26 พฤษภาคม 2558

มีอะไรใหม่ใน PCI-DSS 3.0


บทความนี้ผมได้เขียนลงนิตยสาร E-WORLD ฉบับธันวาคม 2556 เห็นว่ามีการจัดสัมมนาเกี่ยวกับ PCI-DSS ในช่วงนี้มากพอสมควรจึงนำมาให้อ่านกัน แม้ว่า Version 3.1 จะออกมาแล้วก็ตาม

สำหรับผู้ที่ให้บริการรับชำระเงินในการทำธุรกรรมอิเล็กทรอนิกส์ด้วยบัตรเครดิตหรือบัตรเดบิต คงจะคุ้นเคยกับมาตรฐาน PCI-DSS (Payment Card Industry - Data Security Standard) มากพอสมควร โดยมาตรฐาน PCI DSS ถูกกำหนดเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตรอันได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตร

PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้ มาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์

มาตรฐาน PCI DSS ที่ใช้กันอยู่ในปัจจุบันเป็นรุ่น 2.0 ออกในเดือนตุลาคม 2553 และจะเริ่มถูกแทนที่โดย PCI-DSS 3.0 ตั้งแต่วันที่ 1 มกราคม 2557 เป็นต้นไป โดยที่ผู้ให้บริการที่จะรับการประเมินตามมาตรฐาน PCI-DSS ตั้งแต่ปี 2557 จะต้องถูกประเมินตามมาตรฐานใหม่ แต่ส่วนผู้ที่ได้รับการประเมินตามมาตรฐานนี้ก่อนสิ้นปี 2556 จะยังคงถูกการประเมินตามตาม PCI-DSS 2.0 ไปจนถึงสิ้นปี 2557 หลังจากนั้นจึงจะเริ่มถูกประเมินตามมาตรฐานใหม่เช่นกัน


อย่างไรก็ตามข้อกำหนดบางใหม่อย่างก็จะยังเป็นเพียงข้อแนะนำที่เป็น Best Practice และจะยังไม่ถูกบังคับใช้จนกว่าวันที่ 1 กรกฎาคม 2558 ทั้งนี้จะได้กล่าวถึงในส่วนถัดไป

สาเหตุของการเปลี่ยนแปลง

มาตรฐานต่างๆของ PCI ถูกปรับปรุงตามเสียงสะท้อนจากผู้ใช้งานในกลุ่มอุตสาหกรรมการใช้บัตรเพื่อชำระเงินตามวงจรการพัฒนามาตรฐานอุตสาหกรรมทั่วไปเพื่อตอบสนองความต้องการของตลาด ซึ่งความต้องการต่างๆเหล่านั้นเช่น การขาดความรู้และตระหนักถึงความสำคัญของมาตรฐาน การใช้งานรหัสผ่านและการพิสูจน์ตัวตนที่ง่ายเกินไป การกระตุ้นจากองค์กรมาตรฐานความมั่นคงปลอดภัยอื่นๆ การแพร่ระบาดของมัลแวร์ รวมถึงการประเมินที่ไม่เป็นไปในทิศทางเดียวกัน

ประเด็นหลักในการเปลี่ยนแปลง

การเปลี่ยนแปลงในรุ่น 3.0 เพื่อช่วยองค์กรต่างๆ เพื่อดำเนินการปกป้องข้อมูลผู้ถือบัตรซึ่งมุ่งความสนใจไปที่เรื่องความมั่นคงปลอดภัยมากกว่าการปฏิบัติตามข้อกำหนด และทำให้ PCI DSS ถูกใช้งานเป็นปกติวิสัย (Business-as-Usual) ประเด็นหลักในการเปลี่ยนแปลงที่ถูกเน้นในรุ่น 3.0 ประกอบด้วย

การให้ความรู้และความตระหนักในมาตรฐาน (Education and Awareness)

การขาดความรู้ความเข้าใจและความตระหนักถึงความปลอดภัยในการชำระเงินด้วยบัตร ประกอบกับการดำเนินการและการรักษามาตรฐาน PCI ต่างๆเป็นไปอย่างไม่ถูกต้อง ทำให้เกิดช่องโหว่ทางความมั่นคงปลอดภัยเพิ่มขึ้นในปัจจุบัน การปรับปรุงมาตรฐานนี้จะมุ่งช่วยเหลือองค์กรต่างๆ ให้เข้าใจความตั้งใจของข้อกำหนดได้ดีขึ้น รวมทั้งวิธีดำเนินการและรักษาตัวควบคุมต่างๆ ที่ใช้ในธุรกิจทั้งหมด

ความยืดหยุ่นที่เพิ่มขึ้น (Increased Flexibility)

การเปลี่ยนแปลงใน PCI DSS 3.0 มุ่งเน้นไปยังความเสี่ยงที่พบบ่อยในบางเรื่องซึ่งส่งผลให้สามารถเข้าถึงข้อมูลผู้ถือบัตรได้ เช่นรหัสผ่านหรือการพิสูจน์ตัวตนที่ไม่ดีพอ มัลแวร์ รวมถึงการตรวจสอบที่ไม่มีประสิทธิภาพเป็นต้น โดยเพิ่มทางเลือกที่มากขึ้นให้ยืดหยุ่นเพื่อที่จะสามารถทำตามข้อกำหนดได้ ซึ่งจะช่วยให้แต่ละองค์กรปรับใช้ตามแนวทางของตนเพื่อจะจัดการปัญหาและลดความเสี่ยงที่พบบ่อย ในขณะเดียวกันกระบวนการตรวจสอบที่เข้มงวดกับการดำเนินการตามข้อกำหนดก็จะช่วยองค์กรในการผลักดันและรักษาการควบคุมในทุกส่วนของธุรกิจได้

ความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกัน (Security as a Shared Responsibility)

การรักษาความมั่นคงปลอดภัยของผู้ใช้ข้อมูลเป็นความรับผิดชอบร่วมกัน หลายครั้งที่มีความสับสนระหว่างร้านค้ากับผู้ให้บริการว่าใครต้องรับผิดชอบอะไร ใน PCI-DSS 3.0 เพิ่มแนวทางแก่ผู้ให้บริการและร้านค้าเพื่อให้มีความรับผิดชอบร่วมกัน ร้านค้าจะไม่สามารถผลักภาระไปยังผู้ให้บริการแต่ต้องร่วมมือกับผู้ให้บริการเพื่อทำให้สอดคล้องกับมาตรฐาน

ข้อกำหนดที่มีการปรับปรุง

ในมาตรฐาน PCI-DSS 3.0 มีการปรับปรุงขึ้นมาแบ่งได้ 3 กลุ่มคือ
  • การเพิ่มความชัดเจนในการประเมินตามข้อกำหนด
  • การเพิ่มแนวทางในการดำเนินการตามข้อกำหนด
  • การเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบัน
ในบทความนี้จะกล่าวถึงเพียงการเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบันเท่านั้น ซึ่งถ้าแบ่งตามข้อกำหนดของ PCI-DSS จะพบว่าข้อกำหนดที่ไม่มีการเปลี่ยนแปลงประกอบด้วย
  • ข้อกำหนด 3 การปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
  • ข้อกำหนด 4 การเข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
  • ข้อกำหนด 7 การจำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
เราจะมาพิจารณาในข้อต่างๆที่มีการเปลี่ยนแปลงดังนี้

ข้อกำหนด 1: การติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร

ข้อกำหนดที่มีการเปลี่ยนแปลงในส่วนนี้คือการกำหนดให้ต้องมีแผนผังเพื่อแสดงการเคลื่อนที่ของข้อมูลผู้ถือบัตรไปยังส่วนต่างๆที่สำคัญในแผนผังเครือข่าย (Network Diagram) โดยในข้อ 1.1.2 กำหนดว่าต้องมีแผนผังเครือข่ายที่ระบุการเชื่อมต่อจากสภาพแวดล้อมของข้อมูลผู้ถือบัตร (Cardholder Data Environment) ไปยังเครือข่ายอื่นรวมทั้งเครือข่ายไร้สาย และในข้อ 1.1.3 กำหนดว่าต้องมีแผนผังการเคลื่อนที่ของข้อมูลผู้ถือบัตร (Cardholder Data Flows)ไปยังระบบและเครือข่ายต่างๆ ด้วย

ข้อกำหนด 2: การห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด

มีข้อกำหนดใหม่ที่เพิ่มขึ้นคือข้อ 2.4 ให้ปรับปรุงบัญชีองค์ประกอบต่างๆ ของระบบที่อยูในขอบเขตที่เกี่ยวข้องกับ PCI-DSS เหตุผลก็คือถ้าไม่มีบัญชีนี้ องค์ประกอบของระบบบางรายการอาจจะถูกลืม และอาจถูกยกเว้นไม่ได้ตั้งค่าให้ถูกต้องตามมาตรฐานขององค์กรโดยไม่ได้ตั้งใจ

ข้อกำหนด 5: การใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ

มีข้อกำหนดใหม่เพิ่มขึ้นมา 2 ข้อคือ ข้อ 5.1.2 สำหรับระบบที่ได้รับการพิจารณาแล้วว่าจะไม่ได้มีผลกระทบกับจากซอฟต์แวร์ที่เป็นอันตราย ให้ทำการประเมินเป็นระยะเพื่อระบุและประเมินภัยคุกคามจากมัลแวร์ที่เพิ่มขึ้นเพื่อที่จะยืนยันว่าระบบยังคงไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัส ตัวอย่างเช่นเครื่องเมนเฟรมหรือเครื่องที่เล็กลงมาอย่าง AS/400 ไม่ได้เป็นเป้าหมายในการโจมตีของมัลแวร์ แต่อย่างไรก็ตามแนวโน้มของมัลแวร์เปลี่ยนไปได้เสมอ และอาจจะมีมัลแวร์ใหม่ที่อาจคุกคามระบบเหล่านี้ได้

อีกข้อที่เพิ่มเติมขึ้นมาคือข้อ 5.3 ตรวจสอบให้แน่ใจว่ากลไกการป้องกันไวรัสการทำงานอยู่เสมอและไม่สามารถยกเลิกหรือเปลี่ยนแปลงได้โดยผู้ใช้เว้นแต่ได้รับอนุญาตโดยเฉพาะเป็นกรณีในช่วงเวลาที่ จำกัด โซลูชั่นป้องกันไวรัสอาจจะถูกปิดใช้งานชั่วคราวได้เฉพาะในกรณีที่มีความจำเป็นในทางเทคนิคโดยได้รับอนุญาตจากผู้บริหารเป็นแต่ละกรณีไป หากการป้องกันไวรัสจะต้องมีการปิดการใช้งานเพื่อวัตถุประสงค์เช่นนั้นจะต้องได้รับอนุญาตอย่างเป็นทางการ. นอกจากนี้ยังอาจจะต้องดำเนินมาตรการรักษาความปลอดภัยเพิ่มเติมในช่วงเวลาที่การป้องกันไวรัสไม่ได้ใช้งานด้วย

ข้อกำหนด 6: การพัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย

ข้อกำหนดใหม่ที่เพิ่มขึ้นมาอยู่ในข้อ 6.5.10 คือเรื่อง Broken Authentication and Session Management ซึ่งเป็นเรื่องเกี่ยวกับการป้องกันช่องโหว่ของการพิสูจน์ตัวตนเข้าใช้งานและจัดการสถานะการใช้งานของผู้ใช้ เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงบัญชี กุญแจรหัส หรือข้อมูลรักษาสถานะการใช้งาน (Session Token) ซึ่งจะทำให้ผู้บุกรุกสามารถปลอมแปลงตัวตนเป็นผู้ใช้ที่ได้รับอนุญาต อย่างไรก็ตามข้อกำหนดนี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

นอกจากนี้คำแนะนำหลายส่วนในข้อกำหนด 6ได้ปรับให้สอดคล้องกับมาตรฐานทางด้านความมั่นคงปลอดภัยที่ใช้กันโดยทั่วไปเช่น OWASP, NIST, SANS เป็นต้น

ข้อกำหนด 8: การกำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์

มีการปรับปรุงข้อ 8.2.3 โดยการรวมเรื่องความต้องการความซับซ้อนและความแข็งแรงของรหัสผ่านขั้นต่ำเป็นข้อเดียว และเพิ่มความยืดหยุ่นสำหรับทางเลือกอื่นที่ให้ความซับซ้อนและความแข็งแรงของรหัสผ่านที่เทียบเท่ากัน โดยมีคำแนะนำให้เลือกใช้ตามเอกสาร NIST SP 800-63-1 ที่กำหนดค่า “Entropy” เป็นค่าวัดความยากในการเดารหัสผ่านหรือกุญแจ ถ้ามีความยากเทียบเท่าหรือมากกว่าที่กำหนดไว้ในข้อนี้ก็ถือว่าใช้ได้
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอีกก็คือข้อ 8.5.1 เป็นข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ คือถ้าผู้ให้บริการต้องทำการเข้าใช้ระบบจากระยะไกลเพื่อช่วยเหลือ จะต้องใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับลูกค้าแต่ละราย โดยมีคำแนะนำเช่นการใช้การพิสูจน์ตัวตนสองปัจจัย (Two-Factor Mechanism) ที่ให้ข้อมูลประจำตัวที่ไม่ซ้ำกันสำหรับแต่ละการเชื่อมต่อแต่ละครัง (ตัวอย่างเช่นผ่านทางรหัสผ่านแบบใช้ครั้งเดียว) ข้อกำหนดนี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

อีกข้อที่เพิ่มใหม่คือข้อ 8.6 กำหนดว่าหากมีการใช้กลไกการตรวจสอบอื่นๆ (ตัวอย่างเช่น Security Token ไม่ว่าจะอยู่ในรูปอุปกรณ์ที่สามารถจับต้องได้หรือรหัสดิจิทัล บัตรสมาร์ทคาร์ด, ใบรับรองดิจิทัล ฯลฯ ) การใช้กลไกเหล่านี้จะต้องกำหนดว่า การพิสูจน์ตัวตนนั้นจะต้องถูกกำหนดให้ใช้กับบัญชีรายบุคคล และต้องไม่ใช้ร่วมกันระหว่างหลายบัญชี นอกจากนั้นจะต้องมีการควบคุมทางกายภาพและ/หรือเชิงตรรกะ (Physical and/or Logical Control) เพื่อให้มั่นใจว่าบัญชีที่กำหนดเท่านั้นที่จะใช้งานได้

ข้อกำหนด 9: การจํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร

ข้อกำหนดใหม่ที่เพิ่มเข้ามาอยู่ในข้อ 9.3 กำหนดให้มีการควบคุมการเข้าถึงทางกายภาพในการเข้าพื้นที่ของบุคลากรไปยังพื้นที่ที่มีความสำคัญ โดยการเข้าถึงต้องได้รับอนุญาตและขึ้นอยู่กับลักษณะงานของแต่ละบุคคล รวมทั้งจะต้องถูกยกเลิกทันทีที่สิ้นสุดการอนุญาตและกลไกการเข้าถึงทางกายภาพเช่นคีย์การ์ดและอื่นๆ จะต้องถูกส่งคืนหรือปิดการใช้งาน

ข้อใหม่อีกข้อคือหัวข้อ 9.9 ปกป้องอุปกรณ์อ่านข้อมูลบัตรชำระเงินจากการถูกดัดแปลงหรือเอาเครื่องอื่นมาสวมรอยแทน ข้อกำหนดนี้นำไปประยุกต์ใช้กับอุปกรณ์อ่านบัตรที่ใช้ในการทำธุรกรรมที่ต้องแสดงบัตร (นั่นคือรูดหรือเสียบบัตร) . จุดขาย ข้อกำหนด 9.9 นี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

ข้อกำหนด 10: การติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร

ข้อกำหนดที่ถูกปรับปรุงคือข้อ 10.2.5 มีกลไกในการบันทึกการใช้และการแก้ไขการระบุและพิสูจน์ตัวตน รวมถึงการสร้างบัญชีใหม่และการยกระดับของสิทธิการใช้งาน และการแก้ไขเพิ่มเติมหรือลบบัญชีทั้งหมดด้วยสิทธิ์ของ root หรือ Administrator เพราะหากไม่ทราบว่าผู้ที่เข้าสู่ระบบในช่วงเวลาของเหตุการณ์ที่เกิดขึ้นนั้นก็ไม่สามารถที่จะระบุบัญชีที่อาจมีการใช้งานได้ นอกจากนี้ผู้ใช้ที่เป็นอันตรายอาจพยายามที่จะจัดการกับตัวควบคุมการพิสูจน์ตัวตน โดยตั้งใจที่จะผ่านหลบหลีกการพิสูจน์ตัวตนหรือแอบอ้างเป็นบัญชีที่ถูกต้อง

ข้อกำหนดที่ถูกปรับปรุงอีกข้อคือข้อ 10.2.6 เกี่ยวกับการบันทึกการเริ่มต้น การหยุด หรือการหยุดการทำงานของ Audit Log ชั่วคราว เพื่อป้องกันผู้ใช้ที่ไม่ประสงค์ดีหลบเลี่ยงการตรวจสอบการทำงาน

ข้อกำหนด 11: การทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ

ข้อกำหนด 11 เป็นข้อที่มีการปรับปรุงแก้ไขเพิ่มเติมค่อนข้างมาก ข้อกำหนดที่มีการปรับปรุงคือข้อ 11.1 โดยเพิ่มการทำบัญชีรายการจุดเชื่อมต่อไร้สาย (Wireless Access Point) ที่ได้รับอนุญาต รวมทั้งระบุเหตุผลทางธุรกิจของการใช้จุดเชื่อมต่อไร้สายนั้นๆไว้เป็นลายลักษณ์อักษร (11.1.1) เพื่อที่จะใช้อ้างอิงเวลาทำการตรวจสอบหาจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต และเพิ่มข้อ 11.1.2 คือให้มีกระบวนตอบสนองต่อเหตุการณ์ในกรณีที่มีการตรวจพบจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต

ส่วนข้อกำหนดที่มีการแก้ไขและเพิ่มเติมได้แก่ ข้อ 11.3 ให้ใช้วิธีการทดสอบเจาะระบบ (Methodology for Penetration Testing) ที่เป็นที่ยอมรับของอุตสาหกรรม เช่น NIST SP800-115 คลอบคลุมบริเวณที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรและระบบที่สำคัญ มีการทดสอบจากทั้งภายในและภายนอกเครือข่าย รวมถึงกำหนดให้มีการทดสอบการเจาะระดับโปรแกรมเพื่อครอบคลุมช่องโหว่ที่ระบุไว้ในข้อกำหนด 6.5 เป็นอย่างน้อย กำหนดให้มีการทดสอบการเจาะเครือข่ายรวมถึงองค์ประกอบที่สนับสนุนการทำงานของเครือข่ายรวมทั้งระบบปฏิบัติการ รวมถึงการตรวจสอบและการพิจารณาภัยคุกคามและช่องโหว่ที่มีเกิดขึ้นในช่วง 12 เดือนที่ผ่านมา และระบุการเก็บรักษาของผลการทดสอบการเจาะและกิจกรรมในการแก้ไขช่องโหว่ด้วย

ทั้งนี้ยังคงให้ใช้ข้อกำหนดในการทดสอบเจาะระบบตาม PCI-DSS 2.0 ไปจนกว่าทุกหัวข้อที่กำหนดไว้เป็น Best Practice จะดำเนินการตามข้อกำหนด PCI-DSS 3.0 ครบถ้วน อย่างไรก็ตามจะมีการบังคับใช้ข้อบังคับใหม่นี้ตั้งแต่วันที่ 1 กรกฎาคม 2558

มีการเพิ่มข้อกำหนด 11.5.1 เพื่อสนับสนุนข้อ 11.5 โดยให้มีการใช้กระบวนการเพื่อตอบสนองต่อการแจ้งเตือนใดๆ ที่เกิดจากระบบการตรวจสอบการเปลี่ยนแปลง

ข้อกำหนด 12: การคงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน

มีการย้ายเอาข้อกำหนด 12.1.2 ที่เกี่ยวกับกระบวนการประเมินความเสี่ยงประจำปีไปยังข้อ 12.2 และกำหนดว่าการประเมินความเสี่ยงต้องทำทุกปีและทุกครั้งที่มีการเปลี่ยนแปลงสภาวะแวดล้อมอย่างมีนัยสำคัญเป็นอย่างน้อย

ข้อกำหนดใหม่เพิ่มเข้ามาคือข้อ 12.8.5 ในเรื่องการรักษาข้อมูลเกี่ยวกับผู้ให้บริการแต่ละรายว่ามีจัดการตามข้อกำหนด PCI DSS ข้อใด และข้อใดที่มีการจัดการโดยองค์กร

ส่วนอีกข้อคือข้อ 12.9 ที่เพิ่มขึ้นมาคือข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ โดยระบุว่าผู้ให้บริการรับทราบเป็นลายลักษณ์อักษรให้กับลูกค้าว่าพวกเขามีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลผู้ถือบัตรที่ผู้ให้บริการครอบครอง จัดเก็บ ดำเนินการ หรือส่งในนามของลูกค้า หรือกรณีใดก็ตามส่งผลกระทบต่อการรักษาความปลอดภัยของภาวะแวดล้อมข้อมูลผู้ถือบัตรของลูกค้า ข้อกำหนด 12.9 นี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

บทส่งท้าย

PCI-DSS 3.0 ได่มีการปรับปรุงแก้ไขเพิ่มเติมจาก PCI-DSS 2.0 โดยมุ่งเน้นไปที่การให้ความรู้และความตระหนักในมาตรฐาน ความยืดหยุ่นที่เพิ่มขึ้น และความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกันทั้งองค์กรและผู้ให้บริการที่เกี่ยวข้อง โดยจะเริ่มต้นใช้งานตั้งแต่วันที่ 1 มกราคม 2557 เป็นต้นไป และจะใช้งานอย่างสมบูรณ์ตั้งแต่วันที่ 1 กรกฎาคม 2558 ดังนั้นผู้ที่จะเริ่มปฏิบัติตามมาตรฐาน PCI-DSS รวมทั้งผู้ที่เคยผ่านการประเมินมาแล้ว จึงควรที่จะศึกษาข้อแตกต่างเพื่อที่จะรับการประเมินตามมาตรฐานใหม่ได้อย่างถูกต้อง

เอกสารอ้างอิง

  • Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures Version 3.0, PCI Security Standards Council, LLC., November 2013
  • Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security Standard Version 3.0 Change Highlights, PCI Security Standards Council, LLC., August 2013
  • PCI DSS 3.0 – What’s New? An Infographic, Anthony M Freed, Tripwire Inc., December 5, 2013

บทความที่เกี่ยวข้อง