ISMS-P 인증 기준 2.10.4.전자거래 및 핀테크 보안: Difference between revisions

From CS Wiki
No edit summary
No edit summary
 
(2 intermediate revisions by 2 users not shown)
Line 10: Line 10:
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center" |'''인증기준'''
|전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위해 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
|전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위하여 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립‧이행하고 있는가?
*전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가?
*전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송‧수신되는 관련 정보의 보호를 위한 대책을 수립‧이행하고 안전성을 점검하고 있는가?
**(가상자산사업자)  이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가? * 예) OTP, 인증서, 기기인증 등
*전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가?
*(가상자산사업자) 가상자산거래 기록의 보존('''5년''') 및 관리를 하고 있는가?  
|}
|}
==세부 설명==
==세부 설명==


====전자거래 및 핀테크 보호대책 수립·이행====
====전자거래 및 핀테크 보호대책 수립·이행====
전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하여야 한다.
전자거래 및 핀테크 서비스를 제공하는 경우 '''거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립· 이행'''하여야 한다.


*ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자거래 기본법 제2조).
*ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자거래 기본법 제2조)
*ʻ전자상거래ʼ는 전자거래의 방법으로 상행위를 하는 것을 말함(전자상거래 등에서의 소비자보호에 관한 법률 제2조).
*ʻ전자상거래ʼ는 전자거래의 방법으로 상행위를 하는 것을 말함(전자상거래 등에서의 소비자보호에 관한 법률 제2조)
*ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로, 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함(금융위원회 금융용어사전).
*ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로, 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함(금융위원회 금융용어사전)
*전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해 사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 .
*전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 '''침해사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행'''하여야
*핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요
*핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요


Line 33: Line 35:
*전자상거래 등에서의 소비자 보호에 관한 법률
*전자상거래 등에서의 소비자 보호에 관한 법률
*전자금융거래법
*전자금융거래법
*정보통신 이용촉진 및 정보보호 등에 관한 법률
*금융소비자 보호에 관한 법률
*정보통신 이용촉진 및 정보보호 등에 관한 법률
*신용정보법
*개인정보 보호법 등
*개인정보 보호법 등
</blockquote>
</blockquote>


====전자거래 및 핀테크 연계서비스 보호대책 수립·이행====
====전자거래 및 핀테크 연계서비스 보호대책 수립·이행====
전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하여야 한다.
'''전자거래 및 핀테크 서비스 제공을 위하여''' 결제시스템 등 외부 시스템과 연계하는 경우 '''송수신되는 관련 정보의 보호를 위한''' '''대책을 수립·이행하고 안전성을 점검'''하여야 한다.


*ʻ전자결제업자ʻ는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자 결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조), 다음에 해당하는 자를 말함.
*ʻ전자결제업자ʻ는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조), 다음에 해당하는 자를 말함
**금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록·저장하였다가 재화 등의 구매 시 지급하는 자), PG사
**금융회사, 신용카드업자, '''결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록·저장하였다가 재화 등의 구매 시 지급하는 자)''', '''통신과금서비스제공자''', 전자결제 대행 또는 중개서비스 사업자(PG사 등)
**※ PG(Payment Gateway): 인터넷상에서 금융기관과의 거래를 대행해 주는 서비스로서신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해주는 회사
<blockquote>※ PG(Payment Gateway)사는 인터넷상에서 금융기관과의 거래를 대행해 주는 서비스로서 신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사</blockquote>
*전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간 송수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립·이행하고 안전성을 점검하여야 함.
*전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간 송수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립· 이행하고 '''안전성을 점검'''하여야 함.


==증거 자료==
==증거 자료==
Line 52: Line 56:
==결함 사례==
==결함 사례==


*전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
*전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 '''평문으로 전송되는 경우'''
*전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
*전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 '''접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우'''
*내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우
*내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우


Line 64: Line 68:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 08:18, 31 January 2024


개요[edit | edit source]

항목 2.10.4.전자거래 및 핀테크 보안
인증기준 전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위하여 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
주요 확인사항
  • 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가?
    • (가상자산사업자) 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가? * 예) OTP, 인증서, 기기인증 등
  • 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가?
  • (가상자산사업자) 가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가?

세부 설명[edit | edit source]

전자거래 및 핀테크 보호대책 수립·이행[edit | edit source]

전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립· 이행하여야 한다.

  • ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자거래 기본법 제2조)
  • ʻ전자상거래ʼ는 전자거래의 방법으로 상행위를 하는 것을 말함(전자상거래 등에서의 소비자보호에 관한 법률 제2조)
  • ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로, 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함(금융위원회 금융용어사전)
  • 전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 함
  • 핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요

※ 전자거래 및 핀테크 보호대책 수립 시 고려하여야 할 법률(예시)

  • 전자문서 및 전자거래 기본법
  • 전자상거래 등에서의 소비자 보호에 관한 법률
  • 전자금융거래법
  • 금융소비자 보호에 관한 법률
  • 정보통신 이용촉진 및 정보보호 등에 관한 법률
  • 신용정보법
  • 개인정보 보호법 등

전자거래 및 핀테크 연계서비스 보호대책 수립·이행[edit | edit source]

전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하여야 한다.

  • ʻ전자결제업자ʻ는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조), 다음에 해당하는 자를 말함
    • 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치를 기록·저장하였다가 재화 등의 구매 시 지급하는 자), 통신과금서비스제공자, 전자결제 대행 또는 중개서비스 사업자(PG사 등)

※ PG(Payment Gateway)사는 인터넷상에서 금융기관과의 거래를 대행해 주는 서비스로서 신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비스를 대신 제공해 주는 회사

  • 전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간 송수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립· 이행하고 안전성을 점검하여야 함.

증거 자료[edit | edit source]

  • 전자거래 및 핀테크 서비스 보호대책
  • 결제시스템 연계 시 보안성 검토 결과

결함 사례[edit | edit source]

  • 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
  • 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
  • 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)