ร้านค้า หรือองค์กรต่าง ๆ ที่จะกำลังทำความเข้าใจเกี่ยวกับ Payment Card Industry Data Security Standard ( PCI DSS ) อาจจะทำให้งงไปตาม ๆ กันด้วยข้อบังคับต่าง ๆ ที่ยาวเหยียดไปหางว่าว โดยเฉพาะคนที่ไม่ได้เชี่ยวชาญเรื่อง Cyber Security นอกจากนี้ หลาย ๆ บริษัทก็ยังไม่แน่ใจว่าข้อบังคับต่าง ๆ จะเหมาะสมกับองค์กรหรือไม่
ในบทความนี้จะนำเสนอ คอนเซ็ปของหลักข้อปฎิบัตินี้ให้เข้าใจมากยิ่งขึ้นสำหรับหลาย ๆ ที่ยังไม่เข้าใจ หรือเข้าใจผิดมาโดยตลอด
PCI DSS คืออะไร
![](https://assets-global.website-files.com/5f583e0d98e34c0d7fac3685/5f5f292795db0a62205df1e7_PCI-DSS-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0%B8%A3.png)
PCI Data Security Standard เป็นข้อกำหนดที่ใช้กับหน่วยงานที่เก็บ ดำเนินงาน และส่งข้อมูลเกี่ยวกับผู้ที่ถือบัตรเครดิต มันจะครอบคลุมทั้งเรื่องเทคนิค และการปฎิบัติงานของระบบในส่วนต่าง ๆ ที่ประกอบด้วยการเข้าถึงข้อมูลผู้ถือบัตรเครดิต ถ้าหากธุรกิจของคุณเกี่ยวข้องกับเครดิตการ์ดของลูกค้า หรือพนักงานในองค์กรแล้วล่ะก็ PCI Standard จำเป็นมาก ๆ
ใครที่ต้อง Comply PCI DSS
American Express, Discover, JCB International, MasterCard and Visa ในปัจจุบันเขามีโปรแกรมที่ Comply PCI Standard ที่ช่วยให้ป้องกันข้อมูลบัญชีการเงิน หน่วยงาน หรือองค์กรควรที่จะติดต่อกับบริษัททางการเงินโดยตรงสำหรับข้อมูลที่เกี่ยวกับโปรแกรมที่ไว้ Comply ข้อกำหนดต่าง ๆ
![](https://assets-global.website-files.com/5f583e0d98e34c0d7fac3685/5f5f29329dd6b270af587713_%E0%B9%83%E0%B8%84%E0%B8%A3%E0%B8%97%E0%B8%B5%E0%B9%88%E0%B8%95%E0%B9%89%E0%B8%AD%E0%B8%87-Comply-PCI-DSS.png)
คำถามเกี่ยวกับข้อบังคับสำหรับข้อมูลบัตรเครคิตในเครือข่าย ควรเรียกว่าเครือข่ายการชำระเงินหรือแบรนด์ที่เกี่ยวข้อง
PCI SSC ได้กระตุ้นให้หน่วยงานตระหนักความแตกต่างที่อาจเกิดขึ้นในกฎหมายท้องถิ่น และกฎระเบียบที่อาจส่งผลกระทบต่อการบังคับใช้มาตรฐาน PCI
เข้ารหัสข้อมูลบัตรเครดิตอย่างไรให้ Comply ข้อบังคับ
ยกตัวอย่างเช่น บัตรที่เอาไว้ใช้สำหรับการค้าที่มีการเข้าถึงแบบกายภาพถึงบัตรเครดิต เพื่อการซื้อขาย และอาจจะมีรายงาน หรือใบเสร็จ ในทางเดียวกันหากมีการสั่งซื้อสินค้าทางจดหมาย หรือโทรศัพท์ Payment Card จะแจ้งรายละเอียดการชำระเงินผ่านทางช่องทางที่ต้องการมีความปลอดภัยตามข้อบังคับ
การ Encrypt ข้อมูลบัตรเครดิตเป็นวิธีการทำให้ข้อมู,ที่บันทึกได้อ่ายยากมากขึ้นเป็นไปตามข้อบังคับ PCI แม้ว่าการ Encrypt อย่างเดียวอาจจะไม่ครอบคลุมมากพอที่จะป้องข้อมููลบัตรเครดิตตาม PCI ได้ก็ตาม
![](https://assets-global.website-files.com/5f583e0d98e34c0d7fac3685/5f5f293d34f13e6d52b2d6e3_%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%A3%E0%B8%AB%E0%B8%B1%E0%B8%AA%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%A3%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%94%E0%B8%B4%E0%B8%95%E0%B8%AD%E0%B8%A2%E0%B9%88%E0%B8%B2%E0%B8%87%E0%B9%84%E0%B8%A3%E0%B9%83%E0%B8%AB%E0%B9%89-Comply-%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%9A%E0%B8%B1%E0%B8%87%E0%B8%84%E0%B8%B1%E0%B8%9A.png)
สรุป 5 ข้อในการ Scope ของ PCI Standard
- ข้อมูลบัตรเครดิตจะต้องทำการ Encrypt และ Decrypt
- ข้อมูลที่เข้ารหัสไว้แล้วจะไม่แยกออกจากกระบวนการ Encrypt, Decrypt และ กระบวนการจัดการ
- การ Encrypt ข้อมูลบัตรเครดิตจะแสดงให้เห็นในระบบ หรือแอพพลิเคชั่นที่สามารถถอดรหัสได้เช่นเดียวกัน
- ข้อมูลผู้ถือบัตรที่เข้ารหัสซึ่งมีอยู่ในสภาพแวดล้อมเดียวกันกับคีย์ถอดรหัส
- ข้อมูลผู้ถือบัตรจะมีลักษณะเฉพาะที่ไว้ใช้คีย์ถอดรหัสแตกต่างกัน
Third party จะเก็บข้อมูลที่เข้ารหัสแล้วเท่านั้น และจะไม่สามารถถอดรหัสได้เช่นเดียวกัน
คำถามการประเมินตนเองของข้อกำหนดปฎิบัติคืออะไร
The PCI DSS Self-Assessment Questionnaires (SAQs) เป็นเครื่องมือที่ตรวจสอบ สำหรับร้านค้า และผู้ให้บริการในการประเมิน และรายงานเพื่อ Comply PCI compliance via self-assessment ซึ่งมี SAQs ที่แตกต่างกันออกไปสภาพแวดล้อมของประเภทธุรกิจต่าง ๆ
ก่อนที่จะเริ่ม SAQ ในแต่ละข้อ ควรสำรวจว่าสภาพแวดล้อมของประเภทธุรกิจแบบไหนเพื่อให้เหมาะสมกับ SAQ จะต้องมีคุณสมบัติให้ต้องกับ SAQ แต่ละประเภทนั้น ๆ
![](https://assets-global.website-files.com/5f583e0d98e34c0d7fac3685/5f5f29478c8fa99ee59d7079_%E0%B9%81%E0%B8%9A%E0%B8%9A%E0%B8%AA%E0%B8%AD%E0%B8%9A%E0%B8%96%E0%B8%B2%E0%B8%A1%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9B%E0%B8%A3%E0%B8%B0%E0%B9%80%E0%B8%A1%E0%B8%B4%E0%B8%99%E0%B8%95%E0%B8%99%E0%B9%80%E0%B8%AD%E0%B8%87%E0%B8%82%E0%B8%AD%E0%B8%87%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%81%E0%B8%B3%E0%B8%AB%E0%B8%99%E0%B8%94-%E0%B8%9B%E0%B8%8E%E0%B8%B4%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0%B8%A3.png)
นอกจากนี้จะได้คำแนะนำเพื่อให้ Comply PCI Self-Assessment Questionnaire Instructions รวมทั้งข้อมูล Guidelines ใน Document Library
ธุรกิจรวมถึงร้านต่าง ๆ ควรปรึกษาธนาคาร หรือผู้ให้บริการบัตรเครดิตเพื่อพิจารณาหากว่าจำเป็นต้องเสนอ SAQ ให้เหมาะสมกับประเภทธุรกิจ
ร้านค้าขนาดเล็กที่มีปริมาณธุรกรรม จำกัด ต้องปฏิบัติตาม PCI DSS หรือไม่
PCI Standard เหมาะสำหรับทุก ๆ หน่วยงานที่มีกระบวนการชำระเงิน เปรี่ยบเทียบกับร้านค้าขนาดใหญ่ และเล็ก มักจะมีสภาพแวดล้อมที่คล้าย ๆ กันด้วยปริมาณข้อมูลผู้ถือบัตรเครดิตที่จำกัด และมีการป้องกันที่น้อย
![](https://assets-global.website-files.com/5f583e0d98e34c0d7fac3685/5f5f294f8259978f185436c4_%E0%B8%A3%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%84%E0%B9%89%E0%B8%B2%E0%B8%82%E0%B8%99%E0%B8%B2%E0%B8%94%E0%B9%80%E0%B8%A5%E0%B9%87%E0%B8%81%E0%B8%97%E0%B8%B5%E0%B9%88%E0%B8%A1%E0%B8%B5%E0%B8%9B%E0%B8%A3%E0%B8%B4%E0%B8%A1%E0%B8%B2%E0%B8%93%E0%B8%98%E0%B8%B8%E0%B8%A3%E0%B8%81%E0%B8%A3%E0%B8%A3%E0%B8%A1-%E0%B8%88%E0%B8%B3%E0%B8%81%E0%B8%B1%E0%B8%94-%E0%B8%95%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%9B%E0%B8%8F%E0%B8%B4%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%B4%E0%B8%95%E0%B8%B2%E0%B8%A1-PCI-DSS-%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD%E0%B9%84%E0%B8%A1%E0%B9%88.png)
ร้านค้าขนาดเล็กจำเป็นต้องมีการตรวจสอบข้อบังคับโดยพิจารณาในแต่ล่ะผู้ให้บริการบัตรเครดิต สำหรับคำถามที่ไว้ใช้ตรวจสอบข้อบังคับ และรายงาน ร้านค้าธุรกิจต่าง ๆ ติดต่อปรึกษาธนาคาร หรือผู้ให้บริการบัตรเครดิตที่เป็น partner เพื่อให้ทำตามข้อปฎิบัติอย่างเหมาะสม
สรุป Payment Card Industry Data Security Standard เป็นข้อกำหนดที่ว่าด้วยองค์กร หรือร้านค้าที่เก็บ ดำเนินงาน และส่งข้อมูลเกี่ยวกับผู้ที่ถือบัตรเครดิต มันจะครอบคลุมทั้งเรื่องเทคนิค และการปฎิบัติงานของระบบในส่วนต่าง ๆ เพื่อให้ข้อมูลผู้ที่ถือบัตรเครดิต มีความปลอดภัยมากขึ้น และเป็นไปตามข้อกำหนด