항목 : 2.10.4 전자거래 및 핀테크 보안
■ 인증기준 : 전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위하여 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
■ 주요 확인사항
- 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가?
- 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가?
금융분야 추가확인사항
- 관련 법적 요구사항에 따른 전자(상)거래 기록의 보존 및 관리를 하고 있는가?
- 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램 (거래전문포함)의 위・변조 여부 등 무결성을 검증할 수 있는 방법을 제공하고 있는가?
금융분야 추가확인사항
■ 관련 법규
- 전자문서 및 전자거래 기본법 제2조(정의) 제5호
- 전자금융거래법 제2조(정의) 제1호
- 전자상거래 등에서의 소비자 보호에 관한 법률 제2조(정의) 제1호
- 금융위원회 금융용어사전 등
- 전자금융거래법 제22조(전자금융거래기록의 생성・보존 및 파기) 제1항, 제2항
- 전자금융거래법 시행령 제7조(거래내용의 확인 등) 제4항, 제12조(전자금융거래기록의 보존기간・보존방법 및 파기절차・방법 등) 제1항
- 전자금융감독규정 제34조(전자금융거래 시 준수사항) 제5호
■ 세부 설명
① 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립· 이행하여야 한다.
- ʻ전자거래ʼ는 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처리되는 거래를 말함 (전자문서 및 전자거래 기본법 제2조).
- ʻ전자상거래ʼ는 전자거래의 방법으로 상행위를 하는 것을 말함(전자상거래 등에서의 소비자보호에 관한 법률 제2조).
- ʻ핀테크(Fintech)ʼ란 금융(Finance)과 기술(Technology)의 합성어로, 금융과 IT의 융합을 통한 금융서비스 및 산업의 변화를 통칭함(금융위원회 금융용어사전).
- 전자(상)거래사업자 및 핀테크 서비스제공자는 전자(상)거래 및 핀테크 서비스의 안전성과 신뢰성을 확보하기 위하여 이용자의 개인정보, 영업비밀(거래처 식별정보, 재화 또는 용역 가격 등 공개 시 영업에 손실을 초래할 수 있는 거래 관련 정보), 결제정보 수집, 저장관리, 파기 등의 과정에서의 침해 사고를 예방하기 위한 보호대책(인증, 암호화, 접근통제 등)을 수립하여 이행하여야 함.
- 핀테크 서비스의 경우 핀테크 서비스의 유형 및 특성을 반영하여 해당 핀테크 서비스로 인하여 발생 가능한 위험요인을 빠짐없이 식별하여 필요한 보호대책 적용 필요
② 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하여야 한다.
- ʻ전자결제업자ʻ는 전자결제수단의 발행자, 전자결제서비스 제공자, 해당 전자결제수단을 통한 전자 결제서비스의 이행을 보조하거나 중개하는 자를 말하며(전자상거래 등에서의 소비자 보호에 관한 법률 시행령 제8조), 다음에 해당하는 자를 말함.
- 금융회사, 신용카드업자, 결제수단 발행자(전자적 매체 또는 정보처리시스템에 화폐가치 또는 그에 상응하는 가치 를 기록·저장하였다가 재화 등의 구매 시 지급하는 자), PG사 ※ PG(Payment Gateway)사는 인터넷상에서 금융기 관과의 거래를 대행해 주는 서비스로서 신용카드, 계좌이체, 휴대폰 이용 결제, ARS 결제 등 다양한 소액 결제 서비 스를 대신 제공해 주는 회사
- 전자(상)거래사업자와 전자결제업자 또는 핀테크 서비스 제공자 간 송수신되는 결제관련 정보의 유출, 조작, 사기 등의 침해사고로 인한 거래당사자 간 피해가 발생하지 않도록 적절한 보호대책을 수립·이행하고 안전성을 점검하여야 함.
금융분야 추가확인사항
③ 금융회사 또는 전자금융업자 또는 핀테크 서비스 제공자는 관련 법적 요구사항에 따라 전자 금융거래기록을 생성하여야 하며, 다음과 같은 전자금융거래기록의 경우 5년 또는 1년간 보존 하여야 한다.
④ 5년 또는 1년의 보존기간이 경과하고 금융거래 등 상거래가 종료된 경우에는 다른 법률에서 보존기간을 정하고 있는 경우 등을 제외하고는 5년 이내에 전자금융거래기록을 파기하여야 한다.
* 다만, 「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보는 제외
⑤ 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래 전문포함)의 위・변조 여부 등 무결성을 검증할 수 있는 방법을 제공하여야 한다.
- 증권사 홈트레이딩시스템(HTS) 등 전자금융거래를 위해 필요한 프로그램, 인터넷보안을 위해 이용자에게 제공되는 개인방화벽, 키보드보안, 백신 프로그램, 실제 전자금융거래 시 생성되는 거래전문의 위・변조 금지
■ 증적예시
- 전자거래 및 핀테크 서비스 보호대책
- 결제시스템 연계 시 보안성 검토 결과
■ 결함사례
- 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우
- 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
- 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.6 업무용 단말기기 보안) (0) | 2023.03.17 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.5 정보전송 보안) (0) | 2023.03.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.3 공개서버 보안) (0) | 2023.03.08 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.2 클라우드 보안) (0) | 2023.03.08 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.10 시스템 및 서비스 보안관리(2.10.1 보안시스템 운영) (0) | 2023.03.06 |