PCI 보안표준 협의회가 현대화된 결제 소프트웨어의 보안 설계 및 개발을 위한 새로운 요구사항을 16일 공개했다. PCI 보안 소프트웨어 표준 및 PCI 보안 수명주기 표준이 새로운 PCI 소프트웨어 보안 프레임워크의 일부로 소프트웨어 공급업체 및 해당 소프트웨어 제품의 유효성 인증 프로그램과 평가자에 대한 자격 프로그램이 포함된다. 이 프로그램은 2019년 후반 개시된다.
소프트웨어 공급업체를 위한 새 PCI 표준
차세대 결제 위한 안전한 SW 솔루션 개발 추진
2022년 만료되는 PA-DSS와 목록 대체할 것
PCI 보안표준 협의회(PCI Security Standards Council, PCI SSC)가 현대화된 결제 소프트웨어의 보안 설계 및 개발을 위한 새로운 요구사항을 16일 공개했다.
PCI 보안표준 협의회
PCI 보안 소프트웨어 표준(PCI Secure Software Standard) 및 PCI 보안 수명주기(PCI Secure Lifecycle, Secure SLC) 표준이 새로운 PCI 소프트웨어 보안 프레임워크(PCI Software Security Framework)의 일부로 소프트웨어 공급업체 및 해당 소프트웨어 제품의 유효성 인증 프로그램과 평가자에 대한 자격 프로그램이 포함된다. 이 프로그램은 2019년 후반 개시된다.
트로이 리치(Troy Leach) PCI SSC 최고기술책임자는 “결제 분야의 혁신이 믿을 수 없는 속도로 진행 중이다”라며 “이러한 발전은 업계에 이전보다 빠르고 효율적으로 응용프로그램을 개발하고 결제 승인을 위한 새로운 플랫폼용 소프트웨어를 설계할 수 있는 기회를 제공한다”라고 말했다.
이어 “이번 신규 PCI 보안 소프트웨어 표준 및 PCI 보안 SLC 표준은 개발자들이 그들의 소프트웨어가 차세대 응용프로그램에서 결제 데이터를 보호할 수 있음을 입증할 수 있는 역동적인 방식을 제공함으로써 이러한 진화를 지원한다”라고 덧붙였다.
PCI 소프트웨어 보안표준은 기존의 결제 소프트웨어를 위한 결제 응용프로그램 데이터보안표준(Payment Application Data Security Standard, PA-DSS)의 범위를 넘어 현대화된 결제 소프트웨어의 전반적인 소프트웨어 탄성을 해결한다.
PCI 보안 소프트웨어 표준은 결제 소프트웨어가 결제 거래 및 데이터의 무결성과 기밀성을 적절하게 보호하는지 보장하기 위해 보안 요구사항과 평가 절차를 설정한다.
PCI 보안 SLC 표준은 소프트웨어 공급업체들이 소프트웨어 수명주기 전반에 걸쳐 결제 소프트웨어를 적절히 관리하고 있는지 확인하기 위한 보안 요구사항 및 평가 절차를 설정한다.
이 표준은 2022년 만료되는 PA-DSS와 목록을 대체한다. 그 과정에서 PA-DSS에 투자한 조직을 대상으로 점진적인 전환 기간이 주어진다.
PCI 소프트웨어 보안표준은 결제카드 업계 참여자들로 구성된 전담 태스크포스의 투입으로 개발됐다. 또한 PCI SSC 참가 조직들과 평가자들은 개발 과정 전반에서 다수의 RFC(request for comments) 기간을 통해 표준에 대한 피드백을 검토하고 대안을 제시했다.
PCI 소프트웨어 보안 태스크포스에 참여한 스티브 리프너(Steve Lipner) SAFECode(Software Assurance Forum for Excellence in Code) 전무이사는 “PCI 보안 소프트웨어 수명주기 표준의 최종 버전을 검토하게 되어 기뻤다”라며, “이 문서는 결제카드 업계 및 관련 인증절차의 요구에 따라 소프트웨어 보안 모범사례를 명백하게 반영하며 SAFECode의 보안 소프트웨어 개발을 위한 기본사항(Fundamental Practices for Secure Software Development)의 원칙 및 개념과도 잘 부합한다”라고 말했다.
특히 “사후 사실성 테스트를 통해 보안성을 보장하는 게 아니라 소프트웨어 개발 과정에 보안성을 통합하려고 주력한 점에 만족했다”고 강조했다.
PCI 보안 소프트웨어 표준, PCI 보안 SLC 표준, 관련 FAQ 문서, 용어, 약어 및 머리글자 설명은 웹사이트 문서 라이브러리(Document Library)에서 다운로드할 수 있다.