험이 줄어듭니다. 감사 대상 시스템, 네트워크 및 애플리케이션의 수가 제한되어 있는 경우 조직은 중요 자산을 보호하고 위험 노출을 줄이는 데 중점을 둡니다.
규정 준수 간소화 - 감사 범위를 좁히면 PCI-DSS 규정 준수가 더욱 관리하기 쉽고 간소화됩니다. 결과적으로 감사 효율성이 향상되고, 규정 준수 문제가 줄어들며, 규정 위반으로 인한 처벌을 받을 위험이 줄어듭니다.
보안 태세 개선 - 시스템 및 프로세스의 작은 하위 집합을 통해 조직은 보안 리소스와 활동을 효율적으로 할당합니다. 보안 팀이 대상을 설정하고 효과적인 방식으로 중요한 자산을 보호하고 취약성을 식별하는 데 집중하므로 결과적으로 보안 태세는 더욱 강화됩니다.

PCI 감사 범위를 줄이기 위한 전략

조직의 CDE 정의에 따라 PCI 감사 범위가 결정됩니다. 조직에서는 감사를 수행하는 PCI-DSS QSA(정규화된 보안 평가자)에게 이 정의를 문서화하고 전달합니다. QSA는 CDE에 대한 제어를 평가하여 준수 여부를 결정합니다. PCI 표준을 준수하고 효과적인 위험 완화를 사용하면 기업은 고객의 개인 및 금융 데이터를 보호하여 운영에 대한 신뢰를 유지할 수 있습니다. 다음 섹션에서는 PCI 감사 범위에서 위험을 줄이기 위한 전략을 간략하게 설명합니다.

토큰화

토큰화는 데이터 보안 기술입니다. 토큰화를 사용하면 중요한 데이터를 노출시키지 않고 신용 카드 번호와 같은 중요한 정보를 트랜잭션에 저장 및 사용되는 고유한 토큰으로 바꿀 수 있습니다. 토큰은 다음 요구 사항에 대한 PCI 감사 범위를 줄입니다.

요구 사항 3 - 저장된 계정 데이터 보호
요구 사항 4 - 공개, 공용 네트워크를 통해 전송하는 동안 강력한 암호화를 사용하여 카드 소유자 데이터 보호
요구 사항 9 - 카드 소유자 데이터에 대한 물리적 액세스 제한
요구 사항 10 - 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스를 기록하고 모니터링합니다.

클라우드 기반 처리 방법을 사용할 때는 중요한 데이터 및 트랜잭션에 대한 관련 위험을 고려합니다. 이러한 위험을 완화하려면 관련 보안 작업과 대체 계획을 구현하여 데이터를 보호하고 트랜잭션 중단을 방지하는 것이 좋습니다. 가장 좋은 방법은 결제 토큰화를 방법론으로 사용하여 데이터를 분류 해제하고 잠재적으로 CDE의 공간을 줄이는 것입니다. 결제 토큰화를 통해 중요한 데이터는 데이터 도난 위험을 줄이고 CDE에서 중요한 정보의 노출을 제한하는 고유 식별자로 바꿔집니다.

보안 CDE

PCI-DSS는 조직이 안전한 CDE를 유지하도록 요구합니다. 효과적으로 구성된 CDE를 통해 기업은 위험 노출을 완화하고 온-프레미스 및 클라우드 환경 모두에 대한 관련 비용을 줄일 수 있습니다. 이 방식은 PCI 감사 범위를 최소화하여 표준 준수 여부를 보다 쉽고 비용 효율적으로 입증하는 데 도움이 됩니다.

CDE를 보호하기 위해 Microsoft Entra ID를 구성하려면:

사용자를 위한 암호 없는 자격 증명 사용: 비즈니스용 Windows Hello, FIDO2 보안 키 및 Microsoft Authenticator 앱
워크로드 ID에 대한 강력한 자격 증명(Azure 리소스에 대한 인증서 및 관리 ID)을 사용합니다.
- 해당하는 경우 인증을 위해 VPN, 원격 데스크톱 및 네트워크 액세스 지점과 같은 액세스 기술을 Microsoft Entra ID와 통합합니다.
Microsoft Entra 역할, 권한 있는 액세스 그룹 및 Azure 리소스에 대한 Privileged Identity Management 및 액세스 검토를 사용하도록 설정합니다.
조건부 액세스 정책을 사용하여 PCI 요구 사항 제어(자격 증명 강도, 디바이스 상태)를 적용하고 위치, 그룹 멤버 자격, 애플리케이션 및 위험을 기반으로 적용합니다.
DCE 워크로드에 최신 인증 사용
SIEM(보안 정보 및 이벤트 관리) 시스템에 Microsoft Entra 로그 보관

애플리케이션 및 리소스가 IAM(ID 및 액세스 관리)을 위해 Microsoft Entra ID를 사용하는 경우 Microsoft Entra 테넌트는 PCI 감사 범위에 속하며 여기에 있는 지침이 적용됩니다. 조직은 최상의 아키텍처를 결정하기 위해 비PCI 워크로드와 PCI 워크로드 간의 ID 및 리소스 격리 요구 사항을 평가해야 합니다.

자세한 정보

책임 매트릭스 수립

PCI 규정 준수는 다음을 포함하되 이에 국한되지 않는 결제 카드 트랜잭션을 처리하는 기업의 책임입니다.

가맹점
카드 서비스 공급자
판매자 서비스 공급자
은행 인수
결제 처리자
결제 카드 발급자
하드웨어 공급 업체

이러한 기관은 결제 카드 트랜잭션이 안전하게 처리되고 PCI-DSS를 준수하는지 확인합니다. 결제 카드 트랜잭션에 관련된 모든 주체는 PCI 규정 준수를 보장하는 역할을 합니다.

Azure PCI DSS 규정 준수 상태는 Azure에서 빌드하거나 호스팅하는 서비스에 대한 PCI-DSS 유효성 검사로 자동 변환되지 않습니다. PCI-DSS 요구 사항을 준수하는지 확인합니다.

규정 준수를 유지하기 위한 지속적인 프로세스 구축

지속적인 프로세스에는 규정 준수 상태에 대한 지속적인 모니터링과 개선이 수반됩니다. PCI 규정 준수를 유지하기 위한 지속적인 프로세스의 이점:

보안 인시던트 및 규정 위반 위험 감소
개선된 데이터 보안
규정 요구 사항에 더 효과적으로 부합
고객 및 관련자의 신뢰도 향상

지속적인 프로세스를 통해 조직은 규정 환경의 변화와 끊임없이 진화하는 보안 위협에 효과적으로 대응합니다.

위험 평가 – 신용 카드 데이터 취약성과 보안 위험을 식별하려면 이 프로세스를 수행합니다. 잠재적 위협을 식별하고, 위협 발생 가능성을 평가하고, 비즈니스에 대한 잠재적 영향을 평가합니다.
보안 인식 학습 - 신용 카드 데이터를 취급하는 직원은 카드 소유자 데이터 보호의 중요도와 이를 위한 측정값을 명확히 하기 위해 정기적인 보안 인식 학습을 받습니다.
취약성 관리 - 정기적인 취약성 검사 및 침투 테스트를 수행하여 공격자가 악용할 수 있는 네트워크 또는 시스템 약점을 식별합니다.
액세스 제어 정책 모니터링 및 유지 관리 - 신용 카드 데이터에 대한 액세스는 권한 부여된 개인으로 제한됩니다. 액세스 로그를 모니터링하여 무단 액세스 시도를 식별합니다.
인시던트 대응 – 인시던트 대응 계획은 신용 카드 데이터와 관련된 보안 인시던트 발생 시 보안팀이 작업을 취하는 데 도움이 됩니다. 인시던트 원인을 파악하고 피해를 억제하며 적시에 정상적인 운영을 복원합니다.
규정 준수 모니터링 - PCI-DSS 요구 사항을 지속적으로 준수하는지 확인하기 위해 감사가 수행됩니다. 보안 로그를 검토하고 정기적인 정책 검토를 수행하며 시스템 구성 요소가 정확하게 구성 및 유지 관리되는지 확인합니다.

공유 인프라에 대한 강력한 보안 구현

일반적으로 Azure와 같은 웹 서비스에는 고객 데이터가 동일한 실제 서버 또는 데이터 스토리지 디바이스에 저장될 수 있는 공유 인프라가 있습니다. 이 시나리오에서는 권한 부여되지 않은 고객이 자신이 소유하지 않은 데이터에 액세스하는 위험과 공유 인프라를 대상으로 삼는 악의적인 작업자가 발생할 위험이 있습니다. Microsoft Entra 보안 기능은 공유 인프라와 관련된 위험을 완화하는 데 도움이 됩니다.

네트워크 액세스 기술에 대한 사용자 인증은 VPN(가상 사설망), 원격 데스크톱, 네트워크 액세스 지점 등 최신 인증 프로토콜을 지원합니다.
사용자 컨텍스트, 디바이스, 위치, 위험과 같은 신호를 기반으로 강력한 인증 방법과 디바이스 규정 준수를 적용하는 액세스 제어 정책입니다.
조건부 액세스는 ID 기반 컨트롤 플레인을 제공하고 신호를 모아 결정을 내리고 조직 정책을 적용합니다.
권한 있는 역할 거버넌스 - 액세스 검토, JIT(Just-In-Time) 활성화 등.

자세한 정보: 조건부 액세스란?

데이터 보존

PCI-DSS는 신용 카드 데이터 저장을 위한 특정 지리적 위치를 언급하지 않습니다. 그러나 카드 소유자 데이터를 안전하게 저장해야 하며, 여기에는 조직의 보안 및 규정 요구 사항에 따라 지리적 제한이 포함될 수 있습니다. 국가와 지역마다 데이터 보호 및 개인 정보 보호법이 있습니다. 적용 가능한 데이터 보존 요구 사항을 결정하려면 법률 전문가 또는 규정 준수 전문가에게 문의하세요.

자세히 알아보기: Microsoft Entra ID 및 데이터 보존

타사 보안 위험

PCI를 준수하지 않는 타사 공급자는 PCI 준수에 위험을 초래합니다. 타사 공급자 및 서비스 공급자를 정기적으로 평가하고 모니터링하여 카드 소유자 데이터를 보호하는 데 필요한 제어 기능을 유지하는지 확인합니다.

데이터 보존의 Microsoft Entra 함수는 타사 보안과 관련된 위험을 완화하는 데 도움이 됩니다.

로깅 및 모니터링

보안 인시던트를 적시에 검색하고 대응할 수 있도록 정확한 로깅 및 모니터링을 구현합니다. Microsoft Entra ID는 감사 및 활동 로그와 SIEM 시스템과 통합할 수 있는 보고서를 통해 PCI 규정 준수를 관리하는 데 도움이 됩니다. Microsoft Entra ID에는 중요한 리소스에 대한 액세스를 보호하는 RBAC(역할 기반 액세스 제어) 및 MFA, 암호화 및 위협 방지 기능이 있어 무단 액세스 및 데이터 도난으로부터 조직을 보호합니다.

자세히 보기:

다중 애플리케이션 환경: CDE 외부 호스트

PCI-DSS는 신용 카드 정보를 수락, 처리, 저장 또는 전송하는 회사가 안전한 환경을 유지하도록 보장합니다. CDE 외부에서 호스팅하면 다음과 같은 위험이 발생합니다.

액세스 제어 및 ID 관리가 제대로 이루어지지 않으면 중요한 데이터 및 시스템에 대한 무단 액세스가 발생할 수 있습니다.
보안 이벤트에 대한 불충분한 로깅 및 모니터링으로 인해 보안 인시던트 검색 및 대응이 방해받습니다.
불충분한 암호화 및 위협 방지로 인해 데이터 도난 및 무단 액세스 위험이 증가합니다.
사용자에 대한 보안 인식 및 학습이 부족하거나 부족하면 피싱과 같은 피할 수 없는 소셜 엔지니어링 공격이 발생할 수 있습니다.

다음 단계

PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.

PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.

다음을 통해 공유