결제 카드 산업 데이터 보안 표준

Payment Card Industry Data Security Standard

PCI DSS(Payment Card Industry Data Security Standard)는 주요 카드 체계에서 브랜드 카드를 취급하는 조직을 위한 정보보안 표준이다.

PCI 표준은 카드 브랜드에 의해 의무화되지만 지불 카드 산업 보안 표준 위원회가 관리한다. 이 표준은 신용카드 사기를 줄이기 위해 카드 보유자 데이터에 대한 통제를 강화하기 위해 만들어졌다.

준수 여부 검증은 매년 또는 분기별로 처리되는 트랜잭션 볼륨에 적합한 방법으로 수행된다.[1][better source needed][2]

  • 자체 평가 설문지(SAQ) - 더 작은 볼륨
  • 외부 적격 보안 평가자(QSA) - 중간 볼륨, AOC(Attraction on Compliance) 포함
  • 기업별 내부 보안 평가자(ISA) - 더 많은 볼륨, ROC(Report on Compliance) 발행 포함

역사

5개의 다른 프로그램이 카드사에 의해 시작되었다.

각각의 의도는 대략 비슷했다: 가맹점주들이 카드홀더 데이터를 저장하고, 처리하고, 전송할 때 최소한의 보안 수준을 충족하도록 함으로써 카드 발급자에 대한 추가적인 보호 수준을 만드는 것이다. 기존 표준 간의 상호운용성 문제를 해결하기 위해 주요 신용카드 기관의 노력을 종합한 결과 2004년 12월에 PCI DSS 버전 1.0이 출시되었다. PCI DSS는 전 세계적으로 구현되고 따라오고 있다.

그형 지불 카드 산업 보안 표준 심의회(PCISSC), 이러한 회사들은 PCIDSS.[3]마스터 카드, 아메리칸 익스프레스, 비자, 제이씨비 국제와 디스커버 파이넨셜 서비스 2006년 9월은 evolu고 있는 administration/governing 법인으로 PCISSC를 설립했다를 구축한 개별 정책들은 어찌 형성되었다.회부 등n 및 PCI DSS 개발. 독립/민간단체는 적절한 등록 후 PCI 개발에 참여할 수 있다. 각 참여 조직은 특정 SIG(특수 이익집단)에 가입하여 SIG가 위임하는 활동에 기여한다. 다음 버전의 PCI DSS가 제공되었다.[4]

버전 날짜 메모들
1.0 2004년 12월 15일
1.1 2006년 9월 명료하고 사소한 수정.
1.2 2008년 10월 명확성 향상, 유연성 향상, 변화하는 위험 및 위협 해결
1.2.1 2009년 7월 표준 및 지원 문서 간에 보다 명확하고 일관성을 갖도록 설계된 사소한 수정 사항
2.0 2010년 10월
3.0 2013년 11월 2014년 1월 1일부터 2015년 6월 30일까지 활동
3.1 2015년 4월 2016년 10월 31일 이후 은퇴한
3.2 2016년 4월 2018년 12월 31일 이후 은퇴한
3.2.1 2018년 5월

요구 사항들

PCI 데이터 보안 표준은 "제어 목표"라고 불리는 6개의 논리 관련 그룹으로 구성된 12가지 준수 요건을 규정한다. 6개 그룹은 다음과 같다.[5]

  1. 보안 네트워크 및 시스템 구축 및 유지 관리
  2. 카드 소유자 데이터 보호
  3. 취약성 관리 프로그램 유지 관리
  4. 강력한 액세스 제어 조치 구현
  5. 정기적으로 네트워크 모니터링 및 테스트
  6. 정보 보안 정책 유지 관리

PCI DSS(Payment Card Industry Data Security Standard)의 각 버전은 이 6가지 요건을 여러 하위 요구사항으로 다르게 구분했지만, 12가지 상위 요구사항은 이 표준이 시작된 이후 변경되지 않았다. 각 요구사항/하위 요구사항은 3개 섹션으로 추가 설명된다.

  1. 요구 사항 선언: 요구사항의 주요 설명을 규정한다. PCI DSS의 승인은 요구사항의 적절한 구현에 대해 수행된다.
  2. 테스트 프로세스: 적절한 구현 확인을 위해 평가자가 수행하는 프로세스 및 방법론.
  3. 지침: 요구사항의 핵심 목적과 요구사항의 적절한 정의를 지원할 수 있는 해당 내용을 설명한다.

보안망과 시스템을 구축하고 유지하기 위한 12가지 요건은 다음과 같이 요약할 수 있다.

  1. 카드 소유자 데이터를 보호하기 위한 방화벽 구성 설치 및 유지 관리 방화벽의 목적은 모든 네트워크 트래픽을 검색하고, 신뢰할 수 없는 네트워크가 시스템에 액세스하지 못하도록 차단하는 것이다.
  2. 시스템 암호 및 기타 보안 매개 변수에 대한 공급업체 제공 기본값 변경. 이들 암호는 공공정보를 통해 쉽게 발견되며 악의적인 개인이 시스템에 무단으로 접근할 수 있도록 이용할 수 있다.
  3. 저장된 카드 소유자 데이터 보호. 암호화, 해싱, 마스킹 및 잘림은 카드 홀더 데이터를 보호하기 위해 사용되는 방법이다.
  4. 공개 네트워크를 통한 카드 소유자 데이터 전송 암호화. 신뢰할 수 있는 키와 인증만 사용하는 등 강력한 암호화는 해킹을 통해 악의적인 개인의 표적이 될 위험을 줄여준다.
  5. 악성 프로그램으로부터 모든 시스템을 보호하고 안티바이러스 소프트웨어의 정기적인 업데이트 수행 악성코드는 인터넷 사용, 직원 이메일, 모바일 기기 또는 저장 장치를 포함한 다양한 방법을 통해 네트워크에 들어갈 수 있다. 최신 안티바이러스 소프트웨어 또는 보조 악성 소프트웨어로 악성코드를 통한 악용 위험을 줄일 수 있다.
  6. 안전한 시스템 및 애플리케이션 개발 및 유지 관리 시스템과 애플리케이션의 취약성은 부도덕한 개인이 특권적 접근을 할 수 있게 한다. 보안 패치를 즉시 설치하여 취약성을 해결하고 카드 보유자 데이터의 공격과 손상을 방지해야 한다.
  7. 인증된 직원만 카드 소유자 데이터에 액세스할 수 있도록 제한 시스템과 프로세스는 "알 필요가 있다"는 기준으로 카드 소유자 데이터에 대한 접근을 제한하기 위해 사용되어야 한다.
  8. 시스템 구성 요소에 대한 액세스 확인 및 인증 시스템 구성요소에 대한 접근 권한을 가진 각 개인에게는 중요한 데이터 시스템에 대한 접근의 책임성을 허용하는 고유한 ID(ID)가 할당되어야 한다.
  9. 카드 소유자 데이터에 대한 물리적 액세스 제한 이 데이터를 보유한 카드홀더 데이터 또는 시스템에 대한 물리적 액세스는 데이터의 무단 액세스 또는 제거를 방지하기 위해 안전해야 한다.
  10. 카드 소유자 데이터 및 네트워크 리소스에 대한 모든 액세스 추적 및 모니터링 데이터 손상의 영향을 방지, 감지 또는 최소화하기 위해 중요한 사용자 활동을 추적하기 위한 로깅 메커니즘이 마련되어야 한다.
  11. 정기적으로 보안 시스템 및 프로세스 테스트 새로운 취약점이 지속적으로 발견된다. 시스템, 프로세스 및 소프트웨어는 악의적인 개인이 사용할 수 있는 취약성을 발견하기 위해 자주 테스트할 필요가 있다.
  12. 모든 인력에 대한 정보보안 정책 유지. 강력한 보안 정책에는 데이터의 민감성과 데이터를 보호할 책임을 직원들에게 이해시키는 것이 포함된다.


업데이트 및 추가 정보

PCI SSC(Payment Card Industry Security Standards Council)는 다양한 요구사항을 명확히 하기 위해 몇 가지 보충 정보를 발표했다. 이 문서에는 다음이 포함된다.

  • 정보 부록: 요구사항 11.3 침투 시험
  • 정보 보완: 요구사항 6.6 코드 검토 및 애플리케이션 방화벽 명확화
  • PCI DSS 탐색 - 요구 사항의 의도 이해
  • "Information Supplement: PCI DSS Wireless Guidelines" (PDF). August 26, 2011.
  • EMV 환경의 PCI DSS 적용 가능성
  • PCI DSS를 위한 우선순위 지정 접근 방식
  • 우선순위 지정 접근 도구
  • PCI DSS 빠른 참조 가이드
  • PCI DSS 가상화 지침
  • PCI DSS 토큰화 지침
  • PCI DSS 2.0 위험 평가 지침
  • PCI DSS 및 PA-DSS의 변경에 대한 라이프사이클
  • PCI DSS 범위 지정 및 세분화에 대한 지침
  • PCI DSS v4.0은 2022년 1분기에 출판될 예정이다.

보고 수준

PCI DSS 표준의 적용을 받는 모든 회사는 PCI 규격에 부합해야 한다. 그러나, 그들이 그들의 준수를 증명하고 보고하는 방법은 그들이 연간 얼마나 많은 트랜잭션을 처리하는지 그리고 그들이 어떻게 그러한 트랜잭션을 처리하는지에 기초한다. 취득자나 지급 브랜드는 또한 그들의 재량에 따라 보고수준에 조직을 수동으로 배치하는 것을 선택할 수 있다.[6]

높은 수준에서 가맹점 수준은 다음과 같다.

  • 레벨 1 – 연간 600만 건 이상의 트랜잭션 처리
  • 레벨 2 – 연간 100만~600만 건의 트랜잭션 처리
  • 레벨 3 – 연간 2만~100만 건의 거래(또는 모든 전자상거래 상인)
  • 레벨 4 – 연간 20,000건 미만의 트랜잭션

각 카드사는 서비스 제공업체를 위한 별도 표뿐만 아니라 자체 준수 수준 표도 유지한다.[7][8]

컴플라이언스 검증

컴플라이언스 검증에는 PCI DSS가 권장하는 정책에 따라 보안 제어 및 절차가 적절하게 구현되었는지 평가 및 확인하는 작업이 포함된다. 간단히 말해서, PCI DSS, 보안 검증/테스트 절차를 준수 검증 툴로서 상호 보완하는 것이다. PCI DSS 평가에는 다음과 같은 실체가 있다.[9]

공인 보안 평가자(QSA)

주요 기사: 자격 있는 보안 평가자

적격 보안 평가인은 PCI 보안 표준 위원회가 제공한 인증서를 보유한 개인이다. 이 인증자는 PCI DSS(Payment Card Industry Data Security Standard) 준수를 위해 가맹점을 감사할 수 있다. QSA는 PCI SSC가 조직 절차의 준수 확인을 위해 인증한 독립 그룹/기업이다. 확인 결과, QSA가 PCI DSS 평가를 수행해야 하는 모든 개별 전제조건을 준수하는 경향이 있음을 알 수 있다.

내부 보안 평가자(ISA)

주요 기사: 내부 보안 평가자(ISA)

내부 보안 평가인은 PCI 보안 표준 회사로부터 후원 조직에 대한 인증서를 획득한 개인이다. 이 인증자는 자신의 조직을 위해 PCI 자체 평가를 수행할 수 있는 능력을 가지고 있다. 이 ISA 프로그램은 레벨 2 상인들이 새로운 마스터카드 준수 검증 요건을 충족할 수 있도록 설계되었다.[10] ISA 인증은 근로자가 자신의 연관성에 대한 내부 평가를 수행하고 PCI DSS 컴플라이언스를 위한 보안 솔루션/제어장치를 제안할 수 있도록 한다. ISA는 PCI SSC 확약을 위해 조직에 의해 유지되기 때문에 QSA와의 협력과 참여를 담당한다.[9]

규정 준수 보고서(ROC)

'준수 신고서'는 PCI DSS(Payment Card Industry Data Security Standard) 감사를 받는 1급 가맹점 비자 가맹점이 모두 작성해야 하는 양식이다. ROC 양식은 감사를 받는 상인이 PCI DSS 표준을 준수하는지 검증하는 데 사용된다. ROC는 사기/사기 카드 기반 비즈니스 거래로부터 카드 보유자를 보호하기 위해 조직에서 정책, 전략, 접근법 및 워크플로우를 적절하게 구현/개발하고 있음을 확인한다. PCI SSC 사이트에서 사용할 수 있는 템플릿 "ROC 보고 템플릿"에는 ROC에 대한 자세한 지침이 포함되어 있다.[9]

자체 평가 설문지(SAQ)

PCI DSS 자체 평가 설문지(SAQ)는 소매업체와 서비스 제공업체가 PCI DSS 자체 평가 결과를 보고할 수 있도록 돕기 위한 검증 도구다. SAQ에는 8가지 유형이 있으며, 각각 다른 수준의 복잡성을 가지고 있다. 가장 기본적인 것은 단 22개의 질문으로 구성된 SAQ-A이다. 가장 복잡한 것은 329개의 질문으로 구성된 SAQ-D이다. -

자체 평가 설문지는 상인들이 매년 완료하고 거래 은행에 제출해야 하는 질문지 문서 모음입니다. SAQ의 또 다른 구성요소는 내부 PCI DSS 자체 평가에 기초하여 각 SAQ 질문에 답변하는 AOC이다. 각 SAQ 질문은 예 또는 아니요로 답해야 한다. 질문이 적절한 응답 "아니오"를 갖는 경우, 해당 시점에서 협회는 미래의 구현 측면을 강조해야 한다.

컴플라이언스 대 컴플라이언스 검증

PCI DSS는 카드홀더 데이터를 처리, 저장 또는 전송하는 모든 엔티티에 의해 구현되어야 하지만, PCI DSS 컴플라이언스의 공식 검증은 모든 엔티티에 의무적인 것은 아니다. 현재 Visa와 MasterCard 모두 PCI DSS에 따라 상인과 서비스 제공업체의 검증을 요구하고 있다. Visa는 또한 자격을 갖춘 상인들이 연간 PCI DSS 유효성 평가를 중단할 수 있는 TIP(Technology Innovation Program)라는 대체 프로그램을 제공한다. 이들 가맹점은 EMV포인트 포인트 암호화 등 위조사기에 대한 대체 예방조치를 취하고 있는 경우 자격이 주어진다.[11]

발행 은행은 PCI DSS 호환 방식으로 민감한 데이터를 보호해야 하지만 PCI DSS 유효성 검사를 거치지 않아도 된다. 인수 은행들은 PCI DSS를 준수해야 할 뿐만 아니라 감사를 통해 그들의 준수 여부를 검증받아야 한다.

보안침해가 발생할 경우, 위반 당시 PCI DSS를 준수하지 않았던 모든 침해 기관은 벌금과 같은 추가 카드 체계 벌칙을 받게 된다.

입법

미국의 연방법에서는 PCI DSS 준수가 요구되지 않는다. 그러나 미국 일부 주의 법은 PCI DSS를 직접 언급하거나 그에 상응하는 조항을 만든다. 법률학자 에드워드 모스와 바산트 라발은 PCI DSS 준수를 법률에 포함시킴으로써 카드 네트워크가 카드 발급사로부터 외부화된 사기 비용을 가맹점에 재할당했다고 주장해왔다.[12]

2007년 미네소타는 거래 승인 후 48시간 이후에 일부 유형의 결제 카드 데이터를 보유하는 것을 금지하는 법을 제정했다.[13][14]

2009년, 네바다주는 이 표준을 주법에 편입시켜, 해당 상태에서 사업을 하는 상인의 현행 PCI DSS 준수를 요구하고, 준수하는 기업을 책임으로부터 보호했다. 네바다 법은 또한 상인들이 승인된 다른 보안 표준에 의한 책임을 피할 수 있도록 허용한다.[15][12]

2010년 워싱턴도 이 표준을 주법에 편입시켰다. 네바다 주법과 달리, 기업들은 PCI DSS를 준수할 필요가 없지만, 데이터 침해 시 준수 기업들은 책임으로부터 보호된다.[16][12]

카드 소유자의 데이터를 보호하기 위한 리스크 관리

PCI DSS의 요건 3에 따라, 상인과 금융 기관은 강력한 암호법으로 고객의 민감한 데이터를 보호해 줄 것을 간청한다. 비준수 솔루션은 감사를 통과하지 못할 것이다.[2] 일반적인 위험관리 프로그램은 다음 3단계로 구성될 수 있다.

  1. 알려진 모든 위험을 식별하고 위험 기록부에 기록/설명하십시오. 예를 들어 암호키 관리 프로세스에 사용되는 하드웨어 보안모듈(HSM)은 물리적으로든 논리적으로든 훼손될 경우 자신의 리스크를 잠재적으로 도입할 수 있다. HSM은 시스템 내에서 신뢰의 뿌리를 만든다. 그러나 그럴 가능성은 낮지만 HSM이 손상되면 전체 시스템이 손상될 수 있다.
  2. 리스크 관리 프로그램을 개발하는 것은 확인된 리스크를 모두 분석하는 것이다. 이 분석에는 위험의 가능성을 줄이기 위해 어떤 위험 치료 방법을 사용해야 하는지를 결정하기 위한 정성적 기법과 정량적 기법이 혼합되어야 한다. 예를 들어, 조직은 클라우드 HSM과 현장에서 사용하는 물리적 장치의 사용 위험을 분석할 수 있다.
  3. 이전에 수행한 리스크 분석에 대응하여 리스크를 치료한다. 예를 들어, 클라우드 HSM에 저장된 고객 정보를 보호하기 위해 서로 다른 처리 방법을 채택하는 것과 현장 HSM에 대해 물리적으로나 논리적으로 보안을 보장하는 것. 여기에는 허용 가능한 위험 수준을 유지하기 위한 통제 구현 또는 보험 가입이 포함될 수 있다.

지속적인 모니터링과 검토는 PCI DSS 암호 해독 위험을 줄이는 과정의 일부다. 여기에는 보안 취약점이 발견될 때 유지보수 일정과 사전 정의된 에스컬레이션 및 복구 루틴이 포함된다.

논란과 비판

비자카드와 마스터카드는 미준수 시 벌금을 부과한다.

유타주 파크 시티의 시스테로 리스테란테와 나이트클럽의 소유주인 스테판과 테오도라 매컴은 두 개의 포렌식 회사가 발생한 것으로 보이는 증거를 찾지 못한 위반으로 벌금을 부과받은 것으로 알려졌다.

PCI 시스템은 벌금과 벌금으로 카드사 수익을 긁어내는 시스템보다 고객 카드 데이터를 확보하는 시스템이 덜하다. 비자와 마스터카드는 단순히 벌금형이 '그들에게 이익이 된다'는 이유만으로 사기 손실이 전혀 없을 때에도 상인들에게 벌금을 부과한다."[17]

Michaels's Stores의 CIO인 Michael Jones는 PCI DSS와 관련하여 미 의회 소위원회 앞에서 다음과 같이 증언했다.

"(...PCI DSS 요건...) 구현 비용이 매우 비싸고, 준수하기가 혼란스럽고, 궁극적으로는 해석과 집행에서 모두 주관적이다. 흔히 PCI 컴플라이언스를 위한 '요구사항'은 12가지에 불과하다고 언급된다. 실제로 220개 이상의 하위 요구사항이 있다. 그 중 일부는 소매업자에게 엄청난 부담을 줄 수 있고, 대부분은 해석의 대상이 된다."[18]

다른 이들은 PCI DSS가 최소한의 표준만으로는 보안 문제를 완전히 근절할 수 없더라도 모든 기업이 IT 보안에 더욱 관심을 갖도록 하기 위한 조치라고 제안했다. 예를 들어, Bruce Schneier는 PCI DSS:

"규정—SOX, HIPAA, GLBA, 신용카드 산업의 PCI, 다양한 공개법, 유럽 데이터 보호법, 그 어떤 것이든, 업계가 기업들을 머리 위로 밀어낸 최고의 스틱이었다. 그리고 그것은 동작한다. 규제는 기업들로 하여금 보안을 더욱 심각하게 여기게 하고, 제품과 서비스를 더 많이 팔게 한다."[19]

Bob Ruso PCI Council 총지배인은 National Retail Federation의 반대에 대응했다.

"[PCI는 구조적인] 혼합...이해당사자들이 QSA(Qualified Security Assessors)와 협력하여 PCI 표준의 취지에 부합하는 적절한 보안 제어를 결정할 수 있는 기회와 유연성을 제공하는 [of] 특수성과 고급 개념.[20]

컴플라이언스 및 타협

Ellen Richey(2018) Visa 최고 기업 위험 책임자에 따르면:

"...침해 당시 PCI DSS를 준수하고 있는 손상된 실체는 아직 발견되지 않았다."[21]

2008년, PCI DSS를 준수하는 것으로 검증된 기관인 Heartland Payment Systems의 위반으로 인해 1억 장의 카드 번호가 손상되었다. 같은 시기에 PCI DSS를 준수하는 것으로 검증된 Hannaford Brothers와 TJX Companies는 Albert "Segvec" Gonzalez와 두 명의 익명의 러시아 해커들의 협력적인 노력의 결과로 유사한 위반을 당했다.[22]

평가에서는 특정 시점에 PCI DSS에 대한 가맹점 및 서비스 제공업체의 준수를 검토하고, 대표 시스템과 프로세스를 통해 준수를 입증할 수 있도록 샘플링 방법론을 자주 활용한다. 연간 유효성 검사/평가 주기와 전체 시스템과 프로세스에 걸쳐 항상 준수사항을 달성, 입증 및 유지하는 것은 판매자와 서비스 제공자의 책임이다. 한나포드 브라더스는 2개월 동안 내부 시스템을 절충한 사실을 인지한 지 하루 만에 PCI DSS 규정 준수 검증을 받았다. 평가자가 이를 식별하지 못하는 것은 준수 여부를 무능하게 검증하는 것이 표준의 보안을 훼손한다는 것을 시사한다.[citation needed]

다른 비판은 준법성 검증이 레벨 1-3 가맹점에 대해서만 필요하며 카드 브랜드와 취득자에 따라 레벨 4의 경우 선택사항일 수 있다는 것이다. 가맹점에 대한 비자의 준법성 검증내역에는 레벨 4 가맹점의 준법성 검증요건이 취득자에 의해 책정되고, 비자 레벨 4 가맹점은 "비자 전자상거래를 연간 2만건 미만으로 처리하는 상인과 기타 모든 가맹점의 연간 100만건까지 비자거래를 처리하는 상인들"이라고 명시되어 있다. 이와 동시에 2005년과 2007년 사이에 발생한 결제 카드 절충의 80% 이상이 4단계 가맹점에 영향을 미쳤다. 가맹점은 거래의 32%를 처리한다.[23]

참고 항목

참조

  1. ^ "What You Need to Know About PCI DSS Compliance: UK Costs & Checklist". Retrieved December 18, 2018.
  2. ^ a b PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2.1 May 2018" (PDF). PCI Security Standards Council, LLC.
  3. ^ Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). "A Survey of Payment Card Industry Data Security Standard". IEEE Communications Surveys & Tutorials. 12 (3): 287–303. doi:10.1109/SURV.2010.031810.00083. S2CID 18117838.
  4. ^ "Document Library". PCI Security Standards Council. Retrieved November 12, 2020.
  5. ^ "PCI DSS Quick Reference Guide" (PDF). Retrieved November 12, 2020.
  6. ^ "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org.
  7. ^ "Visa in Europe".
  8. ^ "Things Merchants Need to Know Process Payment Data & Secured Transactions Mastercard". www.mastercard.us.
  9. ^ a b c PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2" (PDF). PCI Security Standards Council, LLC. Retrieved September 4, 2018.
  10. ^ "Avoid Paying For PCI Certification You Don't Need". FierceRetail. May 12, 2010. Retrieved March 26, 2018.
  11. ^ PCI 컴플라이언스 가이드 PCI 컴플라이언스 가이드
  12. ^ a b c 에드워드 A. 모스; 바산트 라발, 에 비추어 비공개 주문: 결제 카드 보안 조치통한 소비자 보호 달성 DePaul Business & Commercial Law 저널 10, 2호(2012년 겨울): 213-266
  13. ^ James T. Graves, Minnesota의 PCI 법률: William Mitchell Law Review 34, 번호 3(2008): 1115-1146
  14. ^ MINN. STAT. § 325E.64
  15. ^ NEV. REV. STAT. § 603A.215
  16. ^ 2010년 세척. Sess. 법률 1055, § 3.
  17. ^ Zetter, Kim (January 11, 2012). "Rare Legal Fight Takes on Credit Card Company Security Standards and Fines". Wired. Retrieved March 30, 2019.
  18. ^ "Do the Payment Card Industry Data Standards Reduce Cybercrime? A Hearing before the Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology of the Committee on Homeland Security, House of Representatives, One Hundred Eleventh Congress, First Session, March 31, 2009". GPO. March 31, 2009. Retrieved March 30, 2019. Cite 저널은 필요로 한다. journal= (도움말)
  19. ^ "Bruce Schneier Reflects on a Decade of Security Trends". Schneier on Security. January 15, 2008. Retrieved March 8, 2019.
  20. ^ "Can PCI Compliance be Harmful to Your Security Initiative?". www.brighttalk.com. Retrieved October 9, 2020.
  21. ^ Vijayan, Jaikumar (March 19, 2009). "Post-breach criticism of PCI security standard misplaced, Visa exec says". Computerworld. Retrieved September 4, 2018.
  22. ^ Salim, Hamid M. (2014). Cyber safety : a systems thinking and systems theory approach to managing cyber security risks (Thesis thesis). Massachusetts Institute of Technology. hdl:1721.1/90804.
  23. ^ "Heartland Payment Systems Enters into its Third Settlement Agreement Arising from 2008 Data Breach". Privacy Law Blog. May 24, 2010. Retrieved October 10, 2020.

외부 링크