적용범위 o 대상제품 : 금융위원회에등록하고자하는신용카드단말기 - 관련유형 : 신용카드거래를위해가맹점에설치되어민감한신용카드정보를전달하는 장치로서, 단말기의형태와상관없이판매시점관리기능의존재여부에따라 CAT단말기와 POS단말기로구분. 단, 민감한신용카드정보를이용하지않는 장

목차 신용카드회원의정보보호를위한신용카드단말기정보보호기술기준

적용범위 o 대상제품 : 금융위원회에등록하고자하는신용카드단말기 - 관련유형 : 신용카드거래를위해가맹점에설치되어민감한신용카드정보를전달하는 장치로서, 단말기의형태와상관없이판매시점관리기능의존재여부에따라 CAT단말기와 POS단말기로구분. 단, 민감한신용카드정보를이용하지않는 장치는신용카드단말기정보보호기술기준적용대상에서제외 o 적용대상서비스 : 신용카드단말기를통한거래승인결제서비스 표 기관별역할 구분 기관명 주요내용 정책기관 금융위원회 신용카드단말기정보보호관련제도마련및정책수립 신용카드단말기등록 관리지침고시 위탁기관 여신금융협회 신용카드단말기등록및기술기준에관한업무 - 신용카드단말기등록 관리절차마련및시행 신용카드단말기정보보호기술기준시험기관및인증기관업무 - 신용카드단말기정보보호기술기준에따른시험및성적서발급 - 신용카드단말기정보보호시험결과인증및인증서발급 의뢰기관 부가통신업자, 카드리더기 신용카드단말기정보보호기술기준에따른제품개발제조업체등신용카드 보안약점 ( 및보안취약점 ) 점검및보완조치단말기개발및운영주체 사용기관 신용카드가맹점등 금융위원회에등록된안전한신용카드단말기구축 운영

그림 일반적인 단말기구조

표 주요보안위협 보안위협설명주요보안대책 중요정보불법접근 메모리해킹, 탭핑, 스키밍, 악성코드등의공격기법 * 을사용하여중요정보 ( 민감한신용카드정보, 신용카드번호 ) 을유출할수있는보안위협 중요정보암호화 암호키유출 중요정보암호화연산을위해사용되는암호키가유출되어중요정보가유출될수있는보안위협 안전한암호키관리 전송데이터유출 신용카드단말기구성요소간또는신용카드단말기와 VAN 서버간 전송되는중요정보를무단으로노출, 변경시킬수있는보안위협 암호화통신제공 보안기능우회 악성코드를통해신용카드단말기보안기능과관련된실행파일 또는설정파일등이변조되어보안기능을우회할수있는보안위협 자체보호기능 안티바이러스제품 설치 운영 표 주요공격기법 그림 일반적인 단말기구조및구성환경 공격기법메모리해킹스키밍 (Skimming) 탭핑 (Tapping) 설명이용자가입력한데이터등이메모리상에평문으로처리되는구간을포착하여민감한신용카드정보, 신용카드번호, 암호키를추출해내는공격기법카드입력부 ( 예, 카드리더기 ) 등에부착되어민감한신용카드정보등을빼내어카드정보를전자적으로복제하는공격기법카드입력부 ( 예, 카드리더기 ) 와신용카드단말기사이의케이블을도청하여민감한신용카드정보등을절취하고복제하는공격기법

표 신용카드단말기정보보호기술기준요약 구분 정보보호요구사항 세부항목 기본요구사항 신용카드거래승인에대한요구사항 2개항목 ( 제2절 ) 신용카드처리에대한요구사항 2개항목 1.1 신용카드단말기는 ISO7816 에서규정한 ID-1 TYPE 형태의카드가이용되는경우 EMV(Europay Mastercard Visa) 거래또는이에준하는방식으로우선처리함을원칙으로한다. 1.2 비정상적 fall-back 거래및변칙적 MS 거래가발생하지않도록해야한다. 민감한신용카드정보에대한보안요구사항 3 개항목 기술적요구사항 신용카드정보에대한보안요구사항 5 개항목 ( 제 3 절 ) 암호화에대한보안요구사항 4 개항목 자체보호에대한보안요구사항 3 개항목 안전한소프트웨어개발에대한요구사항 1 개항목 2.1 국내에서발급되는모든종류의신용카드를수용하여야처리할수있어야한다. 초기암호키주입에대한요구사항 2 개항목 2.2 신용카드단말기에대한안전성및호환성을보장해야한다. 관리적요구사항 보안교육에대한요구사항 1 개항목 ( 제 4 절 ) 형상관리에대한요구사항 3 개항목 안전한운영환경구성에대한요구사항 4 개항목 보안취약점점검및조치에대한요구사항 2 개항목

1.1 신용카드로부터입력받은민감한신용카드정보는암호화하여전송및처리해야하며, 평문상태로존재하지않아야한다. 1.2 민감한신용카드정보는어떠한형태로도메모리및파일시스템에저장되지않아야한다. 1.3 민감한신용카드정보는신용카드매출전표및단말기화면에출력되지않아야한다. 3.1 암호화연산은 112비트이상의보안강도를갖는암호알고리즘과암호키길이에따라암호화되어야한다. 3.2 안전성이검증된암호키생성및분배방법이사용되어야한다. 3.3 사용이만료 종료된암호키및암호키생성 분배를위해사용된모든정보는카드리더기를포함한신용카드단말기에서파기및삭제되어야한다. 3.4 암호화된민감한신용카드정보또는신용카드번호를임의로복호화할수없도록암호키가유출되지않는안전한암호키관리메커니즘을구현해야한다. 2.1 신용카드로부터입력받은신용카드정보는암호화또는마스킹 ( 신용카드번호 16자리중 7번째에서 12번째번호를 * 로마스킹 ) 하여전송하거나, 전용망을이용한전송등의방법을통해안전하게전송되어처리되어야한다. 2.2 신용카드정보는암호화또는마스킹하거나, 거래를구분할수있는다른정보등으로변환되어안전하게저장되어야한다. 4.1 신용카드단말기시동및운영 ( 주기적또는관리자요청 ) 시보안기능실행코드및보안기능관련저장데이터 ( 보안기능관련프로그램설정값등 ) 변경여부를탐지하기위한무결성점검기능을제공해야한다. 4.2 무결성점검수행결과를관리자가조회할수있는기능을제공해야한다. 4.3 무결성검증실패에대한대응행동 ( 동작중단및관리자에게통보 ) 을제공해야한다. 2.3 안전하게저장되어관리되고있는신용카드정보는최대 3 개월이내에삭제되어야한다. 2.4 신용카드거래승인이완료된경우, 거래종료시점에신용카드번호가가용하지않도록 메모리에서삭제해야한다. 2.5 신용카드번호를신용카드단말기화면또는신용카드매출전표에출력하는경우마스킹 ( 신용카드번호 16 자리중 7 번째에서 12 번째번호를 * 로마스킹 ) 된정보가표시되어야한 다.

3.1 신용카드단말기를안전하게구축 운영할수있도록관리자및사용자에대한운영관련보안교육계획을수립하여주기적으로수행해야한다. 4.1 신용카드단말기개발시형상관리체계를수립하고형상관리계획에따라운영및관 1.1 안전한신용카드단말기프로그램개발을위해개발단계부터취약점의원인을배제하도록 소프트웨어개발보안방법론을채택하여개발해야한다. 리하여야한다. 4.2 형상관리체계에서모든형상항목은유일하게식별되어야한다. 4.3 형상항목의변경은인가된변경만허용해야하며변경사항은추적되어야한다. 5.1 신용카드단말기가일반범용운영체제에서동작할경우, 시스템제공및관리업체에서 2.1 신용카드단말기제조직후주입되는초기암호키는안전하게관리되어야한다. 운영체제의기본보안설정을구성해야한다. 2.2 신용카드단말기에초기암호키주입시인가된직원이안전한장소에서, 안전한방법으 로초기암호키를주입할수있도록관리되어야한다. 5.2 운영체제, 방화벽, 안티바이러스제품등에대해필수보안패치를적용할수있는관리 수단을제공해야한다. 5.3 신용카드단말기관련소프트웨어 ( 카드리더기통신 / 신용인증정보처리 /VAN 통신프로그램 ) 및원격제어소프트웨어등의프로그램이용및설치시신뢰할수있는특정구간의 IP 주소, 포트 (Port), 프로토콜 (Protocol) 등만허용하도록설정되어야한다. 5.4 신용카드결제기능을위한신규환경구성, 단말기 A/S 에의한결제기능환경재구성 등으로인하여 CAT-ID 를설정하여야하는경우반드시 VAN 으로부터 CAT-ID 번호를검증 받아설정하여야한다.

6.1 신용카드단말기프로그램에서보안취약점발견시보안취약점을조치하여보안패치를먼저배포하고시험기관에보안패치프로그램에대한시험을의뢰해야한다. 6.2 신용카드단말기운영환경에대한보안취약점발견시신용카드단말기가설치된신용카드가맹점등에해당내용을공지하여보안패치를적용할수있도록해야한다. 구분정보보호요구사항기술기준 기본요구사항 ( 제 2 절 ) 기술적요구사항 ( 제 3 절 ) 관리적요구사항 ( 제 4 절 ) 1. 신용카드거래승인 2. 신용카드처리 1. 민감한신용카드정보 2. 신용카드정보 3. 암호화 4. 자체보호 1. 안전한소프트웨어개발 2. 초기암호키주입 1.1 1.2 2.1 CAT 단말기 ( 부록 1) POS 단말기 ( 부록 2) 4.1.1 IC 우선거래 4.2.1 EMV 인증 4.1.1 비정상적 fall-back 거래 4.1.1 변칙적 MS 거래 4.3.1 국내발급모든신용카드수용 4.4.1 선불카드 ( 기프트카드 ) 잔액표시 2.2 5. 시험요구사항 1.1 5.1.1 민감한신용카드기밀성 1.2 5.1.2 민감한신용카드정보저장금지 1.3 5.1.2 민감한신용카드정보출력금지 2.1 5.4.1 신용카드번호암호화등전송보호 2.2 5.4.2 신용카드번호암호화등저장 2.3 5.4.2 신용카드번호저장기간 2.4 5.4.3 신용카드번호삭제및파기 2.5 5.4.4 마스킹된신용카드번호화면표시 5.4.5 마스킹된신용카드번호매출전표출력 3.1 5.2.1 112 비트이상의보안강도 3.2 5.2.2 암호키생성 분배 3.3 5.3.2 암호키등삭제및파기 3.4 5.3.1 암호키에대한비인가접근불가 4.1 5.5.1 무결성점검 4.2 5.5.1 무결성점검결과제공 3. 보안교육 3.1 4.5 보안교육 4. 형상관리 5. 안전한운영환경구성 6. 보안취약점점검및조치 4.3 5.5.2 무결성검증실패대응행동 1.1 4.5 안전한 CAT/POS 단말기개발 2.1 4.5 안전한 CAT/POS 단말기개발및운영 2.2 4.5 안전한 CAT/POS 단말기개발및운영 4.1 4.5 안전한 CAT/POS 단말기개발및운영 4.2 4.5 안전한 CAT/POS 단말기개발및운영 4.3 4.5 안전한 CAT/POS 단말기개발및운영 5.1 4.5 안전한 CAT/POS 단말기운영 5.2 4.5 안전한 CAT/POS 단말기운영 5.3 4.5 안전한 CAT/POS 단말기운영 5.4 4.5 안전한 CAT 단말기운영 N/A 6.1 4.5 안전한 CAT/POS 단말기운영 6.2 4.5 안전한 CAT/POS 단말기운영

부록. 신용카드단말기유형별 보안기능및시험요구사항 - 카드사는가맹점관리의무의일환으로가맹점으로하여금신용카드회원등의제3자정보유출에대비한보안대책을수립하여야하므로본보안기능및시험요구사항을준수하고, 여신금융협회에등록된단말기에의한거래에한하여승인하여야한다. - CAT 단말기공급업체는본시험요구사항및보안표준을준수하고여신금융협회에등록된단말기를가맹점에유통및유지 보수하여야한다. - 개발업체는본문서에기술된 CAT 단말기제품의운영환경및보안기능을참조하여제품을구현하고, 여신금융협회의시험ㆍ인증을거쳐야한다. - 가맹점은단말기가보안표준을준수하고, 여신금융협회에등록된단말기인지여부 ( 스티커등표시 ) 를확인하여야한다. 1. 본보안기능및시험요구사항에서칭하는 CAT 단말기 는단말기본체내부에카드리더기를내장한 CAT 단말기를의미한다. 2. 본보안기능및시험요구사항은신용카드가맹점에서신용카드거래승인을위하여결제용으로사용하는 CAT 단말기에적용한다. 단, CAT 단말기중보안기능수행과관련없는부분은시험범위에서제외한다. 3. 본시험요구사항에서칭하는 신용카드 는신용카드, 체크카드, 선불카드 ( 기프트카드 ) 를포함한다.

응용시주의사항 : 비정상적 fall-back거래의금지 ( 정상적인 fall-back거래는예외적으로가능 ), 변칙적 M/S 거래의금지 IC우선거래처리방법 IC카드임에도불구하고 MS카드로거래가시도되는경우, MS카드 track2 data 중서비스코드 (2xx, 6xx) 를체크하여 IC카드로거래할수있도록유도한다. IC카드와통신하여 track2 equivalent data를얻어온후, 해당정보를바탕으로 MS거래로변환후거래시도등은허용하지않는다. 비정상적인 fall-back 거래 의예정상적인 fall-back 거래로인정될수없는경우의예는다음과같다. 1 Chip 또는 Application이 block되어있는경우 2 카드자체가 block된경우 그림 일반적인 단말기구조 정상적인 fall-back 거래 의예정상적인 fall-back 거래로인정될수있는경우의예는다음과같다. 1 Chip 전원을넣었으나응답이없을경우 2 상호지원 Application이없을경우 3 Chip 데이터읽기실패 4 Mandatory 데이터미포함 5 CVM command 응답실패 6 EMV command 잘못설정 7 터미널오작동 VISA, MASTER, JCB, GLOBAL, AMEX, 은련등을포함 해외카드의경우, 별도기준을준수하여야한다.

소프트웨어개발보안관련주요참고자료 1 ( 국내 ) 소프트웨어개발보안가이드및시큐어코딩가이드 ( 안전행정부 한국인터넷진흥원 ) 2 ( 국외 ) C/C++/JAVA Secure Coding Guide, CERT( 카네기멜론대학교 SEI연구소 ) 3 ( 국외 ) Secure Coding Guide, OWASP 응용시주의사항 : 민감한신용카드정보전송구간은 1) 민감한신용카드정보가 CAT 단말기에내장된카드리더기를통하여읽혀진시점부터 CAT 단말기내부에서처리되는구간, 민감한신용카드정보 전송구간 (CAT 단말기내장카드리더기 CAT 단말기내부 ) 의기밀성보증수준민감한신용카드정보가 CAT 단말기에내장된카드리더기를통하여읽혀지는시점부터 CAT 단말기내부에서처리되는구간내에서기밀성보증수준은다음과같다. 1 MS카드또는 IC카드로부터 CAT 단말기에내장된 MS카드리더기또는 IC카드리더기를통하여민감한신용카드정보를입력받은 CAT단말기는해당정보를 112비트이상의보안강도암호알고리즘을이용하여 CAT단말기내부에서암호화하여야한다. 2 112비트이상의보안강도를갖는암호알고리즘으로암호화된민감한신용카드정보는 CAT 단말기내부에서복호화될수없다. 3 CAT단말기는 CAT단말기외부인터페이스 (USB Port, JTAG Port 등 ) 를통한 CAT 단말기내부에대한비인가된논리적접근시도를방어해야한다. 2) CAT 단말기로부터 VAN사서버로전송되는구간을의미하며기밀성이유지된민감한신용카드정보는전송구간전체에서복호화될수없으며평문으로존재하는구간이없어야한다. 민감한신용카드정보 전송구간 (CAT 단말기 VAN 사서버 ) 의기밀성보증수준 CAT 단말기로부터 VAN사서버로전송되는구간의기밀성보증수준은다음과같다. 1 112비트이상의보안강도로암호화된민감한신용카드정보는 CAT 단말기와통신하는 VAN사서버에서만신용카드거래요청의목적으로복호화될수있다. 2 통신중개등을목적으로 CAT 단말기본체로부터 VAN사서버까지의민감한신용카드정보전송구간상에존재하는어떠한서버 ( 예-EDI 가맹점중계서버 ) 도암호화된민감한신용카드정보를복호화할수없다. 응용시주의사항 : 1. CAT 단말기는신용거래승인시출력하는모든전표에민감한신용카드정보를출력하지않아야한다. 2. CAT 단말기는신용카드거래승인시점부터민감한신용카드정보를저장하지않아야하며메모리에서삭제해야한다. 민감한신용카드정보의저장및출력금지 1 민감한신용카드정보는 CAT단말기내부에서파일형태로저장될수없으며암호화된경우에도파일형태로저장될수없다. 2 민감한신용카드정보는신용카드거래승인시점이후카드리더기내부메모리에서완전삭제되어야하며암호화된경우에도카드리더기내부메모리에서완전삭제되어야한다.

민감한신용카드정보의저장및출력금지 3 암호화된민감한신용카드정보는 CAT 단말기본체에파일형태로저장될수없다. 단, 민감한신용카드정보중신용카드번호는마스킹되어 CAT 단말기본체내부에파일형태로저장될수도있다. (5.4 신용카드번호보호참고 ) 4 민감한신용카드정보는신용거래승인시출력하는모든전표에출력될수없으며암호화된경우에도모든전표에출력될수없다. 단, 민감한신용카드정보중신용카드번호는마스킹되어전표에출력될수있다. (5.4 신용카드번호보호참고 ) 민감한신용카드정보보호 시험요구사항개발업체는개발한 CAT 단말기가 민감한신용카드정보보호 보안요구사항을만족하고있음을증명하여야한다. 개발업체는암호화대상정보, 적용암호알고리즘및 CAT 단말기에서 VAN사까지의암호화방식등을기술한문서를시험기관에제공하여야한다. 개발업체는해당기능에대한시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 응용시주의사항 : 민감한신용카드정보에대한암호화시동일한암호문이생성되지않아야한다. 112비트이상의보안강도를갖는암호알고리즘 112비트이상의보안강도를갖는암호알고리즘목록은암호모듈검증대상보호함수 ( 국가사이버안전센터 ) 와최신버전의 암호알고리즘및키길이이용안내서 ( 한국인터넷진흥원 ) 를참고한다. 1 암호알고리즘의보안강도란암호알고리즘이나시스템의암호키또는해쉬함수의취약성을찾아내는데소요되는작업량을수치화한것을의미하며 112비트의보안강도란 2 112 번의계산수행을통하여암호키또는암호알고리즘의취약성을알아낼수있음을의미한다. 2 국내에서권고하는 112비트이상의보안강도를갖는암호알고리즘의목록은다음과같다. 1. 대칭키암호알고리즘은 AES-128/192/256, 3TDEA, SEED, HIGHT, ARIA-128/192/256 이다. 2. 암 / 복호화를위한공개키알고리즘은 RSAES-OAEP 2048이다. o RSAES-OAEP에서사용하는해쉬함수는 SHA-224/256/384/512이다. o HAS-160, SHA-1도 112비트에포함되나충돌저항성이 112비트보안강도를제공하지못하므로사용하지않는것을권장한다. 3. ECC 알고리즘은전자서명용으로만권고하고있음으로, 민감한신용카드정보암 / 복호화를위한공개키알고리즘으로는사용하지않는것을권고한다. 안전성이검증된암호키생성 / 분배방법 안전성이검증된암호키생성 / 분배방법이라함은다음과같다. 1 국내외표준또는가이드문서또는보안표준에준하는문서등에서권고하고있는암호키생성 / 분배방법 암호알고리즘및키길이이용안내서 ( 한국인터넷진흥원, 2013.6.28) 에서는공개키기반의키공유알고리즘인 DH 및 ECDH를권고하고있다. 관련된국외표준등은 ISO/IEC 11770-3(2008), PKCS#1, PKCS#3 등이있다. 2 국내암호모듈검증제도에따라검증받은암호키생성 / 분배방법 KSX ISO/IEC 19790 : 2007, 정보기술-보안기술-암호모듈보안요구사항 3 기타국내외전문기관에서안전성을검증받은암호키생성 / 분배방법 암호키수명 ( 생명주기 ) 민감한신용카드정보암호화에사용되는암호키는적절한암호키수명 ( 생명주기 ) 을가져야한다. 적절한암호키수명이란국내외전문기관에서권고하고있는암호키의유효기간을의미한다. NIST SP 800-57(Recommendation for Key Management: Part 1 : General (Revision3), 2012.7), KISA 암호이용안내서 (2013.12) 등에서는암호키수명에대한권고사항을기술하고있다. 암호연산및암호키생성 / 분배 시험요구사항개발업체는개발한 CAT 단말기가 암호연산및암호키생성 / 분배 보안요구사항을만족하고있음을증명하여야한다. 개발업체는사용암호알고리즘의보안강도, 암호키생성 / 분배방법의안전성근거자료등을기술한문서를시험기관에제공하여야한다. 개발업체는사용하는암호알고리즘의구현적합성관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 응용시주의사항 : 1. 암호키에대한물리적 / 논리적접근은인가된관리자 / 프로그램등에게만허용되어야한다. 2. 민감한신용카드정보암호화를목적으로사용되는암호키는안전하게저장 / 관리되어야하며, CAT 단말기는암호키에대한비인가된접근시도를방어해야한다. 비인가된암호키접근시도에대한방어 1 CAT단말기내부에저장되는암호키는암호화되어저장되어야한다. 2 CAT단말기는 CAT단말기외부인터페이스 (USB Port, JTAG Port 등 ) 를통한 CAT단말기내부에대한비인가된논리적접근시도를방어해야한다.

3. 안전성이검증된암호키접근통제방법이사용되어야한다. 안전성이검증된암호키접근통제방법 안전성이검증된암호키접근통제방법은다음과같다. 1 암호키접근통제를위한스마트카드, 보안토큰과같은템퍼프루프 (Tamper-Proof) 매체의사용 2 국내외표준또는가이드문서또는보안표준에준하는문서등에서권고하고있는암호키에대한접근통제방법 3 기타국내외전문기관에서안전성을검증받은암호키접근통제방법 암호키생성 / 분배에사용된정보 의삭제암호키생성 / 분배를위해사용된모든정보란키길이, 키종류, 유효기간등을의미하며 CAT 단말기에서암호키생성 / 분배를위해사용된모든정보는사용만료 / 종료된후삭제 ( 파기 ) 되어야한다. 응용시주의사항 : 1. 안전성이검증된암호키삭제방법이사용되어야한다. 안전성이검증된암호키삭제방법 안전성이검증된암호키삭제방법중대표적인예는키를 0 등의특정문자로채운후해당메모리를해제하는방법이다. 암호키접근통제및파기 시험요구사항개발업체는개발한 CAT 단말기가 암호키접근통제및파기 보안요구사항을만족하고있음을증명하여야한다. 개발업체는사용하는암호키접근통제및파기방법, 사용방법의안전성근거자료등을기술한문서를시험기관에제공하여야한다. 개발업체는관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 신용카드번호 의보호 1 보안요구사항 5.1.1에따라신용카드번호는민감한신용카드정보로포함되어암호화되고전송보호되어야한다. 2 신용카드번호 가카드사가승인한매입업무처리, 카드사제휴서비스연계, 전표출력의 신용카드번호 의보호목적으로 POS 단말기본체 /POS 서버등으로전송이필요한경우, 신용카드번호 전체또는일부는민감한신용카드정보와별도로카드리더기로부터읽혀진후, POS 단말기본체 /POS 서버등으로전송될수있다. 단, 추가적으로전송되는 신용카드번호 는암호화, 마스킹, 전용망을이용한전송등의방법으로보호되어전송구간내에서전송되어야한다. 응용시주의사항 : 신용카드번호전송구간은신용카드번호가카드리더기를통하여읽혀지는시점부터 VAN사서버로전송되는구간전체를의미한다. 각전송구간별신용카드번호의전송보호수준은시험요구사항을참조한다. 신용카드번호 전송구간 ( 카드리더기 VAN 사서버 ) 의전송보호수준추가적으로전송되는 신용카드번호 에대한전송보호수준은다음과같다. 1 신용카드번호가암호화되지않는무선망, 일반인터넷망등 OPEN망 / 구간을통하여전송구간내에서전송되는경우, 신용카드번호 전부는암호화되거나일부마스킹되어전송되어야한다. OPEN 망 / 구간 의예는다음과같다. 1. 일반인터넷망으로연결된가맹점과 VAN사또는가맹점과카드사구간 2. 일반인터넷망으로연결된 CAT 단말기와 POS서버구간 신용카드번호 암호화시, 신용카드번호 는카드사가승인한매입업무, 카드사제휴서비스연계처리등의목적으로사용하는주체의키로암호화될수있으며 112비트이상의보안강도를갖는암호알고리즘과암호키길이에따라암호화되어야한다. ( 보안요구사항 5.2 참조 ) 신용카드번호 마스킹시, 신용카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어야한다. 2 신용카드번호가전송구간내에서전용망 ( 또는전용망으로간주될수있는전송선로 ) 을이용하여전송되는경우, 신용카드번호는암호화되지않거나마스킹되지않고전송될수있다. 전용망 ( 또는전용망으로간주될수있는전송선로 ) 의예는다음과같다. 1. CAT 단말기와 VAN사간전화선연결구간 2. VPN 암호화통신구간 3. 전용망으로연결된 CAT 단말기와 POS서버또는 CAT 단말기와 VAN사또는 CAT 단말기와카드사구간 4. 전용망으로연결된 POS서버와 VAN사또는 POS서버와카드사구간 카드사제휴서비스처리방법의예 1 CAT 단말기는신용카드거래를위해읽어온 track2 (equivalent) data 중신용카드번호 / 제휴 ( 상품 ) 코드 /OCB(OK CashBag) 구분자등을전송구간내존재하는별도단말기에 신용카드번호 전송보호수준에따라전송한다. 2 해당정보를전송받은단말기는전송된카드 BIN 또는제휴 ( 상품 ) 코드등을확인하여선할인, 포인트적립등제휴서비스업무를처리한다.

신용카드번호 의보호 1 보안요구사항 5.1.1에따라민감한신용카드정보로포함되어암호화된신용카드번호는보안요구사항 5.1.2에따라신용카드번호전송구간전체에서어떠한형태로도저장될수없다. 2 신용카드번호 가카드사가승인한매입업무처리, 카드사제휴서비스연계의목적으로 POS 서버등에저장이필요한경우, 신용카드번호 전체또는일부는민감한신용카드정보와별도로카드리더기로부터읽혀진후, POS 서버등으로전송된후저장될수있다. 단, 추가적으로전송된후저장되는 신용카드번호 는암호화, 마스킹, 거래를구분할수있는다른정보로변환등의방법으로보호되어저장되어야한다. 응용시주의사항 : 1. 신용카드번호전송구간내에서의신용카드번호저장은업무상필요성이인정되는경우에만허용된다. 각전송구간별신용카드번호의저장보호수준은시험요구사항을참조한다. 신용카드번호 전송구간 ( 카드리더기 VAN 사서버 ) 의저장보호수준추가적으로전송된후저장되는 신용카드번호 에대한저장보호수준은다음과같다. 1 신용카드번호가전송구간내에서암호화되지않는무선망, 일반인터넷망등 OPEN망 / 구간을이용하여전송되는경우, 신용카드번호 는일부마스킹되거나, 거래를구분할수있는다른정보로변환되어저장되어야한다. OPEN 망 / 구간 의예는보안요구사항 5.4.1과같다. 신용카드번호 마스킹저장시, 신용카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어저장되어야한다. 거래를구분할수있는다른정보로변환되어저장되는예 1. 신용카드번호에대한해쉬 (HASH) 값. 단, 충돌저항성이 112비트보안강도이상인해쉬알고리즘사용권고 2. VAN사또는카드사에서거래구분시사용하는값 3. 기타거래를구분할수있는다른정보로인정될수있는값 2 신용카드번호가전송구간내에서전용망 ( 또는전용망으로간주될수있는전송선로 ) 을이용하여전송되는경우, 신용카드번호는암호화되거나, 일부마스킹되어저장되어야한다. 전용망 ( 또는전용망으로간주될수있는전송선로 ) 의예는보안요구사항 5.4.1과같다. ' 신용카드번호 암호화저장시, 신용카드번호 는카드사가승인한매입업무처리, 카드사제휴서비스연계의목적으로사용하는주체 ( 예-가맹점 ) 의키로암호화될수있으며 112비트이상의보안강도를갖는암호알고리즘과암호키길이에따라암호화되어저장되어야한다. ( 보안요구사항 5.2 참조 ) 신용카드번호 마스킹저장시, 신용카드번호전체중 7번째에서 12번째번호는 * 로마스킹되어저장되어야한다. 신용카드번호 저장기간신용카드번호전송구간내에서 신용카드번호 가암호화, 마스킹, 거래를구분할수있는다른정보로변환되어저장할수있는기간은최대 3개월이다. 3. 저장기간이만료된경우, 해당정보는저장소에서완전삭제되어야한다. 암호화또는마스킹등으로보호된신용카드번호의완전삭제 완전삭제의의미는다음과같다. 1 완전삭제란저장공간 ( 파일시스템 ) 에저장된해당정보의기록영역을 0 또는랜덤한값으로덮어쓰는방법을의미한다. 2 대표적인완전삭제방법은 DoD 5220.22-M( 또는 DoD 5200.28-STD) 이며, 본요구사항에서는최소 3회이상의덮어쓰기를권고한다. 승인완료된거래의신용카드정보파기 승인완료된거래란 POS 단말기로부터요청된신용거래가완료되어 CAT 단말기모니터화면의표시및매출전표의출력이이루어진거래를의미한다. CAT단말기는승인완료후신용카드번호를메모리에서파기해야한다. 응용시주의사항 : 신용카드카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어야한다. 응용시주의사항 : 신용카드카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어야한다. 신용카드번호보호 시험요구사항개발업체는개발한 CAT 단말기가 신용카드번호보호 보안요구사항을만족하고있음을증명하여야한다. 개발업체는마스킹된신용카드번호보호체계, 삭제주기, 삭제방법메커니즘등을기술한문서를시험기관에제공하여야한다. 개발업체는관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 2. 저장이허용되는경우, 신용카드번호는암호화, 마스킹, 거래를구분할수있는다른정보로 변환등으로보호되어일정기간만저장되어야한다.

CAT 단말기의무결성점검 CAT 단말기의무결성점검이란보안기능을수행하는 CAT 단말기의보안기능실행코드, 보안기능관련설정값등의무단생성및변경, 삭제여부를점검함을의미한다. 1 보안기능관련저장데이터는알람규칙, 정책설정등이있으며보안기능관련저장데이터는파일시스템에평문으로존재할수없다. 2 무결성점검을주기적으로수행할시간격은기본적으로설정된시간마다 ( 예 : 6시간마다 ) 혹은인가된관리자에의해설정된시간 ( 예 : 매일특정시간 ) 마다수행한다. CAT 단말기의무결성검증실패시대응방안 무결성점검결과변조탐지및무결성검증동작실패시 CAT 단말기동작중단과함께결과를관리자에게경고음또는화면출력등으로통보해야한다. 자체보호 시험요구사항개발업체는개발한 CAT 단말기가 자체보호 보안요구사항을만족하고있음을증명하여야한다. 개발업체는무결성보호대상목록, 무결성검사메커니즘등을기술한문서를시험기관에제공하여야한다. 개발업체는관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. - 카드사는가맹점관리의무의일환으로가맹점으로하여금신용카드회원등의제3자정보유출에대비한보안대책을수립하여야하므로본보안기능및시험요구사항을준수하고, 여신금융협회에등록된단말기에의한거래에한하여승인하여야한다. - POS 단말기공급업체는본보안요구사항및시험요구사항을준수하고여신금융협회에등록된단말기를가맹점에유통및유지 보수하여야한다. - 개발업체는본문서에기술된 POS 단말기제품의운영환경및보안기능을참조하여제품을구현하고, 여신금융협회의시험ㆍ인증을거쳐야한다. - 가맹점은단말기가보안표준을준수하고, 여신금융협회에등록된단말기인지여부 ( 스티커등표시 ) 를확인하여야한다. 1. 본보안기능및시험요구사항에서칭하는 POS 단말기 는 POS 단말기본체와카드리더기를포함한다. 2. 본보안기능및시험요구사항은 POS 단말기중신용카드가맹점에서신용카드거래승인을위하여결제용으로사용하는 POS 단말기에적용한다. POS 단말기중신용카드결제전송기능이설치되지않았거나, 신용카드거래승인과관련이없는 POS 단말기는적용대상에서제외된다. 3. 본보안기능및시험요구사항에서정의하는시험범위는카드리더기와 POS 단말기본체에설치된카드리더기통신소프트웨어, VAN 통신소프트웨어등 POS 단말기소프트웨어이다. 단, 카드리더기와 POS 단말기소프트웨어중보안기능수행과관련없는부분은시험범위에서제외한다. 4. 본보안기능및시험요구사항에서칭하는 신용카드 는신용카드, 체크카드, 선불카드 ( 기프트카드 ) 를포함한다.

응용시주의사항 : 비정상적 fall-back거래의금지 ( 정상적인 fall-back거래는예외적으로가능 ), 변칙적 M/S 거래의금지 IC우선거래처리방법 IC카드임에도불구하고 MS카드로거래가시도되는경우, MS카드 track2 data 중서비스코드 (2xx, 6xx) 를체크하여 IC카드로거래할수있도록유도한다. IC카드와통신하여 track2 equivalent data를얻어온후, 해당정보를바탕으로 MS거래로변환후거래시도등은허용하지않는다. 비정상적인 fall-back 거래 의예정상적인 fall-back 거래로인정될수없는경우의예는다음과같다. 1 Chip 또는 Application이 block되어있는경우 2 카드자체가 block된경우 그림 단말기운영환경 정상적인 fall-back 거래 의예정상적인 fall-back 거래로인정될수있는경우의예는다음과같다. 1 Chip 전원을넣었으나응답이없을경우 2 상호지원 Application이없을경우 3 Chip 데이터읽기실패 4 Mandatory 데이터미포함 5 CVM command 응답실패 6 EMV command 잘못설정 7 터미널오작동

VISA, MASTER, JCB, GLOBAL, AMEX, 은련등을포함 해외카드의경우, 별도기준을준수하여야한다. 소프트웨어개발보안관련주요참고자료 1 ( 국내 ) 소프트웨어개발보안가이드및시큐어코딩가이드 ( 안전행정부 한국인터넷진흥원 ) 2 ( 국외 ) C/C++/JAVA Secure Coding Guide, CERT( 카네기멜론대학교 SEI연구소 ) 3 ( 국외 ) Secure Coding Guide, OWASP 민감한신용카드정보보호 응용시주의사항 : 민감한신용카드정보전송구간은 1) 민감한신용카드정보가카드리더기를통하여읽혀지는시점부터 POS 단말기본체로입력되는구간 민감한신용카드정보 전송구간 ( 카드리더기 POS 단말기본체 ) 의기밀성보증수준민감한신용카드정보가카드리더기를통하여읽혀지는시점부터 POS 단말기본체로전송되는구간의기밀성보증수준은다음과같다. 1 MS카드또는 IC카드로부터 MS카드리더기또는 IC카드리더기를통하여민감한신용카드정보를입력받은카드리더기는해당정보를 112비트이상의보안강도암호알고리즘을이용하여카드리더기내부에서암호화하여야한다. 2 카드리더기외부인터페이스를통하여민감한신용카드정보가 POS 단말기본체로입력되는구간내에서해당정보의기밀성은유지되어야한다. 3 카드리더기는카드리더기외부인터페이스 (USB Port, JTAG Port 등 ) 를통한카드리더기내부에대한비인가된논리적접근시도를방어해야한다. 2) POS 단말기본체내에서해당정보가처리되는구간, 민감한신용카드정보 전송구간 (POS 단말기본체 ) 의기밀성보증수준 POS 단말기본체내부구간의기밀성보증수준은다음과같다. 1 POS 단말기본체내부구간이라함은카드리더기드라이버및통신라이브러리, VAN사통신라이브러리, 해당라이브러리등을이용하여신용카드전문전송처리기능등을수행하는 POS 프로그램이설치되어동작하는 POS 단말기본체내부를의미한다. 2 POS 단말기본체에설치된어떠한소프트웨어 (POS 프로그램등 ) 및하드웨어장치도 112비트이상의보안강도로암호화된민감한신용카드정보를복호화할수없다. 3) POS 단말기본체로부터 VAN사서버로전송되는구간을의미하며기밀성이유지된민감한신용카드정보는전송구간전체에서복호화될수없으며평문으로존재하는구간이없어야한다. 민감한신용카드정보 전송구간 (POS 단말기본체 VAN 사서버 ) 의기밀성보증수준 POS 단말기본체로부터 VAN사서버로전송되는구간의기밀성보증수준은다음과같다. 1 112비트이상의보안강도로암호화된민감한신용카드정보는 POS 단말기와통신하는 VAN사서버에서만신용카드거래요청의목적으로복호화될수있다. 2 통신중계등을목적으로 POS 단말기본체로부터 VAN사서버까지의민감한신용카드정보전송구간상에존재하는어떠한서버 ( 예-EDI 가맹점중계서버 ) 도암호화된민감한신용카드정보를복호화할수없다.

응용시주의사항 : 1. POS 단말기는신용거래승인시출력하는모든전표에민감한신용카드정보를출력하지않아야한다. 2. POS 단말기는신용카드거래승인시점부터민감한신용카드정보를저장하지않아야하며메모리에서삭제해야한다. 민감한신용카드정보의저장및출력금지 1 민감한신용카드정보는카드리더기내부에서파일형태로저장될수없으며암호화된경우에도파일형태로저장될수없다. 2 민감한신용카드정보는신용카드거래승인시점이후카드리더기내부메모리에서완전삭제되어야하며암호화된경우에도카드리더기내부메모리에서완전삭제되어야한다. 3 암호화된민감한신용카드정보는 POS 단말기본체에파일형태로저장될수없다. 단, 민감한신용카드정보중신용카드번호는마스킹되어 POS 단말기본체내부에파일형태로저장될수도있다. (5.4 신용카드번호보호참고 ) 4 민감한신용카드정보는신용거래승인시출력하는모든전표에출력될수없다. 단, 민감한신용카드정보중신용카드번호는마스킹되어전표에출력될수있다. (5.4 신용카드번호보호참고 ) 민감한신용카드정보보호 시험요구사항개발업체는개발한 POS 단말기가 민감한신용카드정보보호 보안요구사항을만족하고있음을증명하여야한다. 개발업체는암호화대상정보, 적용암호알고리즘및카드리더기에서 VAN사까지의암호화방식등을기술한문서를시험기관에제공하여야한다. 개발업체는해당기능에대한시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 응용시주의사항 : 민감한신용카드정보에대한암호화시동일한암호문이생성되지않아야한다. 112비트이상의보안강도를갖는암호알고리즘 112비트이상의보안강도를갖는암호알고리즘목록은암호모듈검증대상보호함수 ( 국가사이버안전센터 ) 와최신버전의 암호알고리즘및키길이이용안내서 ( 한국인터넷진흥원 ) 를참고한다. 1 암호알고리즘의보안강도란암호알고리즘이나시스템의암호키또는해쉬함수의취약성을찾아내는데소요되는작업량을수치화한것을의미하며 112비트의보안강도란 2 112 번의계산수행을통하여암호키또는암호알고리즘의취약성을알아낼수있음을의미한다. 2 국내에서권고하는 112비트이상의보안강도를갖는암호알고리즘의목록은다음과같다. 1. 대칭키암호알고리즘은 AES-128/192/256, 3TDEA, SEED, HIGHT, ARIA-128/192/256 등이다. 112비트이상의보안강도를갖는암호알고리즘 2. 암 / 복호화를위한공개키알고리즘은 RSAES-OAEP 2048이다. o RSAES-OAEP에서사용하는해쉬함수는 SHA-224/256/384/512이다. o HAS-160, SHA-1은 112비트에포함되나충돌저항성이 112비트보안강도를제공하지못하므로사용하지않는것을권장한다. 3. ECC 알고리즘은전자서명용으로만권고하고있음으로, 민감한신용카드정보암 / 복호화를위한공개키알고리즘으로는사용하지않는것을권고한다. 안전성이검증된암호키생성 / 분배방법 안전성이검증된암호키생성 / 분배방법이라함은다음과같다. 1 국내외표준또는가이드문서또는보안표준에준하는문서등에서권고하고있는암호키생성 / 분배방법 암호알고리즘및키길이이용안내서 ( 한국인터넷진흥원, 2013.6.28) 에서는공개키기반의키공유알고리즘인 DH 및 ECDH를권고하고있다. 관련된국외표준등은 ISO/IEC 11770-3(2008), PKCS#1, PKCS#3 등이있다. 2 국내암호모듈검증제도에따라검증받은암호키생성 / 분배방법 KSX ISO/IEC 19790 : 2007, 정보기술-보안기술-암호모듈보안요구사항 3 기타국내외전문기관에서안전성을검증받은암호키생성 / 분배방법 암호키수명 ( 생명주기 ) 민감한신용카드정보암호화에사용되는암호키는적절한암호키수명 ( 생명주기 ) 을가져야한다. 적절한암호키수명이란국내외전문기관에서권고하고있는암호키의유효기간을의미한다. NIST SP 800-57(Recommendation for Key Management: Part 1 : General (Revision3), 2012.7), KISA 암호이용안내서 (2013.12) 등에서는암호키수명에대한권고사항을기술하고있다. 암호연산및암호키생성 / 분배 시험요구사항개발업체는개발한 POS 단말기가 암호연산및암호키생성 / 분배 보안요구사항을만족하고있음을증명하여야한다. 개발업체는사용암호알고리즘의보안강도, 암호키생성 / 분배방법의안전성근거자료등을기술한문서를시험기관에제공하여야한다. 개발업체는사용하는암호알고리즘의구현적합성관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다.

응용시주의사항 1. 암호키에대한물리적 / 논리적접근은인가된관리자 / 프로그램등에게만허용되어야한다. 2. 민감한신용카드정보암호화를목적으로카드리더기에사용되는암호키는안전하게저장 / 관리되어야하며, 카드리더기는암호키에대한비인가된접근시도를방어해야한다. 비인가된암호키접근시도에대한방어 1 카드리더기내부에저장되는암호키는암호화되어저장되어야한다. 2 카드리더기는카드리더기외부인터페이스 (USB Port, JTAG Port 등 ) 를통한카드리더기내부에대한비인가된논리적접근시도를방어해야한다. 3. 안전성이검증된암호키접근통제방법이사용되어야한다. 안전성이검증된암호키접근통제방법 안전성이검증된암호키접근통제방법은다음과같다. 1 암호키접근통제를위한스마트카드, 보안토큰과같은템퍼프루프 (Tamper-Proof) 매체의사용 2 국내외표준또는가이드문서또는보안표준에준하는문서등에서권고하고있는암호키에대한논리적 / 물리적접근통제방법 3 기타국내외전문기관에서안전성을검증받은암호키접근통제방법 암호키생성 / 분배에사용된정보 의삭제암호키생성 / 분배를위해사용된모든정보란키길이, 키종류, 유효기간등을의미하며카드리더기및 POS 단말기본체에서암호키생성 / 분배를위해사용된모든정보는사용만료 / 종료된후삭제 ( 파기 ) 되어야한다. 응용시주의사항 : 안전성이검증된암호키삭제방법이사용되어야한다. 안전성이검증된암호키삭제방법 안전성이검증된암호키삭제방법중대표적인예는키를 0 등의특정문자로채운후해당메모리를해제하는방법이다. 암호키접근통제및파기 시험요구사항개발업체는개발한 POS 단말기가 암호키접근통제및파기 보안요구사항을만족하고있음을증명하여야한다. 개발업체는사용하는암호키접근통제및파기방법, 사용방법의안전성근거자료등을기술한문서를시험기관에제공하여야한다. 개발업체는관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 신용카드번호 의보호 1 보안요구사항 5.1.1에따라신용카드번호는민감한신용카드정보로포함되어암호화되고전송보호되어야한다. 2 신용카드번호 가카드사가승인한매입업무처리, 카드사제휴서비스연계, 전표출력의목적으로 POS 단말기본체 /POS 서버등으로전송이필요한경우, 신용카드번호 전체또는일부는민감한신용카드정보와별도로카드리더기로부터읽혀진후, POS 단말기본체 /POS 서버등으로전송될수있다. 단, 추가적으로전송되는 신용카드번호 는암호화, 마스킹, 전용망을이용한전송등의방법으로보호되어전송구간내에서전송되어야한다. 응용시주의사항 : 신용카드번호전송구간은신용카드번호가카드리더기를통하여읽혀지는시점부터 VAN사서버로전송되는구간전체를의미한다. 각전송구간별신용카드번호의전송보호수준은시험요구사항을참조한다. 신용카드번호 전송구간 ( 카드리더기 VAN 사서버 ) 의전송보호수준추가적으로전송되는 신용카드번호 에대한전송보호수준은다음과같다. 1 신용카드번호가암호화되지않는무선망, 일반인터넷망등 OPEN망 / 구간을통하여전송구간내에서전송되는경우, 신용카드번호 전부는암호화되거나일부마스킹되어전송되어야한다. OPEN 망 / 구간 의예는다음과같다. 1. 카드리더기와 POS단말기본체간암호화되지않은무선연결구간 2. 일반인터넷망으로연결된가맹점과 VAN사또는가맹점과카드사구간 3. 일반인터넷망으로연결된 POS 단말기와 POS서버구간 ' 신용카드번호 암호화시, 신용카드번호 는카드사가승인한매입업무, 카드사제휴서비스연계처리등의목적으로사용하는주체의키로암호화될수있으며 112비트이상의보안강도를갖는암호알고리즘과암호키길이에따라암호화되어야한다. 신용카드번호 마스킹시, 신용카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어야한다. 2 신용카드번호가전송구간내에서전용망 ( 또는전용망으로간주될수있는전송선로 ) 을이용하여전송되는경우, 신용카드번호는암호화되지않거나마스킹되지않고전송될수있다. 전용망 ( 또는전용망으로간주될수있는전송선로 ) 의예는다음과같다. 1. 카드리더기와 POS단말기본체간유선연결구간 ( 시리얼통신, USB연결등 ) 2. POS단말기본체와 VAN사간전화선연결구간 3. VPN 암호화통신구간 4. 전용망으로연결된 POS단말기와 POS서버또는 POS 단말기와 VAN사또는 POS 단말기와카드사구간

신용카드번호 전송구간 ( 카드리더기 VAN 사서버 ) 의전송보호수준 5. 전용망으로연결된 POS서버와 VAN사또는 POS서버와카드사구간 카드사제휴서비스처리방법의예 1 POS 단말기는신용카드거래를위해읽어온 track2 (equivalent) data 중신용카드번호 / 제휴 ( 상품 ) 코드 /OCB(OK CashBag) 구분자등을전송구간내존재하는별도단말기에 신용카드번호 전송보호수준에따라전송한다. 2 해당정보를전송받은단말기는전송된카드 BIN 또는제휴 ( 상품 ) 코드등을확인하여선할인, 포인트적립등제휴서비스업무를처리한다. 신용카드번호 의보호 1 보안요구사항 5.1.1에따라민감한신용카드정보로포함되어암호화된신용카드번호는보안요구사항 5.1.2에따라신용카드번호전송구간전체에서어떠한형태로도저장될수없다. 2 신용카드번호 가카드사가승인한매입업무처리, 카드사제휴서비스연계의목적으로 POS 서버등에저장이필요한경우, 신용카드번호 전체또는일부는민감한신용카드정보와별도로카드리더기로부터읽혀진후, POS 서버등으로전송된후저장될수있다. 단, 추가적으로전송된후저장되는 신용카드번호 는암호화, 마스킹, 거래를구분할수있는다른정보로변환등의방법으로보호되어저장되어야한다. 응용시주의사항 : 1. 신용카드번호전송구간내에서의신용카드번호저장은업무상필요성이인정되는경우에만허용된다. 각전송구간별신용카드번호의저장보호수준은시험요구사항을참조한다. 신용카드번호 전송구간 ( 카드리더기 VAN 사서버 ) 의저장보호수준추가적으로전송된후저장되는 신용카드번호 에대한저장보호수준은다음과같다. 1 신용카드번호가전송구간내에서암호화되지않는무선망, 일반인터넷망등 OPEN망 / 구간을이용하여전송되는경우, 신용카드번호 는일부마스킹되거나, 거래를구분할수있는다른정보로변환되어저장되어야한다. OPEN망/ 구간 의예는보안요구사항 5.4.1과같다. 신용카드번호 마스킹저장시, 신용카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어저장되어야한다. 거래를구분할수있는다른정보로변환되어저장되는예 1. 신용카드번호에대한해쉬 (HASH) 값. 단, 충돌저항성이 112비트보안강도이상인해쉬알고리즘사용권고 2. VAN사또는카드사에서거래구분시사용하는값 3. 기타거래를구분할수있는다른정보로인정될수있는값 2 신용카드번호가전송구간내에서전용망 ( 또는전용망으로간주될수있는전송선로 ) 을 신용카드번호 전송구간 ( 카드리더기 VAN 사서버 ) 의저장보호수준이용하여전송되는경우, 신용카드번호는암호화되거나, 일부마스킹되어저장되어야한다. 전용망 ( 또는전용망으로간주될수있는전송선로 ) 의예는보안요구사항 5.4.1과같다. ' 신용카드번호 암호화저장시, 신용카드번호 는카드사가승인한매입업무처리, 카드사제휴서비스연계의목적으로사용하는주체 ( 예-가맹점 ) 의키로암호화될수있으며 112비트이상의보안강도를갖는암호알고리즘과암호키길이에따라암호화되어저장되어야한다. ( 보안요구사항 5.2 참조 ) 신용카드번호 마스킹저장시, 신용카드번호전체중 7번째에서 12번째번호는 * 로마스킹되어저장되어야한다. 2. 저장이허용되는경우, 신용카드번호는암호화, 마스킹, 거래를구분할수있는다른정보로변환등으로보호되어일정기간만저장되어야한다. 신용카드번호 저장기간신용카드번호전송구간내에서 신용카드번호 가암호화, 마스킹, 거래를구분할수있는다른정보로변환되어저장할수있는기간은최대 3개월이다. 3. 저장기간이만료된경우, 해당정보는저장소에서완전삭제되어야한다. 암호화또는마스킹등으로보호된신용카드번호의완전삭제 완전삭제의의미는다음과같다. 1 완전삭제란저장공간 ( 파일시스템 ) 에저장된해당정보의기록영역을 0 또는랜덤한값으로덮어쓰는방법을의미한다. 2 대표적인완전삭제방법은 DoD 5220.22-M( 또는 DoD 5200.28-STD) 이며, 본요구사항에서는최소 3회이상의덮어쓰기를권고한다. 승인완료된거래의신용카드정보파기 승인완료된거래란 POS 단말기로부터요청된신용거래가완료되어 POS 단말기모니터화면의표시및매출전표의출력이이루어진거래를의미한다. POS단말기는승인완료후신용카드번호를메모리에서파기해야한다. 응용시주의사항 : 신용카드카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어야한다. 응용시주의사항 : 신용카드카드번호전체자리중 7번째에서 12번째번호는 * 로마스킹되어야한다.

신용카드번호보호 시험요구사항개발업체는개발한 POS 단말기가 신용카드번호보호 보안요구사항을만족하고있음을증명하여야한다. 개발업체는신용카드번호전송보호체계, 신용카드번호저장보호체계, 삭제주기, 삭제방법메커니즘등을기술한문서를시험기관에제공하여야한다. 개발업체는관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다. 카드리더기의무결성점검 카드리더기의무결성점검이란보안기능을수행하는카드리더기의보안기능실행코드, 보안기능관련설정값등의무단생성및변경, 삭제여부를점검함을의미한다. 1 보안기능관련저장데이터는알람규칙, 정책설정등이있으며해당데이터는파일시스템에평문으로존재할수없다. 2 무결성점검을주기적으로수행할시간격은기본적으로설정된시간마다 ( 예 : 6시간마다 ) 혹은인가된관리자에의해설정된시간 ( 예 : 매일특정시간 ) 마다수행한다. 카드리더기의무결성검증실패시대응방안 무결성점검결과변조탐지및무결성검증동작실패시카드리더기동작중단과함께결과를관리자에게경고음또는카드리더기화면출력, 카드리더기와연결된 POS 단말기본체모니터화면출력등으로통보해야한다. 자체보호 시험요구사항개발업체는개발한 POS 단말기가 자체보호 보안요구사항을만족하고있음을증명하여야한다. 개발업체는무결성보호대상목록, 무결성검사메커니즘등을기술한문서를시험기관에제공하여야한다. 개발업체는관련시험증거자료및추가적으로시험기관에서정의한시험지원자료를시험기관에제공하여야한다.