บทความนี้ผมได้เขียนลงนิตยสาร E-WORLD ฉบับธันวาคม 2556 เห็นว่ามีการจัดสัมมนาเกี่ยวกับ PCI-DSS ในช่วงนี้มากพอสมควรจึงนำมาให้อ่านกัน แม้ว่า Version 3.1 จะออกมาแล้วก็ตาม
สำหรับผู้ที่ให้บริการรับชำระเงินในการทำธุรกรรมอิเล็กทรอนิกส์ด้วยบัตรเครดิตหรือบัตรเดบิต
คงจะคุ้นเคยกับมาตรฐาน
PCI-DSS
(Payment Card Industry - Data Security Standard) มากพอสมควร
โดยมาตรฐาน
PCI
DSS ถูกกำหนดเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร
(Cardholder
Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตรอันได้แก่
ร้านค้า
ผู้ประมวลผลข้อมูล
สถาบันการเงินผู้รับบัตร
สถาบันการเงินผู้ออกบัตร
รวมถึงผู้ให้บริการอื่นๆ
รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ
ประมวลผล
และส่งข้อมูลของผู้ถือบัตร
PCI
DSS
ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต
การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน
หรือผู้ให้บริการบัตรเครดิต
หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้
มาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม
12
ประการ
ใน 6
วัตถุประสงค์
มาตรฐาน
PCI
DSS ที่ใช้กันอยู่ในปัจจุบันเป็นรุ่น
2.0
ออกในเดือนตุลาคม
2553
และจะเริ่มถูกแทนที่โดย
PCI-DSS
3.0 ตั้งแต่วันที่
1
มกราคม
2557
เป็นต้นไป
โดยที่ผู้ให้บริการที่จะรับการประเมินตามมาตรฐาน
PCI-DSS
ตั้งแต่ปี
2557
จะต้องถูกประเมินตามมาตรฐานใหม่
แต่ส่วนผู้ที่ได้รับการประเมินตามมาตรฐานนี้ก่อนสิ้นปี
2556
จะยังคงถูกการประเมินตามตาม
PCI-DSS
2.0 ไปจนถึงสิ้นปี
2557
หลังจากนั้นจึงจะเริ่มถูกประเมินตามมาตรฐานใหม่เช่นกัน
อย่างไรก็ตามข้อกำหนดบางใหม่อย่างก็จะยังเป็นเพียงข้อแนะนำที่เป็น
Best
Practice และจะยังไม่ถูกบังคับใช้จนกว่าวันที่
1
กรกฎาคม
2558
ทั้งนี้จะได้กล่าวถึงในส่วนถัดไป
สาเหตุของการเปลี่ยนแปลง
มาตรฐานต่างๆของ
PCI
ถูกปรับปรุงตามเสียงสะท้อนจากผู้ใช้งานในกลุ่มอุตสาหกรรมการใช้บัตรเพื่อชำระเงินตามวงจรการพัฒนามาตรฐานอุตสาหกรรมทั่วไปเพื่อตอบสนองความต้องการของตลาด
ซึ่งความต้องการต่างๆเหล่านั้นเช่น
การขาดความรู้และตระหนักถึงความสำคัญของมาตรฐาน
การใช้งานรหัสผ่านและการพิสูจน์ตัวตนที่ง่ายเกินไป
การกระตุ้นจากองค์กรมาตรฐานความมั่นคงปลอดภัยอื่นๆ
การแพร่ระบาดของมัลแวร์
รวมถึงการประเมินที่ไม่เป็นไปในทิศทางเดียวกัน
ประเด็นหลักในการเปลี่ยนแปลง
การเปลี่ยนแปลงในรุ่น
3.0
เพื่อช่วยองค์กรต่างๆ
เพื่อดำเนินการปกป้องข้อมูลผู้ถือบัตรซึ่งมุ่งความสนใจไปที่เรื่องความมั่นคงปลอดภัยมากกว่าการปฏิบัติตามข้อกำหนด
และทำให้ PCI
DSS ถูกใช้งานเป็นปกติวิสัย
(Business-as-Usual)
ประเด็นหลักในการเปลี่ยนแปลงที่ถูกเน้นในรุ่น
3.0
ประกอบด้วย
การให้ความรู้และความตระหนักในมาตรฐาน (Education and Awareness)
การขาดความรู้ความเข้าใจและความตระหนักถึงความปลอดภัยในการชำระเงินด้วยบัตร
ประกอบกับการดำเนินการและการรักษามาตรฐาน
PCI
ต่างๆเป็นไปอย่างไม่ถูกต้อง
ทำให้เกิดช่องโหว่ทางความมั่นคงปลอดภัยเพิ่มขึ้นในปัจจุบัน
การปรับปรุงมาตรฐานนี้จะมุ่งช่วยเหลือองค์กรต่างๆ
ให้เข้าใจความตั้งใจของข้อกำหนดได้ดีขึ้น
รวมทั้งวิธีดำเนินการและรักษาตัวควบคุมต่างๆ
ที่ใช้ในธุรกิจทั้งหมด
ความยืดหยุ่นที่เพิ่มขึ้น (Increased Flexibility)
การเปลี่ยนแปลงใน
PCI
DSS 3.0
มุ่งเน้นไปยังความเสี่ยงที่พบบ่อยในบางเรื่องซึ่งส่งผลให้สามารถเข้าถึงข้อมูลผู้ถือบัตรได้
เช่นรหัสผ่านหรือการพิสูจน์ตัวตนที่ไม่ดีพอ
มัลแวร์
รวมถึงการตรวจสอบที่ไม่มีประสิทธิภาพเป็นต้น
โดยเพิ่มทางเลือกที่มากขึ้นให้ยืดหยุ่นเพื่อที่จะสามารถทำตามข้อกำหนดได้
ซึ่งจะช่วยให้แต่ละองค์กรปรับใช้ตามแนวทางของตนเพื่อจะจัดการปัญหาและลดความเสี่ยงที่พบบ่อย
ในขณะเดียวกันกระบวนการตรวจสอบที่เข้มงวดกับการดำเนินการตามข้อกำหนดก็จะช่วยองค์กรในการผลักดันและรักษาการควบคุมในทุกส่วนของธุรกิจได้
ความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกัน (Security as a Shared Responsibility)
การรักษาความมั่นคงปลอดภัยของผู้ใช้ข้อมูลเป็นความรับผิดชอบร่วมกัน
หลายครั้งที่มีความสับสนระหว่างร้านค้ากับผู้ให้บริการว่าใครต้องรับผิดชอบอะไร
ใน PCI-DSS
3.0
เพิ่มแนวทางแก่ผู้ให้บริการและร้านค้าเพื่อให้มีความรับผิดชอบร่วมกัน
ร้านค้าจะไม่สามารถผลักภาระไปยังผู้ให้บริการแต่ต้องร่วมมือกับผู้ให้บริการเพื่อทำให้สอดคล้องกับมาตรฐาน
ข้อกำหนดที่มีการปรับปรุง
ในมาตรฐาน
PCI-DSS
3.0 มีการปรับปรุงขึ้นมาแบ่งได้
3
กลุ่มคือ
การเพิ่มความชัดเจนในการประเมินตามข้อกำหนด
การเพิ่มแนวทางในการดำเนินการตามข้อกำหนด
การเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบัน
ในบทความนี้จะกล่าวถึงเพียงการเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบันเท่านั้น
ซึ่งถ้าแบ่งตามข้อกำหนดของ
PCI-DSS
จะพบว่าข้อกำหนดที่ไม่มีการเปลี่ยนแปลงประกอบด้วย
ข้อกำหนด
3
การปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
ข้อกำหนด
4
การเข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
ข้อกำหนด
7
การจำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
เราจะมาพิจารณาในข้อต่างๆที่มีการเปลี่ยนแปลงดังนี้
ข้อกำหนด 1: การติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร
ข้อกำหนดที่มีการเปลี่ยนแปลงในส่วนนี้คือการกำหนดให้ต้องมีแผนผังเพื่อแสดงการเคลื่อนที่ของข้อมูลผู้ถือบัตรไปยังส่วนต่างๆที่สำคัญในแผนผังเครือข่าย
(Network
Diagram) โดยในข้อ
1.1.2
กำหนดว่าต้องมีแผนผังเครือข่ายที่ระบุการเชื่อมต่อจากสภาพแวดล้อมของข้อมูลผู้ถือบัตร
(Cardholder
Data Environment) ไปยังเครือข่ายอื่นรวมทั้งเครือข่ายไร้สาย
และในข้อ 1.1.3
กำหนดว่าต้องมีแผนผังการเคลื่อนที่ของข้อมูลผู้ถือบัตร
(Cardholder
Data Flows)ไปยังระบบและเครือข่ายต่างๆ
ด้วย
ข้อกำหนด 2: การห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด
มีข้อกำหนดใหม่ที่เพิ่มขึ้นคือข้อ
2.4
ให้ปรับปรุงบัญชีองค์ประกอบต่างๆ
ของระบบที่อยูในขอบเขตที่เกี่ยวข้องกับ
PCI-DSS
เหตุผลก็คือถ้าไม่มีบัญชีนี้
องค์ประกอบของระบบบางรายการอาจจะถูกลืม
และอาจถูกยกเว้นไม่ได้ตั้งค่าให้ถูกต้องตามมาตรฐานขององค์กรโดยไม่ได้ตั้งใจ
ข้อกำหนด 5: การใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
มีข้อกำหนดใหม่เพิ่มขึ้นมา
2
ข้อคือ ข้อ
5.1.2
สำหรับระบบที่ได้รับการพิจารณาแล้วว่าจะไม่ได้มีผลกระทบกับจากซอฟต์แวร์ที่เป็นอันตราย
ให้ทำการประเมินเป็นระยะเพื่อระบุและประเมินภัยคุกคามจากมัลแวร์ที่เพิ่มขึ้นเพื่อที่จะยืนยันว่าระบบยังคงไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัส
ตัวอย่างเช่นเครื่องเมนเฟรมหรือเครื่องที่เล็กลงมาอย่าง
AS/400
ไม่ได้เป็นเป้าหมายในการโจมตีของมัลแวร์
แต่อย่างไรก็ตามแนวโน้มของมัลแวร์เปลี่ยนไปได้เสมอ
และอาจจะมีมัลแวร์ใหม่ที่อาจคุกคามระบบเหล่านี้ได้
อีกข้อที่เพิ่มเติมขึ้นมาคือข้อ
5.3
ตรวจสอบให้แน่ใจว่ากลไกการป้องกันไวรัสการทำงานอยู่เสมอและไม่สามารถยกเลิกหรือเปลี่ยนแปลงได้โดยผู้ใช้เว้นแต่ได้รับอนุญาตโดยเฉพาะเป็นกรณีในช่วงเวลาที่
จำกัด
โซลูชั่นป้องกันไวรัสอาจจะถูกปิดใช้งานชั่วคราวได้เฉพาะในกรณีที่มีความจำเป็นในทางเทคนิคโดยได้รับอนุญาตจากผู้บริหารเป็นแต่ละกรณีไป
หากการป้องกันไวรัสจะต้องมีการปิดการใช้งานเพื่อวัตถุประสงค์เช่นนั้นจะต้องได้รับอนุญาตอย่างเป็นทางการ.
นอกจากนี้ยังอาจจะต้องดำเนินมาตรการรักษาความปลอดภัยเพิ่มเติมในช่วงเวลาที่การป้องกันไวรัสไม่ได้ใช้งานด้วย
ข้อกำหนด 6: การพัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย
ข้อกำหนดใหม่ที่เพิ่มขึ้นมาอยู่ในข้อ
6.5.10
คือเรื่อง
Broken
Authentication and Session Management
ซึ่งเป็นเรื่องเกี่ยวกับการป้องกันช่องโหว่ของการพิสูจน์ตัวตนเข้าใช้งานและจัดการสถานะการใช้งานของผู้ใช้
เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงบัญชี
กุญแจรหัส หรือข้อมูลรักษาสถานะการใช้งาน
(Session
Token)
ซึ่งจะทำให้ผู้บุกรุกสามารถปลอมแปลงตัวตนเป็นผู้ใช้ที่ได้รับอนุญาต
อย่างไรก็ตามข้อกำหนดนี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
นอกจากนี้คำแนะนำหลายส่วนในข้อกำหนด
6ได้ปรับให้สอดคล้องกับมาตรฐานทางด้านความมั่นคงปลอดภัยที่ใช้กันโดยทั่วไปเช่น
OWASP,
NIST, SANS เป็นต้น
ข้อกำหนด 8: การกำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์
มีการปรับปรุงข้อ
8.2.3
โดยการรวมเรื่องความต้องการความซับซ้อนและความแข็งแรงของรหัสผ่านขั้นต่ำเป็นข้อเดียว
และเพิ่มความยืดหยุ่นสำหรับทางเลือกอื่นที่ให้ความซับซ้อนและความแข็งแรงของรหัสผ่านที่เทียบเท่ากัน
โดยมีคำแนะนำให้เลือกใช้ตามเอกสาร
NIST
SP 800-63-1 ที่กำหนดค่า
“Entropy”
เป็นค่าวัดความยากในการเดารหัสผ่านหรือกุญแจ
ถ้ามีความยากเทียบเท่าหรือมากกว่าที่กำหนดไว้ในข้อนี้ก็ถือว่าใช้ได้
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอีกก็คือข้อ
8.5.1
เป็นข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ
คือถ้าผู้ให้บริการต้องทำการเข้าใช้ระบบจากระยะไกลเพื่อช่วยเหลือ
จะต้องใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับลูกค้าแต่ละราย
โดยมีคำแนะนำเช่นการใช้การพิสูจน์ตัวตนสองปัจจัย
(Two-Factor
Mechanism)
ที่ให้ข้อมูลประจำตัวที่ไม่ซ้ำกันสำหรับแต่ละการเชื่อมต่อแต่ละครัง
(ตัวอย่างเช่นผ่านทางรหัสผ่านแบบใช้ครั้งเดียว)
ข้อกำหนดนี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
อีกข้อที่เพิ่มใหม่คือข้อ
8.6
กำหนดว่าหากมีการใช้กลไกการตรวจสอบอื่นๆ
(ตัวอย่างเช่น
Security
Token ไม่ว่าจะอยู่ในรูปอุปกรณ์ที่สามารถจับต้องได้หรือรหัสดิจิทัล
บัตรสมาร์ทคาร์ด,
ใบรับรองดิจิทัล
ฯลฯ )
การใช้กลไกเหล่านี้จะต้องกำหนดว่า
การพิสูจน์ตัวตนนั้นจะต้องถูกกำหนดให้ใช้กับบัญชีรายบุคคล
และต้องไม่ใช้ร่วมกันระหว่างหลายบัญชี
นอกจากนั้นจะต้องมีการควบคุมทางกายภาพและ/หรือเชิงตรรกะ
(Physical
and/or Logical Control)
เพื่อให้มั่นใจว่าบัญชีที่กำหนดเท่านั้นที่จะใช้งานได้
ข้อกำหนด 9: การจํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอยู่ในข้อ
9.3
กำหนดให้มีการควบคุมการเข้าถึงทางกายภาพในการเข้าพื้นที่ของบุคลากรไปยังพื้นที่ที่มีความสำคัญ
โดยการเข้าถึงต้องได้รับอนุญาตและขึ้นอยู่กับลักษณะงานของแต่ละบุคคล
รวมทั้งจะต้องถูกยกเลิกทันทีที่สิ้นสุดการอนุญาตและกลไกการเข้าถึงทางกายภาพเช่นคีย์การ์ดและอื่นๆ
จะต้องถูกส่งคืนหรือปิดการใช้งาน
ข้อใหม่อีกข้อคือหัวข้อ
9.9
ปกป้องอุปกรณ์อ่านข้อมูลบัตรชำระเงินจากการถูกดัดแปลงหรือเอาเครื่องอื่นมาสวมรอยแทน
ข้อกำหนดนี้นำไปประยุกต์ใช้กับอุปกรณ์อ่านบัตรที่ใช้ในการทำธุรกรรมที่ต้องแสดงบัตร
(นั่นคือรูดหรือเสียบบัตร)
ณ.
จุดขาย ข้อกำหนด
9.9
นี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
ข้อกำหนด 10: การติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร
ข้อกำหนดที่ถูกปรับปรุงคือข้อ
10.2.5
มีกลไกในการบันทึกการใช้และการแก้ไขการระบุและพิสูจน์ตัวตน
รวมถึงการสร้างบัญชีใหม่และการยกระดับของสิทธิการใช้งาน
และการแก้ไขเพิ่มเติมหรือลบบัญชีทั้งหมดด้วยสิทธิ์ของ
root
หรือ Administrator
เพราะหากไม่ทราบว่าผู้ที่เข้าสู่ระบบในช่วงเวลาของเหตุการณ์ที่เกิดขึ้นนั้นก็ไม่สามารถที่จะระบุบัญชีที่อาจมีการใช้งานได้
นอกจากนี้ผู้ใช้ที่เป็นอันตรายอาจพยายามที่จะจัดการกับตัวควบคุมการพิสูจน์ตัวตน
โดยตั้งใจที่จะผ่านหลบหลีกการพิสูจน์ตัวตนหรือแอบอ้างเป็นบัญชีที่ถูกต้อง
ข้อกำหนดที่ถูกปรับปรุงอีกข้อคือข้อ
10.2.6
เกี่ยวกับการบันทึกการเริ่มต้น
การหยุด หรือการหยุดการทำงานของ
Audit
Log ชั่วคราว
เพื่อป้องกันผู้ใช้ที่ไม่ประสงค์ดีหลบเลี่ยงการตรวจสอบการทำงาน
ข้อกำหนด 11: การทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ
ข้อกำหนด
11
เป็นข้อที่มีการปรับปรุงแก้ไขเพิ่มเติมค่อนข้างมาก
ข้อกำหนดที่มีการปรับปรุงคือข้อ
11.1
โดยเพิ่มการทำบัญชีรายการจุดเชื่อมต่อไร้สาย
(Wireless
Access Point) ที่ได้รับอนุญาต
รวมทั้งระบุเหตุผลทางธุรกิจของการใช้จุดเชื่อมต่อไร้สายนั้นๆไว้เป็นลายลักษณ์อักษร
(11.1.1)
เพื่อที่จะใช้อ้างอิงเวลาทำการตรวจสอบหาจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต
และเพิ่มข้อ 11.1.2
คือให้มีกระบวนตอบสนองต่อเหตุการณ์ในกรณีที่มีการตรวจพบจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต
ส่วนข้อกำหนดที่มีการแก้ไขและเพิ่มเติมได้แก่
ข้อ 11.3
ให้ใช้วิธีการทดสอบเจาะระบบ
(Methodology
for Penetration Testing) ที่เป็นที่ยอมรับของอุตสาหกรรม
เช่น NIST
SP800-115
คลอบคลุมบริเวณที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรและระบบที่สำคัญ
มีการทดสอบจากทั้งภายในและภายนอกเครือข่าย
รวมถึงกำหนดให้มีการทดสอบการเจาะระดับโปรแกรมเพื่อครอบคลุมช่องโหว่ที่ระบุไว้ในข้อกำหนด
6.5
เป็นอย่างน้อย
กำหนดให้มีการทดสอบการเจาะเครือข่ายรวมถึงองค์ประกอบที่สนับสนุนการทำงานของเครือข่ายรวมทั้งระบบปฏิบัติการ
รวมถึงการตรวจสอบและการพิจารณาภัยคุกคามและช่องโหว่ที่มีเกิดขึ้นในช่วง
12
เดือนที่ผ่านมา
และระบุการเก็บรักษาของผลการทดสอบการเจาะและกิจกรรมในการแก้ไขช่องโหว่ด้วย
ทั้งนี้ยังคงให้ใช้ข้อกำหนดในการทดสอบเจาะระบบตาม
PCI-DSS
2.0 ไปจนกว่าทุกหัวข้อที่กำหนดไว้เป็น
Best
Practice จะดำเนินการตามข้อกำหนด
PCI-DSS
3.0 ครบถ้วน
อย่างไรก็ตามจะมีการบังคับใช้ข้อบังคับใหม่นี้ตั้งแต่วันที่
1
กรกฎาคม 2558
มีการเพิ่มข้อกำหนด
11.5.1
เพื่อสนับสนุนข้อ
11.5
โดยให้มีการใช้กระบวนการเพื่อตอบสนองต่อการแจ้งเตือนใดๆ
ที่เกิดจากระบบการตรวจสอบการเปลี่ยนแปลง
ข้อกำหนด 12: การคงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน
มีการย้ายเอาข้อกำหนด
12.1.2
ที่เกี่ยวกับกระบวนการประเมินความเสี่ยงประจำปีไปยังข้อ
12.2
และกำหนดว่าการประเมินความเสี่ยงต้องทำทุกปีและทุกครั้งที่มีการเปลี่ยนแปลงสภาวะแวดล้อมอย่างมีนัยสำคัญเป็นอย่างน้อย
ข้อกำหนดใหม่เพิ่มเข้ามาคือข้อ
12.8.5
ในเรื่องการรักษาข้อมูลเกี่ยวกับผู้ให้บริการแต่ละรายว่ามีจัดการตามข้อกำหนด
PCI
DSS ข้อใด
และข้อใดที่มีการจัดการโดยองค์กร
ส่วนอีกข้อคือข้อ
12.9
ที่เพิ่มขึ้นมาคือข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ
โดยระบุว่าผู้ให้บริการรับทราบเป็นลายลักษณ์อักษรให้กับลูกค้าว่าพวกเขามีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลผู้ถือบัตรที่ผู้ให้บริการครอบครอง
จัดเก็บ ดำเนินการ
หรือส่งในนามของลูกค้า
หรือกรณีใดก็ตามส่งผลกระทบต่อการรักษาความปลอดภัยของภาวะแวดล้อมข้อมูลผู้ถือบัตรของลูกค้า
ข้อกำหนด 12.9
นี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
บทส่งท้าย
PCI-DSS
3.0 ได่มีการปรับปรุงแก้ไขเพิ่มเติมจาก
PCI-DSS
2.0 โดยมุ่งเน้นไปที่การให้ความรู้และความตระหนักในมาตรฐาน
ความยืดหยุ่นที่เพิ่มขึ้น
และความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกันทั้งองค์กรและผู้ให้บริการที่เกี่ยวข้อง
โดยจะเริ่มต้นใช้งานตั้งแต่วันที่
1
มกราคม
2557
เป็นต้นไป
และจะใช้งานอย่างสมบูรณ์ตั้งแต่วันที่
1
กรกฎาคม
2558
ดังนั้นผู้ที่จะเริ่มปฏิบัติตามมาตรฐาน
PCI-DSS
รวมทั้งผู้ที่เคยผ่านการประเมินมาแล้ว
จึงควรที่จะศึกษาข้อแตกต่างเพื่อที่จะรับการประเมินตามมาตรฐานใหม่ได้อย่างถูกต้อง
เอกสารอ้างอิง
Payment
Card Industry (PCI) Data Security Standard: Requirements and
Security Assessment Procedures Version 3.0, PCI Security Standards
Council, LLC., November 2013
Payment
Card Industry (PCI) Data Security Standard and Payment Application
Data Security Standard Version 3.0 Change Highlights, PCI Security
Standards Council, LLC., August 2013
PCI
DSS 3.0 – What’s New? An Infographic, Anthony M Freed, Tripwire
Inc., December 5, 2013
บทความที่เกี่ยวข้อง
