지불 카드 산업 데이터 보안 표준

지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard, PCI DSS), 지불 카드 보안 표준, 결제카드산업정보보안표준, 지불 카드 업계 데이터 보안 표준은 주요 카드 스킴의 유명 상표의 신용카드를 관리하는 조직을 위한 정보 보안 표준이다.

PCI 표준은 카드 브랜드에 의무화되어 있으나 지불 카드 산업 보안 표준 협의회에 의해 관리되지는 않는다. 이 표준은 카드홀더 데이터의 제어권을 증가시켜 신용 카드 사기를 줄이기 위해 만들어졌다. 준수 여부의 검증은 1년에 한 차례 또는 분기별로 수행되며,^[1] 외부 인증 보안 평가자(Qualified Security Assessor, QSA)에 의해서, 또는 대량의 거래를 관리하는 조직을 위한 준수 보고서를 작성하는, 회사에 특화된 내부 보안 평가자(Internal Security Assessor, ISA)에 의해서, 또는 더 작은 규모의 거래를 관리하는 기업들을 대상으로는 자기평가문항(Self-Assessment Questionnaire, SAQ)을 통해서 이루어진다.^[2][3]

역사

5개의 각기 다른 프로그램들이 카드 회사들에 의해 시작되었다:

• 비자의 카드홀더 정보 보안 프로그램(Cardholder Information Security Program)
• 마스터카드의 사이트 데이터 보호(Site Data Protection)
• 아메리칸 엑스프레스의 데이터 보안 운영 정책(Data Security Operating Policy)
• 디스커버의 정보 보안 및 준수(Information Security and Compliance)
• JCB의 데이터 보안 프로그램(Data Security Program)

• 1.0 출시: 2004년 12월 15일
• 1.1 출시: 2006년 9월
• 1.2 출시: 2008년 10월 1일
• 1.2.1 출시: 2009년 8월
• 2.0 출시: 2010년 10월
• 3.0 출시: 2013년 11월. 발효: 2014년 1월 1일 ~ 2015년 6월 31일
• 3.1 출시: 2015년 4월. 퇴출: 2016년 10월 31일
• 3.2 출시: 2016년 4월. 퇴출: 2018년 12월 31일
• 3.2.1 출시: 2018년 5월

같이 보기

• 취약점 관리
• 무선랜