PCI DSS 인증기관 로이스는 최근 PCI DSS 4.0 심사 준비를 최종 마무리했다고 14일 밝혔다. PCI DSS란 신용카드 업계 정보 보안 표준 규칙을 말한다.
로이스에 따르면 최근 PCI 보안 표준 위원회(PCI SSC)의 PCI DSS 4.0 교육 및 심사원 시험을 통과했다. 이번 신속한 PCI DSS 4.0 전환 완료는 완전히 새로워진 표준에 대비하고자 국내 조직 문화에 최적화된 커스터마이즈 서비스를 제공하기 위한 전략이다.
새로운 4.0 전환이 필요한 고객사를 대상으로 상세한 전환 계획 수립 및 지원 등을 위해 준비를 마쳤다는 것이 로이스 측 설명이다.
더불어 로이스는 고객사 및 관계사의 보안담당자들을 대상으로 PCI DSS 4.0 관련 상세 전환 교육을 계획하고 있다. 또 해당 교육 계획이 신속하게 공유될 예정이다.
특히 로이스는 PCI DSS 4.0 관련 유용한 정보를 추가로 공개했다. 먼저 PCI DSS 4.0은 기존 PCI DSS 3.2.1 인증을 유지하는 경우, 새롭게 인증을 취득해야 하는 경우 등이 준수 대상이다. 또 PCI DSS 4.0에 대한 인증심사는 기존 QSA(Qualified Security Assessor)가 PCI DSS 4.0 교육 과정을 이수 및 전환 시험을 통과한 후 진행 가능하다.
PCI DSS 4.0 전환 교육은 올해 하반기 중 고객사 및 관계사 보안 담당자들을 대상으로 계획 중이다. 기존 버전 대비 4.0의 주요 변화 사항으로 평가 방식, 관련 템플릿 인증 충족 요건 및 기준 등을 꼽을 수 있다. 또한 이볼빙(Evolving) 기술들을 고려한 새로운 통제 및 가이드가 추가됐다.
아울러 로이스는 기존 담당자들이 4.0으로 전환하기 위해 시급하게 준비하지 않는 것이 좋다고 조언했다. QSA와 사전 협의를 통해 체계적인 전환 계획 수립이 필요하다는 조언이다.
로이스는 4.0 버전에 대해 보안담당자 측면에서 실질적인 보안 활동이 이뤄지도록 개편되었고 평가자 측면에서 상황에 맞는 객관적 평가 기준을 제시하고 있다고 강조했다. 여기에 서비스 프로바이더(TPSP)의 SAQ-D 타입의 변화가 가장 크기 때문에 세밀한 준비가 필요하다.
로이스 관계자는 "4.0은 많은 부분이 새롭게 변경이 되었는데 대다수 신규 통제들의 경우 권고사항이지만 즉시 준수해야 하는 통제들도 많다."며 "이런 부분들을 각 보안담당자들이 사전에 식별하고 준비하는 과정이 필요한데 새로운 4.0은 커스터마이징된 통제구성 등 일부 장치가 마련돼 있기 때문에 분명히 보안 담당자들에게 부담으로 작용할 수 있을 것"이라고 말했다.
한편, 새로운 버전에 대한 상세 문의는 로이스 홈페이지 또는 로이스 고객센터 전화, 이메일 등으로 할 수 있다.
전자신문인터넷 이상원기자 sllep@etnews.com
