บทความนี้ผมได้เขียนลงนิตยสาร E-WORLD ฉบับธันวาคม 2556 เห็นว่ามีการจัดสัมมนาเกี่ยวกับ PCI-DSS ในช่วงนี้มากพอสมควรจึงนำมาให้อ่านกัน แม้ว่า Version 3.1 จะออกมาแล้วก็ตาม
สำหรับผู้ที่ให้บริการรับชำระเงินในการทำธุรกรรมอิเล็กทรอนิกส์ด้วยบัตรเครดิตหรือบัตรเดบิต
คงจะคุ้นเคยกับมาตรฐาน
PCI-DSS
(Payment Card Industry - Data Security Standard) มากพอสมควร
โดยมาตรฐาน
PCI
DSS ถูกกำหนดเพื่อเพิ่มการปกป้องข้อมูลผู้ถือบัตร
(Cardholder
Data) โดยครอบคลุมผู้ที่เกี่ยวข้องกับธุรกิจบัตรอันได้แก่
ร้านค้า
ผู้ประมวลผลข้อมูล
สถาบันการเงินผู้รับบัตร
สถาบันการเงินผู้ออกบัตร
รวมถึงผู้ให้บริการอื่นๆ
รวมไปถึงทุกส่วนที่เกี่ยวข้องกับการเก็บ
ประมวลผล
และส่งข้อมูลของผู้ถือบัตร
PCI
DSS
ถือเป็นมาตรฐานเพื่อการกำกับดูแลกันเองในกลุ่มผู้ที่อยู่ในธุรกิจบัตรเครดิต
การที่ผู้ที่เกี่ยวข้องกับธุรกิจบัตรเครดิตไม่ปฏิบัติตามมาตรฐานนี้อาจทำให้มีโทษปรับจากสถาบันการเงิน
หรือผู้ให้บริการบัตรเครดิต
หรือถูกระงับการให้บริการที่เกี่ยวข้องกับบัตรเครดิตได้
มาตรฐานนี้ประกอบด้วยความต้องการขั้นต้นเกี่ยวกับความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลผู้ถือบัตรรวม
12
ประการ
ใน 6
วัตถุประสงค์
มาตรฐาน
PCI
DSS ที่ใช้กันอยู่ในปัจจุบันเป็นรุ่น
2.0
ออกในเดือนตุลาคม
2553
และจะเริ่มถูกแทนที่โดย
PCI-DSS
3.0 ตั้งแต่วันที่
1
มกราคม
2557
เป็นต้นไป
โดยที่ผู้ให้บริการที่จะรับการประเมินตามมาตรฐาน
PCI-DSS
ตั้งแต่ปี
2557
จะต้องถูกประเมินตามมาตรฐานใหม่
แต่ส่วนผู้ที่ได้รับการประเมินตามมาตรฐานนี้ก่อนสิ้นปี
2556
จะยังคงถูกการประเมินตามตาม
PCI-DSS
2.0 ไปจนถึงสิ้นปี
2557
หลังจากนั้นจึงจะเริ่มถูกประเมินตามมาตรฐานใหม่เช่นกัน
อย่างไรก็ตามข้อกำหนดบางใหม่อย่างก็จะยังเป็นเพียงข้อแนะนำที่เป็น
Best
Practice และจะยังไม่ถูกบังคับใช้จนกว่าวันที่
1
กรกฎาคม
2558
ทั้งนี้จะได้กล่าวถึงในส่วนถัดไป
สาเหตุของการเปลี่ยนแปลง
มาตรฐานต่างๆของ
PCI
ถูกปรับปรุงตามเสียงสะท้อนจากผู้ใช้งานในกลุ่มอุตสาหกรรมการใช้บัตรเพื่อชำระเงินตามวงจรการพัฒนามาตรฐานอุตสาหกรรมทั่วไปเพื่อตอบสนองความต้องการของตลาด
ซึ่งความต้องการต่างๆเหล่านั้นเช่น
การขาดความรู้และตระหนักถึงความสำคัญของมาตรฐาน
การใช้งานรหัสผ่านและการพิสูจน์ตัวตนที่ง่ายเกินไป
การกระตุ้นจากองค์กรมาตรฐานความมั่นคงปลอดภัยอื่นๆ
การแพร่ระบาดของมัลแวร์
รวมถึงการประเมินที่ไม่เป็นไปในทิศทางเดียวกัน
ประเด็นหลักในการเปลี่ยนแปลง
การเปลี่ยนแปลงในรุ่น
3.0
เพื่อช่วยองค์กรต่างๆ
เพื่อดำเนินการปกป้องข้อมูลผู้ถือบัตรซึ่งมุ่งความสนใจไปที่เรื่องความมั่นคงปลอดภัยมากกว่าการปฏิบัติตามข้อกำหนด
และทำให้ PCI
DSS ถูกใช้งานเป็นปกติวิสัย
(Business-as-Usual)
ประเด็นหลักในการเปลี่ยนแปลงที่ถูกเน้นในรุ่น
3.0
ประกอบด้วย
การให้ความรู้และความตระหนักในมาตรฐาน (Education and Awareness)
การขาดความรู้ความเข้าใจและความตระหนักถึงความปลอดภัยในการชำระเงินด้วยบัตร
ประกอบกับการดำเนินการและการรักษามาตรฐาน
PCI
ต่างๆเป็นไปอย่างไม่ถูกต้อง
ทำให้เกิดช่องโหว่ทางความมั่นคงปลอดภัยเพิ่มขึ้นในปัจจุบัน
การปรับปรุงมาตรฐานนี้จะมุ่งช่วยเหลือองค์กรต่างๆ
ให้เข้าใจความตั้งใจของข้อกำหนดได้ดีขึ้น
รวมทั้งวิธีดำเนินการและรักษาตัวควบคุมต่างๆ
ที่ใช้ในธุรกิจทั้งหมด
ความยืดหยุ่นที่เพิ่มขึ้น (Increased Flexibility)
การเปลี่ยนแปลงใน
PCI
DSS 3.0
มุ่งเน้นไปยังความเสี่ยงที่พบบ่อยในบางเรื่องซึ่งส่งผลให้สามารถเข้าถึงข้อมูลผู้ถือบัตรได้
เช่นรหัสผ่านหรือการพิสูจน์ตัวตนที่ไม่ดีพอ
มัลแวร์
รวมถึงการตรวจสอบที่ไม่มีประสิทธิภาพเป็นต้น
โดยเพิ่มทางเลือกที่มากขึ้นให้ยืดหยุ่นเพื่อที่จะสามารถทำตามข้อกำหนดได้
ซึ่งจะช่วยให้แต่ละองค์กรปรับใช้ตามแนวทางของตนเพื่อจะจัดการปัญหาและลดความเสี่ยงที่พบบ่อย
ในขณะเดียวกันกระบวนการตรวจสอบที่เข้มงวดกับการดำเนินการตามข้อกำหนดก็จะช่วยองค์กรในการผลักดันและรักษาการควบคุมในทุกส่วนของธุรกิจได้
ความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกัน (Security as a Shared Responsibility)
การรักษาความมั่นคงปลอดภัยของผู้ใช้ข้อมูลเป็นความรับผิดชอบร่วมกัน
หลายครั้งที่มีความสับสนระหว่างร้านค้ากับผู้ให้บริการว่าใครต้องรับผิดชอบอะไร
ใน PCI-DSS
3.0
เพิ่มแนวทางแก่ผู้ให้บริการและร้านค้าเพื่อให้มีความรับผิดชอบร่วมกัน
ร้านค้าจะไม่สามารถผลักภาระไปยังผู้ให้บริการแต่ต้องร่วมมือกับผู้ให้บริการเพื่อทำให้สอดคล้องกับมาตรฐาน
ข้อกำหนดที่มีการปรับปรุง
ในมาตรฐาน
PCI-DSS
3.0 มีการปรับปรุงขึ้นมาแบ่งได้
3
กลุ่มคือ
- การเพิ่มความชัดเจนในการประเมินตามข้อกำหนด
- การเพิ่มแนวทางในการดำเนินการตามข้อกำหนด
- การเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบัน
ในบทความนี้จะกล่าวถึงเพียงการเปลี่ยนแปลงข้อกำหนดเพื่อรองรับภัยคุกคามและตลาดในปัจจุบันเท่านั้น
ซึ่งถ้าแบ่งตามข้อกำหนดของ
PCI-DSS
จะพบว่าข้อกำหนดที่ไม่มีการเปลี่ยนแปลงประกอบด้วย
- ข้อกำหนด 3 การปกป้องข้อมูลผู้ถือบัตรที่ถูกบันทึกไว้
- ข้อกำหนด 4 การเข้ารหัสลับข้อมูลผู้ถือบัตรระหว่างการส่งข้อมูลผ่านเครือข่ายสาธารณะ
- ข้อกำหนด 7 การจำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น
เราจะมาพิจารณาในข้อต่างๆที่มีการเปลี่ยนแปลงดังนี้
ข้อกำหนด 1: การติดตั้งและดูแลรักษาค่าต่างๆของไฟร์วอลเพื่อปกป้องข้อมูลผู้ถือบัตร
ข้อกำหนดที่มีการเปลี่ยนแปลงในส่วนนี้คือการกำหนดให้ต้องมีแผนผังเพื่อแสดงการเคลื่อนที่ของข้อมูลผู้ถือบัตรไปยังส่วนต่างๆที่สำคัญในแผนผังเครือข่าย
(Network
Diagram) โดยในข้อ
1.1.2
กำหนดว่าต้องมีแผนผังเครือข่ายที่ระบุการเชื่อมต่อจากสภาพแวดล้อมของข้อมูลผู้ถือบัตร
(Cardholder
Data Environment) ไปยังเครือข่ายอื่นรวมทั้งเครือข่ายไร้สาย
และในข้อ 1.1.3
กำหนดว่าต้องมีแผนผังการเคลื่อนที่ของข้อมูลผู้ถือบัตร
(Cardholder
Data Flows)ไปยังระบบและเครือข่ายต่างๆ
ด้วย
ข้อกำหนด 2: การห้ามใช้ค่าตั้งต้นจากผู้ขายผลิตภัณฑ์สำหรับรหัสผ่านของระบบและค่าความมั่นคงปลอดภัยอื่นใด
มีข้อกำหนดใหม่ที่เพิ่มขึ้นคือข้อ
2.4
ให้ปรับปรุงบัญชีองค์ประกอบต่างๆ
ของระบบที่อยูในขอบเขตที่เกี่ยวข้องกับ
PCI-DSS
เหตุผลก็คือถ้าไม่มีบัญชีนี้
องค์ประกอบของระบบบางรายการอาจจะถูกลืม
และอาจถูกยกเว้นไม่ได้ตั้งค่าให้ถูกต้องตามมาตรฐานขององค์กรโดยไม่ได้ตั้งใจ
ข้อกำหนด 5: การใช้และปรับปรุงโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
มีข้อกำหนดใหม่เพิ่มขึ้นมา
2
ข้อคือ ข้อ
5.1.2
สำหรับระบบที่ได้รับการพิจารณาแล้วว่าจะไม่ได้มีผลกระทบกับจากซอฟต์แวร์ที่เป็นอันตราย
ให้ทำการประเมินเป็นระยะเพื่อระบุและประเมินภัยคุกคามจากมัลแวร์ที่เพิ่มขึ้นเพื่อที่จะยืนยันว่าระบบยังคงไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัส
ตัวอย่างเช่นเครื่องเมนเฟรมหรือเครื่องที่เล็กลงมาอย่าง
AS/400
ไม่ได้เป็นเป้าหมายในการโจมตีของมัลแวร์
แต่อย่างไรก็ตามแนวโน้มของมัลแวร์เปลี่ยนไปได้เสมอ
และอาจจะมีมัลแวร์ใหม่ที่อาจคุกคามระบบเหล่านี้ได้
อีกข้อที่เพิ่มเติมขึ้นมาคือข้อ
5.3
ตรวจสอบให้แน่ใจว่ากลไกการป้องกันไวรัสการทำงานอยู่เสมอและไม่สามารถยกเลิกหรือเปลี่ยนแปลงได้โดยผู้ใช้เว้นแต่ได้รับอนุญาตโดยเฉพาะเป็นกรณีในช่วงเวลาที่
จำกัด
โซลูชั่นป้องกันไวรัสอาจจะถูกปิดใช้งานชั่วคราวได้เฉพาะในกรณีที่มีความจำเป็นในทางเทคนิคโดยได้รับอนุญาตจากผู้บริหารเป็นแต่ละกรณีไป
หากการป้องกันไวรัสจะต้องมีการปิดการใช้งานเพื่อวัตถุประสงค์เช่นนั้นจะต้องได้รับอนุญาตอย่างเป็นทางการ.
นอกจากนี้ยังอาจจะต้องดำเนินมาตรการรักษาความปลอดภัยเพิ่มเติมในช่วงเวลาที่การป้องกันไวรัสไม่ได้ใช้งานด้วย
ข้อกำหนด 6: การพัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้มีความมั่นคงปลอดภัย
ข้อกำหนดใหม่ที่เพิ่มขึ้นมาอยู่ในข้อ
6.5.10
คือเรื่อง
Broken
Authentication and Session Management
ซึ่งเป็นเรื่องเกี่ยวกับการป้องกันช่องโหว่ของการพิสูจน์ตัวตนเข้าใช้งานและจัดการสถานะการใช้งานของผู้ใช้
เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงบัญชี
กุญแจรหัส หรือข้อมูลรักษาสถานะการใช้งาน
(Session
Token)
ซึ่งจะทำให้ผู้บุกรุกสามารถปลอมแปลงตัวตนเป็นผู้ใช้ที่ได้รับอนุญาต
อย่างไรก็ตามข้อกำหนดนี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
นอกจากนี้คำแนะนำหลายส่วนในข้อกำหนด
6ได้ปรับให้สอดคล้องกับมาตรฐานทางด้านความมั่นคงปลอดภัยที่ใช้กันโดยทั่วไปเช่น
OWASP,
NIST, SANS เป็นต้น
ข้อกำหนด 8: การกำหนดบัญชีผู้ใช้หนึ่งบัญชีต่อหนึ่งคนในการใช้งานคอมพิวเตอร์
มีการปรับปรุงข้อ
8.2.3
โดยการรวมเรื่องความต้องการความซับซ้อนและความแข็งแรงของรหัสผ่านขั้นต่ำเป็นข้อเดียว
และเพิ่มความยืดหยุ่นสำหรับทางเลือกอื่นที่ให้ความซับซ้อนและความแข็งแรงของรหัสผ่านที่เทียบเท่ากัน
โดยมีคำแนะนำให้เลือกใช้ตามเอกสาร
NIST
SP 800-63-1 ที่กำหนดค่า
“Entropy”
เป็นค่าวัดความยากในการเดารหัสผ่านหรือกุญแจ
ถ้ามีความยากเทียบเท่าหรือมากกว่าที่กำหนดไว้ในข้อนี้ก็ถือว่าใช้ได้
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอีกก็คือข้อ
8.5.1
เป็นข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ
คือถ้าผู้ให้บริการต้องทำการเข้าใช้ระบบจากระยะไกลเพื่อช่วยเหลือ
จะต้องใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับลูกค้าแต่ละราย
โดยมีคำแนะนำเช่นการใช้การพิสูจน์ตัวตนสองปัจจัย
(Two-Factor
Mechanism)
ที่ให้ข้อมูลประจำตัวที่ไม่ซ้ำกันสำหรับแต่ละการเชื่อมต่อแต่ละครัง
(ตัวอย่างเช่นผ่านทางรหัสผ่านแบบใช้ครั้งเดียว)
ข้อกำหนดนี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
อีกข้อที่เพิ่มใหม่คือข้อ
8.6
กำหนดว่าหากมีการใช้กลไกการตรวจสอบอื่นๆ
(ตัวอย่างเช่น
Security
Token ไม่ว่าจะอยู่ในรูปอุปกรณ์ที่สามารถจับต้องได้หรือรหัสดิจิทัล
บัตรสมาร์ทคาร์ด,
ใบรับรองดิจิทัล
ฯลฯ )
การใช้กลไกเหล่านี้จะต้องกำหนดว่า
การพิสูจน์ตัวตนนั้นจะต้องถูกกำหนดให้ใช้กับบัญชีรายบุคคล
และต้องไม่ใช้ร่วมกันระหว่างหลายบัญชี
นอกจากนั้นจะต้องมีการควบคุมทางกายภาพและ/หรือเชิงตรรกะ
(Physical
and/or Logical Control)
เพื่อให้มั่นใจว่าบัญชีที่กำหนดเท่านั้นที่จะใช้งานได้
ข้อกำหนด 9: การจํากัดการเข้าถึงทางกายภาพยังข้อมูลผู้ถือบัตร
ข้อกำหนดใหม่ที่เพิ่มเข้ามาอยู่ในข้อ
9.3
กำหนดให้มีการควบคุมการเข้าถึงทางกายภาพในการเข้าพื้นที่ของบุคลากรไปยังพื้นที่ที่มีความสำคัญ
โดยการเข้าถึงต้องได้รับอนุญาตและขึ้นอยู่กับลักษณะงานของแต่ละบุคคล
รวมทั้งจะต้องถูกยกเลิกทันทีที่สิ้นสุดการอนุญาตและกลไกการเข้าถึงทางกายภาพเช่นคีย์การ์ดและอื่นๆ
จะต้องถูกส่งคืนหรือปิดการใช้งาน
ข้อใหม่อีกข้อคือหัวข้อ
9.9
ปกป้องอุปกรณ์อ่านข้อมูลบัตรชำระเงินจากการถูกดัดแปลงหรือเอาเครื่องอื่นมาสวมรอยแทน
ข้อกำหนดนี้นำไปประยุกต์ใช้กับอุปกรณ์อ่านบัตรที่ใช้ในการทำธุรกรรมที่ต้องแสดงบัตร
(นั่นคือรูดหรือเสียบบัตร)
ณ.
จุดขาย ข้อกำหนด
9.9
นี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
ข้อกำหนด 10: การติดตามและเฝ้าดูการเข้าถึงทุกการใช้งานเครือข่ายและข้อมูลผู้ถือบัตร
ข้อกำหนดที่ถูกปรับปรุงคือข้อ
10.2.5
มีกลไกในการบันทึกการใช้และการแก้ไขการระบุและพิสูจน์ตัวตน
รวมถึงการสร้างบัญชีใหม่และการยกระดับของสิทธิการใช้งาน
และการแก้ไขเพิ่มเติมหรือลบบัญชีทั้งหมดด้วยสิทธิ์ของ
root
หรือ Administrator
เพราะหากไม่ทราบว่าผู้ที่เข้าสู่ระบบในช่วงเวลาของเหตุการณ์ที่เกิดขึ้นนั้นก็ไม่สามารถที่จะระบุบัญชีที่อาจมีการใช้งานได้
นอกจากนี้ผู้ใช้ที่เป็นอันตรายอาจพยายามที่จะจัดการกับตัวควบคุมการพิสูจน์ตัวตน
โดยตั้งใจที่จะผ่านหลบหลีกการพิสูจน์ตัวตนหรือแอบอ้างเป็นบัญชีที่ถูกต้อง
ข้อกำหนดที่ถูกปรับปรุงอีกข้อคือข้อ
10.2.6
เกี่ยวกับการบันทึกการเริ่มต้น
การหยุด หรือการหยุดการทำงานของ
Audit
Log ชั่วคราว
เพื่อป้องกันผู้ใช้ที่ไม่ประสงค์ดีหลบเลี่ยงการตรวจสอบการทำงาน
ข้อกำหนด 11: การทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความมั่นคงปลอดภัยอย่าง สม่ำเสมอ
ข้อกำหนด
11
เป็นข้อที่มีการปรับปรุงแก้ไขเพิ่มเติมค่อนข้างมาก
ข้อกำหนดที่มีการปรับปรุงคือข้อ
11.1
โดยเพิ่มการทำบัญชีรายการจุดเชื่อมต่อไร้สาย
(Wireless
Access Point) ที่ได้รับอนุญาต
รวมทั้งระบุเหตุผลทางธุรกิจของการใช้จุดเชื่อมต่อไร้สายนั้นๆไว้เป็นลายลักษณ์อักษร
(11.1.1)
เพื่อที่จะใช้อ้างอิงเวลาทำการตรวจสอบหาจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต
และเพิ่มข้อ 11.1.2
คือให้มีกระบวนตอบสนองต่อเหตุการณ์ในกรณีที่มีการตรวจพบจุดเชื่อมต่อไร้สายที่ไม่ได้รับอนุญาต
ส่วนข้อกำหนดที่มีการแก้ไขและเพิ่มเติมได้แก่
ข้อ 11.3
ให้ใช้วิธีการทดสอบเจาะระบบ
(Methodology
for Penetration Testing) ที่เป็นที่ยอมรับของอุตสาหกรรม
เช่น NIST
SP800-115
คลอบคลุมบริเวณที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรและระบบที่สำคัญ
มีการทดสอบจากทั้งภายในและภายนอกเครือข่าย
รวมถึงกำหนดให้มีการทดสอบการเจาะระดับโปรแกรมเพื่อครอบคลุมช่องโหว่ที่ระบุไว้ในข้อกำหนด
6.5
เป็นอย่างน้อย
กำหนดให้มีการทดสอบการเจาะเครือข่ายรวมถึงองค์ประกอบที่สนับสนุนการทำงานของเครือข่ายรวมทั้งระบบปฏิบัติการ
รวมถึงการตรวจสอบและการพิจารณาภัยคุกคามและช่องโหว่ที่มีเกิดขึ้นในช่วง
12
เดือนที่ผ่านมา
และระบุการเก็บรักษาของผลการทดสอบการเจาะและกิจกรรมในการแก้ไขช่องโหว่ด้วย
ทั้งนี้ยังคงให้ใช้ข้อกำหนดในการทดสอบเจาะระบบตาม
PCI-DSS
2.0 ไปจนกว่าทุกหัวข้อที่กำหนดไว้เป็น
Best
Practice จะดำเนินการตามข้อกำหนด
PCI-DSS
3.0 ครบถ้วน
อย่างไรก็ตามจะมีการบังคับใช้ข้อบังคับใหม่นี้ตั้งแต่วันที่
1
กรกฎาคม 2558
มีการเพิ่มข้อกำหนด
11.5.1
เพื่อสนับสนุนข้อ
11.5
โดยให้มีการใช้กระบวนการเพื่อตอบสนองต่อการแจ้งเตือนใดๆ
ที่เกิดจากระบบการตรวจสอบการเปลี่ยนแปลง
ข้อกำหนด 12: การคงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน
มีการย้ายเอาข้อกำหนด
12.1.2
ที่เกี่ยวกับกระบวนการประเมินความเสี่ยงประจำปีไปยังข้อ
12.2
และกำหนดว่าการประเมินความเสี่ยงต้องทำทุกปีและทุกครั้งที่มีการเปลี่ยนแปลงสภาวะแวดล้อมอย่างมีนัยสำคัญเป็นอย่างน้อย
ข้อกำหนดใหม่เพิ่มเข้ามาคือข้อ
12.8.5
ในเรื่องการรักษาข้อมูลเกี่ยวกับผู้ให้บริการแต่ละรายว่ามีจัดการตามข้อกำหนด
PCI
DSS ข้อใด
และข้อใดที่มีการจัดการโดยองค์กร
ส่วนอีกข้อคือข้อ
12.9
ที่เพิ่มขึ้นมาคือข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการ
โดยระบุว่าผู้ให้บริการรับทราบเป็นลายลักษณ์อักษรให้กับลูกค้าว่าพวกเขามีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลผู้ถือบัตรที่ผู้ให้บริการครอบครอง
จัดเก็บ ดำเนินการ
หรือส่งในนามของลูกค้า
หรือกรณีใดก็ตามส่งผลกระทบต่อการรักษาความปลอดภัยของภาวะแวดล้อมข้อมูลผู้ถือบัตรของลูกค้า
ข้อกำหนด 12.9
นี้จะอยู่ในสถานะเป็น
Best
Practice จนกว่าจะถึงวันที่
1
กรกฎาคม 2558
จึงจะเริ่มใช้จริง
บทส่งท้าย
PCI-DSS
3.0 ได่มีการปรับปรุงแก้ไขเพิ่มเติมจาก
PCI-DSS
2.0 โดยมุ่งเน้นไปที่การให้ความรู้และความตระหนักในมาตรฐาน
ความยืดหยุ่นที่เพิ่มขึ้น
และความมั่นคงปลอดภัยที่ต้องรับผิดชอบร่วมกันทั้งองค์กรและผู้ให้บริการที่เกี่ยวข้อง
โดยจะเริ่มต้นใช้งานตั้งแต่วันที่
1
มกราคม
2557
เป็นต้นไป
และจะใช้งานอย่างสมบูรณ์ตั้งแต่วันที่
1
กรกฎาคม
2558
ดังนั้นผู้ที่จะเริ่มปฏิบัติตามมาตรฐาน
PCI-DSS
รวมทั้งผู้ที่เคยผ่านการประเมินมาแล้ว
จึงควรที่จะศึกษาข้อแตกต่างเพื่อที่จะรับการประเมินตามมาตรฐานใหม่ได้อย่างถูกต้อง
เอกสารอ้างอิง
- Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures Version 3.0, PCI Security Standards Council, LLC., November 2013
- Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security Standard Version 3.0 Change Highlights, PCI Security Standards Council, LLC., August 2013
ไม่มีความคิดเห็น:
แสดงความคิดเห็น