설명 PCI 카드 생산 물리적 보안 요구 사항에 따라 CCTV 및 출입 통제 서버는 보안 통제실(SCR) 또는 이에 상응하는 보안 기능을 갖춘 공간 내에 위치해야 합니다. 이는 방에 잠금 장치, 경보, 센서, 카메라, 출입 통제 장치 등 SCR과 동일한 수준의 물리적 보호 장치가 있어야 함을 의미합니다. 이 요구 사항의 목적은 카드 생산 및 보안과 관련된 민감한 데이터를 저장하고 처리하는 서버에 대한 무단 액세스, 변조 또는 도난을 방지하는 것입니다. 참고 자료: PCI 카드 생산 물리적 보안 요구 사항, v2.0, 2019년 4월, 16페이지
CPSA_P_New 문제 17
다음 중 규정 준수를 위해 필요한 보안 인식 조치는 무엇입니까?
정답: A
설명 PCI 카드 생산 및 프로비저닝 논리적 보안 요구 사항에 따라 공급업체는 모든 직원이 카드 생산 및 보안 프로비저닝의 중요성을 인식할 수 있도록 공식적인 보안 인식 프로그램을 구현해야 합니다. 보안 인식 프로그램에는 피싱, 사회 공학, 맬웨어, 랜섬웨어 등 일반적인 공격 방법과 이를 예방, 탐지 및 보고하는 방법에 대한 연간 교육이 포함되어야 합니다. 보안 인식 프로그램에는 공급업체의 보안 정책 및 절차, 직원의 역할과 책임, 해당 PCI 카드 생산 및 프로비저닝 보안 요구 사항, 규정 위반의 결과에 대한 교육도 포함되어야 합니다. 공급업체는 또한 모든 직원에게 보안 정책 및 절차를 읽고 이해했음을 최소한 매년 인정하도록 요구해야 합니다. 보안 포스터만으로는 보안 인식 프로그램 요구 사항을 충족하기에 충분하지 않으므로 공급업체는 보안 포스터만 사용해서는 안 됩니다. 공급업체는 모든 직원을 대상으로 보안 인식 시험을 실시할 수 있지만 규정 준수를 위해 필수는 아닙니다. 공급업체는 맨트랩 사용에 대해 직원을 교육할 수도 있지만 이는 논리적 보안 요구 사항과 관련이 없습니다. 참고 자료: PCI 카드 생산 및 프로비저닝 논리적 보안 요구 사항 및 테스트 절차 v3.0, 2022년 1월, 28~291페이지
CPSA_P_New 문제 18
카드 제작 공급업체는 외부 소스와 계약된 경비 서비스를 고용합니다. 계약된 서비스의 책임 중 하나는 무엇입니까?
정답: C
설명 PCI 카드 생산 물리적 보안 요구 사항에 따르면 계약된 경비 서비스에 대한 보안 통제 중 하나는 카드 자료가 손실될 경우 자체 책임 보험을 유지하는 것입니다. 이는 계약된 경비 서비스로 인해 발생하는 카드 자료의 부주의, 도난, 오용 등으로 인해 발생하는 금전적 손실이나 손해로부터 카드 제작 업체를 보호하기 위한 것입니다. 계약된 경비 서비스는 공급업체의 보안 정책 및 절차를 준수해야 하며, 배경 조사 및 보안 교육을 받아야 합니다. 참조: PCI 카드 생산 물리적 보안 요구 사항, 버전 1.0, 2019년 4월, 섹션 1.1, 목표 2, 요구 사항 2.2.1, 71페이지
