비자, 마스터카드에서 전세계 카드사나 PG사에 요구하는 보안관련 사항을 간단하게 정리해보았습니다.
보안관련 범위를 Scopping하는데 도움이 될것 같아서 올림니다.
1. 방화벽 구축
- inbound / outbound 제어
- DMZ / LAN network 구분
- 방화벽 정책 관리
2. 시스템 Configuration 관리
- 주요 시스템 (OS, Router, Switch, Firewall, Web Server 등)의 보안 Configuration
을 사전에 확인하고
- 실제 보안 Configuration을 적용하고
- 지속적으로 체계적으로 Configuration을 관리
3. 저장된 데이터 보호
- 주요 고객정보는 암호화하고
- 암호화 키는 안전하게 관리
4. 전송데이터 보호
- SSLv3/TLSv1 등 안전한 프로토콜로 전송데이터 보호
- Enduser messaging technologies (E-Mail, Messenger, Chat 등)를 통한 고객개인정
보 전송금지
5. 안티바이러스
- 바이러스가 자주 감염되는 환경에 대한 Antivirus 설치(WIndows라는 말이 MS로비로 빠졌어요.)
- Antivirus Reporting
6. 안전한 시스템 및 어플리케이션 개발
6.1 Security Patch
- 모든 시스템은 정기적으로 최신 보안 패치 적용
6.2 보안취약점 관리
- 신규 보안 취약점을 확인/대응/전파하는 체계 수립
6.3 변화관리
- 소프트웨어나 시스템등 각종 변경사항에 대한 체계적인 변화관리
6.4 안전한 소프트웨어 개발 통제
- 안전하게 소프트웨어를 개발하고
- 보안관련하여 소프트웨어에 대한 제3자의 Code Review
- 종합적인 테스트
6.5 웹 어플리케이션에 대하여 OWASP Top10 보안위협에 대응하도록 준비
- OWASP Top10 보안위협에서 우리가 익히 알고 있는 다양한 공격방법들이 정의되어 있습니다.
6.6 웹방화벽 설치 운용
7. 필요할때만 고객 개인정보 접근하도록 하는 보안 원칙 유지
8. 철저한 ID관리
- 패스워드 정책 적용/관리
- User Account Lockout 정책 적용/관리 (session 관련)
9. 물리적 접근통제
10. 모니터링
- 지속적인 시스템 모니터링
- 중앙집중 로그관리
- 경고 발송 및 대응체계
11. 취약점 테스트
- 지속적으로 전체 시스템에 대한 취약점 테스트
- 내부 침입 테스트 / 결과 패치
- 외부 침입 테스트 / 결과 패치
12. 보안정책관리
- 위의 언급된 보안사항들이 지속적으로 유지되고 개선될 수 있는 체계 구축
- 보안침해시의 대응
---------
위의 보안요구사항들을 100% 충족하는 은행, 카드사가 별로 없습니다.
Client환경 보안이나 전송시의 보안뿐만 아니라
금융기관에서는 다른 다뤄야할 사항이 아주 많다는것을 알수 있습니다.
"바이러스 리포팅" 요건은 물론 고객이 그런 리포팅을 하라는 뜻은 아닌 것 같은데...