PCI SSC - 최신 교육 덤프

질문 24
감사 로그 파일 보기는 어디까지 제한해야 하나요?

기록된 활동을 수행한 개인

읽기/쓰기 액세스 권한이 있는 개인

관리자 권한이 있는 개인

직무 관련 요구가 있는 개인

질문 25
카드 소유자 데이터가 포함된 미디어를 분류하는 의도는 무엇인가요?

미디어에 포함된 데이터의 민감도에 따라 미디어의 자산 보호 보장

카드 소유자 데이터가 포함된 미디어가 분기별로 보안 영역에서 이동되도록 합니다.

모든 직원이 미디어에 카드 소유자 데이터가 포함되어 있음을 알 수 있도록 미디어에 '기밀'이라고 명확하고 눈에 잘 띄는 라벨을 부착합니다.

콘텐츠에 관계없이 모든 미디어가 동일한 일정에 따라 일관되게 파기되도록 합니다.

질문 26
카드 소유자 데이터가 포함된 데이터베이스에 대한 액세스를 제한하는 PCI DSS 요구 사항을 충족하는 시나리오는 무엇인가요?

데이터베이스에 대한 사용자 액세스는 프로그래밍 방식을 통해서만 가능합니다.

데이터베이스에 대한 사용자 액세스는 시스템 및 네트워크 관리자로 제한됩니다.

데이터베이스 애플리케이션의 애플리케이션 ID는 데이터베이스 관리자만 사용할 수 있습니다.

데이터베이스에 대한 직접 쿼리는 공유 데이터베이스 관리자 계정으로 제한됩니다.

질문 27
AES 128비트 데이터 암호화 키(DEK)를 보호하는 데 사용되는 키 암호화 키(KEK)의 적절한 강도는 얼마인가요?

DES256

RSA512

AES 128

ROT 13

질문 28
PCI PTS 표준은 무엇을 다루나요?

계정 데이터를 보호하는 데 사용되는 상호 작용 지점 장치

상업용 결제 애플리케이션을 위한 안전한 코딩 관행.

강력한 암호화 알고리즘 개발

계정 데이터 전송을 위한 엔드투엔드 암호화 솔루션

질문 29
다음 중 PCI DSS 평가 중 테스트를 위해 샘플링할 수 있는 것은 무엇인가요?

PCI DSS 요구 사항 및 테스트 절차.

보정 제어

비즈니스 시설 및 시스템 구성 요소

보안 정책 및 절차

질문 30
다음 중 변경 감지 메커니즘(예: 파일 무결성 모니터링 도구)으로 모니터링해야 하는 파일 유형은 무엇인가요?

애플리케이션 공급업체 매뉴얼

정기적으로 변경되는 파일

보안 정책 및 절차 문서

시스템 구성 및 매개변수 파일

질문 31
다음 중 맞춤형 접근 방식*에 대한 통제 매트릭스를 완성할 책임이 있는 당사자는 누구입니까?

공인 보안 평가자(QSA) 만

EitheraQSA, AQSA, 또는PClP.

평가 대상 엔티티

카드 브랜드 또는 매입자

질문 32
다음 중 인시던트 대응 계획에 포함되어야 하는 것은 무엇인가요?

보안 사고에 대한 PCI SSC 통지 절차

비인가 무선 액세스 포인트 탐지에 대한 대응 절차

인시던트 해결 즉시 인시던트 대응 기록을 안전하게 삭제하는 절차

보안 인시던트에 책임이 있는 개인에 대한 역공격 개시 절차

질문 33
H 법인이 카드 소유자 데이터를 TPSP와 공유하는 경우, 해당 법인은 어떤 활동을 수행해야 하나요?

법인은 적어도 매년 TPSP의 시스템에 대해 ASV 검사를 수행해야 합니다.

기업은 최소 분기별로 TPSP의 환경에 대한 위험 평가를 수행해야 합니다.

기업은 최소한 분기별로 TPSP의 사고 대응 계획을 테스트해야 합니다.

법인은 최소한 매년 TPSP의 PCI DSS 준수 상태를 모니터링해야 합니다.

질문 34
다음 중 보정 컨트롤과 관련하여 맞는 것은 무엇인가요?

다른 모든 PCI DSS 요구 사항을 충족하는 경우 보상 제어는 필요하지 않습니다.

보상 통제는 PCI DSS 요구 사항 미준수와 관련된 위험을 해결해야 합니다.

기존 PCI DSS 요구 사항이 이미 구현되어 있는 경우 이를 보완하는 제어로 사용할 수 있습니다.

인수자가 보상 제어를 승인하는 경우 보상 제어 워크시트는 필요하지 않습니다.

질문 35
평가 대상 기업이 맞춤형 접근 방식을 사용하는 경우 다음 중 평가자의 책임은 어느 단계입니까?

제어를 모니터링합니다.

테스트 절차를 도출하고 ROC의 부록 E에 이를 문서화하세요.

PCI DSS의 부록 E에 정의된 대로 각 사용자 지정 제어에 대한 증거를 문서화하고 유지합니다.

PCI DSS 요구 사항 12.3.2에 따라 대상 위험 분석을 수행합니다.

질문 36
한 소매점에는 암호화된 PAN 데이터를 저장하는 시스템이 있는 서버실이 있습니다. 판매자는 배지 액세스 제어 시스템을 구현하여 누가 몇 날짜 몇 시에 서버실에 출입했는지 식별합니다. 서버실에는 비디오 카메라가 없습니다. 이 정보에 근거하여 PCI DSS 물리적 보안 요구 사항에 대해 다음 중 옳은 것은 무엇입니까?

배지 액세스 제어 시스템은 변조 또는 비활성화되지 않도록 보호되어야 합니다.

판매자는 기존 출입 통제 시스템에 추가로 비디오 카메라를 설치해야 합니다.

액세스 제어 시스템의 데이터는 매월 정기적으로 안전하게 삭제해야 합니다.

판매자는 기존 출입 통제 시스템 외에 동작 감지 알람을 설치해야 합니다.

질문 37
다음 중 PCI DSS 요구 사항에 사용된 기간에 대한 설명에 명시된 '분기별'의 정의를 충족하는 것은 무엇인가요?

1년 중 매 분기 어느 시점에 발생합니다.

최소 95일에서 97일에 한 번씩.

매월 셋째 달 15일

매월 넷째 달 1일

질문 38
요구 사항 1에 따르면 '네트워크 보안 제어'의 목적은 무엇인가요?

CDE 전체에서 멀웨어 방지 기능을 관리하세요.

두 개 이상의 논리적 또는 물리적 네트워크 세그먼트 간의 네트워크 트래픽을 제어하세요.

취약점 발견 및 순위 지정

저장 시 PAN 암호화

질문 39
법인이 동일한 요건을 충족하기 위해 맞춤형 접근 방식과 정의된 접근 방식을 모두 사용할 수 있나요?

단일 접근 방식을 선택해야 하므로 아니요

정의된 접근 방식에서는 보정 제어만 사용할 수 있기 때문입니다.

엔티티가 보정 컨트롤을 사용하지 않는 경우 예

법인이 두 가지 접근 방식을 모두 사용할 수 있는 경우 예

질문 40
기업이 평가 중에 소프트웨어 보안 프레임워크를 활용할 수 있는지 알고 싶습니다. 다음 중 어떤 소프트웨어 유형에 적용될 수 있나요?

CDE의 모든 결제 소프트웨어

PCI PTS 장치에서 실행되는 소프트웨어만

PCI SSC에 등록되어 있고 PA-DSS 평가를 거친 검증된 결제 애플리케이션

보안 SLC 표준에 따라 법인이 개발한 소프트웨어

질문 41
AES 128비트 데이터 암호화 키(DEK)를 보호하는 데 사용되는 키 암호화 키(KEK)의 적절한 강도는 얼마인가요?

DES256

RSA512

AES 128

ROT 13

질문 42
취약점에 위험 등급을 부여하는 목적은 무엇인가요?

30일 이내에 모든 취약점을 해결해야 합니다.

분기별 ASV 스캔의 필요성 대체

위험도가 가장 높은 항목에 우선순위를 지정하여 더 빨리 해결할 수 있도록 합니다.

중요한 보안 패치가 최소 분기별로 설치되었는지 확인합니다.

카테고리 PCI SSC

온라인 문제 - 평가자_신규_V4 시험에 유효한 연습 문제(62문항 업데이트) [Q24-Q42]