ISMS-P 인증 기준 2.10.4.전자거래 및 핀테크 보안 편집하기

[[분류: ISMS-P 인증 기준]]

*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''분류''': [[ISMS-P 인증 기준 2.10.시스템 및 서비스 보안관리|2.10.시스템 및 서비스 보안관리]]

==개요==
{| class="wikitable"
!항목
!2.10.4.전자거래 및 핀테크 보안
|-
| style="text-align:center" |'''인증기준'''
|전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위하여 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
|-
|'''주요 확인사항'''
|
*전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가?
**(가상자산사업자)  이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가? * 예) OTP, 인증서, 기기인증 등
*전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가?
*(가상자산사업자) 가상자산거래 기록의 보존('''5년''') 및 관리를 하고 있는가? 
|}
==세부 설명==

====전자거래 및 핀테크 보호대책 수립·이행====
전자거래 및 핀테크 서비스를 제공하는 경우 '''거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립· 이행'''하여야 한다.

*ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자거래 기본법 제2조)
*ʻ전자상거래ʼ는 전자거래의 방법으로 상행위를 하는 것을 말함(전자상거래 등에서의 소비자보호에 관한 법률 제2조)
*ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로, 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함(금융위원회 금융용어사전)
*전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 '''침해사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행'''하여야 함
*핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요

<blockquote>'''※ 전자거래 및 핀테크 보호대책 수립 시 고려하여야 할 법률(예시)'''

*전자문서 및 전자거래 기본법
*전자상거래 등에서의 소비자 보호에 관한 법률
*전자금융거래법
*금융소비자 보호에 관한 법률
*정보통신 이용촉진 및 정보보호 등에 관한 법률
*신용정보법
*개인정보 보호법 등
</blockquote>

====전자거래 및 핀테크 연계서비스 보호대책 수립·이행====
'''전자거래 및 핀테크 서비스 제공을 위하여''' 결제시스템 등 외부 시스템과 연계하는 경우 '''송수신되는 관련 정보의 보호를 위한''' '''대책을 수립·이행하고 안전성을 점검'''하여야 한다.

*ʻ전자결제업자ʻ는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조), 다음에 해당하는 자를 말함
**금융회사, 신용카드업자, '''결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록·저장하였다가 재화 등의 구매 시 지급하는 자)''', '''통신과금서비스제공자''', 전자결제 대행 또는 중개서비스 사업자(PG사 등)
**※ PG(Payment Gateway)사는 인터넷상에서 금융기관과의 거래를 대행해 주는 서비스로서 신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사
*전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간 송수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립· 이행하고 '''안전성을 점검'''하여야 함.

==증거 자료==

*전자거래 및 핀테크 서비스 보호대책
*결제시스템 연계 시 보안성 검토 결과

==결함 사례==

*전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 '''평문으로 전송되는 경우'''
*전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 '''접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우'''
*내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우

==같이 보기==

*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]

==참고 문헌==

*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)