안전한 결제: 전자상거래 표준 및 인증
Certyneo 팀
작성자 — Certyneo · Certyneo 소개
안전한 결제: 전자상거래 표준 및 인증
거래 보안은 모든 전자상거래 사이트에서 전략적 문제가 되었습니다. 프랑스 은행에 따르면 2023년 온라인 결제 사기율은 0.193%에 달해 현지 결제보다 약 10배 높았다. 이러한 위험에 직면한 판매자는 기술 표준 및 규제 인증으로 구성된 엄격한 생태계에 의존해야 합니다. 이러한 표준을 이해하는 것은 선택 사항이 아닙니다. 이는 소비자 신뢰와 활동의 지속 가능성을 조건으로 하는 법적, 상업적, 보험적 의무입니다.
PCI DSS: 카드 보안을 위한 글로벌 기반PCI DSS: 카드 보안을 위한 글로벌 기반PCI 보안 표준 위원회(Visa, Mastercard, American Express, Discover, JCB)에서 발행한
PCI DSS(지불 카드 산업 데이터 보안 표준) ⬥⬥⬥는 은행 카드 데이터를 저장, 처리 또는 전송하는 모든 행위자를 위한 필수 저장소를 구성합니다. 2024년 3월 31일부터 완전히 적용되는 버전 4.0은 네트워크 보안, 데이터 보호, 취약성 관리, 액세스 제어, 시스템 모니터링 및 보안 정책 유지라는 6가지 목표로 나누어진 12가지 주요 요구 사항을 부과합니다.
- PCI DSS(지불 카드 산업 데이터 보안 표준) ⬥⬥⬥는 은행 카드 데이터를 저장, 처리 또는 전송하는 모든 행위자를 위한 필수 저장소를 구성합니다. 2024년 3월 31일부터 완전히 적용되는 버전 4.0은 네트워크 보안, 데이터 보호, 취약성 관리, 액세스 제어, 시스템 모니터링 및 보안 정책 유지라는 6가지 목표로 나누어진 12가지 주요 요구 사항을 부과합니다.규정 준수 수준은 연간 거래량에 따라 다릅니다.
- 레벨 1 ⬥⬥⬥: 연간 600만 건 이상의 거래 — QSA(공인 보안 평가자)의 연간 감사레벨 2 ⬥⬥⬥: 1~600만 — SAQ 자체 평가 + 분기별 ASV 스캔
- 레벨 2 ⬥⬥⬥: 1~600만 — SAQ 자체 평가 + 분기별 ASV 스캔레벨 3 및 4 ⬥⬥⬥: 100만 미만 — 단순화된 SAQ
규정을 준수하지 않을 경우 월 €5,000~€100,000 범위의 벌금이 부과되거나 카드 승인 승인을 상실할 수도 있습니다.
규정을 준수하지 않을 경우 월 €5,000~€100,000 범위의 벌금이 부과되거나 카드 승인 승인을 상실할 수도 있습니다.
3D Secure 2 및 강력한 인증(SCA)⬥⬥⬥ 유럽 지침 PSD2(PSD2)⬥⬥⬥ 유럽 지침 PSD2(PSD2)및 해당 기술 규정 RTS에 의해 부과됨,강력한 고객 인증(강력한 고객 인증) ⬥⬥⬥은 2021년 5월 15일부터 필수입니다. 프랑스에서. 이는 지식(비밀번호), 소유(스마트폰), 고유성(생체인식)이라는 두 가지 이상의 요소의 조합을 기반으로 합니다.
⬥⬥⬥ 3D Secure 2.x ⬥⬥⬥(EMV 3DS) 프로토콜이 기존 버전을 대체합니다. 100개 이상의 상황별 데이터(장치 지문, 내역, 장바구니)를 사용하여 실시간 위험 분석이 가능하므로 위험도가 낮은 거래에 대해 "마찰 없는" 여정이 가능합니다. 결과: 전환율이 유지되고 사기 발생 시 책임이 카드 발급자에게 이전됩니다(책임 이전).⬥⬥⬥ 3D Secure 2.x ⬥⬥⬥(EMV 3DS) 프로토콜이 기존 버전을 대체합니다. 100개 이상의 상황별 데이터(장치 지문, 내역, 장바구니)를 사용하여 실시간 위험 분석이 가능하므로 위험도가 낮은 거래에 대해 "마찰 없는" 여정이 가능합니다. 결과: 전환율이 유지되고 사기 발생 시 책임이 카드 발급자에게 이전됩니다(책임 이전).토큰화, 암호화 및 추가 인증
⬥⬥⬥ 토큰화
⬥⬥⬥ 토큰화민감한 데이터를 악용할 수 없는 식별자로 대체하여 PCI DSS 범위를 대폭 줄입니다. 암호화TLS 1.2 최소 ⬥⬥⬥(TLS 1.3 권장) 및TLS 1.2 최소 ⬥⬥⬥(TLS 1.3 권장) 및HSM(하드웨어 보안 모듈) 인증 FIPS 140-2 레벨 3 ⬥⬥⬥과 결합되어 현재 모범 사례를 구성합니다.기타 인증은 판매자 사이트의 신뢰성을 강화합니다.ISO/IEC 27001 ⬥⬥⬥: 정보 보안 관리
ISO/IEC 27001 ⬥⬥⬥: 정보 보안 관리
- SOC 2 Type II ⬥⬥⬥: 클라우드 제공업체의 운영 제어PSP 인증
- PSP 인증결제 기관용 ACPR
- eIDAS 라벨eIDAS 라벨
- 적격 전자 서명용프랑스 및 유럽에 적용되는 법적 프레임워크
PSD2 외에도 온라인 결제에 적용되는 여러 텍스트:
PSD2 외에도 온라인 결제에 적용되는 여러 텍스트:통화 및 금융법(L.133-1 이하 참조)세트 사기 발생 시 책임;세트 사기 발생 시 책임;GDPR(EU 규정 2016/679) ⬥⬥⬥에서는 수집된 은행 데이터를 최소화하도록 요구합니다.DORA 규정 ⬥⬥⬥(2025년 1월부터 적용)은 금융 주체의 디지털 운영 탄력성을 강화합니다. CNIL은 위반 행위를 정기적으로 제재합니다. 2023년에는 여러 전자 소매업체가 CVV 비준수 저장으로 선정되었습니다.DORA 규정 ⬥⬥⬥(2025년 1월부터 적용)은 금융 주체의 디지털 운영 탄력성을 강화합니다. CNIL은 위반 행위를 정기적으로 제재합니다. 2023년에는 여러 전자 소매업체가 CVV 비준수 저장으로 선정되었습니다.
결론
결제 보안은 단순히 규제 사항을 확인하는 것이 아니라 전환율과 평판에 대한 직접적인 투자입니다. 3DS2를 스마트 면제 및 토큰화와 통합하는 PCI DSS 4.0 준수 사이트는 사기(최대 -80%)와 장바구니 포기를 모두 줄입니다. 매년 결제 제공업체(PSP)를 감사하고 규정 준수 문서를 최신 상태로 유지하는 것은 진지한 전자 소매업체의 필수 반사 조치입니다.