Welcome! This is Qualys-PCI.

(PCI-ASV Scanning)

PCI는 PCI-DSS인증에 필수적으로 제출해야 하는 ASV 보고서를 위한 취약점 스캔 및 진단을 위한 솔루션입니다.

구매문의

PCI DSS는 무엇인가?

PCI-DSS(Payment Card Industry Data Security Standard)

PCI SSC

Payment Card Industry Security Standard Council

신용카드 회사마다 다른 보안기준을 요구했기 때문에 기준과 비용을 통합하기 위해 조직한 위원회로서, 5대 결제 브랜드(VISA, Master Card, American Express, Discover, JCB)로 구성되어 있습니다.

PCI 컴플라이언스

PCI Compliance

해당 규정을 준수하는 것이 법률상 요구 사항은 아닙니다. 그러나 카드 결제를 수용하는 가맹점은 잠재적인 데이터 침해를 방지하고 과도한 미 준수 수수료를 피하기 위해 PCI SSC가 정한 규정에 따르는 것이 바람직합니다.

PCI DSS

Payment Card Industry Data Security Standard

지불 카드 프로세스에 관련된 모든 기업과 카드 소유자 데이터와 민감한 인증 데이터의 저장, 처리 또는 전송을 하는 기타 모든 기업을 대상으로 하는 보안 표준입니다.

주된 내용은 카드 소유자 데이터와 민감한 인증 데이터를 보호하기 위한 기술적 요구사항과 데이터 암호화, 개발 과정 중의 보안 요건, 그리고 정책 등 요구사항을 다방면으로 규정한 내용입니다.

PCI DSS 인증대상은 누구인가?

Lv.1에서 Lv.4 로 구분하여 필요한 서류가 나뉘어져 있습니다.

레벨	거래량	ASV	SAQ	AOC
LV.1	6백만 건 이상	필수(분기)	옵션	필수(연간)
LV.2	1백만 건 - 6백만 건 미만	필수(분기)	필수(연간)	옵션
LV.3	2만 건 - 1백만 건 미만	필수(분기)	필수(연간)	옵션
LV.4	2만건 이하	필수(분기)	필수(연간)	옵션

ASV

Approved Scanning Vendors

PCI SSC로부터 승인 받은 벤더에 의해 분기별 취약점 진단 수행 후, Approved 보고서를 제출해야 합니다. (분기별 1회, 연 4개의 보고서)

SAQ

Self Assessment Questionnaire

자체 평가 설문지로서 PCI-DSS 준수를 자체 평가할 수 있는 검증 도구입니다.

AOC

Attestation of Compliance

QSA(PCI SSC가 지정한 PCI 보안 표준에 대한 이해가 높고 PCI Compliance 평가가 가능하다고 판단되는 사람 또는 조직)가 평가 및 작성 후 제출

PCI DSS는 어떤 것을 보는가?

PCI DSS는 크게 6가지의 카테고리와 12개의 제어항목으로 구성되어 있습니다.

보안 네트워크 유지 관리

방화벽 설치 및 구성관리

공급업체가 제공한 기본 값을 시스템
암호 및 보안 매개변수 사용금지

카드 홀더 데이터 보호

카드 소유자 데이터는 항상 암호화 되어 관리

카드 홀더 데이터는 안전하게 저장

취약점 관리 프로그램

안티 바이러스 소프트웨어를 사용하고 주기적으로 업데이트되는지 확인

기업은 보안 시스템과 보안 애플리케이션을 선택

접근 통제 시행

제한된 수의 직원들로 카드 소유자 데이터 베이스 액세스 제한

각 사용자들에게 고유한 ID 할당

카드 홀더 데이터에 대한 물리적 액세스 제한

정기적 모니터링 및 네트워크 테스트

네트워크 리소스 및 카드 소유자 데이터에 대한 액세스 모니터링

보안 시스템 및 프로세스를 정기적으로 테스트가 필요

정보보안 정책 유지관리

기업은 허용된 기술 사용, 연간 위험 분석 프로세스, 운영보안 절차등을 포함하는 구체적인 정보보안 정책을 유지

Zinion Qualys PCI

PCI 기준에 부합하는 테스트 및 보고서를 제시하며 가장 정확하고 간편하고 효율적인 솔루션을 제시합니다.

지니온은 PCI-DSS 인증을 위해 반드시 제출해야 하는 ASV 보고서를 PCI SSC에서 승인받은 Qualys를 통하여 정확하고 빠른 과정을 제공합니다

사용자 편의성

스캐닝 및 업데이트 적용 간소화

접근 제어

자동 분류

PCI 표준 준수 프로세스를 간소하하여 전달합니다

유용한 정보, 직관적인 인터페이스를 제공합니다.

24/7 지속적인 지원이 보장됩니다.

99.9%의 정확도로 인터넷 네트워크 시스템을 스캔합니다.

사용하기 쉬운 보고서로 제공합니다.

발견된 취약점에 대한 자세한 패치 지침을 제공합니다.

안전한 웹 애플리케이션을 유지하기 위한 표준을 지원합니다.

웹 애플리케이션이 안전하게 구축 및 유지되도록 보장합니다.

업데이트 적용이 완료되면 자동으로 컴플라이언스 프로세스를 완료합니다.

Qualys PCI 강점

하이라이트

Highlight

Single GUI

단일 GUI

단일 대시보드 인터페이스를 통해 모든 IT자산에 대한 완전하고 지속적으로 업데이트된 모습을 얻을수 있습니다.

직관적이고 쉽게 구축할 수 있는 동적 대시보드를 통해 IT보안 및 규정 준수 데이터를 한곳에서 통합하고 상관관계를 분석할 수 있습니다.

Centralized & Customized

중앙 맞춤형 & 집중형

여러 유형의 평가를 위해 호스트 자산의 검색을 중앙 집중화 합니다.

End-to-End 암호화 및 강력한 액세스 제어를 통해 보안 데이터를 비공개로 유지 합니다 (SAML 2.0 기반 ID 지원)

Easy deployment & visibility

간편한배치

Qualys는 자체 Public, Private 클라우드를 구축합니다. Qualys를 사용하면 프로비저닝 할 서버, 설치할 소프트웨어, 유지 관리할 데이터 베이스가 존재하지않습니다.

VPN을 설정하지 않고 브라우저를 통해 최신 Qualys 기능을 사용 가능합니다.

Scalability

확장성

On-demand 글로벌 확장 가능한 XML 기반 API를 통해 다른 시스템과 통일이가능합니다.

Qualys는 GRC, 티켓팅 시스템, SIEM, ERM 및 IDS와 같은 보안 규정 준수 시스템과 함께 사용이 가능합니다.

PCI SSC로부터 승인된 스캔 벤더

Approved Vendor from PCI SSC

ASV 인증

PCI DSS 요구사항 11.2.2의 외부 검색 요구 사항을 준수하는지 확인하기 위해 외부 취약성 검색 서비스를 수행하는 일련의 보안 서비스 도구를 갖춘 조칙을 말하고 해당 조직은 PCI SSC에서 테스트 및 승인을 통해 인증되어집니다.

ASV 요구사항

카드 소지자 데이터 시스템을 방해하지 않아야합니다.

사용자가 모르고 승인없이는 시스템에 소프트웨어를 설치하지 않아야합니다

시스템에 과부하를 일으키거나 중단을 유발하는 테스트를 하지 않아야합니다.

표준 유구 사항을 준수하는 보고서를 생성 해야합니다.

Qualys Modules

사용 분야에 따라 맞춤 구매가 가능한 Qualys Module을 소개합니다.