Change Management - 문서화와 후속 작업

case study

전자 상거래(E-commerce) 통제

소매업자들은 PCI 컴플라이언스와 보안 때문에 변경 제어 소프트웨어를 사용한다.

신용카드협회 데이터보안표준(PCI DSS : Payment Card Industry Data Security Standard) 때문에 리스토레이션 하드웨어(Restoration Hardware)사는 자사의 전자 상거래 플랫폼에 변경 제어를 위한 소프트웨어를 구현하기에 이르렀다.

PCI는 파일 보존 모니터링 소프트웨어의 배치를 위해 10.5.5 및 11.5 콜을 요구한다. 리스토레이션 하드웨어-미국 캘리포니아 주재 고급 가정용품 업체-는 규정 준수를 위한 방법을 모색하며 몇몇 제품들을 살펴본 끝에 실시간으로 변경을 추적하고 변경 정책을 시행하는 솔리드코어(Solidcore)의 S3 Control을 선택했다.

IT 운영 책임자 바비 웬(Bobby Wen)은 “우리는 규정을 준수를 해야만 했고 솔리드코어로 PCI의 파일 보존 확인 부분을 충족시킬 수 있게 되었다”며 “덤으로 보안까지 확보할 수 있었다”고 말했다.

그는 이 소프트웨어가 등록되지 않은 바이너리(binary)가 작동되는 것을 방지해 침입 감지 및 방지 시스템 역할을 한다고 말했다. 만일 침입자가 시스템에 침투하려고 해도 바이너리를 업로드하거나 하이재킹할 수 없을 것이다. 그것이 바로 소매업자들이 원하는 보안이었지만 PCI 준수를 위해 필요한 것은 궁극적으로 그 프로젝트가 축적한 것이 무엇인가 하는 것이었다고 그는 덧붙였다.

웬(Wen)은 또 솔리드코어가 리스토레이션 하드웨어사의 기존 변경 관리 시스템인 ControlTier와 쉽게 통합되었고 변경 정책이 타이밍과 내용면에서 모두 이행되고 있는지를 보증해준다고 설명했다.

리스토레이션 하드웨어는 이 소프트웨어를 자사의 e-상거래 플랫폼, 즉 신용 카드 트랜잭션을 처리하는 웹과 애플리케이션 서버에 우선 배치했다. 이 소프트웨어는 시스템에 설치된 에이전트와 관리를 위한 중앙 콘솔로 구성되어있다.

리스토레이션 하드웨어는 솔리드코어 얼리어답터였기 때문에 이 소프트웨어를 PCI 요건사항을 충족시키는 존재로 찬양해왔던 감사원들에게 새로운 기술을 다소 설명해야만 했다고 웬은 덧붙였다. 솔리드코어의 리포팅 기능으로 소매업자들은 감사원들에게 단순히 그들의 로그를 보여주는 대신 시스템 변경의 그래픽 뷰를 보여줄 수 있었다.

이 업체는 이 소프트웨어의 사용을 PCI 컴플라이언스뿐만 아니라 사베인즈-옥슬리 컴플라이언스에까지 확대할 예정이다.

마샤 새비지(Marcia Savage)