แสดงบทความที่มีป้ายกำกับ E-Commerce แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ E-Commerce แสดงบทความทั้งหมด

26 พฤษภาคม 2558

มีอะไรใหม่ใน PCI-DSS 3.0


บทความนี้ผมได้เขียนลงนิตยสาร E-WORLD ฉบับธันวาคม 2556 เห็นว่ามีการจัดสัมมนาเกี่ยวกับ PCI-DSS ในช่วงนี้มากพอสมควรจึงนำมาให้อ่านกัน แม้ว่า Version 3.1 จะออกมาแล้วก็ตาม

สำหรับผู้ที่ให้บริการรับชำระเงินในการทำธุรกรรมอิเล็กทรอนิกส์ด้วยบัตรเครดิตหรือบัตรเดบิต คงจะคุ้นเคยกับมาตรฐาน PCI-DSS (Payment Card Industry - Data Security Standard) มากพอสมควร โดยมาตรฐาน PCI DSS ถูกกำหนดเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตรอันได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตร

PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้ มาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์

มาตรฐาน PCI DSS ที่ใช้กันอยู่ในปัจจุบันเป็นรุ่น 2.0 ออกในเดือนตุลาคม 2553 และจะเริ่มถูกแทนที่โดย PCI-DSS 3.0 ตั้งแต่วันที่ 1 มกราคม 2557 เป็นต้นไป โดยที่ผู้ให้บริการที่จะรับการประเมินตามมาตรฐาน PCI-DSS ตั้งแต่ปี 2557 จะต้องถูกประเมินตามมาตรฐานใหม่ แต่ส่วนผู้ที่ได้รับการประเมินตามมาตรฐานนี้ก่อนสิ้นปี 2556 จะยังคงถูกการประเมินตามตาม PCI-DSS 2.0 ไปจนถึงสิ้นปี 2557 หลังจากนั้นจึงจะเริ่มถูกประเมินตามมาตรฐานใหม่เช่นกัน


อย่างไรก็ตามข้อกำหนดบางใหม่อย่างก็จะยังเป็นเพียงข้อแนะนำที่เป็น Best Practice และจะยังไม่ถูกบังคับใช้จนกว่าวันที่ 1 กรกฎาคม 2558 ทั้งนี้จะได้กล่าวถึงในส่วนถัดไป

สาเหตุของการเปลี่ยนแปลง

มาตรฐานต่างๆของ PCI ถูกปรับปรุงตามเสียงสะท้อนจากผู้ใช้งานในกลุ่มอุตสาหกรรมการใช้บัตรเพื่อชำระเงินตามวงจรการพัฒนามาตรฐานอุตสาหกรรมทั่วไปเพื่อตอบสนองความต้องการของตลาด ซึ่งความต้องการต่างๆเหล่านั้นเช่น การขาดความรู้และตระหนักถึงความสำคัญของมาตรฐาน การใช้งานรหัสผ่านและการพิสูจน์ตัวตนที่ง่ายเกินไป การกระตุ้นจากองค์กรมาตรฐานความมั่นคงปลอดภัยอื่นๆ การแพร่ระบาดของมัลแวร์ รวมถึงการประเมินที่ไม่เป็นไปในทิศทางเดียวกัน

ประเด็นหลักในการเปลี่ยนแปลง

การเปลี่ยนแปลงในรุ่น 3.0 เพื่อช่วยองค์กรต่างๆ เพื่อดำเนินการปกป้องข้อมูลผู้ถือบัตรซึ่งมุ่งความสนใจไปที่เรื่องความมั่นคงปลอดภัยมากกว่าการปฏิบัติตามข้อกำหนด และทำให้ PCI DSS ถูกใช้งานเป็นปกติวิสัย (Business-as-Usual) ประเด็นหลักในการเปลี่ยนแปลงที่ถูกเน้นในรุ่น 3.0 ประกอบด้วย

การให้ความรู้และความตระหนักในมาตรฐาน (Education and Awareness)

การขาดความรู้ความเข้าใจและความตระหนักถึงความปลอดภัยในการชำระเงินด้วยบัตร ประกอบกับการดำเนินการและการรักษามาตรฐาน PCI ต่างๆเป็นไปอย่างไม่ถูกต้อง ทำให้เกิดช่องโหว่ทางความมั่นคงปลอดภัยเพิ่มขึ้นในปัจจุบัน การปรับปรุงมาตรฐานนี้จะมุ่งช่วยเหลือองค์กรต่างๆ ให้เข้าใจความตั้งใจของข้อกำหนดได้ดีขึ้น รวมทั้งวิธีดำเนินการและรักษาตัวควบคุมต่างๆ ที่ใช้ในธุรกิจทั้งหมด

ความยืดหยุ่นที่เพิ่มขึ้น (Increased Flexibility)

การเปลี่ยนแปลงใน PCI DSS 3.0 มุ่งเน้นไปยังความเสี่ยงที่พบบ่อยในบางเรื่องซึ่งส่งผลให้สามารถเข้าถึงข้อมูลผู้ถือบัตรได้ เช่นรหัสผ่านหรือการพิสูจน์ตัวตนที่ไม่ดีพอ มัลแวร์ รวมถึงการตรวจสอบที่ไม่มีประสิทธิภาพเป็นต้น โดยเพิ่มทางเลือกที่มากขึ้นให้ยืดหยุ่นเพื่อที่จะสามารถทำตามข้อกำหนดได้ ซึ่งจะช่วยให้แต่ละองค์กรปรับใช้ตามแนวทางของตนเพื่อจะจัดการปัญหาและลดความเสี่ยงที่พบบ่อย ในขณะเดียวกันกระบวนการตรวจสอบที่เข้มงวดกับการดำเนินการตามข้อกำหนดก็จะช่วยองค์กรในการผลักดันและรักษาการควบคุมในทุกส่วนของธุรกิจได้

ความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกัน (Security as a Shared Responsibility)

การรักษาความมั่นคงปลอดภัยของผู้ใช้ข้อมูลเป็นความรับผิดชอบร่วมกัน หลายครั้งที่มีความสับสนระหว่างร้านค้ากับผู้ให้บริการว่าใครต้องรับผิดชอบอะไร ใน PCI-DSS 3.0 เพิ่มแนวทางแก่ผู้ให้บริการและร้านค้าเพื่อให้มีความรับผิดชอบร่วมกัน ร้านค้าจะไม่สามารถผลักภาระไปยังผู้ให้บริการแต่ต้องร่วมมือกับผู้ให้บริการเพื่อทำให้สอดคล้องกับมาตรฐาน

ข้อกำหนดที่มีการปรับปรุง

ในมาตรฐาน PCI-DSS 3.0 มีการปรับปรุงขึ้นมาแบ่งได้ 3 กลุ่มคือ
  • การเพิ่มความชัดเจนในการประเมินตามข้อกำหนด
  • การเพิ่มแนวทางในการดำเนินการตามข้อกำหนด
  • การเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบัน
ในบทความนี้จะกล่าวถึงเพียงการเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบันเท่านั้น ซึ่งถ้าแบ่งตามข้อกำหนดของ PCI-DSS จะพบว่าข้อกำหนดที่ไม่มีการเปลี่ยนแปลงประกอบด้วย
  • ข้อกำหนด 3 การปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
  • ข้อกำหนด 4 การเข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
  • ข้อกำหนด 7 การจำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
เราจะมาพิจารณาในข้อต่างๆที่มีการเปลี่ยนแปลงดังนี้

ข้อกำหนด 1: การติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร

ข้อกำหนดที่มีการเปลี่ยนแปลงในส่วนนี้คือการกำหนดให้ต้องมีแผนผังเพื่อแสดงการเคลื่อนที่ของข้อมูลผู้ถือบัตรไปยังส่วนต่างๆที่สำคัญในแผนผังเครือข่าย (Network Diagram) โดยในข้อ 1.1.2 กำหนดว่าต้องมีแผนผังเครือข่ายที่ระบุการเชื่อมต่อจากสภาพแวดล้อมของข้อมูลผู้ถือบัตร (Cardholder Data Environment) ไปยังเครือข่ายอื่นรวมทั้งเครือข่ายไร้สาย และในข้อ 1.1.3 กำหนดว่าต้องมีแผนผังการเคลื่อนที่ของข้อมูลผู้ถือบัตร (Cardholder Data Flows)ไปยังระบบและเครือข่ายต่างๆ ด้วย

ข้อกำหนด 2: การห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด

มีข้อกำหนดใหม่ที่เพิ่มขึ้นคือข้อ 2.4 ให้ปรับปรุงบัญชีองค์ประกอบต่างๆ ของระบบที่อยูในขอบเขตที่เกี่ยวข้องกับ PCI-DSS เหตุผลก็คือถ้าไม่มีบัญชีนี้ องค์ประกอบของระบบบางรายการอาจจะถูกลืม และอาจถูกยกเว้นไม่ได้ตั้งค่าให้ถูกต้องตามมาตรฐานขององค์กรโดยไม่ได้ตั้งใจ

ข้อกำหนด 5: การใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ

มีข้อกำหนดใหม่เพิ่มขึ้นมา 2 ข้อคือ ข้อ 5.1.2 สำหรับระบบที่ได้รับการพิจารณาแล้วว่าจะไม่ได้มีผลกระทบกับจากซอฟต์แวร์ที่เป็นอันตราย ให้ทำการประเมินเป็นระยะเพื่อระบุและประเมินภัยคุกคามจากมัลแวร์ที่เพิ่มขึ้นเพื่อที่จะยืนยันว่าระบบยังคงไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัส ตัวอย่างเช่นเครื่องเมนเฟรมหรือเครื่องที่เล็กลงมาอย่าง AS/400 ไม่ได้เป็นเป้าหมายในการโจมตีของมัลแวร์ แต่อย่างไรก็ตามแนวโน้มของมัลแวร์เปลี่ยนไปได้เสมอ และอาจจะมีมัลแวร์ใหม่ที่อาจคุกคามระบบเหล่านี้ได้

อีกข้อที่เพิ่มเติมขึ้นมาคือข้อ 5.3 ตรวจสอบให้แน่ใจว่ากลไกการป้องกันไวรัสการทำงานอยู่เสมอและไม่สามารถยกเลิกหรือเปลี่ยนแปลงได้โดยผู้ใช้เว้นแต่ได้รับอนุญาตโดยเฉพาะเป็นกรณีในช่วงเวลาที่ จำกัด โซลูชั่นป้องกันไวรัสอาจจะถูกปิดใช้งานชั่วคราวได้เฉพาะในกรณีที่มีความจำเป็นในทางเทคนิคโดยได้รับอนุญาตจากผู้บริหารเป็นแต่ละกรณีไป หากการป้องกันไวรัสจะต้องมีการปิดการใช้งานเพื่อวัตถุประสงค์เช่นนั้นจะต้องได้รับอนุญาตอย่างเป็นทางการ. นอกจากนี้ยังอาจจะต้องดำเนินมาตรการรักษาความปลอดภัยเพิ่มเติมในช่วงเวลาที่การป้องกันไวรัสไม่ได้ใช้งานด้วย

ข้อกำหนด 6: การพัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย

ข้อกำหนดใหม่ที่เพิ่มขึ้นมาอยู่ในข้อ 6.5.10 คือเรื่อง Broken Authentication and Session Management ซึ่งเป็นเรื่องเกี่ยวกับการป้องกันช่องโหว่ของการพิสูจน์ตัวตนเข้าใช้งานและจัดการสถานะการใช้งานของผู้ใช้ เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงบัญชี กุญแจรหัส หรือข้อมูลรักษาสถานะการใช้งาน (Session Token) ซึ่งจะทำให้ผู้บุกรุกสามารถปลอมแปลงตัวตนเป็นผู้ใช้ที่ได้รับอนุญาต อย่างไรก็ตามข้อกำหนดนี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

นอกจากนี้คำแนะนำหลายส่วนในข้อกำหนด 6ได้ปรับให้สอดคล้องกับมาตรฐานทางด้านความมั่นคงปลอดภัยที่ใช้กันโดยทั่วไปเช่น OWASP, NIST, SANS เป็นต้น

ข้อกำหนด 8: การกำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์

มีการปรับปรุงข้อ 8.2.3 โดยการรวมเรื่องความต้องการความซับซ้อนและความแข็งแรงของรหัสผ่านขั้นต่ำเป็นข้อเดียว และเพิ่มความยืดหยุ่นสำหรับทางเลือกอื่นที่ให้ความซับซ้อนและความแข็งแรงของรหัสผ่านที่เทียบเท่ากัน โดยมีคำแนะนำให้เลือกใช้ตามเอกสาร NIST SP 800-63-1 ที่กำหนดค่า “Entropy” เป็นค่าวัดความยากในการเดารหัสผ่านหรือกุญแจ ถ้ามีความยากเทียบเท่าหรือมากกว่าที่กำหนดไว้ในข้อนี้ก็ถือว่าใช้ได้
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอีกก็คือข้อ 8.5.1 เป็นข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ คือถ้าผู้ให้บริการต้องทำการเข้าใช้ระบบจากระยะไกลเพื่อช่วยเหลือ จะต้องใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับลูกค้าแต่ละราย โดยมีคำแนะนำเช่นการใช้การพิสูจน์ตัวตนสองปัจจัย (Two-Factor Mechanism) ที่ให้ข้อมูลประจำตัวที่ไม่ซ้ำกันสำหรับแต่ละการเชื่อมต่อแต่ละครัง (ตัวอย่างเช่นผ่านทางรหัสผ่านแบบใช้ครั้งเดียว) ข้อกำหนดนี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

อีกข้อที่เพิ่มใหม่คือข้อ 8.6 กำหนดว่าหากมีการใช้กลไกการตรวจสอบอื่นๆ (ตัวอย่างเช่น Security Token ไม่ว่าจะอยู่ในรูปอุปกรณ์ที่สามารถจับต้องได้หรือรหัสดิจิทัล บัตรสมาร์ทคาร์ด, ใบรับรองดิจิทัล ฯลฯ ) การใช้กลไกเหล่านี้จะต้องกำหนดว่า การพิสูจน์ตัวตนนั้นจะต้องถูกกำหนดให้ใช้กับบัญชีรายบุคคล และต้องไม่ใช้ร่วมกันระหว่างหลายบัญชี นอกจากนั้นจะต้องมีการควบคุมทางกายภาพและ/หรือเชิงตรรกะ (Physical and/or Logical Control) เพื่อให้มั่นใจว่าบัญชีที่กำหนดเท่านั้นที่จะใช้งานได้

ข้อกำหนด 9: การจํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร

ข้อกำหนดใหม่ที่เพิ่มเข้ามาอยู่ในข้อ 9.3 กำหนดให้มีการควบคุมการเข้าถึงทางกายภาพในการเข้าพื้นที่ของบุคลากรไปยังพื้นที่ที่มีความสำคัญ โดยการเข้าถึงต้องได้รับอนุญาตและขึ้นอยู่กับลักษณะงานของแต่ละบุคคล รวมทั้งจะต้องถูกยกเลิกทันทีที่สิ้นสุดการอนุญาตและกลไกการเข้าถึงทางกายภาพเช่นคีย์การ์ดและอื่นๆ จะต้องถูกส่งคืนหรือปิดการใช้งาน

ข้อใหม่อีกข้อคือหัวข้อ 9.9 ปกป้องอุปกรณ์อ่านข้อมูลบัตรชำระเงินจากการถูกดัดแปลงหรือเอาเครื่องอื่นมาสวมรอยแทน ข้อกำหนดนี้นำไปประยุกต์ใช้กับอุปกรณ์อ่านบัตรที่ใช้ในการทำธุรกรรมที่ต้องแสดงบัตร (นั่นคือรูดหรือเสียบบัตร) . จุดขาย ข้อกำหนด 9.9 นี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

ข้อกำหนด 10: การติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร

ข้อกำหนดที่ถูกปรับปรุงคือข้อ 10.2.5 มีกลไกในการบันทึกการใช้และการแก้ไขการระบุและพิสูจน์ตัวตน รวมถึงการสร้างบัญชีใหม่และการยกระดับของสิทธิการใช้งาน และการแก้ไขเพิ่มเติมหรือลบบัญชีทั้งหมดด้วยสิทธิ์ของ root หรือ Administrator เพราะหากไม่ทราบว่าผู้ที่เข้าสู่ระบบในช่วงเวลาของเหตุการณ์ที่เกิดขึ้นนั้นก็ไม่สามารถที่จะระบุบัญชีที่อาจมีการใช้งานได้ นอกจากนี้ผู้ใช้ที่เป็นอันตรายอาจพยายามที่จะจัดการกับตัวควบคุมการพิสูจน์ตัวตน โดยตั้งใจที่จะผ่านหลบหลีกการพิสูจน์ตัวตนหรือแอบอ้างเป็นบัญชีที่ถูกต้อง

ข้อกำหนดที่ถูกปรับปรุงอีกข้อคือข้อ 10.2.6 เกี่ยวกับการบันทึกการเริ่มต้น การหยุด หรือการหยุดการทำงานของ Audit Log ชั่วคราว เพื่อป้องกันผู้ใช้ที่ไม่ประสงค์ดีหลบเลี่ยงการตรวจสอบการทำงาน

ข้อกำหนด 11: การทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ

ข้อกำหนด 11 เป็นข้อที่มีการปรับปรุงแก้ไขเพิ่มเติมค่อนข้างมาก ข้อกำหนดที่มีการปรับปรุงคือข้อ 11.1 โดยเพิ่มการทำบัญชีรายการจุดเชื่อมต่อไร้สาย (Wireless Access Point) ที่ได้รับอนุญาต รวมทั้งระบุเหตุผลทางธุรกิจของการใช้จุดเชื่อมต่อไร้สายนั้นๆไว้เป็นลายลักษณ์อักษร (11.1.1) เพื่อที่จะใช้อ้างอิงเวลาทำการตรวจสอบหาจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต และเพิ่มข้อ 11.1.2 คือให้มีกระบวนตอบสนองต่อเหตุการณ์ในกรณีที่มีการตรวจพบจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต

ส่วนข้อกำหนดที่มีการแก้ไขและเพิ่มเติมได้แก่ ข้อ 11.3 ให้ใช้วิธีการทดสอบเจาะระบบ (Methodology for Penetration Testing) ที่เป็นที่ยอมรับของอุตสาหกรรม เช่น NIST SP800-115 คลอบคลุมบริเวณที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรและระบบที่สำคัญ มีการทดสอบจากทั้งภายในและภายนอกเครือข่าย รวมถึงกำหนดให้มีการทดสอบการเจาะระดับโปรแกรมเพื่อครอบคลุมช่องโหว่ที่ระบุไว้ในข้อกำหนด 6.5 เป็นอย่างน้อย กำหนดให้มีการทดสอบการเจาะเครือข่ายรวมถึงองค์ประกอบที่สนับสนุนการทำงานของเครือข่ายรวมทั้งระบบปฏิบัติการ รวมถึงการตรวจสอบและการพิจารณาภัยคุกคามและช่องโหว่ที่มีเกิดขึ้นในช่วง 12 เดือนที่ผ่านมา และระบุการเก็บรักษาของผลการทดสอบการเจาะและกิจกรรมในการแก้ไขช่องโหว่ด้วย

ทั้งนี้ยังคงให้ใช้ข้อกำหนดในการทดสอบเจาะระบบตาม PCI-DSS 2.0 ไปจนกว่าทุกหัวข้อที่กำหนดไว้เป็น Best Practice จะดำเนินการตามข้อกำหนด PCI-DSS 3.0 ครบถ้วน อย่างไรก็ตามจะมีการบังคับใช้ข้อบังคับใหม่นี้ตั้งแต่วันที่ 1 กรกฎาคม 2558

มีการเพิ่มข้อกำหนด 11.5.1 เพื่อสนับสนุนข้อ 11.5 โดยให้มีการใช้กระบวนการเพื่อตอบสนองต่อการแจ้งเตือนใดๆ ที่เกิดจากระบบการตรวจสอบการเปลี่ยนแปลง

ข้อกำหนด 12: การคงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน

มีการย้ายเอาข้อกำหนด 12.1.2 ที่เกี่ยวกับกระบวนการประเมินความเสี่ยงประจำปีไปยังข้อ 12.2 และกำหนดว่าการประเมินความเสี่ยงต้องทำทุกปีและทุกครั้งที่มีการเปลี่ยนแปลงสภาวะแวดล้อมอย่างมีนัยสำคัญเป็นอย่างน้อย

ข้อกำหนดใหม่เพิ่มเข้ามาคือข้อ 12.8.5 ในเรื่องการรักษาข้อมูลเกี่ยวกับผู้ให้บริการแต่ละรายว่ามีจัดการตามข้อกำหนด PCI DSS ข้อใด และข้อใดที่มีการจัดการโดยองค์กร

ส่วนอีกข้อคือข้อ 12.9 ที่เพิ่มขึ้นมาคือข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ โดยระบุว่าผู้ให้บริการรับทราบเป็นลายลักษณ์อักษรให้กับลูกค้าว่าพวกเขามีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลผู้ถือบัตรที่ผู้ให้บริการครอบครอง จัดเก็บ ดำเนินการ หรือส่งในนามของลูกค้า หรือกรณีใดก็ตามส่งผลกระทบต่อการรักษาความปลอดภัยของภาวะแวดล้อมข้อมูลผู้ถือบัตรของลูกค้า ข้อกำหนด 12.9 นี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

บทส่งท้าย

PCI-DSS 3.0 ได่มีการปรับปรุงแก้ไขเพิ่มเติมจาก PCI-DSS 2.0 โดยมุ่งเน้นไปที่การให้ความรู้และความตระหนักในมาตรฐาน ความยืดหยุ่นที่เพิ่มขึ้น และความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกันทั้งองค์กรและผู้ให้บริการที่เกี่ยวข้อง โดยจะเริ่มต้นใช้งานตั้งแต่วันที่ 1 มกราคม 2557 เป็นต้นไป และจะใช้งานอย่างสมบูรณ์ตั้งแต่วันที่ 1 กรกฎาคม 2558 ดังนั้นผู้ที่จะเริ่มปฏิบัติตามมาตรฐาน PCI-DSS รวมทั้งผู้ที่เคยผ่านการประเมินมาแล้ว จึงควรที่จะศึกษาข้อแตกต่างเพื่อที่จะรับการประเมินตามมาตรฐานใหม่ได้อย่างถูกต้อง

เอกสารอ้างอิง

  • Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures Version 3.0, PCI Security Standards Council, LLC., November 2013
  • Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security Standard Version 3.0 Change Highlights, PCI Security Standards Council, LLC., August 2013
  • PCI DSS 3.0 – What’s New? An Infographic, Anthony M Freed, Tripwire Inc., December 5, 2013

บทความที่เกี่ยวข้อง

เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

05 สิงหาคม 2556

บัตรเครดิตกับ PCI-DSS

ในการทำธุรกรรมอิเล็กทรอนิกส์ การปฎิบัติตามระเบียบข้อบังคับ กฏหมาย ตลอดจนการปฎิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้องได้ตามมาตรฐาน (Compliance) มีความสำคัญและจำเป็นอย่างยิ่ง ไม่ว่าจะเป็นมาตรฐานระดับประเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หรือ พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 และรวมไปถึงมาตรฐานระดับนานาชาติเช่น SOX (Sarbanes-Oxley Compliance) หรือ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry - Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการที่เกี่ยวข้องกับธุรกิจบัตรเครดิตเป็นต้น

มาตรฐาน PCI DSS อาจเป็นเรื่องใหม่สำหรับวงการธุรกรรมอิเล็กทรอนิกส์ในเมืองไทย แม้ว่าเราจะมีการใช้บัตรเครดิตอย่างแพร่หลายเป็นระยะเวลานานแล้ว โดยมาตรฐานนี้เริ่มจากผู้ให้บริการบัตรเครดิตชั้นนำ 5 รายคือ American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. ใด้ร่วมกันกำหนดมาตรฐานนี้ในปีพศ. 2547และในเวลาต่อมาก็ร่วมกันก่อตั้ง The Payment Card Industry Security Standard Council (PCI SCC)

PCI DSS คืออะไร

PCI DSS เป็นมาตรฐานที่ถูกกำหนดขึ้นเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตร ได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตรมาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์ ปัจจุบันมาตรฐาน PCI DSS เป็นรุ่น 2.0 ออกในเดือนตุลาคม พศ. 2553
วัตถุประสงค์ข้อกำหนด
สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย1. ติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร
2. ห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด
ปกป้องข้อมูลผู้ถือบัตร3. ปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
4. เข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
ดูแลรักษาโปรแกรมจัดการช่องโหว่5. ใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย
จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
8. กำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์
9. จํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร
ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ10. ติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร
11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ
คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ12. คงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน

PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้

อะไรคือข้อมูลที่ PCI DSS ให้ความสำคัญ

PCI DSS ให้ความสำคัญกับข้อมูลสองส่วนได้แก่ข้อมูลผู้ถือบัตร (Cardholder Data) กับข้อมูลสำคัญในการยืนยันตัวตน (Sensitive Authentication Data) โดยข้อมูลผู้ถือบัตรจะประกอบด้วย

  • Primary Account Number (PAN) หมายเลขบัตรซึ่งเป็นเลข 15/16 หลักที่ปรากฏอยู่บนหน้าบัตรเครดิตและแถบแม่เหล็กหลังบัตร
  • ชื่อผู้ถือบัตร (Cardholder Name)
  • วันหมดอายุบัตร (Expiration Date)
  • รหัสบริการ (Service Code)  ตัวเลข 3 หรือ 4 หลักในแถบแม่เหล็กที่ระบุเงื่อนไขหรือการจำกัดการทำรายการเมื่อทำรายการด้วยแถบแม่เหล็ก

ส่วนข้อมูลสำคัญในการยืนยันตัวตนจะประกอบด้วย

  • ข้อมูลทั้งหมดในแถบแม่เหล็ก หรือข้อมูลเดียวกันนี้ที่อยู่บนชิปสมาร์ทการ์ด
  • เลข CAV2/CVC2/CVV2/CID ซึ่งจะเป็นตัวเลข 3-4 หลัก พิมพ์อยู่ด้านหลังหรือด้านหน้าแล้วแต่ชนิดของบัตร (ไม่ใช่ตัวนูน)
  • Personal Identification Number (PIN) รหัสลับ 4-6 หลักที่ผู้ออกบัตรให้ไว้เพื่อทำรายการ เช่นจากตู้ ATM

หมายเลขบัตร (PAN) เป็นปัจจัยที่กำหนดว่าต้องทำตาม PCI DSS หรือไม่ ถ้ามีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ต้องดำเนินการตาม PCI DSS ถ้าไม่มีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ไม่ต้องดำเนินการ

ถ้าข้อมูลชื่อผู้ถือบัตร รหัสบริการ และ/หรือ วันหมดอายุบัตรถูกจัดเก็บ ประมวลผล หรือส่งข้อมูล ร่วมกับ หมายเลขบัตร ข้อมูลเหล่านั้นต้องถูกปกป้องตามความต้องการของ PCI DSS กล่าวคือหมายเลขบัตรจะต้องถูกเก็บในรูปแบบที่ไม่สามารถอ่านได้โดยวิธีต่อไปนี้

  • ใช้ Hash ทางเดียวเช่น SHA-1
  • เก็บเฉพาะบางส่วนไม่เก็บทุกหลัก หรือแทนที่บางส่วนด้วยเครื่องหมายอื่น (Masking) เช่นแสดงเฉพาะ 6 หลักแรก หรือ 4 หลักท้าย
  • เข้ารหัสลับที่มีความปลอดภัยสูงเช่น Tripple DES 128-bit หรือ AES 256-bit ร่วมกับการบริหารจัดการ Key

ส่วนข้อมูลสำคัญในการยืนยันตัวตนไม่ว่าจะเป็นข้อมูลทั้งหมดในแถบแม่เหล็ก เลข CAV2/CVC2/CVV2/CID หรือ PIN ไม่อนุญาตให้จัดเก็บไว้ได้

ขอบเขตการประเมินการปฏิบัติตาม PCI DSS

ความมั่นคงปลอดภัยตามข้อกำหนดของ PCI DSS ครอบคลุมองค์ประกอบของระบบทุกอย่างไม่ว่าจะเป็น ระบบเครือข่าย เครื่องแม่ข่ายที่ให้บริการ หรือโปรแกรมประยุกต์ ที่เกี่ยวข้องหรือเชื่อมต่อกับสภาพแวดล้อมของข้อมูลผู้ถือบัตร นั่นคือถ้ามีข้อมูลผู้ถือบัตรไปเกี่ยวข้องเมื่อใด องค์ประกอบนั้นๆ จะต้องปฏิบัติตามข้อกำหนด PCI DSS สภาพแวดล้อมของข้อมูลผู้ถือบัตรนั้นประกอบด้วยคน กระบวนการ และเทคโนโลยี (People, Processes, Technology) ที่ทำการเก็บข้อมูล ประมวลผล หรือส่งข้อมูล ไม่ว่าจะเป็นข้อมูลผู้ถือบัตรหรือข้อมูลสำคัญในการยืนยันตัวตนก็ตาม

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ ตัวอย่างเช่น VISA ได้กำหนดว่าผู้ให้บริการรับชำระด้วยบัตรเครดิต (Acquirer) มีหน้าที่ต้องรับรองว่าร้านค้าปฏิบัติตามมาตรฐาน PCI DSS แต่ได้กำหนดลำดับความสำคัญของร้านค้าที่ต้องทำการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS ไว้ 4 ระดับ  ตามตาราง

ระดับเงื่อนไขของร้านค้าความต้องการในการตรวจสอบ
1 ร้านค้าที่ทำรายการมากกว่า 6 ล้านครั้งต่อปีรวมทุกช่องทาง หรือเป็น Global Merchant ที่เข้าข่ายระดับ 1 ตามเงื่อนไขของ VISA ในแต่ละภูมิภาค
  • รายงานการปฎิบัติตามมาตรฐาน (Report on Compliance – ROC) โดยผู้ประเมินความมั่นคงปลอดภัยที่มีคุณสมบัติ (Qualified Security Assessor – QSA) หรือผู้ตรวจสอบภายในถ้าลงนามรับรองโดยบริษัท เป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดยผู้ให้บริการสแกนที่ได้รับการรับรอง (Approved Scan Vendor – ASV) เป็นประจำทุกไตรมาส
  • การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
2 ร้านค้าที่ทำรายการ1 ถึง 6 ล้านครั้งต่อปี รวมทุกช่องทาง
  • ตอบแบบประเมินตนเอง (Self-Assessment Questionnaire - SAQ) เป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาส
  •  การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
3 ร้านค้าที่ทำรายการ E-Commerce 20,000 ถึง 1 ล้านครั้งต่อปี
  • ตอบแบบประเมินตนเองเป็นประจำทุกปี
  •  การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาส
  • การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
4 ร้านค้าที่ทำรายการ E-Commerce น้อยกว่า 20,000 ครั้งต่อปี และร้านค้าอื่นๆ ที่ทำรายการน้อยกว่า1 ล้านครั้งต่อปี
  • แนะนำว่าควรตอบแบบประเมินตนเองเป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาสถ้าทำได้
  • เงื่อนไขการตรวจสอบตั้งโดยผู้ให้บริการรับชำระด้วยบัตรเครดิต

PCI DSS กับ E-Commerce

เพื่อที่จะรับบัตรเครดิตในการชำระเงินแบบออนไลน์ ร้านค้าจะต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วย สิ่งที่ต้องทำเพื่อเป็นไปตามมาตรฐานในทางภาคปฏิบัติ ร้านค้าออนไลน์จะต้องเข้ารหัสในการส่งข้อมูลด้วย Secure Socket Layer (SSL) หรือ Extended Validation SSL (EV SSL) ซึ่งจะดีกว่า รวมทั้งมีนโยบายที่จะไม่เก็บข้อมูลบัตรเครดิตซึ่งเป็นเด็นสำคัญ และสิ่งสำคัญที่ไม่ควรมองข้ามคือร้านค้าต้องรับผิดชอบต่อหมายเลขบัตรเครดิตทุกใบที่มีข้อมูลผ่าน Server ของร้าน

ร้านค้าหลายร้านไม่ผ่านการประเมินเพียงเพราะไม่ได้ตระหนักว่าข้อมูลบัตรเครดิตอาจอยู่ใน Log ในรูปแบบที่ไม่เป็นไปตามความต้องการของ PCI DSS เช่น บันทึกข้อมูลหมายเลขบัตรเครดิต ร่วมกับข้อมูลอื่นๆผู้ถือบัตรโดยสามารถอ่านได้ง่าย หรือบันทึกข้อมูลสำคัญในการยืนยันตัวตนไว้ โดยเฉพาะอย่างยิ่งร้านค้าที่ใช้บริการ Web Hosting  หรือบริการร้านค้าออนไลน์สำเร็จรูป

การประเมินเพื่อผ่านมาตรฐานนั้นยังรวมไปถึงผู้ให้บริการอื่นๆที่เกี่ยวข้องด้วย เช่นผู้ให้บริการประมวลผลบัตรเครดิต (Third-Party Processor) ผู้ให้บริการเครือข่ายในกรณีที่เป็นผู้ดูแลรักษา Firewall เป็นต้น
ดังนั้นเจ้าของร้านค้าที่ต้องการรับชำระเงินด้วยบัตรเครดิต จึงต้องทำการตรวจสอบผู้ให้บริการดังกล่าวปฏิบัติตามมาตรฐาน PCI DSS หรือเลือกใช้ผู้ให้บริการที่ผ่านการประเมินตามมาตรฐานแล้ว

สิ่งสำคัญคือขอบเขตและวิธีการประเมินของผู้ให้บริการบัตรเครดิตแต่ละรายนั้นจะไม่เหมือนกัน ดังนั้นจึงควรศึกษาจากผู้ให้บริการรับชำระด้วยบัตรเครดิต เช่นธนาคาร หรือผู้ให้บริการรับชำระที่แต่ละร้านค้าใช้บริการ

บทส่งท้าย

การทำธุรกรรมทางอิเลกทรอนิกส์ผ่านการรับชำระเงินด้วยบัตรเครดิต ไม่สามารถหลีกเลี่ยงความเกี่ยวข้องกับการปฏิบัติตามมาตรฐาน PCI DSS ได้ โดยต้องผ่านการประเมินการปฏิบัติตาม 6 วัตถุประสงค์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลหลักๆ คือข้อมูลผู้ถือบัตรกับข้อมูลสำคัญในการยืนยันตัวตน อย่างไรก็ตามก็ไม่ได้ยุ่งยากจนเกินไปที่จะปฏิบัติตาม อีกทั้งวิธีการประเมินก็ยังขึ้นอยู่กับปริมาณธุรกรรมบัตรเครดิตต่อปีของแต่ละร้านค้า

หวังเป็นอย่างยิ่งว่าเนื้อหาที่ได้นําเสนอในครั้งนี้จะช่วยให้ทราบถึงแนวทางการปฏิบัติตามมาตรฐาน PCI DSS โดยเฉพาะอย่างยิ่งกับการทำธุรกรรมทางอิเลกทรอนิกส์ได้มากขึ้น

บรรณานุกรม

Payment Card Industry (PCI) Data Security Standard , Requirements and Security Assessment Procedures , Version 2.0 , October 2010
Merchant levels and compliance validation requirements defined (http://usa.visa.com/merchants/risk_management/cisp_merchants.html)

เขียนโดย ที่ 1 ความคิดเห็น:
ป้ายกำกับ: , ,

19 สิงหาคม 2555

Bitcoin: Virtual Currency

เงินเป็นตัวแทนในการทำธุรกรรมซื้อขายแลกเปลี่ยนสินค้า และในปัจจุบันเงินมีอยู่หลายสกุล ไม่ว่าจะเป็น บาท ดอลล่าร์สหรัฐ ยูโร เป็นต้น ซึ่งส่วนใหญ่จะมีหน่วยงานของรัฐในแต่ละประเทศเป็นผู้รับรองควบคุมและจัดการ เช่นบาทไทยโดยธนาคารแห่งประเทศไทย ดอลล่าร์สหรัฐโดยธนาคารกลางสหรัฐ (Federal Reserve System) หรืออาจจะเป็นหน่วยงานอิสระเป็นผู้ควบคุมเช่น เงินสกุลยูโร โดยธนาคารกลางยุโรป (European Central Bank) เงินในสกุลต่างๆเหล่านี้สามารถแลกเปลี่ยนไปมาระหว่างสกุลได้
ในยุคไซเบอร์ได้เกิดสกุลเงินที่มีใช้งานเฉพาะบนอินเทอร์เน็ตเกิดขึ้นมากมาย ไม่ว่าจะเป็นเงินในเกมออนไลน์ ต่างๆ ซึ่งถือว่าเป็น Virtual Economy ที่ใหญ่ที่สุดซึ่งก็มีสกุลเงินของตัวเอง หรือจะเป็นในโลกเสมือนอย่าง Second Life ที่มีสกุลเงินตัวเองที่เรียกว่า Linden Dollars ซึ่งสามารถแลกเปลี่ยนกับเงินสกุลที่ใช้ในโลกจริงจากบางเว็บไซต์ เงินเหล่านี้ก็มีผู้ควบคุมในแต่ละแห่งกำหนดกฏเกณฑ์โดยผู้ให้บริการ
อย่างไรก็ตามยังมีเงินเสมือนสกุลหนึ่งที่แปลกไม่เหมือนใครซึ่งไม่มีหน่วยงานกลางในการควบคุม แม้ว่าจะมีผู้ที่ให้กำเนิดเงินสกุลนี้ก็ตาม แต่ก็ปล่อยการควบคุมมูลค่าและการใช้เงินโดยผู้ใช้ด้วยกันเอง (Peer-to-Peer) เงินสกุลนี้ก็คือ Bitcoin

Bitcoin คืออะไร

Bitcoin เป็นสกุลเงินดิจิทัลเกิดขึ้นในปี 2009 จากการเสนอบทความของ Satoshi Nakamoto (เพิ่มเติม 2 พฤษภาคม 2016: ต่อมา Craig Wright ออกมาอ้างผ่านทาง BBC, Economist และ GQ ว่าคือตน โดยมีหลักฐานคือ Private Key ของ Bitcoin Block ที่ใหญ่ที่สุดที่เคยมีการโอน โดยเชื่อกันว่าเป็นของ Satoshi Nakamoto อ่านได้ที่ http://www.bbc.com/news/technology-36168863) โดยมีหลักการว่าในการเปลี่ยนมือของเงินนั้นจะมีการทำ Digital Sign กำกับในทุกธุรกรรมที่เกิดขึ้นและมีการยืนยันโดยบุคคลอื่นที่อยู่ในเครือข่ายณ.ขณะนั้น (Peer) ซึ่งในความเป็นจริงก็คือคอมพิวเตอร์อื่นในเครือข่ายที่ใช้งานโปรแกรม Bitcoin อยู่ในขณะนั้น ซึ่งทำให้ Bitcoin แตกต่างจากเงินสกุลอื่นทุกสกุลเพราะตัดการควบคุมของหน่วยงานกลางออกไป อยู่ได้โดยอาศัยการเชื่อใจกันของชุมชนผู้ใช้งาน และในชุมชนนั้นก็ประกอบด้วยผู้ใช้ ร้านค้า ศูนย์รับแลกเปลี่ยนเงินตรากับเงินสกุลที่ใช้ในโลกจริง

Bitcoin ทำงานอย่างไร

การใช้งาน Bitcoin เริ่มต้นจากการสร้างกระเป๋าเงิน หรือ Wallet ซึ่งเก็บอยู่บนคอมพิวเตอร์โดย Bitcoin ซอฟต์แวร์ (ดาวน์โหลดได้ที่ http://www.weusecoins.com) หรือเก็บไว้ที่ผู้บริการฝากกระเป๋าเงินซึ่งอยู่บนอินเทอร์เน็ตเช่น MyBitcoin (https://www.myBitcoin.com) Wallet แต่ละใบจะมีที่อยู่ที่ไม่ซ้ำกัน ที่อยู่ได้มาจาก Public Key ของคู่กุญแจที่สร้างจากรหัสแบบกุญแจสาธารณะ (Public-Key Cryptography) โดย Private Key ของคู่กุญแจนั้นใช้เพื่อยืนยันการทำธุรกรรม
Wallet จะเก็บยอดเงินคงเหลือ ประวัติการทำธุรกรรม และที่อยู่ของผู้ที่ทำธุรกรรมด้วย แต่จะไม่มีข้อมูลของผู้ใช้เลยว่าเป็นใคร ซึ่งทำให้ไม่สามารถระบุตัวตนของผู้ทำธุรกรรมได้คล้ายกับการใช้ธนบัตรหรือเหรียญกษาปณ์ทำการซื้อขายสินค้าหรือเปลี่ยนมือผู้ถือเงิน
การทำธุรกรรมของ Bitcoin ไม่ว่าจะเป็นการซื้อขายหรือโอนเงินมีลักษณะเดียวกัน คือเมื่อผู้ส่งจะทำการส่งเงินของตน จะกำหนดมูลค่า Bitcoin ที่จะทำการส่งและต่อท้ายด้วยที่อยู่ของผู้รับ (ซึ่งก็คือ Public Key ของผู้รับ) หลังจากนั้นโปรแกรมทำการ Hash ข้อมูลเป็นการทำ Digital Signature จากนั้นข้อมูลการทำธุรกรรมนี้จะถูกกระจายไปบนเครือข่าย คอมพิวเตอร์ในเครือข่ายจะทำการตรวจสอบและยืนยันความถูกต้อง เมื่อผู้รับได้รับก็จะใช้ Private Key ของตนจับทำการ Sign เพื่อยืนยันการรับเข้า Wallet
ข้อมูลและวิธีการทำธุรกรรมของ Bitcoin
เครื่องคอมพิวเตอร์อื่นที่อยู่ในเครือข่ายนอกจากจะช่วยยืนยันการทำธุรกรรมแล้ว ยังช่วยป้องกันการจ่ายเงินของผู้ส่งก้อนเดียวกันไปยังผู้รับมากกว่าหนึ่งราย (Double-Spending) ซึ่งเป็นปัญหาของเงินดิจิทัลโดยส่วนใหญ่อีกด้วย ในระบบการตรวจสอบแบบนี้จะตรงกันข้ามกับการทำธุรกรรมผ่านระบบที่มีผู้ควบคุมเช่นธนาคาร ซึ่งเน้นการปกปิดรายการธุรกรรมแต่ไม่ได้ปกปิดตัวตนของผู้ทำธุรกรรม แต่ Bitcoin เปิดเผยการทำธุรกรรมแต่ปกปิดตัวตนของผู้ทำธุรกรรม
ความเป็นส่วนตัวของ Bitcoin เทียบกับการทำธุรกรรมทั่วไป

เงินใน Bitcoin มาจากไหน

เงินใน Bitcoin ถูกสร้างโดยการคำนวณทางคณิตศาสตร์เพื่อหา Block ของ Bitcoin ที่จะนำไปใช้ได้ คอมพิวเตอร์แต่ละเครื่องที่ลงโปรแกรมเพื่อค้นหา Bitcoin Block ซึ่งเรียกว่า Miner จะต้องทำการแก้ปัญหาเพื่อหา Bitcoin Block ที่สามารถใช้ได้ด้วยวิธี Trial and Error (ลองผิดลองถูก) ซึ่งเรียกกันว่าการ Mining (เลียนแบบการขุดหาทอง) ในเครือข่ายที่ทำการค้นหาจะถูกกำหนดว่าทุกๆ 2 สัปดาห์จะมี Bitcoin Block ใหม่ได้เพียง 2,016 Block และเมื่อหมด2 สัปดาห์โปรโตคอลในเครือข่ายจะเปลี่ยน Parameter เพื่อทำให้การคำนวณยากยิ่งขึ้น ซึ่งใช้เทคนิคที่เรียกว่า Poisson Process ทำให้ความยากในการคำนวณเพิ่มขึ้นเรื่อยๆ ในแบบ Exponential
ในแต่ละ Block ที่ได้มานั้นจะมีมูลค่าไม่เท่ากัน โดย 210,000 Block แรกจะมีมูลค่ามากที่สุดคือ 50 Bitcoin อีก 210,000 Block ถัดไปจะมีมูลค่า 25 Bitcoin และทุกๆ 210,000 Block จะมีมูลค่าลดลงครึ่งหนึ่ง นั่นหมายความว่ามูลค่ารวมทั้งหมดของ Bitcoin จะไม่เกิน 21 ล้าน
การที่มูลค่ารวมของ Bitcoin มีจำกัด ในเชิงเศรษฐศาสตร์แล้วจึงสามารถใช้เป็นตัวแทนในการซื้อขายได้เหมือนกับเงินจริงสกุลต่างๆ ที่ต้องอิงกับทองคำสำรองของแต่ละประเทศหรือกลุ่มประเทศ
แม้ว่าเราสามารถหา Bitcoin Blockได้ด้วยตัวเองก็จริง แต่การหา Bitcoin Block เป็นการลงทุนทรัพยากรคอมพิวเตอร์ที่สูงและผู้ที่ขุดหาโดยมากทำเป็นธุรกิจ ผู้ใช้ Bitcoin โดยทั่วไปจึงไม่ได้ขุดหา Bitcoin Block เองแต่จะแลกเปลี่ยนจากผู้ค้า Bitcoin

การแลกเปลี่ยน Bitcoin กับสกุลเงินจริง

การแลกเปลี่ยนเงิน Bitcoin กับสกุลเงินจริงสามารถทำได้ที่ผู้ให้บริการแลกเปลี่ยนเงินในแต่ละท้องถิ่น ในประเทศไทยมีอยู่ในแถบกรุงเทพและปริมณฑล 3 ราย และที่เชียงใหม่ 1 ราย รายชื่อผู้ให้บริการสามารถตรวจสอบได้จาก http://www.tradeBitcoin.com
แม้ว่าจะมีผู้ให้บริการแต่ละท้องที่ก็ตาม ส่วนใหญ่ผู้ที่ต้องการแลกเปลี่ยน Bitcoin กับเงินจริงเป็นปริมาณมากจะไปที่ผู้ให้บริการอย่างเช่น Mt. Gox (https://www.mtgox.com) Bitcoin Market (https://www.Bitcoinmarket.com) หรือ TradeHill (https://www.tradehill.com) ราคาซื้อขายเฉลี่ย ณ.วันที่ 1 กรกฎาคม 2011 อยู่ที่ 16 $US ต่อ 1 Bitcoin ส่วนราคาซื้อขายประจำวันสามารถดูได้จาก http://Bitcoincharts.com/

Bitcoin ใช้ได้ที่ใดบ้าง

สินค้าและบริการที่สามารถใช้ Bitcoin ซื้อได้ในปัจจุบันมีหลายหมวดหมู่ แม้ว่าส่วนใหญ่จะยังเป็นสินค้าและบริการบนอินเทอร์เน็ตก็ตาม ตัวอย่างเช่น

  • บริการเกี่ยวกับอินเทอร์เน็ตได้แก่ Web Hosting, VoIP, Web Design, Security Tesing และอีกหลายบริการ
  • บริการออนไลน์เช่น เกม บริการบน Cloud บริการแชร์ไฟล์ ซื้อเพลง หรือภาพยนตร์
  • สินค้าทั่วไปเช่น สินค้าเกี่ยวกับบ้าน สินค้าอิเลคทรอนิคส์ ขนม หนังสือ เป็นต้น
สำหรับรายชื่อผู้ให้บริการสินค้าและบริการสามารถดูได้จาก https://en.Bitcoin.it/wiki/Trade

จะเปิดร้านค้าที่รับ Bitcoin ทำได้อย่างไร

ในกรณีที่เราอยากขายสินค้าหรือบริการที่รับ Bitcoin เพียงแค่สร้าง Wallet เพื่อมารับชำระเงิน ก็สามารถทำได้ เพียงแต่เมื่อลูกค้าต้องการชำระเงิน เราต้องคอยส่ง Address ของ Wallet ของเราให้ลูกค้าแต่ละรายจากโปรแกรม Bitcoin ซึ่งไม่สะดวกนักในการทำ Online Shopping
อย่างไรก็ตามเราสามารถจะเชื่อมต่อระบบ Online Shopping ของเราเข้ากับ Bitcoin ได้ซึ่งมีการให้บริการ Shopping Cart Interface กับ Wallet จากผู้ให้บริการหลายรายเพื่ออำนวยความสะดวกในการทำธุรกรรม บริการและ Interface เหล่านี้สามารถ ดูและเลือกบริการได้จาก https://en.Bitcoin.it/wiki/Category:Shopping_Cart_Interfaces
นอกจากนี้เรายังสามารถเขียนโปรแกรมเพื่อติดต่อกับโปรแกรม Bitcoin เพื่อทำการทำธุรกรรมอัตโนมัติ โดยผ่าน JSON-RPC API ตามความต้องการเองด้วยก็ได้ซึ่งสามารถศึกษาได้จาก API Reference ที่ https://en.Bitcoin.it/wiki/API_tutorial_(JSON-RPC)

ความเสถียรของค่าเงิน

อัตราแลกเปลี่ยนของ Bitcoin เทียบกับ US Dollar ที่ Mt.Gox ในช่วงที่ Mt. Gox โดนแฮกในเดือนมิถุนายน 2011, ที่มา http://bitcoincharts.com
จุดเด่นของการที่เป็นสกุลเงินที่ไม่มีการควบคุมโดยองค์กรใด แต่ควบคุมโดยชุมชนนั้น กลับทำให้ค่าเงินของ Bitcoin เทียบกับสกุลเงินอื่นแกว่งตัวค่อนข้างสูงมาก โดยจากเดือนเมษายน 2011 มีการซื้อขายอยู่ที่ 1-2 US$ พุ่งสูงไปถึง 31 US$ ช่วงวันที่ 10-11 มิถุนายน 2011 หลังจากนั้นหล่นลงมาอยู่ที่ประมาณ 13-14 US$ ณ วันที่ 18 กรกฎาคม 2011 ซึ่งลักษณะการแกว่งตัวเช่นนี้พบมากกับการซื้อขายหลักทรัพย์ในตลาดหลักทรัพย์มากกว่าที่จะพบในการแลกเปลี่ยนเงินตราสกุลต่างๆโดยทั่วไปซึ่งมีหน่วยงานของรัฐหรือกลุ่มประเทศเป็นผู้จัดการควบคุมและบริหารค่าเงิน
ดังนั้นการเข้ามาใช้ Bitcoin เพื่อทำธุรกรรมจึงต้องระมัดระวังในเรื่องการแกว่งตัวของมูลค่า Bitcoin ในตลาดให้มาก
อัตราแลกเปลี่ยนของ Bitcoin เทียบกับ US Dollar ที่ Mt.Gox ในช่วงเดือนมิถุนายน ถึงสิงหาคม 2012

ความปลอดภัยในการใช้ Bitcoin

ถ้าศึกษาดูจากการทำงานของการใช้งาน Bitcoin แล้ว จะพบว่าอัลกอริทึ่มในการทำธุรกรรมนั้นอยู่ในระดับปลอดภัยมากทีเดียว แต่ว่าจุดอ่อนของ Bitcoin กลับอยู่ที่การเก็บข้อมูลของ Wallet ซึ่งอยู่บนหลากหลายระบบปฏิบัติการ ตั้งแต่ Windows, Mac OS, Linux รวมไปถึงบน Mobile Platform ซึ่งจะมีในอนาคต เพราะว่าเป็น Open Source
เช่นเดียวกับการใช้งาน Application อื่น มิจฉาชีพสามารถฉวยโอกาสใช้การส่ง Malware เพื่อคุกคาม ขโมย Wallet เช่นเดียวกันกับการส่ง Trojan เพื่อขโมยข้อมูลอื่น และเนื่องจาก Wallet เป็น Anonymous ไม่สามารถระบุเจ้าของได้ การโดนขโมย Wallet ก็เช่นเดียวกับการโดนขโมยกระเป๋าเงินที่มีเงินสดอยู่ในนั้น
อย่างไรก็ตามเราสามารถทำให้ Wallet ปลอดภัยได้โดยการทำการเข้ารหัสลับกับแฟ้มข้อมูล Wallet ของ Bitcoin โดยใช้ซอฟต์แวร์จาก Third Party เพื่อใช้เข้ารหัสลับบน Windows ส่วนบน Mac OS และ Linux สามารถทำได้เลยจากตัวระบบปฏิบัติการ รายละเอียดสามารถดูได้จาก https://en.bitcoin.it/wiki/Securing_your_wallet

ปัญหาเรื่องการใช้ Bitcoin ฟอกเงิน

Bitcoin ถูกตั้งข้อสงสัยว่าจะถูกใช้ทำการฟอกเงินโดยนักค้ายาเสพติด โดยวุฒิสมาชิก Charles Schumer จากรัฐนิวยอร์คและ Joe Manchin จากรัฐเวสต์เวอร์จิเนียเขียนจดหมายถึงสำนักงานปราบปรามยาเสพติดสหรัฐ (DEA: Drug Enforcement Administration) เกี่ยวกับความกังวลเรื่องเวบไซต์ใต้ดินชื่อ Silk Road ที่ใช้ขายยาเสพติดโดยใช้ Bitcoin เป็นเงินในการซื้อขาย
การที่ Wallet ทุกใบไม่สามารถระบุตัวตนของผู้ถือได้ ทำให้การทำการฟอกเงินเป็นไปได้ง่าย โดยเงินใน Bitcoin แม้ว่าสามารถติดตามที่มาของเงินจากข้อมูลธุรกรรมที่อยู่ใน Bitcoin แต่ก็ไม่รู้อยู่ดีว่าใครเป็นผู้ทำธุรกรรม จึงเป็นการง่ายที่ Bitcoin จะถูกใช้เพื่อทำการฟอกเงินดังเช่นกรณีข้างต้น

บทส่งท้าย

Bitcoin เป็น Virtual Currency ที่มีแนวคิดใหม่ในการทำธุรกรรมหลายอย่างได้แก่ การที่ให้ชุมชนเป็นผู้ควบคุมกันเอง (Peer-to-Peer) การเปิดเผยการทำธุรกรรมแต่ปกปิดผู้ทำธุรกรรม การกำหนดที่มาและจำนวนเงินในระบบโดยใช้หลักการทางคณิตศาสตร์และเครือข่าย เหล่านี้ทำให้ Bitcoinเป็นที่น่าจับตามองและศึกษาแนวการนำมาใช้  อย่างไรก็ตามปัญหาเรื่องเสถียรภาพของค่าเงิน ความปลอดภัยในการขโมย Wallet จาก Malware ก็เป็นสิ่งที่ต้องพึงระวังและรวมถึงการถูกนำไปใช้เพื่อการฟอกเงินด้วย

อ้างอิงจาก

  • บทความวิจัยของ Satoshi Nakamoto เรื่อง Bitcoin: A Peer-to-Peer Electronic Cash System https://bitcoin.org/bitcoin.pdf
  • Bitcoin Wiki https://en.bitcoin.it/wiki/Blocks 
  • Senators seek crackdown on "Bitcoin" currency, Reuter วันที่ 8 มิถุนายน 2011 http://www.reuters.com/article/2011/06/08/us-financial-bitcoins-idUSTRE7573T320110608
เขียนโดย ที่ 3 ความคิดเห็น:
ป้ายกำกับ: ,

03 สิงหาคม 2555

การแสดงตัวตนเพื่อทำธุรกรรมอิเล็กทรอนิกส์อย่างปลอดภัย (Identity & E-Commerce)

หลายท่านที่ใช้บริการ Internet Banking หรือ E-Commerce อื่นๆ เป็นประจำคงคุ้นเคยกับการป้อนชื่อบัญชีผู้ใช้งาน และรหัสผ่าน เพื่อแสดงตัวตนในการขอใช้บริการ คำถามที่ตามมาคือการระบุเพียงชื่อผู้ใช้งานและรหัสผ่านนั้น เพียงพอแล้วหรือที่จะทำธุรกรรมอิเล็กทรอนิกส์ได้อย่างปลอดภัย หรือแม้แต่การซื้อของทาง Internet โดยใช้เพียงแค่หมายเลขบัตรเครดิตและข้อมูลบางอย่างบนบัตร จะทำให้การซื้อขายเป็นไปได้อย่างปลอดภัย

หลายท่านอาจเคยชินจนคิดว่าระบบรักษาความปลอดภัยข้างต้นน่าจะป้องกันผู้อื่นเข้ามาใช้บัญชีของเราได้ แต่ความเป็นจริงก็คือถึงแม้ระมัดระวังอย่างเต็มที่แล้วก็ตาม เราก็อาจถูกขโมยชื่อบัญชีผู้ใช้งานและรหัสผ่านไปได้ โดยไม่รู้ตัว หลายท่านอาจบอกว่า “ไม่มีทาง ฉันรักษารหัสผ่านเป็นความลับอย่างดี” แต่ลืมฉุกคิดไปว่าในบางกรณีผู้ไม่ประสงค์ดีเพียงแค่รู้ชื่อบัญชีผู้ใช้โดยไม่ต้องรู้รหัสผ่านก็สามารถทำธุรกรรมอิเล็กทรอนิกส์แทนเราได้ มากไปกว่านั้นธุรกรรมอิเล็กทรอนิกส์ที่ทำกับสถาบันการเงินบางแห่ง เพียงแค่รู้เลขที่บัญชีและข้อมูลส่วนตัวบางอย่าง ก็สามารถทำธุรกรรมได้ โดยไม่จำเป็นต้องรู้ชื่อบัญชีผู้ใช้งานเลย

บางท่านอาจบอกว่า “ถ้าอย่างนั้นขอไม่ใช้งาน E-Commerce ก็แล้วกัน ดูท่าจะปลอดภัยกว่า” คำถามที่ตามมาคือ แน่ใจหรือว่าแม้ไม่ใช้ E-Commerce จะทำให้บัญชีของท่านปลอดภัย
ธุรกรรมของเรามีโอกาสเสี่ยงขนาดนั้นเชียวหรือ
เรามีสิทธิ์เลือกที่จะใช้หรือไม่ใช้ อย่างไรได้บ้าง
และเราจะป้องกันให้เราปลอดภัยจากการทำธุรกรรมเองหรือถูกสวมรอยได้อย่างไร

Identification

identity (1) - N – ความเหมือนกัน (2) - N – บุคลิกลักษณะ
identification - N – การแสดงตัว (NECTEC's Lexitron Dictionary)
ก่อนที่จะดูว่าเราจะป้องกันตัวเราได้อย่างไร ลองมาดูเรื่องพื้นฐานสักนิดเกี่ยวกับการทำธุรกรรมทางการเงิน ในการทำธุรกรรมกับสถาบันการเงินหรือผู้ให้บริการใดๆ ก็แล้วแต่ สิ่งที่ทางสถาบันนั้นๆ สนใจก็คือ ท่านเป็นผู้มีสิทธิ์ในการทำธุรกรรมหรือไม่

โดยทั่วไปเมื่อท่านไปสถาบันการเงินเพื่อเปิดบัญชีทำธุรกรรม สิ่งที่สถาบันนั้นๆ ต้องการจากท่านก็คือ สำเนาบัตรประชาชน (ซึ่งจะได้ชื่อ เลขประจำตัวประชาชน นามสกุล ที่อยู่บนบัตร และ วันเดือนปีเกิด ไปโดยปริยาย) ที่อยู่ปัจจุบัน ที่อยู่ในการส่งเอกสาร เช่น ใบแจ้งยอดบัญชีบัตรเครดิต หรือข้อมูลอื่นๆที่เป็นข้อมูลเฉพาะสำหรับธุรกรรมนั้นๆ และที่สำคัญก็คือลายมือชื่อที่ใช้ติดต่อกับสถาบันการเงิน หลังจากนั้นทางสถาบันการเงินจะออกหลักฐานเพื่อใช้ในการทำธุรกรรม เช่น เลขที่บัญชี สมุดคู่ฝากหรือเอกสารอื่น และทุกครั้งที่ท่านต้องการทำธุรกรรมในการเอาเงินออกจากบัญชี ไม่ว่าด้วยเหตุใดก็ตาม จะเป็นถอนหรือโอน สถาบันจะให้ท่านระบุตัวตนด้วยการใช้ เลขที่บัญชี สมุดคู่ฝากหรือบัตรแสดงสิทธิ์ (เช่นบัตรเครดิต) หรือเอกสารอื่นเช่นเช็ค และลายมือชื่อของท่านเพื่อดำเนินธุรกรรม

เอกสารที่ออกให้โดยสถาบันการเงินนี้เราก็ถือว่าเป็นตัวตนของเราเพื่อทำธุรกรรม หรือเรียกได้อีกนัยหนึ่งก็คือ Derived Identification เมื่อใช้ประกอบกับลายมือชื่อ ก็จะทำธุรกรรมการเอาเงินออกจากบัญชีได
Derived Identification
อย่างไรก็ตามไม่ว่าจะเป็นสมุดคู่ฝาก บัตรเครดิต และลายมือชื่อ อาจมีปัญหาในการทำธุรกรรมอิเล็กทรอนิกส์ทั้งสิ้น สมุดคู่ฝากหรือบัตรเครดิต เป็นสิ่งพิมพ์ที่ป้องกันการปลอมแปลง (Security Printing) ซึ่งใช้ยืนยันว่าออกโดยธนาคาร ไม่สามารถตรวจสอบในรูปแบบอิเล็กทรอนิกส์ได้โดยง่าย ผู้ขายไม่สามารถตรวจสอบ Hologram รูปนกบนบัตรเครดิต VISA ว่าเป็นของจริงหรือไม่ตอนจ่ายค่าสินค้าบน Internet แล้วทางออกของการทำธุรกรรมมีอย่างไร

Authentication กับ Identification

เมื่ออยู่บนอินเตอร์เน็ต Identification ก็ต้องเป็นแบบอิเล็กทรอนิกส์ สิ่งที่ใกล้เคียงกับ Identification ที่ใช้ในวิถีคอมพิวเตอร์มากที่สุดก็คือการทำ Authentication
authentication n. รับรอง (พจนานุกรมแปล อังกฤษ-ไทย อ.สอ เสถบุตร)
Authentication มีความหมายถึงระบบการรับรองการใช้สิทธิ์ ซึ่งในทางคอมพิวเตอร์ทำโดยการสร้างบัญชีผู้ใช้งาน และรหัสผ่านในการรับรองการใช้สิทธิ์มีมานานมาก โดยทั่วไปบัญชีผู้ใช้งานมักจะมาจากการขอใช้โดยบุคคลที่ระบุตัวตนได้ แต่ก็มีบางระบบเหมือนกันที่บัญชีผู้ใช้งานสามารถหามาใช้ได้โดยไม่ต้องระบุตัวตนที่แท้จริง เช่น Emailที่ให้บริการฟรีหลายแห่งในปัจจุบัน ถ้าเปรียบเทียบแล้วบัญชีผู้ใช้งานก็คือเอกสารหลักฐานในการทำธุรกรรม ส่วนรหัสผ่านก็เทียบได้กับการลงลายมือชื่อ ความเป็นจริงแล้วแค่นี้เพียงพอหรือ

สถาบันการเงินหลายแห่งต้องทำการขอใช้บัญชีผู้ใช้งานผ่านอินเตอร์เน็ตโดยยื่นคำร้องผ่านทางสาขาของสถาบันการเงินซึ่งค่อนข้างจะปลอดภัยแต่ขาดความสะดวก แต่ก็มีอีกหลายแห่งที่สามารถเปิดขอใช้ผ่านอินเตอร์เน็ตได้โดยสะดวก เช่นอาศัยเลขที่บัญชีกับเลขที่สมุดคู่ฝาก ซึ่งก็คือ Derived Identification ที่กล่าวไปข้างต้น ซึ่งในลักษณะนี้กลับกันคือสะดวกแต่ไม่ปลอดภัยนักเพราะถ้าสมุดคู่ฝากหายก่อนที่จะได้เปิดขอใช้การจัดการธุรกรรมทางอินเตอร์เน็ต บุคคลที่ได้สมุดคู่ฝากไปก็จะทำธุรกรรมได้โดยที่เราไม่รู้
ข้อควรระวัง: เปิดบัญชีทำธุรกรรมกับสถาบันการเงิน กรุณาตรวจสอบเสียก่อนว่าการใช้งานผ่านอินเตอร์เน็ตต้องยื่นคำร้อง หรือใช้เอกสารที่สถาบันการเงินออกให้เปิดใช้ได้โดยตรง ถ้าเป็นกรณีหลัง กรุณาใช้สิทธิ์ของท่านก่อนที่คนอื่นจะมาใช้สิทธิ์แทน
นอกจากสถาบันการเงินแล้ว ผู้ให้บริการอื่นๆ เช่น ร้านค้าบนอินเตอร์เน็ต หรือMarket Placeที่มีทั้งผู้ซื้อและผู้ขาย ก็ใช้วิธีการพิสูจน์ตัวตนด้วย Authentication เป็นมาตรฐานเช่นกัน
บัญชีผู้ใช้งานและรหัสผ่านจึงเป็นที่นิยมเพื่อใช้ในการรับรองการใช้สิทธิ์ทำธุรกรรมอิเล็กทรอนิกส์กับผู้ให้บริการ แต่วิธีการการนำมาใช้อาจมีข้อแตกต่างกันอยู่บ้าง

Authentication ความเหมือนที่แตกต่าง

แม้ว่าผู้ให้บริการจะใช้การ Authentication เพื่อระบุตัวตนของผู้ใช้เหมือนกัน แต่ก็มีความแตกต่างกันในการให้บริการ ความแตกต่างที่ว่าอยู่ที่วิธีกำหนดบัญชีผู้ใช้งานและความยากง่ายต่อการคาดเดาของรหัสผ่านของแต่ละการให้บริการก็มีข้อกำหนดที่ไม่เหมือนกัน เราลองมาดูตัวอย่างการให้บริการบัญชีผู้ใช้และรหัสผ่า

การตั้งบัญชีผู้ใช้งาน

วิธีการตั้งบัญชีผู้ใช้งานมีได้หลายแบบซึ่งขอยกตัวอย่างบางวิธีที่เคยพบและข้อดีข้อเสียของแต่ละแบบดังนี้

1 ใช้เลขที่บัญชีเป็นชื่อบัญชีผู้ใช้งาน

วิธีนี้ดูเหมือนว่าสะดวกต่อผู้ให้บริการ และสะดวกเหลือเกินสำหรับผู้ที่ต้องการเจาะบัญชีผู้ใช้งานของเรา เพราะเพียงแค่ได้เลขที่บัญชีมาก็ง่ายต่อการเจาะระบบ แต่เบาใจได้อย่างหนึ่งถ้าผู้ให้บริการเป็นธนาคาร มักจะไม่ใช้วิธีนี้เพราะส่วนใหญ่ใช้บัญชีผู้ใช้เดียวต่อหลายเลขที่บัญชีเพื่อความสะดวกในการโอนเงินระหว่างบัญชีของลูกค้า อย่างไรก็ตามถ้าเจอวิธีการตั้งบัญชีผู้ใช้แบบนี้จากสถาบันการเงินอื่นๆ โปรดจำไว้ว่า รักษาเลขที่บัญชีให้เป็นความลับมากที่สุด

2 ผู้ให้บริการกำหนดให้

ผู้ให้บริการบางแห่งอาจจะกำหนดบัญชีผู้ใช้งานให้เลยโดยวิธีกำหนดอาจจะมาจากชื่อและนามสกุลภาษาอังกฤษซึ่งมีวิธีการให้ชื่อบัญชีที่แน่นอน ซึ่งถ้าผู้ที่ต้องการลักลอบใช้สามารถคาดเดาได้ก็จะลักลอบใช้งานบัญชีนั้นๆ ง่ายขึ้น ผู้ให้บริการบางรายอาจจะกำหนดบัญชีโดยใช้ชื่อที่ไม่มีความหมายอะไรเลย ในลักษณะนี้การเดาชื่อบัญชีจะเป็นไปได้ยากกว่า การเก็บบัญชีผู้ใช้งานเป็นความลับก็จะทำให้การลักลอบใช้งานยากขึ้น

3 ใช้ Email เป็นชื่อบัญชีผู้ใช้งาน

การใช้ Email เป็นชื่อบัญชีไม่ค่อยพบในการทำธุรกรรมทางการเงินนัก แต่ว่าถ้ามีการนำมาใช้ การใช้ Email ปกติที่ใช้มักจะมีความเสี่ยงจากการลักลอบนำไปใช้สูง ถ้าจำเป็นต้องใช้ให้เลือก Email ที่ปกติไม่ได้ใช้ เพื่อนำมาใช้สำหรับทำธุรกรรมโดยเฉพาะ

4 ตั้งชื่อบัญชีตามใจชอบ

มักจะถูกนำมาใช้เป็นส่วนใหญ่ การตั้งชื่อจะมีการกำหนดความยาวของชื่อ และไม่มีการใช้งานโดยผู้ใช้รายอื่น ผู้ใช้ส่วนใหญ่มักจะตั้งจากชื่อและนามสกุลตัวเอง ซึ่งการตั้งชื่อแบบนี้ก็ง่ายต่อการคาดเดา และลักลอบนำไปใช้เช่นกัน ดังนั้นการตั้งชื่อที่ไม่ได้มาจากชื่อนามสกุลตัวเองดูจะปลอดภัยมากกว่า

นโยบายเกี่ยวกับรหัสผ่าน (Password Policies)

หลักการโดยทั่วไปของการตั้งรหัสผ่านก็คือง่ายต่อการจำและยากต่อการเดาโดยผู้ที่จะลักลอบนำไปใช้ อย่างไรก็ตามนโยบายเกี่ยวกับรหัสผ่านของผู้ให้บริการก็มีผลต่อความแข็งแรงของรหัสผ่านที่เราตั้งเช่นกัน โดยทั่วไปในการทำธุรกรรมมีนโยบายในการตั้งรหัสผ่านดังนี้

1 ความยาวของรหัสผ่าน

ผู้ให้บริการมักจะกำหนดความยาวขั้นต่ำในการตั้งรหัสผ่านและไม่เกินกี่ตัวอักษร ความยาวของรหัสผ่านมากทำให้ยากต่อการคาดเดา และแน่นอนยากต่อการจำและการพิมพ์ผิด ผู้ให้บริการบางรายที่ยอมให้ใช้รหัสผ่านได้ไม่เกิน 10 ตัวอักษรถือว่าเป็นความเสี่ยง เช่นการใช้ PIN ซึ่งอยู่ระหว่าง 4-6 ตัว

2 ชนิดอักขระที่ใช้เป็นรหัสผ่าน

การใช้อักขระพิเศษนอกเหนือจากตัวอักษรภาษาอังกฤษและตัวเลข จะเพิ่มความแข็งแรงของรหัสผ่านเพราะว่าทำให้การเดายากมากขึ้น ไม่ว่าจะเป็นอักขระพิเศษเพียงแค่บางตัวหรือทั้งหมด แต่ผู้ให้บริการไม่ได้ยอมให้ใส่อักขระพิเศษได้ทุกราย ผู้ใช้บริการควรคำนึงถึงประเด็นนี้ด้วย โดยเฉพาะอย่างยิ่งการใช้แค่ PIN ซึ่งเป็นเพียงแค่ตัวเลข

3 จำนวนครั้งที่อนุญาตให้พิมพ์รหัสผ่านผิด

เพื่อป้องกันการเจาะระบบโดยการเดารหัสผ่าน ผู้ให้บริการมักจะจำกัดจำนวนครั้งในการป้อนรหัสผ่านผิด (เช่น 3 ครั้ง) เมื่อครบจำนวนระบบก็จะทำการปิดการใช้งานสำหรับบัญชีผู้ใช้นั้น โดยการจะใช้งานได้ใหม่นั้น อาจจะใช้ได้เมื่อผ่านช่วงเวลาหนึ่ง แต่โดยทั่วไปการทำธุรกรรมกับสถาบันการเงินมักจะใช้วิธีให้ขอเปิดการใช้งานใหม่ผ่านทางสาขาหรือ Call Center

4 อายุรหัสผ่าน

เท่าที่เห็นในการทำธุรกรรมกับผู้ให้บริการ E-Commerce ในเมืองไทย ไม่ค่อยมีการจำกัดอายุรหัสผ่านเพื่อบังคับให้เปลี่ยนรหัส อาจเป็นเพราะการทำธุรกรรมมีไม่บ่อยเลยไม่จำกัดอายุการใช้งานรหัสผ่าน อย่างไรก็ตามเราก็ควรจะเปลี่ยนรหัสผ่านเองบ่อยๆ อาจเป็นทุก 3-6 เดือน

5 วิธีป้อนรหัสผ่าน

ผู้ให้บริการบางรายอาจเพิ่มวิธีการรักษาความปลอดภัยโดยการให้ป้อนรหัสผ่านด้วย On Screen Keyboard แทน Keyboard ปกติ ซึ่งการทำแบบนี้ก็จะใช้งานจากเครื่องสาธารณะหรือเครื่องที่อาจติด Malware ที่ดักจับรหัสผ่านได้อย่างปลอดภัยมากยิ่งขึ้น
ตัวอย่าง On-Screen Keyboard จาก CitiBank

การส่งชื่อบัญชีและรหัสผ่านผ่านเครือข่าย

การส่งชื่อบัญชีและรหัสผ่านผ่านเครือข่าย ต้องมั่นใจว่ามีการเข้ารหัสข้อมูล ซึ่งมาตรฐานการส่งข้อมูลผ่าน Web Browser คือ Transport Layer Securityi (TLS หรือเดิมเรียก SSL) ปัจจุบัน Web Browser ส่วนใหญ่ก็สนับสนุนการใช้ TLS/SSL อยู่แล้ว
จุดสังเกตว่า Internet Explorer 8 ใช้ TLS/SSL
จุดสังเกตว่า Firefox 3 ใช้ TLS/SSL
สิ่งสำคัญที่ต้องตรวจสอบก็คือ TLS/SSL ต้องมี Certificate จาก Certificate Authority เช่น VeriSign โดยจะต้องมีไอคอนที่จะตรวจสอบ Certificate นั้นได้ปรากฏอยู่ในหน้าใดหน้าหนึ่งของผู้ให้บริการ เพื่อให้มั่นใจว่าการเข้ารหัสข้อมูลปลอดภัยอย่างแท้จริง
5ตัวอย่างไอคอนที่ใช้ตรวจสอบ Certificate จากธนาคารกสิกรไทย

การยกเลิกและตั้งค่ารหัสผ่านใหม่ (Password Reset)

ปัญหาอย่างหนึ่งที่ทำให้การลักลอบใช้บัญชีผู้ใช้งานเป็นไปอย่างง่ายดายคือ การยกเลิกและตั้งค่ารหัสผ่านใหม่ในกรณีที่ลืมรหัสผ่าน ความซับช้อนและยุ่งยากในการยกเลิกและตั้งค่ารหัสผ่านใหม่จะช่วยให้การลักลอบใช้งานเป็นไปได้ยากขึ้น แต่ก็พบว่าผู้ใช้งานมักจะบ่นต่อนโยบายที่เคร่งครัดและเป็นตัวผลักดันให้ผู้ให้บริการเปลี่ยนวิธีให้ยุ่งยากน้อยลงเราลองมาดูว่าวิธีไหนที่ปลอดภัยต่อการลักลอบใช้งานมากน้อยกว่ากัน
  1. ยื่นคำร้องขอเปลี่ยนรหัสผ่าน วิธีนี้จะปลอดภัยที่สุดเพราะท่านต้องติดต่อกับผู้ให้บริการด้วยตัวเองโดยใช้การแสดงตัวของท่าน แต่แน่นอน ไม่สะดวกและเสียเวลา
  2. ขอเปลี่ยนรหัสผ่านทางอินเตอร์เน็ตแต่อนุมัติผ่าน Call Center วิธีนี้ปลอดภัยในระดับรองลงมา สะดวกเพราะไม่ต้องเดินทาง แต่ก็สามารถถูกลักลอบใช้บัญชีได้โดยการปลอมแปลงตัวตนจากการได้ข้อมูลส่วนบุคคล (Identity) ของเรา แล้วให้ข้อมูลที่ถูกต้องต่อ Call Center
  3. เปลี่ยนรหัสผ่านด้วยข้อมูลส่วนตัว วิธีนี้ปลอดภัยน้อยกว่าสองวิธีก่อนหน้า และเช่นเดียวกันกับการอนุมัติผ่าน Call Center ถ้ามีผู้ที่ทราบข้อมูลที่จำเป็นในการยกเลิกรหัสผ่าน ซึ่งมักจะเป็นคำถามพิเศษที่เราตั้ง เราก็โดนขโมยบัญชีไปใช้งานเช่นกัน
  4. ยืนยันการยกเลิกและเปลี่ยนรหัสผ่านทาง Email วิธีนี้ปลอดภัยน้อยที่สุด โดยเฉพาะอย่างยิ่งถ้า Mail Server ที่เราใช้ไม่ปลอดภัยเพียงพอ เมื่อเราโดนยึด Email Address ไป การยกเลิกรหัสผ่านก็ทำได้โดยง่าย

Two-Factor Authentication รหัสผ่านสองชั้น

An authentication factor is a piece of information and process used to authenticate or verify the identity of a person or other entity requesting access under security constraints. Two-factor authentication (T-FA) or (2FA) is a system wherein two different factors are used in conjunction to authenticate. Using two factors as opposed to one factor generally delivers a higher level of authentication assurance. Two-factor authentication typically is a signing-on process where a person proves his or her identity with two of the three methods: "something you know" (e.g., password or PIN), "something you have" (e.g.,smartcard or token), or "something you are" (e.g., fingerprint or iris scan). From Wikipedia, the free encyclopedia
เมื่อข้อมูลทางการเงินเป็นสิ่งสำคัญ การเพิ่มระดับของการรักษาความปลอดภัยในการใช้บริการ โดยการเพิ่มการเข้าใช้ระบบนอกเหนือจากสิ่งที่เราต้องจำ (ชื่อบัญชีและรหัสผ่าน) ด้วยสิ่งที่เรามี (เช่นโทรศัพท์มือถือ อีเมล หรือ Token) โดยการใช้รหัสผ่านแบบใช้ครั้งเดียว (Single-Use หรือ OTP: One-Time Password) รหัสผ่านประเภทนี้ จะเป็นรหัสผ่านที่เปลี่ยนแปลงไปทุกครั้งที่มีการใช้งาน โดยเมื่อรหัสผ่านใดๆก็ตามได้ถูกใช้งานไปแล้ว จะไม่สามารถนำมาใช้งานได้อีกต่อไป ซึ่งจะสามารถลดความเสี่ยงที่อาจเกิดขึ้นจากการถูกเจาะขโมยข้อมูลรหัสผ่านที่ อาจกระทำได้โดยง่ายหากใช้รหัสผ่านประจำตัวแบบปกติเพียงอย่างเดียว OTP ที่ผู้ให้บริการส่วนใหญ่จะใช้อยู่ด้วยกัน 3 ประเภทคือ

1 SMS OTP

เป็นการส่ง OTP ผ่านSMS ไปยังโทรศัพท์มือถือที่หมายเลขที่ให้ไว้กับทางผู้ให้บริการ ผู้ให้บริการมักจะส่ง OTP มาทาง SMS เมื่อมีการเข้าใช้งานระบบ ทำรายการทางการเงิน ทำการเปลี่ยนแปลงข้อมูลส่วนตัว เป็นต้น มักจะส่ง OTP เป็นตัวเลข 6 หลัก พร้อมกับรหัสอ้างอิงที่ตรงกับที่ปรากฏบนหน้าที่ต้องการให้ใส่ OTP ในการทำธุรกรรมนั้นๆ OTP มักจะถูกกำหนดเวลาในการใช้งานเป็นนาที เมื่อครบกำหนดเวลาก็จะถูกยกเลิกไป
ตัวอย่างหน้าใส่รหัสผ่าน OTP ของธนาคารกรุงศรีอยุธยา

2 Email OTP

หลักการก็จะเป็นเช่นเดียวกับ SMS OTP เพียงแต่เปลี่ยนช่องทางการส่งข้อมูลไปยังโทรศัพท์ เป็น Email Address ที่ให้ไว้กับผู้ให้บริการ

3 Token OTP

ตัวอย่าง Token แบบต่างๆ
ตัวอย่างหน้า Token OTP ของธนาคาร HSBC
Token เป็นอุปกรณ์อิเล็กทรอนิกส์ขนาดเล็กพกพาสะดวก มักอยู่ในรูปพวงกุญแจ บัตร หรือ USB Key ซึ่งจะมี OTP ที่เปลี่ยนไปตามเวลา ซึ่ง OTP ดังกล่าวจะมีอัลกอริทึมเดียวในการเปลี่ยนตรงกับเครื่องของทางผู้ให้บริการ ในการใช้งานก็จะมีปุ่มให้กดเพื่อแสดงตัวเลข หรือป้อนข้อมูลเข้าสู่ Web Browser โดยตรงในกรณีที่เป็นแบบ USB ผู้ให้บริการจะทำการจัดส่งอุปกรณ์ OTP แบบนี้ให้ผู้ใช้งานตามที่อยู่ที่ระบุไว้เมื่อมีการขอทำธุรกรรมผ่านอินเตอร์เน็ต และต้องทำการลงทะเบียนอุปกรณ์เพื่อเปิดใช้บริการ

บริการที่ไม่ใช้ Authentication

Authentication ไม่ได้เป็นวิธีการเดียวในการแสดงตัวตน ในการทำธุรกรรมบนอินเตอร์เน็ต การใช้ข้อมูลส่วนบุคคลร่วมกับข้อมูลจาก Derived Identification เช่นการใช้บัตรเครดิตซื้อสินค้าบนอินเตอร์เน็ต ก็เป็นอีกวิธีในการแสดงตัวตน
โดยทั่วไปการใช้บัตรเครดิตซื้อสินค้าบนอินเตอร์เน็ต ในการทำการอนุมัติการทำรายการนั้น ร้านค้าจะทำการ Redirect ไปยัง Third Party Processor ซึ่งมีหลายประเภทเช่น Secure Payment Gateway Providerเพื่อทำรายการซื้อขาย Third Party Processor จะมีสัญญากับ Credit Card Processor เช่น VISA/Mastercard/AMEXหรือกับธนาคาร โดยมักจะทำการพิสูจน์การถือครองบัตรด้วยข้อมูลคือ
  • หมายเลขบัตร
  • ชื่อผู้ถือบัตร
  • เดือนปีที่บัตรหมดอายุ
  • Card Security Code (CSC) หรือบางครั้งเรียกว่า Card Verification Value (CVV or CV2), Card Verification Value Code (CVVC), Card Verification Code (CVC), Verification Code (V-Code or V Code), หรือ Card Code Verification (CCV) ซึ่งจะเป็นตัวเลข 3-4 หลัก พิมพ์อยู่ด้านหลังหรือด้านหน้าแล้วแต่ชนิดของบัตร (ไม่ใช่ตัวนูน)
ข้อควรระวัง:
  • เพื่อให้มั่นใจว่าการดำเนินการชำระเงินผ่าน Third Party Processor ตรวจสอบดูว่า URL หน้านั้นเป็นของ Third Party Processor ไม่ใช่ของร้านค้า ใช้ HTTPS เสมอและมี Certificate จาก Certificate Authority
  • ในกรณีที่ร้านค้าบนเว็บมี Merchant Account ซึ่งทำการตัดบัตรเครดิตจากธนาคารโดยตรง ต้องมั่นใจว่าร้านค้านั้นน่าเชื่อถือเพียงพอ ใช้ HTTPS เสมอและมี Certificate จาก Certificate Authority
  • เนื่องจากข้อมูลที่ใช้ในการพิสูจน์การถือครองบัตรอยู่บนตัวบัตรทั้งหมด ดังนั้นไม่ควรให้ใครทำสำเนาบัตรเครดิตไป ไม่ว่าจะเป็นการถ่ายเอกสารหรือถ่ายภาพ

อย่างไรก็ตามธนาคารผู้ออกบัตรบางแห่งมีนโยบายที่จะต้องขอการอนุมัติมายังหน้าอนุมัติบัตรของธนาคารเอง ซึ่งธนาคารจะถามข้อมูลส่วนบุคคลที่ไม่ปรากฏบนบัตรเครดิต เช่น วันเกิด เลขที่บัตรประชาชน เป็นต้น เพื่อเพิ่มความปลอดภัยจากการถูกขโมยบัตรแล้วนำไปใช้ซื้อสินค้าบนอินเตอร์เน็ต บัตรเครดิตที่ออกโดยธนาคารที่มีนโยบายดังกล่าวจึงน่าใช้บริการมากกว่าบัตรที่ออกโดยผู้ออกบัตรรายอื่น แม้ว่าเราจะไม่ต้องการซื้อสินค้าทางอินเตอร์เน็ตก็ตาม

อุดช่องโหว่จากการลักลอบใช้บัญชีของเรา

จากข้อมูลที่กล่าวมาข้างต้นเราพบว่ามีช่องโหว่ที่เราต้องอุดอยู่หลายจุด ซึ่งช่องโหว่นั้นอาจเป็นช่องโหว่จากผู้ให้บริการเอง หรือจากเราซึ่งเป็นผู้ใช้ ข้อแนะนำในการป้องกันตัวเองจากภัยที่เกิดจากการใช้งาน E-Commerce มีดังนี้
  1. เปิดบัญชีทำธุรกรรมกับสถาบันการเงิน กรุณาตรวจสอบเสียก่อนว่าการใช้งานผ่านอินเตอร์เน็ตต้องยื่นคำร้อง หรือใช้เอกสารที่สถาบันการเงินออกให้เปิดใช้ได้โดยตรง ถ้าเป็นกรณีหลัง กรุณาใช้สิทธิ์ของท่านก่อนที่คนอื่นจะมาใช้สิทธิ์แทน
  2. ตั้งชื่อบัญชีใช้งานที่ไม่เกี่ยวกับชื่อและนามสกุลเรา หรือนามแฝง (Alias) อื่นๆที่เราใช้เพื่อป้องกันการรู้บัญชีผู้ใช้งาน
  3. ใช้รหัสผ่านที่มีอักขระพิเศษถ้าเป็นไปได้ และให้มีความยาวมากเพียงพอมากกว่า 8 ตัวอักษร เปลี่ยนรหัสผ่านบ่อยๆ และบัญชีผู้ใช้ของผู้ให้บริการต่างๆ ใช้รหัสผ่านไม่เหมือนกัน (แน่นอนว่าเพิ่มความยุ่งยาก)
  4. Email ที่ใช้ติดต่อทำธุรกรรมควรจะมีความปลอดภัยสูง เช่นใช้ POP3/IMAP/SMTP ที่เข้ารหัส TLS/SSL และ/หรือไม่ใช่พอร์ตมาตรฐาน ถ้าเป็น Web Mail ต้องเข้าด้วย HTTPS ถ้าไม่แน่ใจให้เปิด Email ไว้สำหรับทำธุรกรรมโดยเฉพาะ ควรใช้อีเมล์ขององค์กรและเลี่ยงพวกฟรีอีเมล์เพราะส่วนใหญ่แล้วจะเป็น Web Mail ที่ใช้ HTTPS เฉพาะหน้า login แต่หน้าอ่านเมล์ปกติไม่เข้ารหัส แต่หากไม่มีจริงๆ ให้ใช้ Gmail ผ่าน HTTPS หรือทาง POP3/IMAP/SMTP ซึ่ง Gmail รองรับการเข้ารหัสไว้
  5. รักษาข้อมูลส่วนบุคคลให้เป็นความลับมากที่สุด โดยเฉพาะอย่างยิ่งข้อมูลที่ Call Center มักจะถามเช่น หมายเลขบัตรประชาชน หมายเลขบัตรเครดิต วันเกิด เบอร์โทรศัพท์ที่ใช้ติดต่อธนาคาร วงเงินสินเชื่อ ที่อยู่ในการจัดส่งใบแจ้งยอดบัญชี จำนวนบัตรเสริม ข้อมูลส่วนใหญ่ที่ใช้ทำธุรกรรมจะอยู่บนบัตรประชาชน บัตรเครดิต และใบแจ้งยอดบัญชีบัตรเครดิต และอย่านำข้อมูลดังกล่าวไปไว้ในอินเตอร์เน็ตโดยไม่จำเป็น
  6. กรณีใช้บัตรเครดิต ข้อมูลสำคัญจะอยู่ที่ใบแจ้งยอดบัญชีบัตรเครดิต และจากใบแจ้งยอดบัญชีบัตรเครดิตจะทำให้หาข้อมูลอื่นๆ ได้ง่าย ถ้าผู้ไม่ประสงค์ดีได้ใบแจ้งยอดบัตรเครดิตไป สามารถแก้ไขข้อมูลเจ้าของบัตรได้โดยไม่รู้ตัว เช่น การยกเลิกรหัสผ่าน รวมไปถึงเปลี่ยนที่อยู่ในการจัดส่ง อายัดบัตร แล้วออกบัตรใหม่ ดังนั้นควรเก็บรักษาใบแจ้งยอดบัญชีบัตรเครดิตเป็นอย่างดี หรือทำลายให้เร็วที่สุด หรือเปลี่ยนไปใช้ Electronics Statement ในกรณีที่ผู้ออกบัตรเปิดให้บริการ จะปลอดภัยมากกว่า
  7. ยกเลิกการใช้บริการ ถ้าไม่มั่นใจว่าผู้ให้บริการมีความปลอดภัยเพียงพอ อย่าเสี่ยง

บทส่งท้าย

เราคงได้เห็นแล้วว่าข้อมูลส่วนบุคคลของเราสำคัญอย่างไรในการทำธุรกรรมอิเล็กทรอนิกส์ และมีความจำเป็นอย่างยิ่งที่จะต้องปกปิดข้อมูลส่วนบุคคลของเราให้มากที่สุด เพื่อป้องกันไม่ให้ถูกนำไปใช้ทำธุรกรรม แม้ว่าเราเองจะต้องการทำธุรกรรมอิเล็กทรอนิกส์หรือไม่ก็ตาม ที่สุดแล้วขอฝากข้อคิดสั้นๆทิ้งท้ายไว้เพื่อเตือนใจคือ “ปกปิด Identity แล้ว E-Commerce จะปลอดภัย”
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)