แสดงบทความที่มีป้ายกำกับ PCI-DSS แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ PCI-DSS แสดงบทความทั้งหมด

26 พฤษภาคม 2558

มีอะไรใหม่ใน PCI-DSS 3.0


บทความนี้ผมได้เขียนลงนิตยสาร E-WORLD ฉบับธันวาคม 2556 เห็นว่ามีการจัดสัมมนาเกี่ยวกับ PCI-DSS ในช่วงนี้มากพอสมควรจึงนำมาให้อ่านกัน แม้ว่า Version 3.1 จะออกมาแล้วก็ตาม

สำหรับผู้ที่ให้บริการรับชำระเงินในการทำธุรกรรมอิเล็กทรอนิกส์ด้วยบัตรเครดิตหรือบัตรเดบิต คงจะคุ้นเคยกับมาตรฐาน PCI-DSS (Payment Card Industry - Data Security Standard) มากพอสมควร โดยมาตรฐาน PCI DSS ถูกกำหนดเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตรอันได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตร

PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้ มาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์

มาตรฐาน PCI DSS ที่ใช้กันอยู่ในปัจจุบันเป็นรุ่น 2.0 ออกในเดือนตุลาคม 2553 และจะเริ่มถูกแทนที่โดย PCI-DSS 3.0 ตั้งแต่วันที่ 1 มกราคม 2557 เป็นต้นไป โดยที่ผู้ให้บริการที่จะรับการประเมินตามมาตรฐาน PCI-DSS ตั้งแต่ปี 2557 จะต้องถูกประเมินตามมาตรฐานใหม่ แต่ส่วนผู้ที่ได้รับการประเมินตามมาตรฐานนี้ก่อนสิ้นปี 2556 จะยังคงถูกการประเมินตามตาม PCI-DSS 2.0 ไปจนถึงสิ้นปี 2557 หลังจากนั้นจึงจะเริ่มถูกประเมินตามมาตรฐานใหม่เช่นกัน


อย่างไรก็ตามข้อกำหนดบางใหม่อย่างก็จะยังเป็นเพียงข้อแนะนำที่เป็น Best Practice และจะยังไม่ถูกบังคับใช้จนกว่าวันที่ 1 กรกฎาคม 2558 ทั้งนี้จะได้กล่าวถึงในส่วนถัดไป

สาเหตุของการเปลี่ยนแปลง

มาตรฐานต่างๆของ PCI ถูกปรับปรุงตามเสียงสะท้อนจากผู้ใช้งานในกลุ่มอุตสาหกรรมการใช้บัตรเพื่อชำระเงินตามวงจรการพัฒนามาตรฐานอุตสาหกรรมทั่วไปเพื่อตอบสนองความต้องการของตลาด ซึ่งความต้องการต่างๆเหล่านั้นเช่น การขาดความรู้และตระหนักถึงความสำคัญของมาตรฐาน การใช้งานรหัสผ่านและการพิสูจน์ตัวตนที่ง่ายเกินไป การกระตุ้นจากองค์กรมาตรฐานความมั่นคงปลอดภัยอื่นๆ การแพร่ระบาดของมัลแวร์ รวมถึงการประเมินที่ไม่เป็นไปในทิศทางเดียวกัน

ประเด็นหลักในการเปลี่ยนแปลง

การเปลี่ยนแปลงในรุ่น 3.0 เพื่อช่วยองค์กรต่างๆ เพื่อดำเนินการปกป้องข้อมูลผู้ถือบัตรซึ่งมุ่งความสนใจไปที่เรื่องความมั่นคงปลอดภัยมากกว่าการปฏิบัติตามข้อกำหนด และทำให้ PCI DSS ถูกใช้งานเป็นปกติวิสัย (Business-as-Usual) ประเด็นหลักในการเปลี่ยนแปลงที่ถูกเน้นในรุ่น 3.0 ประกอบด้วย

การให้ความรู้และความตระหนักในมาตรฐาน (Education and Awareness)

การขาดความรู้ความเข้าใจและความตระหนักถึงความปลอดภัยในการชำระเงินด้วยบัตร ประกอบกับการดำเนินการและการรักษามาตรฐาน PCI ต่างๆเป็นไปอย่างไม่ถูกต้อง ทำให้เกิดช่องโหว่ทางความมั่นคงปลอดภัยเพิ่มขึ้นในปัจจุบัน การปรับปรุงมาตรฐานนี้จะมุ่งช่วยเหลือองค์กรต่างๆ ให้เข้าใจความตั้งใจของข้อกำหนดได้ดีขึ้น รวมทั้งวิธีดำเนินการและรักษาตัวควบคุมต่างๆ ที่ใช้ในธุรกิจทั้งหมด

ความยืดหยุ่นที่เพิ่มขึ้น (Increased Flexibility)

การเปลี่ยนแปลงใน PCI DSS 3.0 มุ่งเน้นไปยังความเสี่ยงที่พบบ่อยในบางเรื่องซึ่งส่งผลให้สามารถเข้าถึงข้อมูลผู้ถือบัตรได้ เช่นรหัสผ่านหรือการพิสูจน์ตัวตนที่ไม่ดีพอ มัลแวร์ รวมถึงการตรวจสอบที่ไม่มีประสิทธิภาพเป็นต้น โดยเพิ่มทางเลือกที่มากขึ้นให้ยืดหยุ่นเพื่อที่จะสามารถทำตามข้อกำหนดได้ ซึ่งจะช่วยให้แต่ละองค์กรปรับใช้ตามแนวทางของตนเพื่อจะจัดการปัญหาและลดความเสี่ยงที่พบบ่อย ในขณะเดียวกันกระบวนการตรวจสอบที่เข้มงวดกับการดำเนินการตามข้อกำหนดก็จะช่วยองค์กรในการผลักดันและรักษาการควบคุมในทุกส่วนของธุรกิจได้

ความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกัน (Security as a Shared Responsibility)

การรักษาความมั่นคงปลอดภัยของผู้ใช้ข้อมูลเป็นความรับผิดชอบร่วมกัน หลายครั้งที่มีความสับสนระหว่างร้านค้ากับผู้ให้บริการว่าใครต้องรับผิดชอบอะไร ใน PCI-DSS 3.0 เพิ่มแนวทางแก่ผู้ให้บริการและร้านค้าเพื่อให้มีความรับผิดชอบร่วมกัน ร้านค้าจะไม่สามารถผลักภาระไปยังผู้ให้บริการแต่ต้องร่วมมือกับผู้ให้บริการเพื่อทำให้สอดคล้องกับมาตรฐาน

ข้อกำหนดที่มีการปรับปรุง

ในมาตรฐาน PCI-DSS 3.0 มีการปรับปรุงขึ้นมาแบ่งได้ 3 กลุ่มคือ
  • การเพิ่มความชัดเจนในการประเมินตามข้อกำหนด
  • การเพิ่มแนวทางในการดำเนินการตามข้อกำหนด
  • การเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบัน
ในบทความนี้จะกล่าวถึงเพียงการเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบันเท่านั้น ซึ่งถ้าแบ่งตามข้อกำหนดของ PCI-DSS จะพบว่าข้อกำหนดที่ไม่มีการเปลี่ยนแปลงประกอบด้วย
  • ข้อกำหนด 3 การปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
  • ข้อกำหนด 4 การเข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
  • ข้อกำหนด 7 การจำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
เราจะมาพิจารณาในข้อต่างๆที่มีการเปลี่ยนแปลงดังนี้

ข้อกำหนด 1: การติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร

ข้อกำหนดที่มีการเปลี่ยนแปลงในส่วนนี้คือการกำหนดให้ต้องมีแผนผังเพื่อแสดงการเคลื่อนที่ของข้อมูลผู้ถือบัตรไปยังส่วนต่างๆที่สำคัญในแผนผังเครือข่าย (Network Diagram) โดยในข้อ 1.1.2 กำหนดว่าต้องมีแผนผังเครือข่ายที่ระบุการเชื่อมต่อจากสภาพแวดล้อมของข้อมูลผู้ถือบัตร (Cardholder Data Environment) ไปยังเครือข่ายอื่นรวมทั้งเครือข่ายไร้สาย และในข้อ 1.1.3 กำหนดว่าต้องมีแผนผังการเคลื่อนที่ของข้อมูลผู้ถือบัตร (Cardholder Data Flows)ไปยังระบบและเครือข่ายต่างๆ ด้วย

ข้อกำหนด 2: การห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด

มีข้อกำหนดใหม่ที่เพิ่มขึ้นคือข้อ 2.4 ให้ปรับปรุงบัญชีองค์ประกอบต่างๆ ของระบบที่อยูในขอบเขตที่เกี่ยวข้องกับ PCI-DSS เหตุผลก็คือถ้าไม่มีบัญชีนี้ องค์ประกอบของระบบบางรายการอาจจะถูกลืม และอาจถูกยกเว้นไม่ได้ตั้งค่าให้ถูกต้องตามมาตรฐานขององค์กรโดยไม่ได้ตั้งใจ

ข้อกำหนด 5: การใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ

มีข้อกำหนดใหม่เพิ่มขึ้นมา 2 ข้อคือ ข้อ 5.1.2 สำหรับระบบที่ได้รับการพิจารณาแล้วว่าจะไม่ได้มีผลกระทบกับจากซอฟต์แวร์ที่เป็นอันตราย ให้ทำการประเมินเป็นระยะเพื่อระบุและประเมินภัยคุกคามจากมัลแวร์ที่เพิ่มขึ้นเพื่อที่จะยืนยันว่าระบบยังคงไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัส ตัวอย่างเช่นเครื่องเมนเฟรมหรือเครื่องที่เล็กลงมาอย่าง AS/400 ไม่ได้เป็นเป้าหมายในการโจมตีของมัลแวร์ แต่อย่างไรก็ตามแนวโน้มของมัลแวร์เปลี่ยนไปได้เสมอ และอาจจะมีมัลแวร์ใหม่ที่อาจคุกคามระบบเหล่านี้ได้

อีกข้อที่เพิ่มเติมขึ้นมาคือข้อ 5.3 ตรวจสอบให้แน่ใจว่ากลไกการป้องกันไวรัสการทำงานอยู่เสมอและไม่สามารถยกเลิกหรือเปลี่ยนแปลงได้โดยผู้ใช้เว้นแต่ได้รับอนุญาตโดยเฉพาะเป็นกรณีในช่วงเวลาที่ จำกัด โซลูชั่นป้องกันไวรัสอาจจะถูกปิดใช้งานชั่วคราวได้เฉพาะในกรณีที่มีความจำเป็นในทางเทคนิคโดยได้รับอนุญาตจากผู้บริหารเป็นแต่ละกรณีไป หากการป้องกันไวรัสจะต้องมีการปิดการใช้งานเพื่อวัตถุประสงค์เช่นนั้นจะต้องได้รับอนุญาตอย่างเป็นทางการ. นอกจากนี้ยังอาจจะต้องดำเนินมาตรการรักษาความปลอดภัยเพิ่มเติมในช่วงเวลาที่การป้องกันไวรัสไม่ได้ใช้งานด้วย

ข้อกำหนด 6: การพัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย

ข้อกำหนดใหม่ที่เพิ่มขึ้นมาอยู่ในข้อ 6.5.10 คือเรื่อง Broken Authentication and Session Management ซึ่งเป็นเรื่องเกี่ยวกับการป้องกันช่องโหว่ของการพิสูจน์ตัวตนเข้าใช้งานและจัดการสถานะการใช้งานของผู้ใช้ เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงบัญชี กุญแจรหัส หรือข้อมูลรักษาสถานะการใช้งาน (Session Token) ซึ่งจะทำให้ผู้บุกรุกสามารถปลอมแปลงตัวตนเป็นผู้ใช้ที่ได้รับอนุญาต อย่างไรก็ตามข้อกำหนดนี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

นอกจากนี้คำแนะนำหลายส่วนในข้อกำหนด 6ได้ปรับให้สอดคล้องกับมาตรฐานทางด้านความมั่นคงปลอดภัยที่ใช้กันโดยทั่วไปเช่น OWASP, NIST, SANS เป็นต้น

ข้อกำหนด 8: การกำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์

มีการปรับปรุงข้อ 8.2.3 โดยการรวมเรื่องความต้องการความซับซ้อนและความแข็งแรงของรหัสผ่านขั้นต่ำเป็นข้อเดียว และเพิ่มความยืดหยุ่นสำหรับทางเลือกอื่นที่ให้ความซับซ้อนและความแข็งแรงของรหัสผ่านที่เทียบเท่ากัน โดยมีคำแนะนำให้เลือกใช้ตามเอกสาร NIST SP 800-63-1 ที่กำหนดค่า “Entropy” เป็นค่าวัดความยากในการเดารหัสผ่านหรือกุญแจ ถ้ามีความยากเทียบเท่าหรือมากกว่าที่กำหนดไว้ในข้อนี้ก็ถือว่าใช้ได้
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอีกก็คือข้อ 8.5.1 เป็นข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ คือถ้าผู้ให้บริการต้องทำการเข้าใช้ระบบจากระยะไกลเพื่อช่วยเหลือ จะต้องใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับลูกค้าแต่ละราย โดยมีคำแนะนำเช่นการใช้การพิสูจน์ตัวตนสองปัจจัย (Two-Factor Mechanism) ที่ให้ข้อมูลประจำตัวที่ไม่ซ้ำกันสำหรับแต่ละการเชื่อมต่อแต่ละครัง (ตัวอย่างเช่นผ่านทางรหัสผ่านแบบใช้ครั้งเดียว) ข้อกำหนดนี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

อีกข้อที่เพิ่มใหม่คือข้อ 8.6 กำหนดว่าหากมีการใช้กลไกการตรวจสอบอื่นๆ (ตัวอย่างเช่น Security Token ไม่ว่าจะอยู่ในรูปอุปกรณ์ที่สามารถจับต้องได้หรือรหัสดิจิทัล บัตรสมาร์ทคาร์ด, ใบรับรองดิจิทัล ฯลฯ ) การใช้กลไกเหล่านี้จะต้องกำหนดว่า การพิสูจน์ตัวตนนั้นจะต้องถูกกำหนดให้ใช้กับบัญชีรายบุคคล และต้องไม่ใช้ร่วมกันระหว่างหลายบัญชี นอกจากนั้นจะต้องมีการควบคุมทางกายภาพและ/หรือเชิงตรรกะ (Physical and/or Logical Control) เพื่อให้มั่นใจว่าบัญชีที่กำหนดเท่านั้นที่จะใช้งานได้

ข้อกำหนด 9: การจํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร

ข้อกำหนดใหม่ที่เพิ่มเข้ามาอยู่ในข้อ 9.3 กำหนดให้มีการควบคุมการเข้าถึงทางกายภาพในการเข้าพื้นที่ของบุคลากรไปยังพื้นที่ที่มีความสำคัญ โดยการเข้าถึงต้องได้รับอนุญาตและขึ้นอยู่กับลักษณะงานของแต่ละบุคคล รวมทั้งจะต้องถูกยกเลิกทันทีที่สิ้นสุดการอนุญาตและกลไกการเข้าถึงทางกายภาพเช่นคีย์การ์ดและอื่นๆ จะต้องถูกส่งคืนหรือปิดการใช้งาน

ข้อใหม่อีกข้อคือหัวข้อ 9.9 ปกป้องอุปกรณ์อ่านข้อมูลบัตรชำระเงินจากการถูกดัดแปลงหรือเอาเครื่องอื่นมาสวมรอยแทน ข้อกำหนดนี้นำไปประยุกต์ใช้กับอุปกรณ์อ่านบัตรที่ใช้ในการทำธุรกรรมที่ต้องแสดงบัตร (นั่นคือรูดหรือเสียบบัตร) . จุดขาย ข้อกำหนด 9.9 นี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

ข้อกำหนด 10: การติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร

ข้อกำหนดที่ถูกปรับปรุงคือข้อ 10.2.5 มีกลไกในการบันทึกการใช้และการแก้ไขการระบุและพิสูจน์ตัวตน รวมถึงการสร้างบัญชีใหม่และการยกระดับของสิทธิการใช้งาน และการแก้ไขเพิ่มเติมหรือลบบัญชีทั้งหมดด้วยสิทธิ์ของ root หรือ Administrator เพราะหากไม่ทราบว่าผู้ที่เข้าสู่ระบบในช่วงเวลาของเหตุการณ์ที่เกิดขึ้นนั้นก็ไม่สามารถที่จะระบุบัญชีที่อาจมีการใช้งานได้ นอกจากนี้ผู้ใช้ที่เป็นอันตรายอาจพยายามที่จะจัดการกับตัวควบคุมการพิสูจน์ตัวตน โดยตั้งใจที่จะผ่านหลบหลีกการพิสูจน์ตัวตนหรือแอบอ้างเป็นบัญชีที่ถูกต้อง

ข้อกำหนดที่ถูกปรับปรุงอีกข้อคือข้อ 10.2.6 เกี่ยวกับการบันทึกการเริ่มต้น การหยุด หรือการหยุดการทำงานของ Audit Log ชั่วคราว เพื่อป้องกันผู้ใช้ที่ไม่ประสงค์ดีหลบเลี่ยงการตรวจสอบการทำงาน

ข้อกำหนด 11: การทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ

ข้อกำหนด 11 เป็นข้อที่มีการปรับปรุงแก้ไขเพิ่มเติมค่อนข้างมาก ข้อกำหนดที่มีการปรับปรุงคือข้อ 11.1 โดยเพิ่มการทำบัญชีรายการจุดเชื่อมต่อไร้สาย (Wireless Access Point) ที่ได้รับอนุญาต รวมทั้งระบุเหตุผลทางธุรกิจของการใช้จุดเชื่อมต่อไร้สายนั้นๆไว้เป็นลายลักษณ์อักษร (11.1.1) เพื่อที่จะใช้อ้างอิงเวลาทำการตรวจสอบหาจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต และเพิ่มข้อ 11.1.2 คือให้มีกระบวนตอบสนองต่อเหตุการณ์ในกรณีที่มีการตรวจพบจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต

ส่วนข้อกำหนดที่มีการแก้ไขและเพิ่มเติมได้แก่ ข้อ 11.3 ให้ใช้วิธีการทดสอบเจาะระบบ (Methodology for Penetration Testing) ที่เป็นที่ยอมรับของอุตสาหกรรม เช่น NIST SP800-115 คลอบคลุมบริเวณที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรและระบบที่สำคัญ มีการทดสอบจากทั้งภายในและภายนอกเครือข่าย รวมถึงกำหนดให้มีการทดสอบการเจาะระดับโปรแกรมเพื่อครอบคลุมช่องโหว่ที่ระบุไว้ในข้อกำหนด 6.5 เป็นอย่างน้อย กำหนดให้มีการทดสอบการเจาะเครือข่ายรวมถึงองค์ประกอบที่สนับสนุนการทำงานของเครือข่ายรวมทั้งระบบปฏิบัติการ รวมถึงการตรวจสอบและการพิจารณาภัยคุกคามและช่องโหว่ที่มีเกิดขึ้นในช่วง 12 เดือนที่ผ่านมา และระบุการเก็บรักษาของผลการทดสอบการเจาะและกิจกรรมในการแก้ไขช่องโหว่ด้วย

ทั้งนี้ยังคงให้ใช้ข้อกำหนดในการทดสอบเจาะระบบตาม PCI-DSS 2.0 ไปจนกว่าทุกหัวข้อที่กำหนดไว้เป็น Best Practice จะดำเนินการตามข้อกำหนด PCI-DSS 3.0 ครบถ้วน อย่างไรก็ตามจะมีการบังคับใช้ข้อบังคับใหม่นี้ตั้งแต่วันที่ 1 กรกฎาคม 2558

มีการเพิ่มข้อกำหนด 11.5.1 เพื่อสนับสนุนข้อ 11.5 โดยให้มีการใช้กระบวนการเพื่อตอบสนองต่อการแจ้งเตือนใดๆ ที่เกิดจากระบบการตรวจสอบการเปลี่ยนแปลง

ข้อกำหนด 12: การคงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน

มีการย้ายเอาข้อกำหนด 12.1.2 ที่เกี่ยวกับกระบวนการประเมินความเสี่ยงประจำปีไปยังข้อ 12.2 และกำหนดว่าการประเมินความเสี่ยงต้องทำทุกปีและทุกครั้งที่มีการเปลี่ยนแปลงสภาวะแวดล้อมอย่างมีนัยสำคัญเป็นอย่างน้อย

ข้อกำหนดใหม่เพิ่มเข้ามาคือข้อ 12.8.5 ในเรื่องการรักษาข้อมูลเกี่ยวกับผู้ให้บริการแต่ละรายว่ามีจัดการตามข้อกำหนด PCI DSS ข้อใด และข้อใดที่มีการจัดการโดยองค์กร

ส่วนอีกข้อคือข้อ 12.9 ที่เพิ่มขึ้นมาคือข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ โดยระบุว่าผู้ให้บริการรับทราบเป็นลายลักษณ์อักษรให้กับลูกค้าว่าพวกเขามีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลผู้ถือบัตรที่ผู้ให้บริการครอบครอง จัดเก็บ ดำเนินการ หรือส่งในนามของลูกค้า หรือกรณีใดก็ตามส่งผลกระทบต่อการรักษาความปลอดภัยของภาวะแวดล้อมข้อมูลผู้ถือบัตรของลูกค้า ข้อกำหนด 12.9 นี้จะอยู่ในสถานะเป็น Best Practice จนกว่าจะถึงวันที่ 1 กรกฎาคม 2558 จึงจะเริ่มใช้จริง

บทส่งท้าย

PCI-DSS 3.0 ได่มีการปรับปรุงแก้ไขเพิ่มเติมจาก PCI-DSS 2.0 โดยมุ่งเน้นไปที่การให้ความรู้และความตระหนักในมาตรฐาน ความยืดหยุ่นที่เพิ่มขึ้น และความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกันทั้งองค์กรและผู้ให้บริการที่เกี่ยวข้อง โดยจะเริ่มต้นใช้งานตั้งแต่วันที่ 1 มกราคม 2557 เป็นต้นไป และจะใช้งานอย่างสมบูรณ์ตั้งแต่วันที่ 1 กรกฎาคม 2558 ดังนั้นผู้ที่จะเริ่มปฏิบัติตามมาตรฐาน PCI-DSS รวมทั้งผู้ที่เคยผ่านการประเมินมาแล้ว จึงควรที่จะศึกษาข้อแตกต่างเพื่อที่จะรับการประเมินตามมาตรฐานใหม่ได้อย่างถูกต้อง

เอกสารอ้างอิง

  • Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures Version 3.0, PCI Security Standards Council, LLC., November 2013
  • Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security Standard Version 3.0 Change Highlights, PCI Security Standards Council, LLC., August 2013
  • PCI DSS 3.0 – What’s New? An Infographic, Anthony M Freed, Tripwire Inc., December 5, 2013

บทความที่เกี่ยวข้อง

เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

05 สิงหาคม 2556

บัตรเครดิตกับ PCI-DSS

ในการทำธุรกรรมอิเล็กทรอนิกส์ การปฎิบัติตามระเบียบข้อบังคับ กฏหมาย ตลอดจนการปฎิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้องได้ตามมาตรฐาน (Compliance) มีความสำคัญและจำเป็นอย่างยิ่ง ไม่ว่าจะเป็นมาตรฐานระดับประเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หรือ พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 และรวมไปถึงมาตรฐานระดับนานาชาติเช่น SOX (Sarbanes-Oxley Compliance) หรือ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry - Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการที่เกี่ยวข้องกับธุรกิจบัตรเครดิตเป็นต้น

มาตรฐาน PCI DSS อาจเป็นเรื่องใหม่สำหรับวงการธุรกรรมอิเล็กทรอนิกส์ในเมืองไทย แม้ว่าเราจะมีการใช้บัตรเครดิตอย่างแพร่หลายเป็นระยะเวลานานแล้ว โดยมาตรฐานนี้เริ่มจากผู้ให้บริการบัตรเครดิตชั้นนำ 5 รายคือ American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. ใด้ร่วมกันกำหนดมาตรฐานนี้ในปีพศ. 2547และในเวลาต่อมาก็ร่วมกันก่อตั้ง The Payment Card Industry Security Standard Council (PCI SCC)

PCI DSS คืออะไร

PCI DSS เป็นมาตรฐานที่ถูกกำหนดขึ้นเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตร ได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตรมาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์ ปัจจุบันมาตรฐาน PCI DSS เป็นรุ่น 2.0 ออกในเดือนตุลาคม พศ. 2553
วัตถุประสงค์ข้อกำหนด
สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย1. ติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร
2. ห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด
ปกป้องข้อมูลผู้ถือบัตร3. ปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
4. เข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
ดูแลรักษาโปรแกรมจัดการช่องโหว่5. ใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย
จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
8. กำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์
9. จํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร
ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ10. ติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร
11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ
คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ12. คงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน

PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้

อะไรคือข้อมูลที่ PCI DSS ให้ความสำคัญ

PCI DSS ให้ความสำคัญกับข้อมูลสองส่วนได้แก่ข้อมูลผู้ถือบัตร (Cardholder Data) กับข้อมูลสำคัญในการยืนยันตัวตน (Sensitive Authentication Data) โดยข้อมูลผู้ถือบัตรจะประกอบด้วย

  • Primary Account Number (PAN) หมายเลขบัตรซึ่งเป็นเลข 15/16 หลักที่ปรากฏอยู่บนหน้าบัตรเครดิตและแถบแม่เหล็กหลังบัตร
  • ชื่อผู้ถือบัตร (Cardholder Name)
  • วันหมดอายุบัตร (Expiration Date)
  • รหัสบริการ (Service Code)  ตัวเลข 3 หรือ 4 หลักในแถบแม่เหล็กที่ระบุเงื่อนไขหรือการจำกัดการทำรายการเมื่อทำรายการด้วยแถบแม่เหล็ก

ส่วนข้อมูลสำคัญในการยืนยันตัวตนจะประกอบด้วย

  • ข้อมูลทั้งหมดในแถบแม่เหล็ก หรือข้อมูลเดียวกันนี้ที่อยู่บนชิปสมาร์ทการ์ด
  • เลข CAV2/CVC2/CVV2/CID ซึ่งจะเป็นตัวเลข 3-4 หลัก พิมพ์อยู่ด้านหลังหรือด้านหน้าแล้วแต่ชนิดของบัตร (ไม่ใช่ตัวนูน)
  • Personal Identification Number (PIN) รหัสลับ 4-6 หลักที่ผู้ออกบัตรให้ไว้เพื่อทำรายการ เช่นจากตู้ ATM

หมายเลขบัตร (PAN) เป็นปัจจัยที่กำหนดว่าต้องทำตาม PCI DSS หรือไม่ ถ้ามีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ต้องดำเนินการตาม PCI DSS ถ้าไม่มีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ไม่ต้องดำเนินการ

ถ้าข้อมูลชื่อผู้ถือบัตร รหัสบริการ และ/หรือ วันหมดอายุบัตรถูกจัดเก็บ ประมวลผล หรือส่งข้อมูล ร่วมกับ หมายเลขบัตร ข้อมูลเหล่านั้นต้องถูกปกป้องตามความต้องการของ PCI DSS กล่าวคือหมายเลขบัตรจะต้องถูกเก็บในรูปแบบที่ไม่สามารถอ่านได้โดยวิธีต่อไปนี้

  • ใช้ Hash ทางเดียวเช่น SHA-1
  • เก็บเฉพาะบางส่วนไม่เก็บทุกหลัก หรือแทนที่บางส่วนด้วยเครื่องหมายอื่น (Masking) เช่นแสดงเฉพาะ 6 หลักแรก หรือ 4 หลักท้าย
  • เข้ารหัสลับที่มีความปลอดภัยสูงเช่น Tripple DES 128-bit หรือ AES 256-bit ร่วมกับการบริหารจัดการ Key

ส่วนข้อมูลสำคัญในการยืนยันตัวตนไม่ว่าจะเป็นข้อมูลทั้งหมดในแถบแม่เหล็ก เลข CAV2/CVC2/CVV2/CID หรือ PIN ไม่อนุญาตให้จัดเก็บไว้ได้

ขอบเขตการประเมินการปฏิบัติตาม PCI DSS

ความมั่นคงปลอดภัยตามข้อกำหนดของ PCI DSS ครอบคลุมองค์ประกอบของระบบทุกอย่างไม่ว่าจะเป็น ระบบเครือข่าย เครื่องแม่ข่ายที่ให้บริการ หรือโปรแกรมประยุกต์ ที่เกี่ยวข้องหรือเชื่อมต่อกับสภาพแวดล้อมของข้อมูลผู้ถือบัตร นั่นคือถ้ามีข้อมูลผู้ถือบัตรไปเกี่ยวข้องเมื่อใด องค์ประกอบนั้นๆ จะต้องปฏิบัติตามข้อกำหนด PCI DSS สภาพแวดล้อมของข้อมูลผู้ถือบัตรนั้นประกอบด้วยคน กระบวนการ และเทคโนโลยี (People, Processes, Technology) ที่ทำการเก็บข้อมูล ประมวลผล หรือส่งข้อมูล ไม่ว่าจะเป็นข้อมูลผู้ถือบัตรหรือข้อมูลสำคัญในการยืนยันตัวตนก็ตาม

การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ ตัวอย่างเช่น VISA ได้กำหนดว่าผู้ให้บริการรับชำระด้วยบัตรเครดิต (Acquirer) มีหน้าที่ต้องรับรองว่าร้านค้าปฏิบัติตามมาตรฐาน PCI DSS แต่ได้กำหนดลำดับความสำคัญของร้านค้าที่ต้องทำการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS ไว้ 4 ระดับ  ตามตาราง

ระดับเงื่อนไขของร้านค้าความต้องการในการตรวจสอบ
1 ร้านค้าที่ทำรายการมากกว่า 6 ล้านครั้งต่อปีรวมทุกช่องทาง หรือเป็น Global Merchant ที่เข้าข่ายระดับ 1 ตามเงื่อนไขของ VISA ในแต่ละภูมิภาค
  • รายงานการปฎิบัติตามมาตรฐาน (Report on Compliance – ROC) โดยผู้ประเมินความมั่นคงปลอดภัยที่มีคุณสมบัติ (Qualified Security Assessor – QSA) หรือผู้ตรวจสอบภายในถ้าลงนามรับรองโดยบริษัท เป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดยผู้ให้บริการสแกนที่ได้รับการรับรอง (Approved Scan Vendor – ASV) เป็นประจำทุกไตรมาส
  • การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
2 ร้านค้าที่ทำรายการ1 ถึง 6 ล้านครั้งต่อปี รวมทุกช่องทาง
  • ตอบแบบประเมินตนเอง (Self-Assessment Questionnaire - SAQ) เป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาส
  •  การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
3 ร้านค้าที่ทำรายการ E-Commerce 20,000 ถึง 1 ล้านครั้งต่อปี
  • ตอบแบบประเมินตนเองเป็นประจำทุกปี
  •  การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาส
  • การให้การในแบบฟอร์มปฎิบัติตามมาตรฐาน
4 ร้านค้าที่ทำรายการ E-Commerce น้อยกว่า 20,000 ครั้งต่อปี และร้านค้าอื่นๆ ที่ทำรายการน้อยกว่า1 ล้านครั้งต่อปี
  • แนะนำว่าควรตอบแบบประเมินตนเองเป็นประจำทุกปี
  • การตรวจสอบระบบเครือข่ายโดย ASV เป็นประจำทุกไตรมาสถ้าทำได้
  • เงื่อนไขการตรวจสอบตั้งโดยผู้ให้บริการรับชำระด้วยบัตรเครดิต

PCI DSS กับ E-Commerce

เพื่อที่จะรับบัตรเครดิตในการชำระเงินแบบออนไลน์ ร้านค้าจะต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วย สิ่งที่ต้องทำเพื่อเป็นไปตามมาตรฐานในทางภาคปฏิบัติ ร้านค้าออนไลน์จะต้องเข้ารหัสในการส่งข้อมูลด้วย Secure Socket Layer (SSL) หรือ Extended Validation SSL (EV SSL) ซึ่งจะดีกว่า รวมทั้งมีนโยบายที่จะไม่เก็บข้อมูลบัตรเครดิตซึ่งเป็นเด็นสำคัญ และสิ่งสำคัญที่ไม่ควรมองข้ามคือร้านค้าต้องรับผิดชอบต่อหมายเลขบัตรเครดิตทุกใบที่มีข้อมูลผ่าน Server ของร้าน

ร้านค้าหลายร้านไม่ผ่านการประเมินเพียงเพราะไม่ได้ตระหนักว่าข้อมูลบัตรเครดิตอาจอยู่ใน Log ในรูปแบบที่ไม่เป็นไปตามความต้องการของ PCI DSS เช่น บันทึกข้อมูลหมายเลขบัตรเครดิต ร่วมกับข้อมูลอื่นๆผู้ถือบัตรโดยสามารถอ่านได้ง่าย หรือบันทึกข้อมูลสำคัญในการยืนยันตัวตนไว้ โดยเฉพาะอย่างยิ่งร้านค้าที่ใช้บริการ Web Hosting  หรือบริการร้านค้าออนไลน์สำเร็จรูป

การประเมินเพื่อผ่านมาตรฐานนั้นยังรวมไปถึงผู้ให้บริการอื่นๆที่เกี่ยวข้องด้วย เช่นผู้ให้บริการประมวลผลบัตรเครดิต (Third-Party Processor) ผู้ให้บริการเครือข่ายในกรณีที่เป็นผู้ดูแลรักษา Firewall เป็นต้น
ดังนั้นเจ้าของร้านค้าที่ต้องการรับชำระเงินด้วยบัตรเครดิต จึงต้องทำการตรวจสอบผู้ให้บริการดังกล่าวปฏิบัติตามมาตรฐาน PCI DSS หรือเลือกใช้ผู้ให้บริการที่ผ่านการประเมินตามมาตรฐานแล้ว

สิ่งสำคัญคือขอบเขตและวิธีการประเมินของผู้ให้บริการบัตรเครดิตแต่ละรายนั้นจะไม่เหมือนกัน ดังนั้นจึงควรศึกษาจากผู้ให้บริการรับชำระด้วยบัตรเครดิต เช่นธนาคาร หรือผู้ให้บริการรับชำระที่แต่ละร้านค้าใช้บริการ

บทส่งท้าย

การทำธุรกรรมทางอิเลกทรอนิกส์ผ่านการรับชำระเงินด้วยบัตรเครดิต ไม่สามารถหลีกเลี่ยงความเกี่ยวข้องกับการปฏิบัติตามมาตรฐาน PCI DSS ได้ โดยต้องผ่านการประเมินการปฏิบัติตาม 6 วัตถุประสงค์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลหลักๆ คือข้อมูลผู้ถือบัตรกับข้อมูลสำคัญในการยืนยันตัวตน อย่างไรก็ตามก็ไม่ได้ยุ่งยากจนเกินไปที่จะปฏิบัติตาม อีกทั้งวิธีการประเมินก็ยังขึ้นอยู่กับปริมาณธุรกรรมบัตรเครดิตต่อปีของแต่ละร้านค้า

หวังเป็นอย่างยิ่งว่าเนื้อหาที่ได้นําเสนอในครั้งนี้จะช่วยให้ทราบถึงแนวทางการปฏิบัติตามมาตรฐาน PCI DSS โดยเฉพาะอย่างยิ่งกับการทำธุรกรรมทางอิเลกทรอนิกส์ได้มากขึ้น

บรรณานุกรม

Payment Card Industry (PCI) Data Security Standard , Requirements and Security Assessment Procedures , Version 2.0 , October 2010
Merchant levels and compliance validation requirements defined (http://usa.visa.com/merchants/risk_management/cisp_merchants.html)

เขียนโดย ที่ 1 ความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)