토큰화 tokenization

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2487

토큰화

▣ 토큰화, -化, tokenization

모바일 결제 시스템에서, 신용카드와 같은 개인 정보를 보호하기 위해 관련 정보를 토큰으로 변환하여 사용하는 방식.

금융 보안 분야에서 개인 정보를 보호하기 위해 보호되어야 할 신용카드나 개인 정보를 토큰화 하여 결제 시 원본 데이터 대신 토큰 데이터를 사용한다.

토큰화 기술이 적용된 상점의 판매 시점 관리(POS) 결제 단말은 고객의 신용카드 정보 대신 정보를 변환한 토큰 데이터만 저장한다.

대신 토큰 서버(token server)가 신용카드 정보와 토큰 데이터를 저장하고 관리한다.

토큰화 기술은 토큰 데이터가 저장 장소나 전송 과정에서 유출되어도 원본 데이터가 아니기 때문에 도용될 가능성이 적다.

그러나 토큰의 생성 알고리즘이나 토큰 서버의 보안 강화가 요구된다.

토큰화 기술은 2014년 EMV 카드 표준으로 제정되었다(관련 표준: EMV Payment Tokenisation Specification).

개인정보 지킴이, 신용카드 보안 십계명

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2334

개인정보 지킴이, 신용카드 보안 십계명

개인용 컴퓨터 PC시대를 지나 스마트폰 1천만 시대에 접어들어 정보 보안은 더 중요해졌습니다. 

그중에서도 사용자의 개인 정보와 신용 정보 그리고 금융 정보까지 가진 신용카드 정보 보호가 화두로 떠올랐는데요. 

이에 금융감독원에서는 ‘신용카드 개인신용정보 보호를 위한 10가지 유의사항’을 내놓았습니다. 아무리 강조해도 지나치지 않은 신용카드 정보 보호, 한 번 살펴볼까요?


 

​

​

가조회는 신용조회 기록에 절대 남지 않는다면서 개인신용정보를 요구하는 카페는 십중팔구 그 개인정보를 얻기 위한 목적인 경우가 대부분입니다. 

각 카드사 홈페이지 같이 공인된 곳이 아니라면 절대로 개인정보를 주거나 조회하지 마세요.

경품을 이것저것 많이 끼워주는 길거리 신용카드 모집의 경우 불법행위로서 과태료 부과 등 처벌 대상입니다. 

이런 곳에서 신청을 하면 개인 정보 불법 모집 조직 등에 무단 유출 하거나 금품을 받고 개인정보 및 신용정보를 매매할 가능성이 있습니다. 

얼마간의 경품 때문에 소중한 개인정보를 파는 행위는 지양합시다.

예전에 영화관에서 볼 영화를 기다리면서 공용PC를 쓰게 되었어요. 

그런데 앞에 계시던 어떤 분이 그 컴퓨터로 무려 기업 뱅킹 접속과 신용카드 결제를 하셔서 말린 적이 있는데요. 

이는 굉장히 위험한 행위입니다. 

불특정다수가 사용하는 컴퓨터로 신용카드 결제 시 미리 깔린 해킹프로그램으로 인해 신용카드 정보가 유출될 우려가 큽니다. 

해커들이 계획적으로 많은 사람들이 쓸 PC에 해킹 프로그램을 깔아 놓았을 수도 있고 아무 프로그램이나 막 깔다 보니 웜이나 바이러스에 감염되었을 가능성도 있기 때문입니다. 

될 수 있으면 방화벽과 실시간 백신을 깔아 놓은 개인 PC에서 결제하도록 하세요.

의외로 많은 분들께서 저지르는 실수이신데 신용카드 영수증을 함부로 버리시면 신용정보가 유출될 확률이 높습니다. 

특히 여러 장을 대충 구겨 버리시면 그 영수증들을 조합해 전체 카드번호와 유효기간들의 정보가 유추될 가능성이 있습니다. 

실제 이런 영수증을 노리며 쓰레기통을 뒤지는 업자들도 있고요. 이로 인한 무단 결제부터 해커 등 전문범죄집단에 의한 연쇄적인 범죄에까지 이용될 수 있으니 꼭 파쇄하시거나 조각조각 찢어버리시는 게 안전합니다.

가끔 지하철이나 버스에서 통화하시는 분 중에 큰 목소리로 자신의 카드번호와 주민등록번호를 외치는 분이 계신데요. 

아마 가족이나 친지에게 결제를 대신 부탁드리기 위해 그런 것으로 보입니다만 대단히 위험한 방법입니다. 

주변에 이런 개인 신용정보를 이용하는 업자가 없으리란 보장도 없거든요. 

신용카드 결제나 현금서비스는 본인이 결제를 직접 해야 합니다.

▶ 신용카드는 자녀에게도 주시면 안돼요~!또한 보이스 피싱의 창궐과 함께 많이 일어나는 피해사례인데 신용카드사는 어떠한 경우라도 전화나 메일 등을 통해 개인의 카드번호나 비밀번호를 요구하지 않습니다.
 개인의 카드번호나 비밀번호를 요구하는 전화를 받으신다면 누구라고 한들 그냥 끊어버리세요. 

주소지가 변경되었는데도 깜빡하고 혹은 귀찮아서 한참 동안 주소지를 바꾸지 않는 분들이 계신데요. 

이 또한 개인정보유출 가능성이 높답니다. 

그 신용카드 명세서를 받게 된 분이 좋은 분이라면 다행이지만 나쁜 마음을 먹었다면 얼마든지 이름, 전화번호, 주소 등 개인정보부터 카드 구매 내역까지 손에 넣는 셈이기 때문입니다. 

이를 방지하기 위해 e메일 고지서를 받아보시는 것도 좋은 방법입니다. 하지만 이 경우도 받아보실 e메일 주소를 정확히 확인하셔야겠죠.

신용카드로 결제를 했을 때 휴대폰 문자로 내역을 실시간으로 보내주는 신용카드 SMS 서비스를 이용하시는 것이 안전합니다. 

만에 하나라도 개인정보가 유출되어 부정한 결제가 이루어지더라도 문자를 확인하면 빨리 다음 조치를 취할 수 있으니까요.

각 카드사는 신용카드 사용내역 실시간 안내와 금융권 개인신용정보 변동내역, 신용카드 도난, 분실로 인한 부정사고 및 명의 도용 사고를 예방할 수 있도록 안심서비스를 운영하고 있습니다. 

혹시 아직 신청하지 않으신 분께서는 각 카드사 홈페이지로 들어가셔서 신청하시면 됩니다.^^

 사용하지 않는 신용카드는 장기간 보관할 경우 도난, 분실 등으로 악이용 당할 우려가 있으니 사용하지 않는 신용카드는 해당 카드사에 해지 신고를 하고 잘라주세요. 

자르실 때는 마그네틱 부분을 가로로 잘라주세요. 그래야 유출되더라도 판독을 못 한답니다.

해외 여행을 선진국에서 보안이 철저한 장소 위주로 하신다면 조금 덜 하겠지만 그렇지 못한 곳이라면 보안이 취약한 가맹점 등을 통해 카드정보가 유출될 수도 있습니다. 

이때 쓰고 계신 카드사를 통해 ‘출입국정보 활용동의 서비스’를 신청하면 부정유출이 되었더라도 귀국 후 해외 승인 요청은 카드사에서 거부된답니다. 

신용카드 사용자의 출입국에 맞춰 해외에서의 부정사용을 봉쇄해 주는 서비스지요.

길거리를 지나다보면 심심찮게 볼 수 있는 현수막이 신용불량자 카드발급인데요. 신용불량자에게 신용카드 발급이 가능하다는 길거리 광고는 거짓말입니다. 

대부분으 가입비, 수수료 명목으로 금품을 뜯어내는 경우가 빈번하죠. 신용카드는‘신용’을 매개로 금융 활동을 하도록 도와드리는 도구입니다. 그런데 매개가 되는 신용에 문제가 있는 분들께 그 도구를 드린다는 게 말이 안 되지요.

지킬 게 너무 많아 어렵다고요. 

개인의 소중한 정보를 지키기 위한 어쩔 수 없는 방패라고 생각해주시면 감사하겠습니다.

모순이라는 말처럼 지금 이 시간에도 세상에서 가장 날카로운 창을 막는 방패와 가장 탄탄한 방패를 뚫는 창이 싸우고 있답니다. 

다른 누구도 아닌 자기자신의 정보를 지키기 위한 방패에 힘을 보태주세요. 백짓장도 맞들면 낫고 티끌모아 태산이니까요.^^

출처 : 삼성카드블로그
뉴딜코리아 컨설팅사업본부 (070-7867-3721, ismsbok@gmail.com)


​

PCI DSS 감사 및 규정 준수

http://cafe.naver.com/rapid7/2298

PCI DSS 감사 및 규정 준수

신용 카드 또는 직불 카드 지불 결제와 관련된 각종 가맹점, 은행, 기타 관계자는 주요 기업 목표를 실현하는 것과 동시에 오늘날 가장 상세하고 포괄적인 데이터 개인 정보 보호 표준의 하나 인 PCI 데이터 보안 표준 (PCI DSS)에 규정된 의무를 이행하기 위해 계정 데이터의 개인 정보를 보호하는 수단을 강구하여야 합니다.

 PCI DSS는 계정 데이터 처리, 저장 및 전송에 대한 엄격한 요구 사항이 정해져 있습니다. 표준에 대한 적합성을 정기적으로 유효성을 확인하여야 하며, 적합하지 않은 경우 벌금이 부과되고 다른 신용 카드의 취급이 중지 될 수 있습니다.

PCI DSS는 결제 에코 시스템에 특화된 것이지만, 많은 관계자로부터 취급에 주의를 요하는 다양한 유형의 데이터에 대해 일반적인 표준 집합을 구체화 한 것으로 간주되어 헬스 케어 등 다른 산업에서도 활용될 수 있습니다.


PCI DSS 준수를 실현하려는 조직은 다음과 같은 여러 도전에 직면하게됩니다.

사전 감사가 실시된다. PCI DSS 감사 절차는 인가 감사원의 연례 현장 검사 또는 자체 평가와 정기적 인 침투 시험이 포함됩니다. 이에 대해 개인 정보 대부분의 다른 요구의 적합성에 대해서는 위반 사유가 발생한 경우에만 감사가 이루어집니다.

다양한 시스템과 프로세스에 영향을 미칠 수 있다. PCI DSS는 기업의 모든 위치에 있는 카드 소유자 데이터에 액세스하는 모든 IT 시스템에 적용됩니다. 따라서 잘조정된 유기적인 접근이 요구되지만 어떤 한 영역에서 유연성이 제한 될 수 있습니다. 

가능하면 적합성의 범위를 최소화. PCI DSS의 범위와 영향을 최소한으로 억제하려고 하는 일정한 동기가 계기가 되어, 암호화 및 토큰 화의 사용 지침이 발행되었습니다. 이 범위를 최소화하면서 적합성을 확보하려면 역시 충분한 주의가 필요합니다.

신기술이 비용과 복잡성을 증대시킬 수 있다. PCI DSS는 비교적 특수한 것이며, 암호화 등의 새로운 기술의 전개, 기존 비즈니스 응용 프로그램의 변경, 새로운 보안 프로세스 및 액세스 제어 설정 등을 유도 할 수 있습니다.

표준의 진화에 따라 불확실성이 증대 . 모든 개인 정보 데이터 보호 요구 및 공개 의무는 위협과 지역적인 법률의 변화에 따라 진화해야 합니다. 조직 적합성에 대한 의무와 보안에 대한 일반적인 목표를 일치 시키려고 할 때 상당한 불확실성에 직면합니다.


 
PCI DSS 감사 및 규정 준수와 관련된 위험 요소

적합하지 않은 경우 벌금과 회비 증액이 요구되며, 신용 카드의 취급이 중지 될 수 있습니다.
PCI DSS 준수를 분리하여 생각할 수 없습니다. 각 조직은 여러 보안 요구 및 데이터 유출 공개에 대응해야 합니다. 반면에, PCI 준수 프로젝트는 광범위한 보안 노력에 의해 본래의 주제에서 그것을 회피하는 경향이 있습니다.

PCI DSS는 이미 실시되고 있는 일반적인 방법이 포함되어 있습니다. 그러나 다른 측면으로는 구체적으로는 암호화 관련 측면은 조직에 새로운 것일 수 있으며 정확한 디자인을하지 않으면 구현시에 혼란을 일으켜 업무 효율에 악영향을 미칠 수 있습니다.

PCI DSS에 대한 의무의 범위를 축소함으로써 비용과 영향을 줄일 수 있는 경우가 있습니다. 그러나 새로운 시스템 및 프로세스가 실제로 표준을 준수하는 것으로 받아 들여질 수 있도록 주의를 기울이지 않으면 시간과 비용을 낭비해 버릴 우려가 있습니다.


PCI DSS 감사 및 규정 준수:
 - 뉴딜코리아 솔루션 -

은행 및 금융 기관에 의한 업계의 요구에 대한 적합성을 지원해온 수십 년의 경험을 살려 뉴딜코리아는 카드 소유자 데이터의 저장, 전송을위한 암호화, 그리고 액세스 제한을 가능하게 하는 제품과 서비스를 제공합니다.

또한 뉴딜코리아는 표준에 대한 적합성에 대한 부담의 범위를 줄일 수 있는 다양한 솔루션을 제공하기 위해 다양한 파트너와 긴밀히 협력하고 있습니다.

 
PCI DSS 표준 ( www.pcisecuritystandards.org )에는 200개 이상의 테스트에 대한 평가를 규정하고 있으며, 이러한 테스트는 6 가지 주요 원칙이 반영된 12 개의 일반적인 보안 영역으로 분류되어 있습니다.
이러한 테스트는 암호화 키 관리 및 기타 데이터 보호 방법 등의 기술뿐만 아니라 다양한 일반 보안 기술에 이르고 있습니다.


뉴딜코리아는 PCI DSS의 6 가지 주요 원칙에 대응하는
다양한 솔루션을 제공하고 있습니다.

카드 소유자 데이터 보호 표준 준수에 있어서는 카드 소유자 데이터를 공공 네트워크에서 전송하는 경우 암호화 및 저장된 카드 소유자 데이터의 보호가 요구됩니다. 조직은 전송 시 데이터를 보호하는 네트워크 암호화 및 SSL / TLS 암호화의 확장뿐만 아니라, 데이터를 보호하고 표준 적용 범위를 좁히기 위해 스토리지 암호화,데이터베이스 암호화, 응용 프로그램 수준 암호화, 토큰화 및 "단대단"암호화 등의 기술도 전개하고 있습니다.

강력한 접근 통제 수단의 구현. 모든 데이터 보호 기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털 인증서 등의 암호화 기술은 사용자나 시스템의 인증을 위해 암호 보안의 범위를 넘어 널리 사용되고 있습니다. 또한 암호화 된 데이터의 잠금을 해제하기 위한 데이터 암호 해독키에 대한 액세스 제어를 알필요가 있는 사람으로 제한하는 강력한 추가 보안 계층이 제공됩니다.

안전한 네트워크 구축 및 유지. 네트워크 수준의 암호화이외에 네트워크 보안의 중요한 구성 요소 중 하나는 네트워크 장치의 고강도 인증입니다. 디지털 인증 정보는 장치 수준에서 네트워크 액세스 제어에 채용되는 것이 많아지고 있어 기업의 PKI의 보안에 대한 중요한 고려 사항입니다.

네트워크의 정기적인 모니터링 및 테스트. 암호화 사용의 증가의 과제 중 하나는 네트워크 기반 모니터링을 통해 암호화 보호보다 하층에서 들어오는 공격에 의한 취약점에 노출될 수 있는 것입니다. 따라서 암호화는 포장을 일시적으로 제거함으로써 데이터를 안전하게 분석 할 수 있는 이벤트 모니터링 시스템 및 데이터 손실 방지 시스템이 필요합니다.

취약점 관리 프로그램 유지. 악성 코드를 침투시켜 비즈니스 응용 프로그램을 파괴하는 것을 의도한 APT 공격이 증가함에 따라 비즈니스 시스템 및 응용 프로그램 소프트웨어의 무결성과 신뢰성을 증명하기 위한 방법으로는 디지털 서명 및 코드 서명의 사용이 주목 받게 되었습니다.

정보 보안 정책의 유지. PCI DSS는 내부자 공격의 위험을 최소화하기 위해, 직원의 업무를 명확하게 구분하는 것을 특히 중시하고 있습니다. 암호화의 사용이 직무분리를 실행하고 신뢰할 수있는 이벤트 기록을 작성하여 적합성을 입증하기 위한 강력한 메커니즘을 제공합니다.


장점:
- 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.
- 전세계 결제 거래의 80% 이상의 보안을 지원하는 현장에서 입증 된 기술을 사용합니다.
- 레거시 시스템과 클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든 위치의 카드 소지자 데이터를 보호합니다.



 
뉴딜코리아는 다수의 기업과 기관에 PCI DSS 인증 보안컨설팅뿐만 아니라, 네트워크 및 시스템에서부터 물리•융합보안 영역에 이르는 PCI DSS 관련된 전 영역의 보안솔루션에 대한 선정 및 구축 경험을 가지고 있습니다.


언제라도 여러분들에게 필요한 최적의 보안솔루션을 제안•구축해 드리겠습니다.
뉴딜코리아 컨설팅사업본부 (070-7867-3721, ismsbok@gmail.com)