top of page

สรุปการเปลี่ยนแปลงสำคัญของ PCI DSS v4.0.1 ที่องค์กรควรทราบ


สรุปการเปลี่ยนแปลงสำคัญของ PCI DSS v4.0.1 ที่องค์กรควรทราบ
สรุปการเปลี่ยนแปลงสำคัญของ PCI DSS v4.0.1 ที่องค์กรควรทราบ

มาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (Payment Card Industry Data Security Standard: PCI DSS) ซึ่งมีการอัปเดตครั้งใหญ่ในเดือนมีนาคม 2022 ได้มีการปรับปรุงเพิ่มเติมเล็กน้อยในเวอร์ชันใหม่ PCI DSS v4.0.1 เพื่อสะท้อนข้อเสนอแนะจากชุมชนผู้ใช้งาน และปรับปรุงให้การนำไปปฏิบัติง่ายยิ่งขึ้น


การปรับปรุงครั้งนี้มีวัตถุประสงค์เพื่อแก้ไขข้อผิดพลาดทางรูปแบบ (formatting) และถ้อยคำ (typographical errors) รวมถึงชี้แจงแนวทางการตีความข้อกำหนดบางประการ เพื่อให้องค์กรที่มีการประมวลผล (process), เก็บรักษา (store), ส่งผ่าน (transmit) หรือมีผลกระทบต่อความปลอดภัยของข้อมูลผู้ถือบัตร (cardholder data) และ/หรือข้อมูลการพิสูจน์ตัวตนที่สำคัญ (Sensitive Authentication Data: SAD) สามารถนำไปใช้ได้อย่างมีประสิทธิภาพยิ่งขึ้น

เพื่อสนับสนุนให้องค์กรสามารถปรับตัวได้ทันต่อการเปลี่ยนแปลง ALPHASEC จึงขอสรุปเนื้อหาสำคัญของ PCI DSS v4.0.1 ไว้ดังนี้


PCI DSS v4.0.1 คืออะไร?

PCI DSS v4.0.1 คือการปรับปรุงในระดับจำกัด (limited revision) ของเวอร์ชัน 4.0 โดยมีเป้าหมายหลักเพื่อแก้ไขปัญหาที่ได้รับแจ้งตั้งแต่การเผยแพร่เวอร์ชัน 4.0 ในปี 2022

เวอร์ชันนี้ ไม่ได้มีการเพิ่มหรือลดข้อกำหนดใหม่ แต่เป็นการแก้ไขถ้อยคำ ชี้แจงความหมาย และปรับรูปแบบการนำเสนอเนื้อหา เพื่อเสริมสร้างความเข้าใจและการนำไปปฏิบัติให้ตรงตามวัตถุประสงค์ของมาตรฐาน


ประเภทของการเปลี่ยนแปลงใน PCI DSS v4.0.1

การเปลี่ยนแปลงทั้งหมดสามารถแบ่งได้เป็น 2 กลุ่มหลัก คือ

  • การชี้แจงและแนวทางเพิ่มเติม (Clarification or Guidance):ปรับถ้อยคำ คำอธิบาย หรือเพิ่มแนวทางปฏิบัติเพื่อความชัดเจนมากยิ่งขึ้น

  • การจัดโครงสร้างและรูปแบบใหม่ (Structure or Format):ปรับเรียงเนื้อหาใหม่ เช่น การรวม แยก หรือเปลี่ยนลำดับข้อกำหนด เพื่อให้อ่านง่ายและสอดคล้องมากขึ้น


ตัวอย่างการปรับปรุงที่สำคัญ

1. การแก้ไขถ้อยคำและการจัดรูปแบบ

  • เปลี่ยนข้อความจาก “impact the security of the CDE” เป็น “impact the security of cardholder data and/or sensitive authentication data” เพื่อระบุขอบเขตให้ชัดเจนยิ่งขึ้น

  • ปรับปรุง “Testing Procedures” ให้สอดคล้องกับถ้อยคำที่แก้ไข

2. การปรับปรุงภาคผนวกและการจัดการเทมเพลต

  • ลบคำนิยามที่ซ้ำซ้อนใน Guidance และอ้างอิงไปยัง Glossary แทน

  • ลบตัวอย่างเทมเพลต Customized Approach ในภาคผนวก E และระบุให้สามารถดาวน์โหลดได้จากเว็บไซต์ PCI SSC

3. การเพิ่มและชี้แจงหมายเหตุการบังคับใช้ (Applicability Notes)

  • ชี้แจงเพิ่มเติมในหลายข้อกำหนดที่อาจมีการตีความคลุมเครือ เพื่อให้หน่วยงานที่เกี่ยวข้องสามารถนำไปใช้ได้อย่างถูกต้อง


ตัวอย่างการเปลี่ยนแปลงในข้อกำหนดที่สำคัญ

ข้อกำหนด 3: การปกป้องข้อมูลบัญชีที่จัดเก็บไว้ (Protect Stored Account Data)

  • กรณีบริษัทออกบัตร (Issuers) และบริษัทที่ให้บริการออกบัตร (Issuing Service Providers) หากมีความจำเป็นทางธุรกิจที่ชัดเจนและมีเอกสารยืนยัน (legitimate and documented business need) สามารถจัดเก็บข้อมูล SAD ได้ โดยไม่ต้องปฏิบัติตามข้อ 3.3.1 และ 3.3.2

ข้อกำหนด 6: การพัฒนาระบบและซอฟต์แวร์อย่างปลอดภัย (Develop and Maintain Secure Systems and Software)

  • กลับมาใช้แนวทางเดิมของ PCI DSS v3.2.1 คือ กำหนดให้ติดตั้งแพตช์ (patch) สำหรับช่องโหว่ที่มีความรุนแรงระดับ Critical ภายใน 30 วันเท่านั้น (ไม่รวมช่องโหว่ระดับ High Risk)

  • สำหรับการฝัง (embed) หรือเชื่อมโยงบริการหน้าจ่ายเงินจากผู้ให้บริการภายนอก (Third Party Service Providers: TPSPs) ชี้แจงว่า merchant ต้องรับผิดชอบการจัดการ script นอก iframe ขณะที่ TPSP ต้องรับผิดชอบ script ภายใน iframe

ข้อกำหนด 8: การระบุตัวผู้ใช้งานและการยืนยันสิทธิ์เข้าใช้งานระบบ (Identify Users and Authenticate Access to System Components)

  • เพิ่มข้อยกเว้นสำหรับบัญชีผู้ใช้ที่ใช้วิธีการยืนยันตัวตนที่ต้านฟิชชิง (phishing-resistant authentication factors) ว่าไม่ต้องทำ Multi-Factor Authentication (MFA) สำหรับการเข้าถึงแบบ non-console

ข้อกำหนด 12: การสนับสนุนความปลอดภัยด้วยนโยบายองค์กร (Support Information Security with Organizational Policies and Programs)

  • ชี้แจงบทบาทความรับผิดชอบระหว่างองค์กรลูกค้าและผู้ให้บริการภายนอก (TPSPs) ในการปฏิบัติตามข้อกำหนด PCI DSS อย่างละเอียด


กำหนดการบังคับใช้ PCI DSS v4.0.1

  • มีผลบังคับใช้ตั้งแต่วันที่ 11 มิถุนายน 2024 เป็นต้นมา

  • ช่วงเปลี่ยนผ่าน: สามารถใช้งาน PCI DSS v4.0 ควบคู่กันได้จนถึง 31 ธันวาคม 2024

  • หลังวันที่ 1 มกราคม 2025: PCI DSS v4.0 จะถูกยกเลิก และเวอร์ชันที่ใช้ได้เพียงเวอร์ชันเดียวคือ v4.0.1


ALPHASEC สามารถสนับสนุนการปฏิบัติตาม PCI DSS v4.0.1 ได้อย่างไร

ไม่ว่าคุณจะได้รับการรับรอง PCI DSS แล้ว หรือกำลังอยู่ในกระบวนการขอรับรอง ALPHASEC พร้อมให้การสนับสนุน ดังนี้:

  • ประเมินความแตกต่าง (Gap Assessment):ALPHASEC สามารถช่วยคุณทบทวนสรุปการเปลี่ยนแปลงจาก v4.0 เป็น v4.0.1 เพื่อระบุข้อกำหนดที่เกี่ยวข้องกับองค์กรของคุณโดยตรง

  • วางแผนและดำเนินการ:ใช้ระบบของ ALPHASEC ในการกำหนดเจ้าของงาน มอบหมายงาน อบรมความตระหนักด้านความปลอดภัย และตรวจสอบความพร้อมก่อนเข้าสู่กระบวนการตรวจประเมิน

  • สนับสนุนการตรวจประเมิน:ALPHASEC มี QSA (Qualified Security Assessor) เพื่อดำเนินการตรวจประเมินภายในระบบอย่างต่อเนื่องและโปร่งใส

สำหรับข้อมูลเพิ่มเติม หรือต้องการวางแผนการปฏิบัติตาม PCI DSS v4.0.1 ภายในสิ้นปี 2024 กรุณาติดต่อทีมงาน ALPHASEC เพื่อขอรับคำปรึกษาได้ทันที


 
 
bottom of page