현재까지 국내에서 PCI DSS 인증을 통과한것으로 여겨지는 업체 목록입니다.
PayGate (www.paygate.net)
KSNET (www.ksnet.co.kr)
FirstData (www.firstdatacorp.co.kr)
NICE (www.nicevan.co.kr)
Smartro (www.smartro.co.kr)
KISVAN (www.kisvan.co.kr)
KOVAN (www.kovan.co.kr)
KCP (www.kcp.co.kr)
StarVAN (www.starvankorea.com)
LGDacom (www.lgdacom.net)
KOCES (www.koces.com)
JTNET (www.jtnet.co.kr)
AllAt (www.allat.co.kr)
INICIS (www.inicis.co.kr)
CyberPass (www.cyberpass.com)
HyoSung (www.hyosung.com)
총 16개 업체인데
이중 일부는 실사를 받기는 하였지만 100% Full Compliant 달성하지 못한 업체도 있을것으로 예상됩니다.
대부분 VAN및 PG사들이고 대형쇼핑몰업체는 아직 목록에 없군요.
안녕하세요~ 저는 정보보호를 전공하고 있는 학생입니다.
답글삭제얼마전 정보보호학회지를 읽다가 PCI DSS에 관심을 가지고
따로 공부를 하고 있는데요. 제 짧은 영어실력으로 해외
자료를 보니깐 국내 보안 감사 대상업체와 해외 업체하고는
LEVEL을 나누는 기준이 좀 다른거 같던데 맞는지 궁금하네
요..
해당 자료가 어떤것인지 궁금하군요.
답글삭제거래규모에 따라서 의무대상이냐 아니냐를 구분하는데 국내는 도입한지 이제 1년 되어가는 시점이라서 약간의 유예기간을 두는걸로 이해됩니다.
그렇지만 그것도 PCI DSS compliant하지 않을 경우 어떤 제제가 부여될것인가에 대한 이슈이지 checklist는 동일합니다. (번역상의 오해 소지가 있는것이 있기는 하지만)
안녕하세요? 외국에서 인터넷 쇼핑몰에 카드결제 모듈을 달려고 하고 있습니다. 호스팅은 한국내 서버에 하려고 하는데 현지 PG사에서는 모든 호스팅사에 PCI DSS 를 통과를 요구하더군요. 나름대로 알아보고 있는데, 국내 호스팅사에는 그런 정보가 없더라고요. 취약성 스캔이 들어가는 순서로 진행되는것 같던데, 일단 한번 부딛혀보려고 합니다. 정 안되면 이곳 호스팅사를 이용하던지, 그것도 안되면 직접 서버를 둬야 할듯 싶습니다. 한번 통과하면 그만인게 아니라, 주기적으로 스캔을 하게 되어있는것 같습니다. 호스팅업체의 경우에는(한개의 IP주소에 여러개의 도메인이 존재하는 경우) 해당 전체 호스팅에 대해 전부 충족되지 않으면 안된다는 항목이 있어서 좀 우울합니다.
답글삭제해외 PG사에서 호스팅 업체가 PCI DSS통과를 요구하는 이유는 카드정보가 호스팅 업체를 거쳐 처리되기 때문인것으로 이해합니다.
답글삭제국내의 경우 머천트나 호스팅업체의 서버를 통해 민감한 카드정보가 전달되지 않도록 구조화되어 있어서 (사실상 유저와 PG사간 직접 교신하는 구조) 문제되지 않습니다.
뉴질랜드/호주의 ANZ 은행이 결제사입니다. 옵션이 두가지가 있는데, 한개는 내(호스팅)서버에서 결제를 처리하는 방식이고, 다른 한가지는 한국내와 마찬가지로 (말씀하신 것처럼) PG사의 결제 페이지로 리다이렉션 되는 형태입니다. 여기서 고민은 두 방식 모두에 PCI DSS를 요구한다는 겁니다.
답글삭제매뉴얼 상에는 그렇게 나와있는데, 일단 담당자를 만나서 이야기를 해 본 다음에 상황을 정확히 파악해봐야겠습니다.
어떤 결과일지는 (혹시 궁금해 하실까봐) 알게 되는대로 다시 올리겠습니다. ^^
다시 생각해보니 직접 카드정보를 다루지 않더라도 호스팅 업체에 PCI DSS 인증을 요구할 수 있겠다는 생각입니다.
답글삭제그러나 카드정보가 서버내에 아예 존재하지 않는다면 상대적으로 쉽게 인증을 받을 수 있고 또한 거래규모에 따라서 실사없이 자체 설문지 답변과 Remote ASV scan만으로 통과할수도 있을것 같습니다.
Remote ASV scan은 꼭 PCI DSS때문이 아니라 보안을 위해서라도 취약점 확인하고 보완하는것이 크게 봐서는 사업에 도움이 될것 같습니다.