컴플라이언스

PCI DSS

Q: Roleplays는 연간 교육에 대한 PCI DSS 요구사항 12.6.2를 충족하나요?

네. 플랫폼은 모든 직원의 교육 완료 일자를 추적하고 컴플라이언스 상태를 보여주는 보고서를 생성합니다. 연간 또는 더 잦은 교육 주기를 구성하고, 자동 알림을 설정하며, QSA 감사관이 기대하는 형식으로 완료 증거를 내보낼 수 있습니다.

Q: 우리 콜센터 환경에 특화된 시나리오를 만들 수 있나요?

네. 사전 구축된 PCI 시나리오 외에도 사회공학 및 구실 공격을 포함하여 특정 통화 흐름, 결제 프로세스, 위협 환경을 반영하는 맞춤형 시뮬레이션을 만들 수 있습니다.

Q: 플랫폼은 요구사항 12.6.3 확인 요구사항을 어떻게 처리하나요?

완료된 모든 시뮬레이션은 능동적인 확인 역할을 합니다. 세션 기록에는 타임스탬프, 소요 시간, 수행 점수가 포함되며, 이는 서명된 양식보다 훨씬 강력한 증거입니다.

Q: 새로운 위협이 등장함에 따라 교육 콘텐츠가 업데이트되나요?

네. Roleplays는 비싱 기법, AI 기반 사회공학, 새로운 피싱 패턴을 포함한 현재의 위협을 반영하기 위해 시나리오 라이브러리를 지속적으로 업데이트하여 요구사항 12.6.1의 연간 검토 의무를 충족합니다.

지불 카드 산업 데이터 보안 표준(PCI DSS)은 카드 소유자 데이터를 처리, 저장 또는 전송하는 모든 조직에 공식 보안 인식 프로그램을 유지하도록 요구합니다. Roleplays는 그 요구사항을 측정 가능하고 매력적인 교육으로 전환합니다.

데모 요청 콜센터 솔루션

개요

PCI DSS란 무엇인가요?

지불 카드 산업 데이터 보안 표준(PCI DSS)은 Visa, Mastercard, American Express, Discover, JCB가 설립한 PCI 보안 표준 위원회가 개발한 글로벌 정보 보안 표준입니다. 현재 버전 4.0.1에서 PCI DSS는 결제 수명 주기 전반에 걸쳐 카드 소유자 데이터를 보호하기 위한 기술 및 운영 요구사항을 정의합니다.

PCI DSS는 신용카드 정보를 수락, 처리, 저장 또는 전송하는 모든 조직에 적용됩니다. 여기에는 모든 규모의 가맹점, 결제 처리업체, 매입사, 발급사, 서비스 제공업체가 포함됩니다. 실제로 이는 전화로 카드 번호를 받는 콜센터 상담원, 거래를 처리하는 소매 직원, 결제 인프라를 관리하는 IT 팀이 모두 적용 범위에 포함된다는 것을 의미합니다.

컴플라이언스를 준수하지 않으면 카드 브랜드로부터 월 5,000달러에서 100,000달러에 이르는 벌금, 거래 수수료 인상, 카드 결제 처리 능력 상실, 침해 이후의 상당한 평판 손상이 발생할 수 있습니다. 이 표준은 선택 사항이 아니며, 가맹점과 매입 은행 간의 계약상 의무를 통해 시행됩니다.

준수 의무 대상

지불 카드 데이터를 취급하는 콜센터
소매 및 전자상거래 사업체
은행, 핀테크, 결제 처리업체
결제 생태계의 SaaS 제공업체

미준수의 결과

카드 브랜드별 월 최대 100,000달러 벌금
거래 처리 수수료 인상
카드 처리 권한 취소
침해 이후 부정 거래에 대한 책임

규정 상세

교육 요구사항

PCI DSS v4.0 요구사항 12.6은 카드 소유자 데이터 환경에 접근하는 모든 인력에 대한 필수 보안 인식 교육을 확립합니다.

12.6

요구사항 12.6, 보안 인식 프로그램

모든 인력이 카드 소유자 데이터 보안 정책 및 절차를 인지하도록 공식 보안 인식 프로그램을 구현해야 합니다. 이는 단순한 정책 문서를 넘어서며, 조직은 직원에게 위협, 적절한 데이터 취급, 카드 소유자 데이터 보호에 대한 개인의 책임을 적극적으로 교육해야 합니다.

QSA 감사관이 검증하는 사항: 문서화된 프로그램이 존재하고, 경영진의 승인을 받았으며, IT 직원뿐 아니라 모든 인력을 포괄하는지 여부. 프로그램은 현재의 위협을 다루어야 하며 조직의 특정 카드 소유자 데이터 환경에 맞게 조정되어야 합니다.

12.6.1

요구사항 12.6.1, 공식 인식 프로그램

보안 인식 프로그램은 최소 12개월마다 한 번씩 검토되어야 하며, 새로운 위협과 취약점을 다루기 위해 필요에 따라 업데이트되어야 합니다. 프로그램은 인식을 전달하고 인력을 교육하는 여러 방법(예: 포스터, 서한, 회의, 웹 기반 교육 또는 모의 피싱 훈련)을 포함해야 합니다.

QSA 감사관이 검증하는 사항: 프로그램이 지난 12개월 이내에 검토 및 업데이트되었음을 보여주는 문서와 여러 커뮤니케이션 채널이 사용되었다는 증거.

12.6.2

요구사항 12.6.2, 연간 교육

인력은 최소 12개월마다 한 번씩 보안 인식 교육을 받아야 합니다. 신규 입사자는 온보딩 시 교육을 완료해야 합니다. 이는 최소 빈도이며, 더 높은 위험에 직면하거나 직원 이직률이 높은 조직은 더 잦은 교육 주기를 고려해야 합니다.

QSA 감사관이 검증하는 사항: 지난 12개월 이내에 모든 적용 대상 인력에 대한 교육 완료 기록과 신규 입사자가 카드 소유자 데이터에 접근하기 전에 교육을 받았다는 증거.

12.6.3

요구사항 12.6.3, 직원 확인

인력은 최소 12개월마다 한 번씩 보안 인식 정책 및 절차를 읽고 이해했음을 확인해야 합니다. 이 요구사항은 직원이 수동적으로 등록되는 것이 아니라 콘텐츠에 적극적으로 참여하도록 보장합니다. 단순한 체크박스만으로는 충분하지 않으며, 확인은 의미 있는 참여를 입증해야 합니다.

QSA 감사관이 검증하는 사항: 지난 12개월 이내에 작성된 모든 적용 대상 인력의 서명 또는 전자적으로 기록된 확인서. 감사관은 확인이 단순한 독립형 서명이 아니라 실제 교육 완료와 연계되어 있다는 증거를 찾습니다.

솔루션

Roleplays가 돕는 방법

슬라이드 자료를 실제 행동을 테스트하는 사실적인 시뮬레이션으로 대체하고, QSA가 필요로 하는 모든 것을 문서화하세요.

PCI 전용 시나리오

가장 흔한 PCI 실패 유형에 대한 사전 구축된 시뮬레이션: 카드 번호를 요청하는 사회공학 통화, 결제 시스템을 노리는 피싱 이메일, 보안 구역으로의 미행 출입, 부적절한 카드 데이터 저장. 시나리오는 위협 환경이 발전함에 따라 업데이트되어 요구사항 12.6.1의 연간 검토 의무를 충족합니다.

데이터 마스킹 교육

상담원이 전체 카드 번호를 다시 읽어주지 않고, 적절한 마스킹 기법(마지막 네 자리만 표시)을 사용하며, 발신자가 필요 이상의 데이터를 끌어내려는 시도를 인식하도록 교육하세요. 모의 발신자는 상담원이 압박 속에서 마스킹 프로토콜을 따르는지 테스트합니다.

상담원 행동 점수 산정

다중 기준 AI 평가는 보안 인식, 데이터 취급 준수, 사회공학 저항, 적절한 에스컬레이션 절차에 대해 각 상담원을 평가합니다. 결과는 특정 PCI DSS 요구사항에 매핑되어 단순한 출석 기록을 넘어 QSA 감사관이 기대하는 역량 증거를 제공합니다.

컴플라이언스 문서화

모든 교육 세션은 참가자 식별 정보, 교육 내용, 소요 시간, 평가 점수, 완료 상태를 포함한 타임스탬프 기록을 생성합니다. 12개월 기간 내에 적용 대상 인력의 100%가 교육을 받았음을 보여주는 컴플라이언스 보고서를 내보내며, 이는 요구사항 12.6.2가 정확히 요구하는 것입니다.

사회공학 방어

모의 공격자는 실제 사회공학 전술을 사용합니다: IT 지원으로 가장하기, 긴급성을 이용한 조작, 권위 사칭, 다단계 구실 공격. 상담원은 실제 환경에서 이러한 전술에 직면하기 전에 안전한 환경에서 이를 인식하고 저항하는 법을 배웁니다.

내장된 확인 기능

시뮬레이션을 완료하는 것이 곧 확인입니다. 수동적인 체크박스 양식과 달리 완료된 각 세션은 직원이 보안 콘텐츠에 적극적으로 참여했음을 입증합니다. 세션 완료 기록은 요구사항 12.6.3 확인서 역할을 하며, 전체 타임스탬프와 수행 데이터가 증거로 제공됩니다.

FAQ

자주 묻는 질문

Roleplays는 연간 교육에 대한 PCI DSS 요구사항 12.6.2를 충족하나요?

네. 플랫폼은 모든 직원의 교육 완료 일자를 추적하고 조직 전체의 컴플라이언스 상태를 보여주는 보고서를 생성합니다. 연간 또는 더 잦은 교육 주기를 구성하고, 다가오는 기한에 대한 자동 알림을 설정하며, QSA 감사관이 기대하는 형식으로 완료 증거를 내보낼 수 있습니다.

우리 콜센터 환경에 특화된 시나리오를 만들 수 있나요?

물론입니다. 사전 구축된 PCI 시나리오 외에도 특정 통화 흐름, 결제 프로세스, 위협 환경을 반영하는 맞춤형 시뮬레이션을 만들 수 있습니다. 예를 들어, 발신자가 상담원에게 "확인"을 위해 전체 카드 번호를 다시 읽어달라고 요청하는 상황이나, 누군가 IT 부서를 사칭하는 구실 공격을 시뮬레이션할 수 있습니다.

플랫폼은 요구사항 12.6.3 확인 요구사항을 어떻게 처리하나요?

완료된 모든 시뮬레이션은 능동적인 확인 역할을 합니다. 수동적인 체크박스와 달리 교육 세션을 완료하는 것은 직원이 보안 콘텐츠에 참여하고, 제시된 시나리오를 이해했으며, 응답을 통해 역량을 입증했음을 증명합니다. 세션 기록에는 타임스탬프, 소요 시간, 수행 점수가 포함되며, 이는 서명된 양식보다 훨씬 강력한 증거입니다.

새로운 위협이 등장함에 따라 교육 콘텐츠가 업데이트되나요?

네. PCI DSS 요구사항 12.6.1은 보안 인식 프로그램을 최소 연간 검토하고 업데이트하도록 요구합니다. Roleplays는 현재의 위협(비싱 기법, AI 기반 사회공학, 새로운 피싱 패턴)을 반영하기 위해 시나리오 라이브러리를 지속적으로 업데이트합니다. QSA는 교육 콘텐츠가 현재의 위협 환경을 반영하는지 검증할 수 있습니다.

Roleplays가 기존 보안 인식 교육을 완전히 대체할 수 있나요?

Roleplays는 모든 요구사항 12.6 하위 요구사항을 다루는 주요 PCI 보안 인식 교육 도구로 사용할 수 있습니다. 많은 조직이 기존 LMS와 함께 사용하며, Roleplays는 대화형 시뮬레이션 기반 구성 요소를 처리하고 LMS는 정책 문서 배포 및 추적을 관리합니다. 플랫폼의 API는 대부분의 학습 관리 시스템과의 통합을 가능하게 합니다.

더 빠르게 컴플라이언스를 달성하세요.

연간 슬라이드 자료를 실제 보안 행동을 테스트하는 시뮬레이션으로 대체하세요. 문서화된 증거로 모든 PCI DSS 12.6 하위 요구사항을 충족하세요.

데모 요청 콜센터 솔루션 살펴보기