ร้านค้า หรือองค์กรต่าง ๆ ที่จะกำลังทำความเข้าใจเกี่ยวกับ Payment Card Industry Data Security Standard ( PCI DSS ) อาจจะทำให้งงไปตาม ๆ กันด้วยข้อบังคับต่าง ๆ ที่ยาวเหยียดไปหางว่าว โดยเฉพาะคนที่ไม่ได้เชี่ยวชาญเรื่อง Cyber Security นอกจากนี้ หลาย ๆ บริษัทก็ยังไม่แน่ใจว่าข้อบังคับต่าง ๆ จะเหมาะสมกับองค์กรหรือไม่

ในบทความนี้จะนำเสนอ คอนเซ็ปของหลักข้อปฎิบัตินี้ให้เข้าใจมากยิ่งขึ้นสำหรับหลาย ๆ ที่ยังไม่เข้าใจ หรือเข้าใจผิดมาโดยตลอด

PCI DSS คืออะไร

PCI Data Security Standard เป็นข้อกำหนดที่ใช้กับหน่วยงานที่เก็บ ดำเนินงาน และส่งข้อมูลเกี่ยวกับผู้ที่ถือบัตรเครดิต มันจะครอบคลุมทั้งเรื่องเทคนิค และการปฎิบัติงานของระบบในส่วนต่าง ๆ ที่ประกอบด้วยการเข้าถึงข้อมูลผู้ถือบัตรเครดิต ถ้าหากธุรกิจของคุณเกี่ยวข้องกับเครดิตการ์ดของลูกค้า หรือพนักงานในองค์กรแล้วล่ะก็ PCI Standard จำเป็นมาก ๆ

ใครที่ต้อง Comply PCI DSS

American Express, Discover, JCB International, MasterCard and Visa ในปัจจุบันเขามีโปรแกรมที่ Comply PCI Standard ที่ช่วยให้ป้องกันข้อมูลบัญชีการเงิน หน่วยงาน หรือองค์กรควรที่จะติดต่อกับบริษัททางการเงินโดยตรงสำหรับข้อมูลที่เกี่ยวกับโปรแกรมที่ไว้ Comply ข้อกำหนดต่าง ๆ

คำถามเกี่ยวกับข้อบังคับสำหรับข้อมูลบัตรเครคิตในเครือข่าย ควรเรียกว่าเครือข่ายการชำระเงินหรือแบรนด์ที่เกี่ยวข้อง

PCI SSC ได้กระตุ้นให้หน่วยงานตระหนักความแตกต่างที่อาจเกิดขึ้นในกฎหมายท้องถิ่น และกฎระเบียบที่อาจส่งผลกระทบต่อการบังคับใช้มาตรฐาน PCI

เข้ารหัสข้อมูลบัตรเครดิตอย่างไรให้ Comply ข้อบังคับ

ยกตัวอย่างเช่น บัตรที่เอาไว้ใช้สำหรับการค้าที่มีการเข้าถึงแบบกายภาพถึงบัตรเครดิต เพื่อการซื้อขาย และอาจจะมีรายงาน หรือใบเสร็จ ในทางเดียวกันหากมีการสั่งซื้อสินค้าทางจดหมาย หรือโทรศัพท์ Payment Card จะแจ้งรายละเอียดการชำระเงินผ่านทางช่องทางที่ต้องการมีความปลอดภัยตามข้อบังคับ

การ Encrypt ข้อมูลบัตรเครดิตเป็นวิธีการทำให้ข้อมู,ที่บันทึกได้อ่ายยากมากขึ้นเป็นไปตามข้อบังคับ PCI แม้ว่าการ Encrypt อย่างเดียวอาจจะไม่ครอบคลุมมากพอที่จะป้องข้อมููลบัตรเครดิตตาม PCI ได้ก็ตาม

สรุป 5 ข้อในการ Scope ของ PCI Standard

• ข้อมูลบัตรเครดิตจะต้องทำการ Encrypt และ Decrypt
• ข้อมูลที่เข้ารหัสไว้แล้วจะไม่แยกออกจากกระบวนการ Encrypt, Decrypt และ กระบวนการจัดการ
• การ Encrypt ข้อมูลบัตรเครดิตจะแสดงให้เห็นในระบบ หรือแอพพลิเคชั่นที่สามารถถอดรหัสได้เช่นเดียวกัน
• ข้อมูลผู้ถือบัตรที่เข้ารหัสซึ่งมีอยู่ในสภาพแวดล้อมเดียวกันกับคีย์ถอดรหัส
• ข้อมูลผู้ถือบัตรจะมีลักษณะเฉพาะที่ไว้ใช้คีย์ถอดรหัสแตกต่างกัน

Third party จะเก็บข้อมูลที่เข้ารหัสแล้วเท่านั้น และจะไม่สามารถถอดรหัสได้เช่นเดียวกัน

คำถามการประเมินตนเองของข้อกำหนดปฎิบัติคืออะไร

The PCI DSS Self-Assessment Questionnaires (SAQs) เป็นเครื่องมือที่ตรวจสอบ สำหรับร้านค้า และผู้ให้บริการในการประเมิน และรายงานเพื่อ Comply PCI compliance via self-assessment ซึ่งมี SAQs ที่แตกต่างกันออกไปสภาพแวดล้อมของประเภทธุรกิจต่าง ๆ

ก่อนที่จะเริ่ม SAQ ในแต่ละข้อ ควรสำรวจว่าสภาพแวดล้อมของประเภทธุรกิจแบบไหนเพื่อให้เหมาะสมกับ SAQ จะต้องมีคุณสมบัติให้ต้องกับ SAQ แต่ละประเภทนั้น ๆ

นอกจากนี้จะได้คำแนะนำเพื่อให้ Comply PCI Self-Assessment Questionnaire Instructions รวมทั้งข้อมูล Guidelines ใน Document Library

ธุรกิจรวมถึงร้านต่าง ๆ ควรปรึกษาธนาคาร หรือผู้ให้บริการบัตรเครดิตเพื่อพิจารณาหากว่าจำเป็นต้องเสนอ SAQ ให้เหมาะสมกับประเภทธุรกิจ

ร้านค้าขนาดเล็กที่มีปริมาณธุรกรรม จำกัด ต้องปฏิบัติตาม PCI DSS หรือไม่

PCI Standard เหมาะสำหรับทุก ๆ หน่วยงานที่มีกระบวนการชำระเงิน เปรี่ยบเทียบกับร้านค้าขนาดใหญ่ และเล็ก มักจะมีสภาพแวดล้อมที่คล้าย ๆ กันด้วยปริมาณข้อมูลผู้ถือบัตรเครดิตที่จำกัด และมีการป้องกันที่น้อย

ร้านค้าขนาดเล็กจำเป็นต้องมีการตรวจสอบข้อบังคับโดยพิจารณาในแต่ล่ะผู้ให้บริการบัตรเครดิต สำหรับคำถามที่ไว้ใช้ตรวจสอบข้อบังคับ และรายงาน ร้านค้าธุรกิจต่าง ๆ ติดต่อปรึกษาธนาคาร หรือผู้ให้บริการบัตรเครดิตที่เป็น partner เพื่อให้ทำตามข้อปฎิบัติอย่างเหมาะสม

สรุป Payment Card Industry Data Security Standard เป็นข้อกำหนดที่ว่าด้วยองค์กร หรือร้านค้าที่เก็บ ดำเนินงาน และส่งข้อมูลเกี่ยวกับผู้ที่ถือบัตรเครดิต มันจะครอบคลุมทั้งเรื่องเทคนิค และการปฎิบัติงานของระบบในส่วนต่าง ๆ เพื่อให้ข้อมูลผู้ที่ถือบัตรเครดิต มีความปลอดภัยมากขึ้น และเป็นไปตามข้อกำหนด

‍