반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.10 시스템 및 서비스 보안관리 | 2.10.1 보안시스템 운영 |
| 2.10.2 클라우드 보안 | |
| 2.10.3 공개서버 보안 | |
| 2.10.4 전자거래 및 핀테크 보안 | |
| 2.10.5 정보전송 보안 | |
| 2.10.6 업무용 단말기기 보안 | |
| 2.10.7 보조저장매체 관리 | |
| 2.10.8 패치관리 | |
| 2.10.9 악성코드 통제 |
송 · 수신 정보 보호 대책 수립 · 이행,
안전성 점검
추가 인증수단, 멀티시그 적용, 가상자산거래 기록 보존(5년) · 관리
핵심 키워드
전자거래 및 핀테크 서비스 제공 시 보호대책 수립 · 이행
외부시스템과 연계 시 송 · 수신 정보 보호 대책 수립 · 이행 및 안전성 점검
연관 두음
인증기준
전자거래 및 핀테크 서비스 제공 시
정보유출이나 데이터 조작 · 사기 등의 침해사고 예방을 위하여
인증 · 암호화 등의 보호대책을 수립하고,
결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
주요 확인사항
* 전자거래 및 핀테크 서비스를 제공하는 경우
거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립 · 이행하고 있는가?
* 전자거래 및 핀테크 서비스 제공을 위하여
결제시스템 등 외부 시스템과 연계하는 경우
송수신되는 관련 정보의 보호를 위한 대책을 수립 · 이행하고 안전성을 점검하고 있는가?
세부 설명
□ 전자거래 및 핀테크 서비스를 제공하는 경우
거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립 · 이행하여야 한다.
▶ ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함
(전자문서 및 전자거래 기본법 제2조).
▶ ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로,
금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함 (금융위원회 금융용어사전)
□ 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등
외부 시스템과 연계하는 경우
송수신되는 관련 정보의 보호를 위한 대책을 수립 · 이행하고 안전성을 점검하여야 한다.
※ PG(Payment Gateway)사는 인터넷상에서 금융기관과의 거래를 대행해 주는 서비스로서
신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사
결함사례
사례 1 :
전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나,
적절한 인증 및 접근제한 없이
특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
사례 2 :
전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나,
해당 연계 시스템에서 내부 업무 시스템으로의 접근이
침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
사례 3 :
내부 지침에는 외부 핀테크 서비스 연계 시
정보보호팀의 보안성 검토를 받도록 되어 있으나,
최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우
가상자산 사업자 대상 주요 확인사항
★
이용자가 취급업소의 로그인 / 출금 / 사용자 정보 변경 등의 서비스를 이용할 경우,
추가 인증수단 또는, 멀티시그를 적용하고 있는가?
* 예. OTP, 인증서, 기기인증 등
★
가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.10.6 업무용 단말기기 보안 (0) | 2023.01.15 |
|---|---|
| 2.10.5 정보전송 보안 (0) | 2023.01.15 |
| 2.10.3 공개서버 보안 (0) | 2023.01.15 |
| 2.10.2 클라우드 보안 (0) | 2023.01.15 |
| 2.10.1 보안시스템 운영 (0) | 2023.01.15 |
댓글