금융 거래를 처리하는 모든 비즈니스는 돈을 좇는 사이버 범죄자의 표적이 됩니다. 온라인 결제 사기로 인한 이커머스 손실은 2023년 말까지 전 세계적으로 480억 달러 이상에 달할 것으로 예상됩니다. PwC 2022년 글로벌 경제 범죄 및 사기 설문 조사에 따르면 응답자의 절반 이상이 지난 2년 동안 금융 사기를 경험한 것으로 나타났습니다. Verizon 2023년 데이터 유출 조사 보고서(DBIR)에 따르면 금융 부문에서는 데이터 유출 대부분의 원인은 권한 오용입니다.

PCI DSS 표준은 카드 소유자 데이터를 수락, 처리, 저장 또는 전송하는 모든 기업에 적용되므로 다음과 같은 기업은 표준 컴플라이언스를 입증해야 합니다.

모든 규모의 판매자

금융 기관

하드웨어 및 소프트웨어 기반 결제 처리 업체

POS(Point-of-Sale) 벤더사

PCI DSS의 영향을 받는 기업의 예는 다음과 같습니다.



소규모 판매자 및 리테일 기업

중소기업도 대기업 못지않게 심각한 데이터 유출 리스크에 노출되어 있습니다. 2022년 DBIR에 따르면 중소기업의 61%는 1회 이상의 데이터 유출을 경험한 것으로 나타났습니다. 소규모 판매자는 다음과 같은 4가지 수준의 판매자 컴플라이언스를 규정한 PCI DSS의 원칙을 준수해야 합니다.

레벨 1: 연간 6백만 건 이상의 카드 거래 처리

레벨 2: 연간 1백만~6백만 건의 거래 처리

레벨 3: 연간 2만~1백만 건의 거래 처리

레벨 4: 연간 2만 건 미만의 거래 처리

소규모 판매자는 방화벽으로 IT 시스템을 보호하고, 강력한 접속 제어를 구축하고, 카드 소유자 데이터에 암호화를 적용하는 등 포괄적인 측면에서 보안에 접근해야 합니다. 중소기업이 이러한 수준의 360도 보안을 달성하고 간소화하려면 데이터, 디바이스, 사람을 보호할 수 있는 솔루션을 찾아야 합니다.

서비스 공급업체

서비스 공급업체는 결제 데이터 보안에 영향을 미칠 수 있는 모든 비즈니스를 의미하며, 다른 기업에 속한 경우도 마찬가지입니다. PCI DSS는 서비스 공급업체가 처리하는 거래 수준에 따라 두 가지 수준의 컴플라이언스를 규정합니다.

레벨 1 서비스 공급업체: 연간 30만 건 이상의 거래(American Express의 경우 250만 건 이상의 거래)

레벨 2 서비스 공급업체: 연간 30만 건 미만의 거래(American Express의 경우 250만 건 미만)

중소기업 판매자와 마찬가지로 서비스 공급업체는 PCI DSS 보안 조치 및 제어를 준수해야 합니다.