05 สิงหาคม 2556

บัตรเครดิตกับ PCI-DSS

ในการทำธุรกรรมอิเล็กทรอนิกส์ การปฎิบัติตามระเบียบข้อบังคับ กฏหมาย ตลอดจนการปฎิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้องได้ตามมาตรฐาน (Compliance) มีความสำคัญและจำเป็นอย่างยิ่ง ไม่ว่าจะเป็นมาตรฐานระดับประเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หรือ พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 และรวมไปถึงมาตรฐานระดับนานาชาติเช่น SOX (Sarbanes-Oxley Compliance) หรือ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry - Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการที่เกี่ยวข้องกับธุรกิจบัตรเครดิตเป็นต้น

มาตรฐาน PCI DSS อาจเป็นเรื่องใหม่สำหรับวงการธุรกรรมอิเล็กทรอนิกส์ในเมืองไทย แม้ว่าเราจะมีการใช้บัตรเครดิตอย่างแพร่หลายเป็นระยะเวลานานแล้ว โดยมาตรฐานนี้เริ่มจากผู้ให้บริการบัตรเครดิตชั้นนำ 5 รายคือ American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. ใด้ร่วมกันกำหนดมาตรฐานนี้ในปีพศ. 2547และในเวลาต่อมาก็ร่วมกันก่อตั้ง The Payment Card Industry Security Standard Council (PCI SCC)

PCI DSS คืออะไร

PCI DSS เป็นมาตรฐานที่ถูกกำหนดขึ้นเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตร ได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตรมาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์ ปัจจุบันมาตรฐาน PCI DSS เป็นรุ่น 2.0 ออกในเดือนตุลาคม พศ. 2553
วัตถุประสงค์ข้อกำหนด
สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย1. ติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร
2. ห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด
ปกป้องข้อมูลผู้ถือบัตร3. ปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
4. เข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
ดูแลรักษาโปรแกรมจัดการช่องโหว่5. ใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย
จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
8. กำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์
9. จํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร
ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ10. ติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร
11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ
คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ12. คงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน

PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้

อะไรคือข้อมูลที่ PCI DSS ให้ความสำคัญ

PCI DSS ให้ความสำคัญกับข้อมูลสองส่วนได้แก่ข้อมูลผู้ถือบัตร (Cardholder Data) กับข้อมูลสำคัญในการยืนยันตัวตน (Sensitive Authentication Data) โดยข้อมูลผู้ถือบัตรจะประกอบด้วย

  • Primary Account Number (PAN) หมายเลขบัตรซึ่งเป็นเลข 15/16 หลักที่ปรากฏอยู่บนหน้าบัตรเครดิตและแถบแม่เหล็กหลังบัตร
  • ชื่อผู้ถือบัตร (Cardholder Name)
  • วันหมดอายุบัตร (Expiration Date)
  • รหัสบริการ (Service Code)  ตัวเลข 3 หรือ 4 หลักในแถบแม่เหล็กที่ระบุเงื่อนไขหรือการจำกัดการทำรายการเมื่อทำรายการด้วยแถบแม่เหล็ก

ส่วนข้อมูลสำคัญในการยืนยันตัวตนจะประกอบด้วย

  • ข้อมูลทั้งหมดในแถบแม่เหล็ก หรือข้อมูลเดียวกันนี้ที่อยู่บนชิปสมาร์ทการ์ด
  • เลข CAV2/CVC2/CVV2/CID ซึ่งจะเป็นตัวเลข 3-4 หลัก พิมพ์อยู่ด้านหลังหรือด้านหน้าแล้วแต่ชนิดของบัตร (ไม่ใช่ตัวนูน)
  • Personal Identification Number (PIN) รหัสลับ 4-6 หลักที่ผู้ออกบัตรให้ไว้เพื่อทำรายการ เช่นจากตู้ ATM

หมายเลขบัตร (PAN) เป็นปัจจัยที่กำหนดว่าต้องทำตาม PCI DSS หรือไม่ ถ้ามีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ต้องดำเนินการตาม PCI DSS ถ้าไม่มีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ไม่ต้องดำเนินการ

ถ้าข้อมูลชื่อผู้ถือบัตร รหัสบริการ และ/หรือ วันหมดอายุบัตรถูกจัดเก็บ ประมวลผล หรือส่งข้อมูล ร่วมกับ หมายเลขบัตร ข้อมูลเหล่านั้นต้องถูกปกป้องตามความต้องการของ PCI DSS กล่าวคือหมายเลขบัตรจะต้องถูกเก็บในรูปแบบที่ไม่สามารถอ่านได้โดยวิธีต่อไปนี้

  • ใช้ Hash ทางเดียวเช่น SHA-1
  • เก็บเฉพาะบางส่วนไม่เก็บทุกหลัก หรือแทนที่บางส่วนด้วยเครื่องหมายอื่น (Masking) เช่นแสดงเฉพาะ 6 หลักแรก หรือ 4 หลักท้าย
  • เข้ารหัสลับที่มีความปลอดภัยสูงเช่น Tripple DES 128-bit หรือ AES 256-bit ร่วมกับการบริหารจัดการ Key

ส่วนข้อมูลสำคัญในการยืนยันตัวตนไม่ว่าจะเป็นข้อมูลทั้งหมดในแถบแม่เหล็ก เลข CAV2/CVC2/CVV2/CID หรือ PIN ไม่อนุญาตให้จัดเก็บไว้ได้

ขอบเขตการประเมินการปฏิบัติตาม PCI DSS

ความมั่นคงปลอดภัยตามข้อกำหนดของ PCI DSS ครอบคลุมองค์ประกอบของระบบทุกอย่างไม่ว่าจะเป็น ระบบเครือข่าย เครื่องแม่ข่ายที่ให้บริการ หรือโปรแกรมประยุกต์ ที่เกี่ยวข้องหรือเชื่อมต่อกับสภาพแวดล้อมของข้อมูลผู้ถือบัตร นั่นคือถ้ามีข้อมูลผู้ถือบัตรไปเกี่ยวข้องเมื่อใด องค์ประกอบนั้นๆ จะต้องปฏิบัติตามข้อกำหนด PCI DSS สภาพแวดล้อมของข้อมูลผู้ถือบัตรนั้นประกอบด้วยคน กระบวนการ และเทคโนโลยี (People, Processes, Technology) ที่ทำการเก็บข้อมูล ประมวลผล หรือส่งข้อมูล ไม่ว่าจะเป็นข้อมูลผู้ถือบัตรหรือข้อมูลสำคัญในการยืนยันตัวตนก็ตาม

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ ตัวอย่างเช่น VISA ได้กำหนดว่าผู้ให้บริการรับชำระด้วยบัตรเครดิต (Acquirer) มีหน้าที่ต้องรับรองว่าร้านค้าปฏิบัติตามมาตรฐาน PCI DSS แต่ได้กำหนดลำดับความสำคัญของร้านค้าที่ต้องทำการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS ไว้ 4 ระดับ  ตามตาราง

ระดับเงื่อนไขของร้านค้าความต้องการในการตรวจสอบ
1 ร้านค้าที่ทำรายการมากกว่า 6 ล้านครั้งต่อปีรวมทุกช่องทาง หรือเป็น Global Merchant ที่เข้าข่ายระดับ 1 ตามเงื่อนไขของ VISA ในแต่ละภูมิภาค
  • รายงานการปฎิบัติตามมาตรฐาน (Report on Compliance – ROC) โดยผู้ประเมินความมั่นคงปลอดภัยที่มีคุณสมบัติ (Qualified Security Assessor – QSA) หรือผู้ตรวจสอบภายในถ้าลงนามรับรองโดยบริษัท เป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดยผู้ให้บริการสแกนที่ได้รับการรับรอง (Approved Scan Vendor – ASV) เป็นประจำทุกไตรมาส
  • การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
2 ร้านค้าที่ทำรายการ1 ถึง 6 ล้านครั้งต่อปี รวมทุกช่องทาง
  • ตอบแบบประเมินตนเอง (Self-Assessment Questionnaire - SAQ) เป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาส
  •  การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
3 ร้านค้าที่ทำรายการ E-Commerce 20,000 ถึง 1 ล้านครั้งต่อปี
  • ตอบแบบประเมินตนเองเป็นประจำทุกปี
  •  การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาส
  • การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
4 ร้านค้าที่ทำรายการ E-Commerce น้อยกว่า 20,000 ครั้งต่อปี และร้านค้าอื่นๆ ที่ทำรายการน้อยกว่า1 ล้านครั้งต่อปี
  • แนะนำว่าควรตอบแบบประเมินตนเองเป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาสถ้าทำได้
  • เงื่อนไขการตรวจสอบตั้งโดยผู้ให้บริการรับชำระด้วยบัตรเครดิต

PCI DSS กับ E-Commerce

เพื่อที่จะรับบัตรเครดิตในการชำระเงินแบบออนไลน์ ร้านค้าจะต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วย สิ่งที่ต้องทำเพื่อเป็นไปตามมาตรฐานในทางภาคปฏิบัติ ร้านค้าออนไลน์จะต้องเข้ารหัสในการส่งข้อมูลด้วย Secure Socket Layer (SSL) หรือ Extended Validation SSL (EV SSL) ซึ่งจะดีกว่า รวมทั้งมีนโยบายที่จะไม่เก็บข้อมูลบัตรเครดิตซึ่งเป็นเด็นสำคัญ และสิ่งสำคัญที่ไม่ควรมองข้ามคือร้านค้าต้องรับผิดชอบต่อหมายเลขบัตรเครดิตทุกใบที่มีข้อมูลผ่าน Server ของร้าน

ร้านค้าหลายร้านไม่ผ่านการประเมินเพียงเพราะไม่ได้ตระหนักว่าข้อมูลบัตรเครดิตอาจอยู่ใน Log ในรูปแบบที่ไม่เป็นไปตามความต้องการของ PCI DSS เช่น บันทึกข้อมูลหมายเลขบัตรเครดิต ร่วมกับข้อมูลอื่นๆผู้ถือบัตรโดยสามารถอ่านได้ง่าย หรือบันทึกข้อมูลสำคัญในการยืนยันตัวตนไว้ โดยเฉพาะอย่างยิ่งร้านค้าที่ใช้บริการ Web Hosting  หรือบริการร้านค้าออนไลน์สำเร็จรูป

การประเมินเพื่อผ่านมาตรฐานนั้นยังรวมไปถึงผู้ให้บริการอื่นๆที่เกี่ยวข้องด้วย เช่นผู้ให้บริการประมวลผลบัตรเครดิต (Third-Party Processor) ผู้ให้บริการเครือข่ายในกรณีที่เป็นผู้ดูแลรักษา Firewall เป็นต้น
ดังนั้นเจ้าของร้านค้าที่ต้องการรับชำระเงินด้วยบัตรเครดิต จึงต้องทำการตรวจสอบผู้ให้บริการดังกล่าวปฏิบัติตามมาตรฐาน PCI DSS หรือเลือกใช้ผู้ให้บริการที่ผ่านการประเมินตามมาตรฐานแล้ว

สิ่งสำคัญคือขอบเขตและวิธีการประเมินของผู้ให้บริการบัตรเครดิตแต่ละรายนั้นจะไม่เหมือนกัน ดังนั้นจึงควรศึกษาจากผู้ให้บริการรับชำระด้วยบัตรเครดิต เช่นธนาคาร หรือผู้ให้บริการรับชำระที่แต่ละร้านค้าใช้บริการ

บทส่งท้าย

การทำธุรกรรมทางอิเลกทรอนิกส์ผ่านการรับชำระเงินด้วยบัตรเครดิต ไม่สามารถหลีกเลี่ยงความเกี่ยวข้องกับการปฏิบัติตามมาตรฐาน PCI DSS ได้ โดยต้องผ่านการประเมินการปฏิบัติตาม 6 วัตถุประสงค์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลหลักๆ คือข้อมูลผู้ถือบัตรกับข้อมูลสำคัญในการยืนยันตัวตน อย่างไรก็ตามก็ไม่ได้ยุ่งยากจนเกินไปที่จะปฏิบัติตาม อีกทั้งวิธีการประเมินก็ยังขึ้นอยู่กับปริมาณธุรกรรมบัตรเครดิตต่อปีของแต่ละร้านค้า

หวังเป็นอย่างยิ่งว่าเนื้อหาที่ได้นําเสนอในครั้งนี้จะช่วยให้ทราบถึงแนวทางการปฏิบัติตามมาตรฐาน PCI DSS โดยเฉพาะอย่างยิ่งกับการทำธุรกรรมทางอิเลกทรอนิกส์ได้มากขึ้น

บรรณานุกรม

Payment Card Industry (PCI) Data Security Standard , Requirements and Security Assessment Procedures , Version 2.0 , October 2010
Merchant levels and compliance validation requirements defined (http://usa.visa.com/merchants/risk_management/cisp_merchants.html)