คำถามเกี่ยวกับ PCI DSS
AUDIT ASSURANCE AND CONSULTING
The Payment Card Industry Data Security Standard (PCI DSS) คือกลุ่มของมาตรฐานด้านความมั่นคงปลอดภัยที่ออกแบบมาสำหรับทุกองค์กรที่ รับ ประมวลผล จัดเก็บ และส่งต่อข้อมูลบัตรเครดิต เพื่อให้สามารถมั่นใจว่า หากได้ทำตามมาตรฐานแล้วจะทำให้ระบบขององค์กรมีความมั่นคงปลอดภัย และจะช่วยลดโอกาสและผลกระทบที่อาจเกิดขึ้นจากการรั่วไหลของข้อมูลบัตรเครดิต The Payment Card Industry Data Security Standard (PCI DSS) เกิดขึ้นเมื่อวันที่ 7 กันยายน 2006 เพื่อบริหารจัดการให้การดำเนินการตามมาตรฐาน PCI DSS เป็นไปอย่างต่อเนื่อง โดยที่ PCI DSS บริหารโดย PCI SSC หรือ สภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (www.pcisecuritystandards.org) ซึ่งเป็นองค์กรอิสระ โดยการก่อตั้งโดยบัตรเครดิต 5 บริษัท ได้แก่ Visa, MasterCard, American Express, Discover และ JCB โดยบริษัทเหล่านี้มีหน้าที่บังคับให้ องค์กรที่รับ ประมวลผล จัดเก็บ และส่งต่อข้อมูลบัตรเครดิต ปฏิบัติตามมาตรฐาน โดยที่ PCI SSC มีหน้าที่ออกมาตฐานเท่านั้น โดยสามารถดาวน์โหลดมาตรฐาน PCI DSS ได้ที่นี่
PCI DSS บังคับใช้กับองค์กรที่รับ ประมวลผล ส่งต่อ หรือ จัดเก็บข้อมูลบัตรเครดิต โดยขึ้นอยู่กับจำนวนธุรกรรมที่เกิดขึ้นในแต่ละปี โดยธนาคารผู้รับชำระโดยบัตรเครดิต ที่องค์กรเป็นสมาชิก จะเป็นผู้กำหนดให้ว่าองค์กรนั้นๆ จะต้องตรวจ PCI DSS ในระดับใด แต่สำหรับ ผู้ให้บริการ (Service Provider) ไม่ว่าจะเป็น Payment Gateway, OTA, Issuer, Acquirer และผู้ให้บริการแอพพลิเคชั่น หรือเว็บไซต์ E-commerce ที่มีการประมวลผล ส่งต่อ หรือ จัดเก็บข้อมูลบัตรเครดิต ก็ต้องได้รับการตรวจ PCI DSS ด้วยเช่นกัน เพื่อรับรองว่าระบบมีความมั่นคงปลอดภัยตามมาตรฐาน
ร้านค้าหรือองค์กรที่รับชำระค่าสินค้าหรือบริการด้วยบัตรเครดิตจะถูกแบ่งออกเป็น 4 ระดับ ตามจำนวนธุรกรรมของบัตรเครดิตรายปี โดยรวมทั้งบัตรเดบิตและเครดิต ซึ่งมีรายละเอียดดังนี้
ระดับที่ 1 ร้านค้าที่มีการทำธุรกรรมทุกช่องทางไม่ว่าจะเป็นทาง E-Commerce หน้าร้าน หรือทางโทรศัพท์ มากกว่า 6 ล้านธุรกรรมต่อปี จะต้องมีมาตรฐานการรักษาความปลอดภัยในระดับที่ 1 เพื่อลดความเสี่ยง
ระดับที่ 2 ร้านค้าที่มีการทำธุรกรรมทุกช่องทางไม่ว่าจะเป็นทาง E-Commerce หน้าร้าน หรือทางโทรศัพท์ อยู่ระหว่าง 1 ถึง 6 ล้านธุรกรรมต่อปี
ระดับที่ 3 ร้านค้าที่มีการทำธุรกรรมบน E-Commerce อยู่ระหว่าง 20,000 ถึง 1 ล้านธุรกรรมต่อปี
ระดับที่ 4 ร้านค้าที่มีการทำธุรกรรมบน E-Commerce น้อยกว่า 20,000 และรวมกับช่องทางอื่น ๆ มากกว่า 1 ล้านธุรกรรมต่อปีQSA หรือ Qualified Security Assessor คือผู้ที่ได้รับการรับรองว่าสามารถตรวจสอบมาตรฐาน PCI DSS ได้และมีใบอนุญาตให้สามารถลงนามตรวจ PCI DSS ROC, SAQ ให้กับร้านค้า ธนาคารผู้ออกบัตรและรับบัตร ผู้ให้บริการที่รับ ประมวลผล ส่งต่อและจัดเก็บข้อมูลบัตรเครดิต โดย QSA จะต้องได้รับการฝึกอบรมและสอบให้ผ่านทุกปีจากสถาบัน PCI SSC ซึ่ง ALPHASEC มี QSA คนไทยที่สามารถให้คำปรึกษาและตรวจรับรองมาตรฐาน PCI DSS ได้
โดยทั่วไปแล้วการได้รับรองว่าองค์กรมีมาตรฐานตาม PCI DSS จะต้องดำเนินการตามมาตรฐาน PCI DSS ทุกข้อ ยกเว้น ว่าจะไม่ได้มีการใช้งานเทคโนโลยีที่เกี่ยวข้อง เช่น มาตรฐานกำหนดว่า จะต้องมีการตรวจความมั่นคงปลอดภัยของเครือข่ายไร้สาย แต่องค์กรไม่ได้มีการใช้งาน ก็ไม่จำเป็นต้องตรวจความมั่นคงปลอดภัยของเครือข่ายไร้สาย แต่ปัญหาหลักขององค์กรโดยทั่วไปที่ไม่สามารถผ่านการตรวจรับรองได้คือการที่ ไม่สามารถแยกระบบที่ไม่เกี่ยวข้องกับระบบที่เก็บ ประมวลผล ส่งต่อ ข้อมูลบัตรเครดิตได้ เช่นมีเมลเซิร์ฟเวอร์ขององค์กรอยู่ร่วมกับระบบในขอบเขตที่ประมวลผลบัตรเครดิต ทำให้อีเมลเซิร์ฟเวอร์ ต้องถูกควบคุมตามมาตรฐาน PCI DSS ไปด้วย ซึ่งลักษณะนี้เรียกว่า Flat Network ดังนั้นต้องแก้ไขโดยการทำ Segmentation ซึ่งโดยทั่วไปการทำ Segmentation จะใช้เวลาไปกว่า 30% ของการทำ PCI DSS ที่เหลือคือการพัฒนานโยบายหรือเอกสาร หรือการควบคุมในด้านอื่นๆ เพื่อให้สอดคล้องกับมาตรฐาน PCI DSS
ดังนั้นหากองค์กรมีความประสงค์จะได้รับการรับรอง PCI DSS ควรจะต้องดำเนินการประเมิน Gap Assessment ก่อนเพื่อให้ทราบว่าองค์กรยังขาดอะไร และต้องทำอะไรเพิ่ม ซึ่งหากพร้อมแล้วจึงให้ QSA มาดำเนินการตรวจ เพื่อออก Report on Compliance และ Attestation of Compliance รวมถึง PCI DSS Certificate ต่อไป
1: ติดตั้งและดูแลรักษาการตั้งค่าของ Firewall เพื่อปกป้องข้อมูลผู้ถือบัตร
2: ไม่ใช้รหัสผ่านและการตั้งค่าความปลอดภัยที่เป็นค่าตั้งต้นของผลิตภัณฑ์
3: ปกป้องข้อมูลผู้ถือบัตรที่ถูกจัดเก็บ
4: เข้ารหัสลับข้อมูลผู้ถือบัตรที่มีการส่งผ่านเครือข่ายสาธารณะ
5: การป้องกันไวรัส และการปรับปรุงข้อมูลไวรัสใน Anti-virus ให้เป็นปัจจุบัน
6: พัฒนาและดูแลรักษาระบบและแอปพลิเคชันให้มีความปลอดภัย
7: จำกัดการเข้าถึงข้อมูลผู้ถือบัตรตามความจำเป็นในการใช้งาน
8: การบริหารจัดการบัญชีผู้ใช้ในการเข้าถึงระบบ
9: จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ
10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตร
11: การทดสอบด้านความปลอดภัย
12: นโยบายด้านความปลอดภัยต้องทำ เนื่องจากทุกธุรกิจที่มีการจัดเก็บ ประมวลผลและส่งต่อข้อมูลบัตรต้องปฏิบัติตามมาตรฐาน PCI DSS
-
ต้องประเมินตนเองตามแบบฟอร์ม Self-assessment Questionnaire
-
ปฏิบัติตาม PCI DSS และต้องสามารถแสดงหลักฐานการปฏิบัติตามมาตรฐาน รวมถึงตรวจสอบช่องโหว่โดยใช้โปรแกรมตรวจสอบช่องโหว่ที่ได้รับการรับรองโดย PCI SSC หรือที่เรียกว่า Approved Scanning Vendor (ASV) เฉพาะ SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant และ SAQ D-Service Provider.
-
ส่งแบบประเมิน SAQ, หลักฐาน และ Attestation of compliance (AOC) ให้กับหน่วยงานที่แจ้งให้ดำเนินการตรวจประเมินเช่น ธนาคารผู้รับบัตร
-
ธุรกิจยังต้อง ปฏิบัติตามมาตรฐาน PCI DSS เนื่องจากการใช้บริการผู้ให้บริการในการประมวลผลข้อมูลบัตร เป็นเพียงการลดความเสี่ยงของการประมวลผลข้อมูลบัตรของธุรกิจ แต่ไม่สามารถยกเว้นการปฏิบัติตามมาตรฐาน PCI DSS ได้
หากธุรกิจมีหมายเลขผู้เสียภาษีเดียวกัน สามารถที่จะใช้การตรวจสอบครั้งเดียวสำหรับทุกพื้นที่ แต่ต้องมีการตรวจสอบช่องโหว่ของ ระบบเครือข่าย โดยโปรแกรมที่ได้รับอนุญาตโดย PCI SSC ทุกพื้นที่
Merchant คือนิติบุคคลที่รับชำระเงินด้วยบัตรเครดิตหรือบัตรเดบิตที่มีโลโก้ของ American Express, Discover, JCB, MasterCard or Visa) ซึ่งรวมถึงผู้ให้บริการ (Service Provider) ที่ให้บริการเก็บ ประมวลผล หรือส่งต่อ ข้อมูลบัตร เช่น Internet Service Provider เป็นต้น
ถ้าองค์กรมีการรับชำระเงินด้วยบัตรเครดิตหรือบัตรเดบิตต้องปฏิบัติตาม PCI DSS ซึ่งการเก็บข้อมูลบัตรถือว่าเป็นความเสี่ยง แต่หากไม่ได้เก็บก็จะทำให้ความเสี่ยงลดลงและทำให้ไปปฏิบัติตาม PCI DSS ได้ง่ายขึ้น
PA-DSS คือ Payment Application Data Security Standard maintained ที่ออกโดย PCI Security Standards Council (SSC) เพื่อเป็นแนวทางในการพัฒนาระบบที่เกี่ยวข้องกับการรับชำระเงินผ่านบัตรเครดิตหรือเดบิตให้มีความมั่นคงปลอดภัย โดยข้อกำหนดของ PA-DSS ออกแบบมาเพื่อให้มั่นใจได้ว่าผู้จำหน่ายระบบจะมีการปฏิบัติตามมาตรฐาน PA-DSS และจะไม่เก็บข้อมูลผู้ใช้บัตรไว้ในระบบ โดยสามารถตรวจสอบได้ว่าระบบที่ผ่านมาตรฐาน PA-DSS มีผลิตภัณฑ์ใดบ้างจากเว็บไซต์ PCI Security Standards
PCI DSS Certificate คือใบรับรองว่าองค์กรได้ปฏิบัติตามมาตรฐาน PCI DSS ครบทุกข้อ โดย Certificate จะออกโดยบริษัทที่เป็น Qualified Security Assessor Company (QSAC) ซึ่งไม่เกี่ยวข้องกับสภา PCI หรือ PCI SSC แต่อย่างใด โดยทั่วไป Certificate จะมีอายุเพียงหนึ่งปี ดังนั้นจะต้องมีการตรวจประเมินใหม่ทุกๆปี โดย QSA