이 가이드는 결제 카드 산업 데이터 보안 표준(PCI DSS) 요구사항에 대한 고객 책임을 구현할 때 Google Kubernetes Engine(GKE) 애플리케이션의 고유한 문제를 해결하는 데 도움이 되기 위해 작성되었습니다.
면책조항: 이 가이드는 정보 제공만을 목적으로 합니다. 본 가이드에서 Google이 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 서비스의 특정한 사용을 적절하게 독립적으로 평가하여 법률 및 규정 준수 의무를 이행할 책임은 각 고객에게 있습니다.
PCI DSS 규정 준수 및 GKE 소개
결제 카드 데이터를 처리하려면 데이터가 온프레미스 데이터베이스에 있든 클라우드에 있든 관계없이 데이터를 보호해야 합니다. PCI DSS는 카드 소지자의 데이터 보안을 촉진하고 향상시키며 전 세계적으로 일관된 데이터 보안 조치를 광범위하게 채택하도록 하기 위해 개발되었습니다. PCI DSS는 신용카드 데이터를 보호하기 위한 기술 및 운영 요구사항의 기준을 제공합니다. PCI DSS는 판매자, 결제 대행업체, 매입사, 발급기관, 서비스 제공업체를 포함하여 결제 카드 처리와 관련된 모든 법인에 적용됩니다. PCI DSS는 카드 소지자 데이터(CHD), 민감한 인증 데이터(SAD) 또는 둘 다를 저장, 처리 또는 전송하는 다른 모든 법인에도 적용됩니다.
최근 많은 레거시 워크로드가 가상 머신(VM) 기반 아키텍처에서 컨테이너화된 아키텍처로 마이그레이션됨에 따라 컨테이너화된 애플리케이션이 널리 사용되고 있습니다. Google Kubernetes Engine은 컨테이너화된 애플리케이션을 배포하기 위한 프로덕션에 즉시 사용할 수 있는 관리형 환경입니다. GKE는 개발자 생산성, 리소스 효율성, 자동화된 작업, 오픈소스 유연성에 Google의 최신 혁신 기술을 적용하여 TTM(Time To Market)을 단축합니다.
규정 준수는 클라우드에서 공동의 책임입니다. Google Cloud, GKE (Autopilot 및 Standard 작업 모드 모두)를 포함한 Google Cloud는 PCI DSS 요구사항을 준수합니다. 공유 책임 규정에 책임이 요약되어 있습니다.
주요 대상
- PCI 규정을 준수하는 워크로드를 GKE가 포함된 Google Cloud로 가져오려는 고객
- 개발자, 보안 담당자, 규정 준수 담당자, IT 관리자, 그리고 PCI DSS 요구사항의 준수를 관리하고 구현할 책임이 있는 기타 직원
시작하기 전에
아래에 나오는 권장사항을 따르려면 다음을 사용해야 할 수 있습니다.
- Google Cloud 조직, 폴더, 프로젝트 리소스
- Identity and Access Management(IAM)
- Google Kubernetes Engine
- Google Cloud VPC
- Google Cloud Armor
- Cloud Data Loss Prevention API(민감한 정보 보호의 일부)
- IAP(Identity-Aware Proxy)
- Security Command Center
이 가이드는 컨테이너와 GKE에 익숙한 사용자를 대상으로 합니다.
범위
이 가이드에서는 다음과 같이 GKE와 관련된 PCI DSS의 요구사항을 확인하고 이를 충족하기 위한 안내를 제공합니다. 이 내용은 표준 버전 4.0을 기준으로 작성되었습니다. 이 가이드에서 PCI DSS의 요구사항을 모두 다루지는 않습니다. 이 가이드에 제공된 정보는 조직의 PCI DSS 규정 준수 활동에 도움이 될 수 있지만 완전한 조언이 아닙니다. 조직의 공식 검증을 위해서는 PCI 공인 보안 평가자(QSA) 활용이 권장됩니다.