Email Security

PCI DSS requirement 4.2에서는 e-mail을 통한 카드정보 전송을 금지하고 있습니다.

PCI DSS version 1.2에서는 e-mail뿐만 아니라 messenger등 각종 messaging system을 통한 카드고객정보 전송을 금지하는것으로 확대되어 있습니다.

메일 발송 형태는 개인이 발송하는것과 시스템에서 자동발송하는 것 2가지로 구분할 수 있으며

개인 발송의 경우 outbound mail content filtering이 필요할 수 있습니다.

다양한 Mail Server에서 outbound mail content filtering을 지원하며
카드번호나 주민번호등의 주요정보가 그대로 나가지 않도록 Regular expression rule을 추가하여 발송을 금지하는 설정이 필요합니다.

또한 application에서 자동발송하는 경우
메일 발송 서버의 relay 설정 발송권한의 제어가 필요하며
특히 application에서는 카드정보가 그대로 나가지 않도록 code를 review해야합니다.

Email Security를 위한 Solution으로는 아래 서비스나 소프트웨어들을 검토해볼 수 있습니다.
- MS Exchange Server
- Google Apps premium edition (premium edition에서 postini outbound mail filtering rule 설정이 가능합니다.)