ISMS-P 인증 기준 2.10.4.전자거래 및 핀테크 보안 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
*'''영역''': [[ISMS-P | * '''분류''': [[ISMS-P 인증기준 2.10.시스템 및 서비스 보안관리|2.10.시스템 및 서비스 보안관리]] | ||
*'''분류''': [[ISMS-P | == 개요 == | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.10.4.전자거래 및 핀테크 보안 | !2.10.4.전자거래 및 핀테크 보안 | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center"|'''인증기준''' | ||
|전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 | |전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위해 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 | * 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립‧이행하고 있는가? | ||
* 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송‧수신되는 관련 정보의 보호를 위한 대책을 수립‧이행하고 안전성을 점검하고 있는가? | |||
*전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 | |||
|} | |} | ||
==세부 설명 | == 세부 설명 == | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | * 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하여야 한다. | ||
** ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자거래 기본법 제2조). | |||
** ʻ전자상거래ʼ는 전자거래의 방법으로 상행위를 하는 것을 말함(전자상거래 등에서의 소비자보호에 관한 법률 제2조). | |||
** ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로, 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함(금융위원회 금융용어사전). | |||
** 전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해 사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 함. | |||
** 핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요 | |||
<div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | |||
* ※ 전자거래 및 핀테크 보호대책 수립 시 고려하여야 할 법률(예시) | |||
* 전자문서 및 전자거래 기본법 | |||
* 전자상거래 등에서의 소비자 보호에 관한 법률 | |||
* 전자금융거래법 | |||
* 정보통신 이용촉진 및 정보보호 등에 관한 법률 등 | |||
* 개인정보 보호법 등</div> | |||
* 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하여야 한다. | |||
** ʻ전자결제업자ʻ는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자 결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조), 다음에 해당하는 자를 말함. | |||
*** 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록·저장하였다가 재화 등의 구매 시 지급하는 자), PG사 | |||
<div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | |||
* ※ PG(Payment Gateway)사는 인터넷상에서 금융기관과의 거래를 대행해 주는 서비스로서신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해주는 회사</div> | |||
** 전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간 송수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립·이행하고 안전성을 점검하여야 함. | |||
== 증거 자료 == | |||
* 전자거래 및 핀테크 서비스 보호대책 | |||
* 결제시스템 연계 시 보안성 검토 결과 | |||
== 결함 사례 == | |||
* 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우 | |||
* 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우 | |||
* 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우 | |||
== 같이 보기 == | |||
* [[정보보호 및 개인정보보호관리체계 인증]] | |||
* [[ISMS-P 인증 기준]] | |||
* [[ISMS-P 인증 기준 세부 점검 항목]] | |||
== 참고 문헌 == | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |