1. 카드정보 저장 허용과 정보보호

가. PG사의 카드정보 저장 허용 관련 향후 일정

 표준약관에 대하여 여신금융협회 및 금감원 검토를 통해 8월중 개정하여 9월에 시행

 기술적,재무적,보안적 기준은 카드업계 TF 운영을 통해 금년내 마련

나. PG사의 카드정보 보유방식

카드사가 PG*사와 카드정보 데이터베이스(DB)를 공유하는 것이 아니며, 카드사가 PG사에 카드정보를 이전시켜 주는 것도 아님

* PG : Payment Gateway 전자지급결제대행업체

적격 PG사는 전자상거래 과정에서 카드 회원의 동의 후 수집?저장

다. 정보보호 및 소비자 보호 대책

① 적격 PG사에 한정

 기술력,보안성,재무적 능력 등 정보보호 능력(시스템)을 충분히 갖춘 PG사에 대해서만 카드정보 저장 허용

⇒ 모든 PG사가 카드정보를 저장하는 것이 아님. 보안시스템에 문제가 있거나, 사고 발생시 소비자 피해배상 능력이 없는 PG사는 카드정보를 저장할 수 없음

② 검사,감독 강화

 PG사는 전자금융업자로서 전자금융거래법규에 따른 물리적,관리적,기술적 IT 안전성 기준을 충족해야 하며, 금감원은 그에 대하여 검사,감독할 수 있음

* 전금법 §21(안전성의 확보의무), 전자금융감독규정 제3장 전자금융거래의 안전성 확보 및 이용자 보호

* 전금법 §39(감독 및 검사) 업무?재무상황 보고, 자료제출 요구

⇒ 카드정보를 보유한 PG사에 대해서는 다른 PG사에 비하여 검사?감독을 보다 강화해 나갈 방침 (☞ 2장 참조)

③ 처벌,제재

 개인정보보호법과 신용정보법은 개인정보처리자와 신용정보제공,이용자에 대하여 안전조치의무, 손해배상책임, 주무관청의 검사 및 시정조치, 정보유출시 처벌 등을 규정

⇒ 신용정보 보유 PG사가 법규 위반 또는 미비한 부분이 있을 경우 법과 원칙에 따라 엄중하게 제재

④ FDS 강화

 결제서비스 부정사용 방지 대책을 결제수단 등록 및 사용시 인증을 강화하던 방식에서 결제시 검증을 강화하도록 전환

⇒ 카드사 등의 이상거래탐지시스템(FDS)의 기능을 업그레이드함으로써 전자상거래에서의 부정거래 탐지 수준을 향상

⑤ 환금성 사이트 보안

 일반적인 물품 또는 서비스 구매거래 대비 사고위험이 높은 귀금속, 게임아이템 판매 등 환금성사이트에 대해서는 추가인증 시행중

⇒ 환금성사이트에 대해서는 추가인증을 지속적으로 적용

⑥ 배상준비금?보험가입액 확대

 신용카드 위·변조, 및 해킹 등의 전자금융사고에 대비하여 고객의 금융정보를 보유하는 전자금융업자의 배상 준비금 또는 책임이행보험 가입금을 대폭 상향조정하여 사고보상에 대한 불안감 해소

⇒ 현행 1억원의 보험(공제) 가입 금액 등을 금융회사 수준으로 상향조정

2. 카드정보 보유 PG사에 대한 감독,검사 강화 방안

□ 카드정보를 보유하게 되는 PG사에 대해서는 검사주기를 단축*하고 IT실태평가를 실시

* 예 : 기존에 규모에 따라 2～6년 주기로 실시 → 최소 2년에 1회 검사

 PG사의 IT 보안 수준 등을 평가하여 일정 등급 이하는 카드정보를 보유할 수 없도록 조치하는 방안 검토

□ 정보보호와 관련한 내부 규정을 금융회사 수준*으로 제고하여 내부통제를 강화토록 지도

* 금융전산 보안 표준지침,금융회사 내규 등 활용

 내규에 정보보호 관련 세부절차 및 업무별,직급별 정보접근 권한,수준 등을 상세히 규정하도록 하고

 정기적으로 자체 점검을 실시하는 한편 내규 위반시 제재 사항을 구체적으로 마련하도록 하는 등 내부통제 강화를 유도

3. 대체인증수단 제공 카드사에 인센티브(IT실태평가) 부여

□ IT실태평가 5개 부문* 중 'IT서비스 제공 및 지원‘ 부문의 세부 평가항목에 ’대체인증수단 제공 여부**‘를 카드사 IT실태평가에 반영

* IT감사, IT경영, 시스템 개발·도입·유지보수, IT서비스 제공 및 지원, IT보안 및 정보보호(총 5개 평가부문)

** 종합평가등급의 약 3% 정도 비중을 차지

 금년 중 IT검사 매뉴얼 개정시 반영하여 ‘15년부터 시행

<참고> 전자상거래 결제 간편화 방안 관련 Q&A

* 자세한 내용은 첨부파일을 참고하시기 바랍니다.