PG사, PCI 데이터보안표준 인정 받아야…FDS구축 의무

글로벌 기업 필수 조건…페이팔·알리페이도 공인

[아시아경제 이현주 기자] 카드회원의 결제 정보 등을 직접 수집하고 저장하려는 전자지급결제대행업체(PG사)는 국제 공인 '지불결제산업 데이터보안표준(PCI DSS·Payment Card Industry Data Security Standard)'을 받아야 한다. 또한 보안 사고에 대비해 일정 규모 이상 배상보험에 의무가입해야 하며 부정사용방지시스템(FDS)을 구축해야 한다.

1일 카드업계에 따르면 여신금융협회와 카드업계 실무진으로 구성된 태스크포스(TF)는 이날 '적격 PG사 세부기준' 최종안을 발표할 예정이다. 세부기준에는 기술력, 보안성, 재무능력 3가지 영역에서 PG사를 검증하기 위한 10여개 이상의 세부 조건이 포함된다.

우선적으로 PG사들은 PCI DSS를 받아야 한다. PCI DSS는 비자, 마스타카드, 아메리칸 익스프레스, JCB 등 글로벌 신용 카드사에서 정보 유출을 막기 위해 설립한 PCI 보안 표준 협의회(PCI Security Standards Council)에서 만든 데이터 보안 표준 인증으로, 웹을 통해 결제 정보를 처리하는 기업이 갖춰야 할 글로벌 정보보호 인증이다. 페이팔과 알리페이 모두 PCI 보안 표준을 받았다.

또한 적격 PG사는 재무능력은 자기자본 400억원 이상을 충족해야 하며 보안 사고에 대비해 배상보험 가입을 의무화 해야 한다. 가입회원수, 사고발생 확률, 배상 예상금액 등을 계산해 보험규모를 산정한다. 이와 함께 FDS를 구축해 신용카드 수준의 보안을 적용해야 한다.



이현주 기자 ecolhj@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

이현주 기자 ecolhj@asiae.co.kr
<ⓒ아시아 대표 석간 '아시아경제' (www.newsva.co.kr) 무단전재 배포금지>