สิ่งที่คุณต้องรู้เกี่ยวกับมาตรฐาน PCI DSS


ร้านค้า หรือองค์กรต่าง ๆ ที่จะกำลังทำความเข้าใจเกี่ยวกับ Payment Card Industry Data Security Standard ( PCI DSS ) อาจจะทำให้งงไปตาม ๆ กันด้วยข้อบังคับต่าง ๆ ที่ยาวเหยียดไปหางว่าว โดยเฉพาะคนที่ไม่ได้เชี่ยวชาญเรื่อง Cyber Security นอกจากนี้ หลาย ๆ บริษัทก็ยังไม่แน่ใจว่าข้อบังคับต่าง ๆ จะเหมาะสมกับองค์กรหรือไม่

ในบทความนี้จะนำเสนอ คอนเซ็ปของหลักข้อปฎิบัตินี้ให้เข้าใจมากยิ่งขึ้นสำหรับหลาย ๆ ที่ยังไม่เข้าใจ หรือเข้าใจผิดมาโดยตลอด

PCI DSS คืออะไร

PCI Data Security Standard เป็นข้อกำหนดที่ใช้กับหน่วยงานที่เก็บ ดำเนินงาน และส่งข้อมูลเกี่ยวกับผู้ที่ถือบัตรเครดิต มันจะครอบคลุมทั้งเรื่องเทคนิค และการปฎิบัติงานของระบบในส่วนต่าง ๆ ที่ประกอบด้วยการเข้าถึงข้อมูลผู้ถือบัตรเครดิต ถ้าหากธุรกิจของคุณเกี่ยวข้องกับเครดิตการ์ดของลูกค้า หรือพนักงานในองค์กรแล้วล่ะก็ PCI Standard จำเป็นมาก ๆ

ใครที่ต้อง Comply PCI DSS

American Express, Discover, JCB International, MasterCard and Visa ในปัจจุบันเขามีโปรแกรมที่ Comply PCI Standard ที่ช่วยให้ป้องกันข้อมูลบัญชีการเงิน หน่วยงาน หรือองค์กรควรที่จะติดต่อกับบริษัททางการเงินโดยตรงสำหรับข้อมูลที่เกี่ยวกับโปรแกรมที่ไว้ Comply ข้อกำหนดต่าง ๆ

คำถามเกี่ยวกับข้อบังคับสำหรับข้อมูลบัตรเครคิตในเครือข่าย ควรเรียกว่าเครือข่ายการชำระเงินหรือแบรนด์ที่เกี่ยวข้อง

PCI SSC ได้กระตุ้นให้หน่วยงานตระหนักความแตกต่างที่อาจเกิดขึ้นในกฎหมายท้องถิ่น และกฎระเบียบที่อาจส่งผลกระทบต่อการบังคับใช้มาตรฐาน PCI

เข้ารหัสข้อมูลบัตรเครดิตอย่างไรให้ Comply ข้อบังคับ

ยกตัวอย่างเช่น บัตรที่เอาไว้ใช้สำหรับการค้าที่มีการเข้าถึงแบบกายภาพถึงบัตรเครดิต เพื่อการซื้อขาย และอาจจะมีรายงาน หรือใบเสร็จ ในทางเดียวกันหากมีการสั่งซื้อสินค้าทางจดหมาย หรือโทรศัพท์ Payment Card จะแจ้งรายละเอียดการชำระเงินผ่านทางช่องทางที่ต้องการมีความปลอดภัยตามข้อบังคับ

การ Encrypt ข้อมูลบัตรเครดิตเป็นวิธีการทำให้ข้อมู,ที่บันทึกได้อ่ายยากมากขึ้นเป็นไปตามข้อบังคับ PCI แม้ว่าการ Encrypt อย่างเดียวอาจจะไม่ครอบคลุมมากพอที่จะป้องข้อมููลบัตรเครดิตตาม PCI ได้ก็ตาม

สรุป 5 ข้อในการ Scope ของ PCI Standard

  • ข้อมูลบัตรเครดิตจะต้องทำการ Encrypt และ Decrypt
  • ข้อมูลที่เข้ารหัสไว้แล้วจะไม่แยกออกจากกระบวนการ Encrypt, Decrypt และ กระบวนการจัดการ
  • การ Encrypt ข้อมูลบัตรเครดิตจะแสดงให้เห็นในระบบ หรือแอพพลิเคชั่นที่สามารถถอดรหัสได้เช่นเดียวกัน
  • ข้อมูลผู้ถือบัตรที่เข้ารหัสซึ่งมีอยู่ในสภาพแวดล้อมเดียวกันกับคีย์ถอดรหัส
  • ข้อมูลผู้ถือบัตรจะมีลักษณะเฉพาะที่ไว้ใช้คีย์ถอดรหัสแตกต่างกัน

Third party จะเก็บข้อมูลที่เข้ารหัสแล้วเท่านั้น และจะไม่สามารถถอดรหัสได้เช่นเดียวกัน

คำถามการประเมินตนเองของข้อกำหนดปฎิบัติคืออะไร

The PCI DSS Self-Assessment Questionnaires (SAQs) เป็นเครื่องมือที่ตรวจสอบ สำหรับร้านค้า และผู้ให้บริการในการประเมิน และรายงานเพื่อ Comply PCI compliance via self-assessment ซึ่งมี SAQs ที่แตกต่างกันออกไปสภาพแวดล้อมของประเภทธุรกิจต่าง ๆ

ก่อนที่จะเริ่ม SAQ ในแต่ละข้อ ควรสำรวจว่าสภาพแวดล้อมของประเภทธุรกิจแบบไหนเพื่อให้เหมาะสมกับ SAQ จะต้องมีคุณสมบัติให้ต้องกับ SAQ แต่ละประเภทนั้น ๆ

นอกจากนี้จะได้คำแนะนำเพื่อให้ Comply PCI Self-Assessment Questionnaire Instructions รวมทั้งข้อมูล Guidelines ใน Document Library

ธุรกิจรวมถึงร้านต่าง ๆ ควรปรึกษาธนาคาร หรือผู้ให้บริการบัตรเครดิตเพื่อพิจารณาหากว่าจำเป็นต้องเสนอ SAQ ให้เหมาะสมกับประเภทธุรกิจ

ร้านค้าขนาดเล็กที่มีปริมาณธุรกรรม จำกัด ต้องปฏิบัติตาม PCI DSS หรือไม่

PCI Standard เหมาะสำหรับทุก ๆ หน่วยงานที่มีกระบวนการชำระเงิน เปรี่ยบเทียบกับร้านค้าขนาดใหญ่ และเล็ก มักจะมีสภาพแวดล้อมที่คล้าย ๆ กันด้วยปริมาณข้อมูลผู้ถือบัตรเครดิตที่จำกัด และมีการป้องกันที่น้อย

ร้านค้าขนาดเล็กจำเป็นต้องมีการตรวจสอบข้อบังคับโดยพิจารณาในแต่ล่ะผู้ให้บริการบัตรเครดิต สำหรับคำถามที่ไว้ใช้ตรวจสอบข้อบังคับ และรายงาน ร้านค้าธุรกิจต่าง ๆ ติดต่อปรึกษาธนาคาร หรือผู้ให้บริการบัตรเครดิตที่เป็น partner เพื่อให้ทำตามข้อปฎิบัติอย่างเหมาะสม

สรุป Payment Card Industry Data Security Standard เป็นข้อกำหนดที่ว่าด้วยองค์กร หรือร้านค้าที่เก็บ ดำเนินงาน และส่งข้อมูลเกี่ยวกับผู้ที่ถือบัตรเครดิต มันจะครอบคลุมทั้งเรื่องเทคนิค และการปฎิบัติงานของระบบในส่วนต่าง ๆ เพื่อให้ข้อมูลผู้ที่ถือบัตรเครดิต มีความปลอดภัยมากขึ้น และเป็นไปตามข้อกำหนด

Recommend Products

Purichaya Narongpan

จบจาก Stamford International University (Hua Hin Campus) คณะ International Business Management – Bilingual Program ปัจจุบันทำงานด้าน Digital Marketing อยู่ที่ Ragnar Corporation อีกทั้งสนใจเรื่อง Cyber Security, Compliance และ Technology ต่าง ๆ จึงเขียนบทความเพื่อศึกษาหาข้อมูล และทำความเข้าใจเกี่ยวกับเรื่องนี้

Similar tags

“What is Cyber Attack?”

การโจมตีทางไซเบอร์ หรือ Cyber Attack คือ การใช้คอมพิวเตอร์ เข้าเชื่อต่อคอมพิวเตอร์อีกเครื่องนึง

Read more...
Purichaya Narongpan

ใครเหมาะสมที่จะเป็น DPO?

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer

Read more...
Pakawadee Chanhom

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

แม้แต่ลูกเสือที่เตรียมพร้อมขนาดไหน หากขาดความรู้ด้าน Cyber security ไปก็ข้อมูลลูกค้ารั่วไหลหากไม่เตรียมตัว

Read more...