PG사, 페이팔처럼 'PCI'인증 받아야 카드정보 저장

앞으로 카드정보를 저장하는 PG사(전자지급결제대행업체)는 비자, 마스타카드, 아메리칸익스프레스 등 국제 브랜드사가 공동으로 마련한 'PCI DSS(이하 PCI)' 보안표준 인증을 받아야 한다.

또 PG사는 자체적으로 부정사용 예방 시스템(FDS, Fraud Detection System)과 재해복구센터 등을 구축해야 한다. 다만, FDS와 재해복구센터를 구축하기까지 소요되는 시간을 감안해 오는 2015년 7월1일부터 시행할 예정이다.

여신금융협회는 이 같은 내용을 주요 골자로 한 'PG사의 카드정보 저장을 위한 보안 및 재무적 기준'을 1일 발표했다.

페이팔과 알리페이가 준수하고 있는 PCI는 비자, 마스터카드 등 국제 브랜드사가 고객의 신용카드 정보보호를 위해 만든 보안표준이다. 가맹점 등이 신용카드 정보를 불필요하게 저장하지 못하도록 규정돼 있다.

적격 PG사는 개인정보 유출 등 보안사고에 책임질 수 있는 일정 규모 이상의 배상보험에 의무 가입해야 한다. 재무 기준은 자기자본 400억원 이상, 순부채 비율 200% 이하를 충족해야 한다.

이와 같은 기술력, 보안성, 재무능력 등을 갖춘 PG사가 카드번호와 유효기간을 저장할 수 있다.

금융당국에서는 PG사가 회원 동의 후 수집.저장한 카드정보를 유출하거나 이를 통한 부정사용이 발생했을 경우 PG사가 명확한 책임을 지도록 여신전문금융업 감독규정을 개정할 예정이다. 또한 적격 PG사에 대해 금융회사 수준으로 검사·감독을 엄격히 할 예정이다.