지난주 1차 기획기사를 통해 PCI DSS와 관련된 기본적인 개념을 살펴봤다.

 

 

여섯 번의 토파스 설명회를 진행하면서 정리한 주요 Q&A와 PCI DSS에 대한 여행사들의 공통 관심 사항에 대해 이야기 하고자 한다. 참고로 토파스는 지난 4월부터 서울과 부산에서 총 6차례의 SAQ 작성 설명회를 진행한 바 있다. 이는 PCI DSS 인증에 어려움을 겪는 다수의 여행사들에 도움을 주고자 무료로 진행됐다.

 

 

이들 설명회에서 나온 공통적인 질문은 다음과 같다.

 

 

1. PCI DSS 인증은 언제까지 취득해야 하나?

PCI DSS 자체 인증은 없으나 PCI DSS 인증 증빙 문서를 7월18일까지 IATA에 제출하면 된다.

참고로 IATA의 정책 변경에 따라 AOC 외에 SAQ도 함께 제출해야 하므로 참고하시기 바란다.

*IATA Portal을 통해 확인한 결과 일정보다 늦게 제출하는 경우에는 미제출 여행사 리스트가 IATA BSP 항공사로 통보되며 항공사 정책에 따라 여행사에 불이익이 있을 수 있다는 답변을 받았다.

 

 

2. PCI DSS 인증은 1회만 취득하면 되나?

PCI DSS 최초 인증 후에도 매년 SAQ와 AOC를 제출하고 인증을 갱신해야 한다.

또한 인증서 제출 일정도 매년 변경될 수 있으니 업계지나 IATA BSP LINK 등을 통해 관련 뉴스를 확인하는 것이 필요하다.

 

 

3. SAQ/AOC 문서는 어디에서 다운로드 받을 수 있나?

PCI SSC 사이트(www.pcisecuritys

tandards.org/document_library)에서 SAQ 타입에 따른 문서와 AOC 문서를 확인할 수 있다.

 

 

4. SAQ를 허위로 작성하면 어떻게 되나?

당장은 IATA나 카드사로부터 불이익이 없을 수 있으나 여행사에 해킹 등의 침해 사고가 발생해 카드 번호 유출 시 문제가 발생한다. IATA에 제출하는 증빙 문서에 여행사 경영진의 서명이 포함되므로 그에 따른 보상 및 책임이 따를 수 있다.

 

 

5. SAQ 문서 작성 시 비용이 발생하나?

PCI DSS 컨설팅 업체를 통해서 진행하는 경우는 비용이 발생할 수 있지만 여행사가 직접 SAQ와 AOC를 작성해 IATA에 제출하는 경우 비용이 발생하지 않는다. 타 기관의 행사와는 달리 당사 설명회에서는 해당 문서의 작성법이 구체적으로 안내돼 여행사의 실질적인 비용절감에 기여한 바 있다.

 

 

6. SAQ 타입 구분은 어떻게 되나?

토파스 홈페이지 공지사항 첨부파일에서 SAQ 타입에 대한 안내를 확인할 수 있다. 대부분의 중소여행사는 ‘SAQ B, C’ 및 ‘C-VT’에 해당된다. POS 장비가 있는 경우 전화선에 연결되면 ‘B타입’이고 인터넷 선에 연결되면 ‘C타입’이다.

 

 

7. SAQ 요건 중 정책/장비 설정 관련 문서 작성 시 참고할 만한 것은?

‘KISA 인터넷 보호나라’에 중소기업을 위한 정책 관련 문서가 있으므로 참고해 작성하면 된다. ‘구글’ 등에서 장비 설정(예: 공유기 설정 매뉴얼) 등에 대한 정보를 확인할 수 있다.

 

 

8. ASV 스캐닝(네트워크 외부 취약성 점검)은 비용이 발생되나?

PCI SSC에 공인된 ASV 인증 업체를 통해 진행해야 하므로 비용이 발생하며 비용은 ASV 업체마다 다를 수 있으므로 여러 업체를 통해 견적을 받아 진행하는 것이 좋다.