มาตรฐาน PCI DSS อาจเป็นเรื่องใหม่สำหรับวงการธุรกรรมอิเล็กทรอนิกส์ในเมืองไทย แม้ว่าเราจะมีการใช้บัตรเครดิตอย่างแพร่หลายเป็นระยะเวลานานแล้ว โดยมาตรฐานนี้เริ่มจากผู้ให้บริการบัตรเครดิตชั้นนำ 5 รายคือ American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. ใด้ร่วมกันกำหนดมาตรฐานนี้ในปีพศ. 2547และในเวลาต่อมาก็ร่วมกันก่อตั้ง The Payment Card Industry Security Standard Council (PCI SCC)
PCI DSS คืออะไร
PCI DSS เป็นมาตรฐานที่ถูกกำหนดขึ้นเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร (Cardholder Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตร ได้แก่ ร้านค้า ผู้ประมวลผลข้อมูล สถาบันการเงินผู้รับบัตร สถาบันการเงินผู้ออกบัตร รวมถึงผู้ให้บริการอื่นๆ รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ ประมวลผล และส่งข้อมูลของผู้ถือบัตรมาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม 12 ประการ ใน 6 วัตถุประสงค์ ปัจจุบันมาตรฐาน PCI DSS เป็นรุ่น 2.0 ออกในเดือนตุลาคม พศ. 2553| วัตถุประสงค์ | ข้อกำหนด |
|---|---|
| สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย | 1. ติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร 2. ห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด |
| ปกป้องข้อมูลผู้ถือบัตร | 3. ปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้ 4. เข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ |
| ดูแลรักษาโปรแกรมจัดการช่องโหว่ | 5. ใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ 6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย |
| จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล | 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น 8. กำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์ 9. จํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร |
| ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ | 10. ติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร 11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ |
| คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ | 12. คงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน |
PCI DSS ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน หรือผู้ให้บริการบัตรเครดิต หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้
อะไรคือข้อมูลที่ PCI DSS ให้ความสำคัญ
PCI DSS ให้ความสำคัญกับข้อมูลสองส่วนได้แก่ข้อมูลผู้ถือบัตร (Cardholder Data) กับข้อมูลสำคัญในการยืนยันตัวตน (Sensitive Authentication Data) โดยข้อมูลผู้ถือบัตรจะประกอบด้วย- Primary Account Number (PAN) หมายเลขบัตรซึ่งเป็นเลข 15/16 หลักที่ปรากฏอยู่บนหน้าบัตรเครดิตและแถบแม่เหล็กหลังบัตร
- ชื่อผู้ถือบัตร (Cardholder Name)
- วันหมดอายุบัตร (Expiration Date)
- รหัสบริการ (Service Code) ตัวเลข 3 หรือ 4 หลักในแถบแม่เหล็กที่ระบุเงื่อนไขหรือการจำกัดการทำรายการเมื่อทำรายการด้วยแถบแม่เหล็ก
ส่วนข้อมูลสำคัญในการยืนยันตัวตนจะประกอบด้วย
- ข้อมูลทั้งหมดในแถบแม่เหล็ก หรือข้อมูลเดียวกันนี้ที่อยู่บนชิปสมาร์ทการ์ด
- เลข CAV2/CVC2/CVV2/CID ซึ่งจะเป็นตัวเลข 3-4 หลัก พิมพ์อยู่ด้านหลังหรือด้านหน้าแล้วแต่ชนิดของบัตร (ไม่ใช่ตัวนูน)
- Personal Identification Number (PIN) รหัสลับ 4-6 หลักที่ผู้ออกบัตรให้ไว้เพื่อทำรายการ เช่นจากตู้ ATM
หมายเลขบัตร (PAN) เป็นปัจจัยที่กำหนดว่าต้องทำตาม PCI DSS หรือไม่ ถ้ามีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ต้องดำเนินการตาม PCI DSS ถ้าไม่มีการจัดเก็บข้อมูล ประมวลผล หรือส่งข้อมูลหมายเลขบัตร ก็ไม่ต้องดำเนินการ
ถ้าข้อมูลชื่อผู้ถือบัตร รหัสบริการ และ/หรือ วันหมดอายุบัตรถูกจัดเก็บ ประมวลผล หรือส่งข้อมูล ร่วมกับ หมายเลขบัตร ข้อมูลเหล่านั้นต้องถูกปกป้องตามความต้องการของ PCI DSS กล่าวคือหมายเลขบัตรจะต้องถูกเก็บในรูปแบบที่ไม่สามารถอ่านได้โดยวิธีต่อไปนี้
- ใช้ Hash ทางเดียวเช่น SHA-1
- เก็บเฉพาะบางส่วนไม่เก็บทุกหลัก หรือแทนที่บางส่วนด้วยเครื่องหมายอื่น (Masking) เช่นแสดงเฉพาะ 6 หลักแรก หรือ 4 หลักท้าย
- เข้ารหัสลับที่มีความปลอดภัยสูงเช่น Tripple DES 128-bit หรือ AES 256-bit ร่วมกับการบริหารจัดการ Key
ส่วนข้อมูลสำคัญในการยืนยันตัวตนไม่ว่าจะเป็นข้อมูลทั้งหมดในแถบแม่เหล็ก เลข CAV2/CVC2/CVV2/CID หรือ PIN ไม่อนุญาตให้จัดเก็บไว้ได้
ขอบเขตการประเมินการปฏิบัติตาม PCI DSS
ความมั่นคงปลอดภัยตามข้อกำหนดของ PCI DSS ครอบคลุมองค์ประกอบของระบบทุกอย่างไม่ว่าจะเป็น ระบบเครือข่าย เครื่องแม่ข่ายที่ให้บริการ หรือโปรแกรมประยุกต์ ที่เกี่ยวข้องหรือเชื่อมต่อกับสภาพแวดล้อมของข้อมูลผู้ถือบัตร นั่นคือถ้ามีข้อมูลผู้ถือบัตรไปเกี่ยวข้องเมื่อใด องค์ประกอบนั้นๆ จะต้องปฏิบัติตามข้อกำหนด PCI DSS สภาพแวดล้อมของข้อมูลผู้ถือบัตรนั้นประกอบด้วยคน กระบวนการ และเทคโนโลยี (People, Processes, Technology) ที่ทำการเก็บข้อมูล ประมวลผล หรือส่งข้อมูล ไม่ว่าจะเป็นข้อมูลผู้ถือบัตรหรือข้อมูลสำคัญในการยืนยันตัวตนก็ตามการตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ ตัวอย่างเช่น VISA ได้กำหนดว่าผู้ให้บริการรับชำระด้วยบัตรเครดิต (Acquirer) มีหน้าที่ต้องรับรองว่าร้านค้าปฏิบัติตามมาตรฐาน PCI DSS แต่ได้กำหนดลำดับความสำคัญของร้านค้าที่ต้องทำการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS ไว้ 4 ระดับ ตามตาราง
| ระดับ | เงื่อนไขของร้านค้า | ความต้องการในการตรวจสอบ |
|---|---|---|
| 1 | ร้านค้าที่ทำรายการมากกว่า 6 ล้านครั้งต่อปีรวมทุกช่องทาง หรือเป็น Global Merchant ที่เข้าข่ายระดับ 1 ตามเงื่อนไขของ VISA ในแต่ละภูมิภาค |
|
| 2 | ร้านค้าที่ทำรายการ1 ถึง 6 ล้านครั้งต่อปี รวมทุกช่องทาง |
|
| 3 | ร้านค้าที่ทำรายการ E-Commerce 20,000 ถึง 1 ล้านครั้งต่อปี |
|
| 4 | ร้านค้าที่ทำรายการ E-Commerce น้อยกว่า 20,000 ครั้งต่อปี และร้านค้าอื่นๆ ที่ทำรายการน้อยกว่า1 ล้านครั้งต่อปี |
|
PCI DSS กับ E-Commerce
เพื่อที่จะรับบัตรเครดิตในการชำระเงินแบบออนไลน์ ร้านค้าจะต้องปฏิบัติตามมาตรฐาน PCI DSS ด้วย สิ่งที่ต้องทำเพื่อเป็นไปตามมาตรฐานในทางภาคปฏิบัติ ร้านค้าออนไลน์จะต้องเข้ารหัสในการส่งข้อมูลด้วย Secure Socket Layer (SSL) หรือ Extended Validation SSL (EV SSL) ซึ่งจะดีกว่า รวมทั้งมีนโยบายที่จะไม่เก็บข้อมูลบัตรเครดิตซึ่งเป็นเด็นสำคัญ และสิ่งสำคัญที่ไม่ควรมองข้ามคือร้านค้าต้องรับผิดชอบต่อหมายเลขบัตรเครดิตทุกใบที่มีข้อมูลผ่าน Server ของร้านร้านค้าหลายร้านไม่ผ่านการประเมินเพียงเพราะไม่ได้ตระหนักว่าข้อมูลบัตรเครดิตอาจอยู่ใน Log ในรูปแบบที่ไม่เป็นไปตามความต้องการของ PCI DSS เช่น บันทึกข้อมูลหมายเลขบัตรเครดิต ร่วมกับข้อมูลอื่นๆผู้ถือบัตรโดยสามารถอ่านได้ง่าย หรือบันทึกข้อมูลสำคัญในการยืนยันตัวตนไว้ โดยเฉพาะอย่างยิ่งร้านค้าที่ใช้บริการ Web Hosting หรือบริการร้านค้าออนไลน์สำเร็จรูป
การประเมินเพื่อผ่านมาตรฐานนั้นยังรวมไปถึงผู้ให้บริการอื่นๆที่เกี่ยวข้องด้วย เช่นผู้ให้บริการประมวลผลบัตรเครดิต (Third-Party Processor) ผู้ให้บริการเครือข่ายในกรณีที่เป็นผู้ดูแลรักษา Firewall เป็นต้น
ดังนั้นเจ้าของร้านค้าที่ต้องการรับชำระเงินด้วยบัตรเครดิต จึงต้องทำการตรวจสอบผู้ให้บริการดังกล่าวปฏิบัติตามมาตรฐาน PCI DSS หรือเลือกใช้ผู้ให้บริการที่ผ่านการประเมินตามมาตรฐานแล้ว
สิ่งสำคัญคือขอบเขตและวิธีการประเมินของผู้ให้บริการบัตรเครดิตแต่ละรายนั้นจะไม่เหมือนกัน ดังนั้นจึงควรศึกษาจากผู้ให้บริการรับชำระด้วยบัตรเครดิต เช่นธนาคาร หรือผู้ให้บริการรับชำระที่แต่ละร้านค้าใช้บริการ
บทส่งท้าย
การทำธุรกรรมทางอิเลกทรอนิกส์ผ่านการรับชำระเงินด้วยบัตรเครดิต ไม่สามารถหลีกเลี่ยงความเกี่ยวข้องกับการปฏิบัติตามมาตรฐาน PCI DSS ได้ โดยต้องผ่านการประเมินการปฏิบัติตาม 6 วัตถุประสงค์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลหลักๆ คือข้อมูลผู้ถือบัตรกับข้อมูลสำคัญในการยืนยันตัวตน อย่างไรก็ตามก็ไม่ได้ยุ่งยากจนเกินไปที่จะปฏิบัติตาม อีกทั้งวิธีการประเมินก็ยังขึ้นอยู่กับปริมาณธุรกรรมบัตรเครดิตต่อปีของแต่ละร้านค้าหวังเป็นอย่างยิ่งว่าเนื้อหาที่ได้นําเสนอในครั้งนี้จะช่วยให้ทราบถึงแนวทางการปฏิบัติตามมาตรฐาน PCI DSS โดยเฉพาะอย่างยิ่งกับการทำธุรกรรมทางอิเลกทรอนิกส์ได้มากขึ้น
บรรณานุกรม
Payment Card Industry (PCI) Data Security Standard , Requirements and Security Assessment Procedures , Version 2.0 , October 2010Merchant levels and compliance validation requirements defined (http://usa.visa.com/merchants/risk_management/cisp_merchants.html)
