Global Technology Integrated

PCI DSS
FAQ
One Security Service
Assessment
Implementation
MSSP
Training
Data SafeHouse
Digital Forensic

คำถามเกี่ยวกับ PCI DSS

	1.PCI DSS คืออะไร?
	2.ทำไมจึงต้องปกป้องข้อมูลส่วนตัวของผู้ถือบัตร?
	3.PCI DSS ใช้บังคับกับองค์กรใดบ้าง?
	4. มาตรฐาน PCI DSS มีข้อกำหนดอย่างไร?
	5. องค์กรต้องปฏิบัติอย่างไรให้สอดคล้องตามมาตรฐาน PCI DSS?
	6. มีเกณฑ์พิจารณาในการแบ่ง “ระดับ” การปฏิบัติตามมาตรฐาน PCI DSS อย่างไร?
	7. ธุรกิจ SME (ระดับ 4) ต้องปฏิบัติอย่างไรให้สอดคล้องตาม PCI DSS?
	8. ธุรกิจ SME ที่มีธุรกรรมบัตรเครดิตไม่มากนัก จำเป็นต้องปฏิบัติให้สอดคล้องตาม PCI DSS?
	9. ธุรกิจที่รับชำระด้วยบัตรเครดิตผ่านทางโทรศัพท์เท่านั้น จำเป็นต้องปฏิบัติให้สอดคล้องตาม PCI DSS หรือไม่?
	10. องค์กรที่ให้หน่วยงานภายนอกเป็นผู้ประมวลผลข้อมูลให้ จำเป็นต้องปฏิบัติให้สอดคล้องตาม PCI DSS หรือไม่?
	11. ธุรกรรมของบัตรเดบิต เข้าข่ายต้องปฏิบัติให้สอดคล้องตาม PCI DSS หรือไม่?
	12. หากไม่ปฏิบัติให้สอดคล้องตาม PCI DSS จะมีโทษปรับหรือไม่ อย่างไร?
	13. “ข้อมูลของผู้ถือบัตร” หมายถึงอะไร?
	14. “ผู้ค้า (Merchant)” หมายถึงใคร?
	15. “ผู้ให้บริการ (Service Provider) หมายถึงใคร?
	16. โปรแกรมการชำระเงิน (Payment Application) ประกอบด้วยอะไรบ้าง?
	17. Payment Gateway คืออะไร?
	18. ในการปฏิบัติให้สอดคล้องตาม PCI DSS นั้น จำเป็นต้องสแกนเครือข่ายเพื่อหาช่องโหว่ หรือไม่?
	19. การสแกนเครือข่ายคืออะไร?
	20. ต้องสแกนเครือข่ายบ่อยแค่ไหน?
	21. ทำอย่างไรหากผู้ค้าไม่ให้ความร่วมมือ?

FAQ for PCI DSS

1.PCI DSS คืออะไร?

PCI DSS หรือ Payment Card Industry Data Security Standard คือมาตรฐานการรักษาความปลอดภัยที่ถูกกำหนดและบริหาร
จัดการโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) ซึ่งเป็นองค์กรอิสระที่จัดตั้งขึ้น
โดยค่ายบัตรเครดิต 5 ค่ายหลัก ได้แก่ Visa, MasterCard, American Express, Discover และ JCB โดยมุ่งเน้นที่การยกระดับ
ความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อให้แน่ใจว่าทุกองค์กรที่ เก็บรักษา ประมวลผล หรือส่งต่อข้อมูลของ
ผู้ถือบัตรอิเล็กทรอนิกส์ มีการดูแลเครือข่ายและสร้างสภาพแวดล้อมทางกายภาพที่มั่นคงปลอดภัย เพื่อปกป้องข้อมูลส่วนตัว
ของผู้ถือบัตร

2.ทำไมจึงต้องปกป้องข้อมูลส่วนตัวของผู้ถือบัตร?

จากสถิติการรั่วไหลของข้อมูลในปี 2010 พบว่า ข้อมูลจากบัตรอิเล็กทรอนิกส์มีการรั่วไหลสูงสุด ถึง 85% ของข้อมูลที่รั่วไหลทั้งหมด โดยข้อมูลที่รั่วไหลมาจากระบบรับชำระเงินหน้าร้านมากที่สุด คิดเป็น 75% ของทั้งหมด แสดงให้เห็นว่าการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อซื้อสินค้า/บริการผ่านหน้าร้านโดยตรงนั้น มีความเสี่ยงสูงที่ข้อมูลส่วนตัวของลูกค้าจะรั่วไหลได้ ทั้งยังตกเป็นเป้าของการแฮกข้อมูลอีกด้วย โดยอาจมีสาเหตุจากการเก็บข้อมูลไม่เหมาะสม การออกแบบระบบไม่เหมาะสมการขาดนโยบายรักษา ความปลอดภัยที่ดีความรู้เท่าไม่่ถึงการณ์ของ
พนักงานเป็นต้น เมื่อการรักษาความปลอดภัยบกพร่อง เป็นเหตุให้ข้อมูลรั่วไหลแล้ว ย่อมเกิดความสูญเสียขึ้นทั้งในรูปที่เป็นตัวเงินและไม่ใช่ตัวเงิน จึงควรปกป้องข้อมูลส่วนตัวของผู้ถือบัตรให้ปลอดภัยมากที่สุด เพื่อป้องกันความสูญเสียที่อาจเกิดขึ้น

3.PCI DSS ใช้บังคับกับองค์กรใดบ้าง?

ผู้ที่เข้าข่ายต้องปฏิบัติตามมาตรฐาน PCI DSS นั้น ครอบคลุมทุกองค์กรที่ เก็บรักษา ประมวลผลหรือส่งต่อข้อมูลของผู้ถือบัตร
อิเล็กทรอนิกส์ ทั้งในรูปของบัตรเครดิต บัตรเดบิต และบัตรเติมเงิน ซึ่งต้องรับผิดชอบต่อการปกป้องข้อมูลของผู้ถือบัตร
ทั้งข้อมูลในรูปแบบเอกสาร และไฟล์อิเล็กทรอนิกส์โดยแบ่งองค์กรออกได้เป็น 3 กลุ่มใหญ่ คือ

สถาบันการเงิน เช่น ธนาคาร, บริษัทประกันภัย/ประกันชีวิต, ผู้ให้บริการสินเชื่อ
ผู้ค้า (Merchant) ซึ่งก็คือผู้ขายสินค้าและบริการ เช่น เว็บไซต์ขายสินค้า, ร้านค้าปลีก, โรงแรม, ร้านอาหาร, โรงพยาบาล, สถานีบริการน้ำมัน
ผู้ให้บริการ (Service Provider) เช่น Payment Gateway, ผู้ให้บริการเว็บโฮสติ้ง, ศูนย์ข้อมูลผู้ถือบัตร

	4. มาตรฐาน PCI DSS มีข้อกำหนดอย่างไร?
	ศึกษาข้อมูลเพิ่มเติมเกี่ยวกับมาตรฐาน PCI DSS ได้จากเว็บไซต์ของ PCI SSC ที่ https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

5. องค์กรต้องปฏิบัติอย่างไรให้สอดคล้องตามมาตรฐาน PCI DSS?

ผู้ประกอบการที่เข้าข่ายต้องปฏิบัติให้สอดคล้องกับมาตรฐาน PCI DSS จะต้องมีการตรวจสอบระบบเครือข่ายของตนในรูปแบบต่างๆ ดังนี้

ตรวจประเมินความปลอดภัยประจำปี ณ สถานที่ทำงาน (Annual On-Site Security Audit) ซึ่งต้องดำเนินการโดยผู้ตรวจสอบภายนอกที่ได้รับการรับรอง (Qualified Security Assessor; QSA)
ทำแบบสำรวจประเมินตนเอง (Self-Assessment Questionnaire; SAQ) เป็นประจำทุกปี
ตรวจสอบเครือข่ายรายไตรมาส โดยสแกนหาช่องโหว่ (Vulnerability Scan) และทดสอบการโจมตีระบบ (Penetration Test) ทั้งภายในและภายนอก โดย ASV (Approved Scanning Vendor) ซึ่งเป็นหน่วยงานที่ได้รับการรับรองจาก PCI SSC

6. มีเกณฑ์พิจารณาในการแบ่ง “ระดับ” การปฏิบัติตามมาตรฐาน PCI DSS อย่างไร?

เกณฑ์การกำหนด “ระดับ” ขององค์กรนั้น ขึ้นกับปริมาณธุรกรรมในรอบ 12 เดือน โดยรวมทุกธุรกรรมที่เกี่ยวข้องกับ
บัตรเครดิต บัตรเดบิต และบัตรเติมเงิน ในกรณีที่ผู้ค้า (Merchant) มีหน่วยธุรกิจมากกว่าหนึ่งหน่วย ก็จะกำหนดระดับโดยพิจารณาจากปริมาณธุรกรรมทั้งหมดที่มีการจัดเก็บ ประมวลผล หรือส่งต่อข้อมูล ซึ่งองค์กรนั้นรวบรวมมาจากทุกหน่วยธุรกิจ แต่หากข้อมูลจากทุกหน่วยธุรกิจในองค์กรไม่ได้ถูกเก็บรวบรวมไว้ ก็จะกำหนดระดับโดยพิจารณาจากปริมาณธุรกรรมของแต่ละหน่วยธุรกิจแทน โดยแต่ละค่ายบัตรมีเกณฑ์พิจารณาแตกต่างกันไป ในที่นี้ขอยกเกณฑ์ของค่ายวีซ่า และมาสเตอร์มาเป็นตัวอย่าง ดังนี้

7. ธุรกิจ SME (ระดับ 4) ต้องปฏิบัติอย่างไรให้สอดคล้องตาม PCI DSS?

เพื่อให้สอดคล้องตามข้อหนดของ PCI ผู้จำหน่ายสินค้า/บริการ (Merchant) ต้องปฏิบัติตามขั้นตอน ดังนี้

ระบุประเภทผู้ค้า (validation type) ตามที่ PCI DSS กำหนดไว้ เพื่อหาว่าแบบสำรวจประเมินตนเอง (Self Assessment Questionnaire; SAQ) ชุดใดที่เหมาะกับธุรกิจตน

ประเภท ผู้ค้า	รายละเอียด	SAQ
1	ผู้ค้าที่ไม่มีการแสดงบัตร (การสั่งซื้อทางไปรษณีย์/โทรศัพท์ หรืออีคอมเมิร์ซ), ข้อมูลผู้ถือบัตรทั้งหมดถูกจัดการโดยหน่วยงานภายนอก *ผู้ค้าที่มีหน้าร้านไม่จัดอยู่ในประเภทนี้*	A
2	Imprint-only merchants,ไม่มีการเก็บข้อมูลผู้ถือบัตร	B
3	Stand-alone dial-up terminal merchants,ไม่มีการเก็บข้อมูลผู้ถือบัตร	B
4	ผู้ค้าที่มีระบบชำระเงินเชื่อมต่อกับอินเทอร์เน็ต,ไม่มีการเก็บข้อมูลผู้ถือบัตร	C
5	ผู้ค้าทุกราย (นอกเหนือจาก 4 ประเภทข้างต้น) รวมทั้งผู้ให้บริการทุกราย ซึ่งค่ายบัตรกำหนดให้ทำ SAQ	D

ทำแบบสำรวจประเมินตนเอง (SAQ) ตามคำแนะนำที่กำหนดไว้ในคู่มือ SAQ
ดำเนินการสแกนเครือข่ายเพื่อหาช่องโหว่ (Vulnerability Scan) และขอหลักฐานผลการสแกนที่ผ่านแล้ว จาก ASV (Approved Scanning Vendor) ที่ได้รับการรับรองจาก PCI SSC โดยกำหนดให้มีการสแกนเครือข่ายเพื่อหาช่องโหว่ เฉพาะผู้ค้าประเภทที่ 4 และ 5 ซึ่งเป็นผู้ค้าที่มี IP เชื่อมต่อกับอินเทอร์เน็ต เช่น ผู้ค้าที่มีการจัดเก็บข้อมูลของผู้ถือบัตรด้วยวิธีทางอิเล็กทรอนิกส์ หรือมีระบบประมวลผลที่เชื่อมต่อกับอินเทอร์เน็ต ก็จำเป็นต้องสแกนเครือข่ายทุก 3 เดือน
กรอกใบรับรองการผ่านมาตรฐาน (Attestation of Compliance) ให้ครบถ้วนสมบูรณ์
จัดส่ง SAQ, ผลการสแกนที่ผ่านแล้ว (ถ้ามี) และใบรับรองการผ่านมาตรฐาน ให้กับสถาบันผู้ออกบัตร

	8. ธุรกิจ SME ที่มีธุรกรรมบัตรเครดิตไม่มากนัก จำเป็นต้องปฏิบัติให้สอดคล้องตาม PCI DSS?
	ผู้จำหน่ายสินค้า/บริการทุกราย ไม่ว่าจะมีขนาดเล็กหรือใหญ่ แต่หากมีการจัดเก็บ ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตร ก็จะต้องปฏิบัติให้สอดคล้องตามข้อกำหนดของ PCI DSS
	9. ธุรกิจที่รับชำระด้วยบัตรเครดิตผ่านทางโทรศัพท์เท่านั้น จำเป็นต้องปฏิบัติให้สอดคล้องตาม PCI DSS หรือไม่?
	จำเป็น เพราะทุกธุรกิจที่เก็บข้อมูล ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ จะต้องปฏิบัติให้สอดคล้องตาม PCI DSS
	10. องค์กรที่ให้หน่วยงานภายนอกเป็นผู้ประมวลผลข้อมูลให้ จำเป็นต้องปฏิบัติให้สอดคล้องตาม PCI DSS หรือไม่?
	การให้หน่วยงานภายนอกประมวลผลข้อมูลของผู้ถือบัตรเครดิตให้นั้น มิได้เป็นเหตุยกเว้นให้องค์กรนั้นไม่ปฏิบัติตามมาตรฐาน PCI DSS เป็นแต่เพียงการลดทอนความเสี่ยงที่อาจเกิดขึ้นเท่านั้น อย่างไรก็ตามหากองค์กรดังกล่าวมีการเก็บข้อมูล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ ก็จะต้องปฏิบัติให้สอดคล้องตาม PCI DSS เช่นกัน
	11. ธุรกรรมของบัตรเดบิต เข้าข่ายต้องปฏิบัติให้สอดคล้องตาม PCI DSS หรือไม่?
	มาตรฐาน PCI DSS ครอบคลุมบัตรอิเล็กทรอนิกส์ ทั้งที่เป็นบัตรเครดิต บัตรเดบิต และบัตรเติมเงิน ของค่ายบัตรเครดิต 5 ค่ายหลักที่เข้าร่วมใน PCI SSC ได้แก่ Visa, MasterCard, American Express, Discover และ JCB ดังนั้น ธุรกรรมของบัตรเดบิต จึงเข้าข่ายต้องปฏิบัติให้สอดคล้องตาม PCI DSS
	12. หากไม่ปฏิบัติให้สอดคล้องตาม PCI DSS จะมีโทษปรับหรือไม่ อย่างไร?
	กรณีมีการฝ่าฝืน ไม่ปฏิบัติให้สอดคล้องตาม PCI DSS ค่ายบัตรเครดิตอาจพิจารณาโทษปรับกับสถาบันผู้ออกบัตรเป็นมูลค่าสูงถึงเดือนละ US$ 5,000 – 10,000 โดยสถาบันผู้ออกบัตรมักจะเรียกปรับต่อจากผู้ค้า และอาจระงับการใช้ธุรกรรมหรือปรับเพิ่มค่าธรรมเนียมก็ได้ การปรับดังกล่าวมิได้เปิดเผยในวงกว้าง แต่ก็อาจสร้างความเสียหายให้กับธุรกิจขนาดเล็กได้ จึงควรศึกษาข้อสัญญาให้ถี่ถ้วน เพื่อให้ทราบถึงความเสี่ยงที่อาจเกิดขึ้น
	13. “ข้อมูลของผู้ถือบัตร” หมายถึงอะไร?
	ข้อมูลของผู้ถือบัตร หมายถึง ข้อมูลส่วนตัวที่ใช้บ่งชี้ และเชื่อมโยงถึงตัวผู้ถือบัตร เช่น เลขที่บัญชี ชื่อ ที่อยู่ วันหมดอายุของบัตร เลขประจำตัวประชาชน เป็นต้น ข้อมูลส่วนตัวดังกล่าวที่ถูกจัดเก็บ ประมวลผล หรือส่งต่อนั้น ถือเป็นข้อมูลของผู้ถือบัตรทั้งสิ้น
	14. “ผู้ค้า (Merchant)” หมายถึงใคร?
	ในแง่ของ PCI DSS นั้น ผู้ค้า (merchant) หมายถึง องค์กรใดก็ตามที่รับชำระค่าสินค้า และ/หรือ บริการ ด้วยบัตรอิเล็กทรอนิกส์ซึ่งมีโลโก้ของ 1 ใน 5 สมาชิกของ PCI SSC (Visa, MasterCard, American Express, Discover และ JCB) และอาจอยู่ในสถานะผู้ให้บริการ (Service Provider) ก็ได้ หากบริการที่นำเสนอเกี่ยวข้องกับการเก็บข้อมูล ประมวลผล หรือการส่งต่อข้อมูลของผู้ถือบัตร โดยกระทำการแทนผู้ค้า หรือผู้ให้บริการรายอื่น ยกตัวอย่างเช่น ISP เป็น “ผู้ค้า” ที่รับชำระค่าบริการรายเดือนด้วยบัตรอิเล็กทรอนิกส์ แต่ก็ถือเป็นผู้ให้บริการด้วยเช่นกัน หาก ISP รายนั้นให้บริการโฮสติ้ง โดยมี “ผู้ค้า” เป็นลูกค้า
	15. “ผู้ให้บริการ (Service Provider) หมายถึงใคร?
	“ผู้ให้บริการ” ตามที่ระบุไว้ใน PCI Guidelines คือ องค์กรที่ทำหน้าที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตร โดยกระทำการแทนอีกองค์กรหนึ่ง
	16. โปรแกรมการชำระเงิน (Payment Application) ประกอบด้วยอะไรบ้าง?
	ในมุมของ PCI นั้น “โปรแกรมการชำระเงิน” มีความหมายกว้างมาก ครอบคลุมทุกสิ่งที่จัดเก็บ ประมวลผลหรือส่งต่อข้อมูล บัตรด้วยวิธีทางอิเล็กทรอนิกส์ นับตั้งแต่ ระบบ POS (Point of Sale System) ในร้านอาหาร ไปจนถึงระบบชำระเงินในเว็บไซต์ ขายสินค้า ดังนั้น ซอฟต์แวร์ทุกรูปแบบที่ถูกออกแบบให้สามารถเข้าถึงข้อมูลบัตรเครดิตได้ จึงจัดเป็น “โปรแกรมการชำระเงิน” ทั้งสิ้น
	17. Payment Gateway คืออะไร?
	Payment Gateway เป็นตัวเชื่อมระหว่างผู้ค้า กับธนาคารหรือองค์กรที่ประมวลผลข้อมูลซึ่งเป็นหน้าด่านในการเชื่อมต่อไปยังค่าย บัตรเครดิต โดย Payment Gateway ถือเป็นช่องทางในการรับข้อมูลจากโปรแกรมการชำระเงินหลากหลายรูปแบบเพื่อส่งต่อให้กับธนาคาร หรือองค์กรที่ประมวลผลข้อมูล
	18. ในการปฏิบัติให้สอดคล้องตาม PCI DSS นั้น จำเป็นต้องสแกนเครือข่ายเพื่อหาช่องโหว่ หรือไม่?
	หากองค์กรใดมีการจัดเก็บข้อมูลของผู้ถือบัตรด้วยวิธีทางอิเล็กทรอนิกส์ หรือระบบประมวลผลข้อมูลมีการเชื่อมต่อกับอินเทอร์เน็ต ก็จำเป็นต้องสแกนเครือข่ายเพื่อหาช่องโหว่ (Vulnerability Scanning) ทุก 3 เดือน โดย ASV ที่ได้รับการรับรองจาก PCI SSC
	19. การสแกนเครือข่ายคืออะไร?
	การสแกนเครือข่ายนั้น ทำได้โดยการใช้เครื่องมือ (Tool) เพื่อตรวจสอบหาช่องโหว่ในระบบของผู้ค้าหรือผู้ให้บริการซึ่งเครื่องมือดังกล่าว จะทำการสแกนเครือข่ายจากภายนอก เพื่อตรวจสอบเครือข่ายและเว็บแอพพลิเคชั่นโดยยึดตามไอพีแอดเดรสที่เชื่อมต่อกับอินเทอร์เน็ต ของผู้ค้าหรือผู้ให้บริการ ผลของการสแกนจะแสดงให้เห็นถึงช่องโหว่ในระบบปฏิบัติการ (OS), เซอร์วิส และอุปกรณ์ต่างๆที่แฮกเกอร์อาจใช้ เป็นเป้าโจมตีเครือข่ายส่วนตัวขององค์กรได้ โดยเครื่องมือที่ ASV เช่น Qualys และ Rapid7 นำมาใช้นั้นผู้ค้าหรือผู้ให้บริการไม่จำเป็น ต้องติดตั้งซอฟต์แวร์ลงบนระบบของตนแต่อย่างใด ทั้งนี้ โดยปกติแล้วการสแกนเครือข่ายรายไตรมาสให้สอดคล้องตามมาตรฐาน PCI นั้นจำเป็นสำหรับผู้ค้าที่มีไอพีแอดเดรสที่เชื่อมต่อ กับอินเทอร์เน็ตเท่านั้น ซึ่งมักจะเป็นผู้ค้าที่ทำ SAQ ฉบับ C หรือ D
	20. ต้องสแกนเครือข่ายบ่อยแค่ไหน?
	ผู้ค้า/ผู้ให้บริการที่เข้าข่ายต้องสแกนเครือข่ายจะต้องทำการสแกนเครือข่ายทุกๆ 90 วัน หรือไตรมาสละครั้ง โดยจัดส่งผลการสแกนที่ผ่านเกณฑ์มาตรฐาน ตามตารางเวลาที่กำหนดโดยสถาบันผู้ออกบัตร ซึ่งการสแกนดังกล่าวต้องดำเนินการโดย ASV ที่ได้รับการรับรองจาก PCI SSC
	21. ทำอย่างไรหากผู้ค้าไม่ให้ความร่วมมือ?
	PCI ไม่ใช่กฎหมาย หากแต่เป็นมาตรฐานที่กำหนดขึ้นโดยค่ายบัตรเครดิต 5 ค่ายหลัก คือ Visa, MasterCard, Discover, AMEX และ JCB อย่างไรก็ดี หากผู้ค้าไม่ให้ความร่วมมือในการปฏิบัติให้สอดคล้องตาม PCI DSS ทางสถาบันผู้ออกบัตร/ผู้ให้บริการ สามารถพิจารณาโทษปรับได้ และอาจเกิดความเสียหายอื่นๆ ตามมา เช่น เสียภาพลักษณ์, เสียค่าใช้จ่ายในการสืบหาตัวผู้กระทำผิด เป็นต้น ด้วยเหตุนี้การลงทุนลงแรง เพียงเล็กน้อยให้สอดคล้องตาม PCI DSS ย่อมช่วยลดความเสี่ยงและความเสียหายที่อาจเกิดขึ้นตามมาได้อย่างมากมายมหาศาล