มารู้จักมาตรฐาน PCI DSS
  มาตรฐาน PCI DSS ย่อมาจาก “Payment Card Industry Data Security Standard” เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้ถูกกำหนดขึ้นเพื่อช่วยให้องค์กรต่างๆ ที่มีการรับชำระเงินด้วยบัตรเครดิต สามารถป้องกันการฉ้อโกงบัตรเครดิต โดยการควบคุมข้อมูลและช่องโหว่ต่างๆ ให้เข้มงวดมากยิ่งขึ้น และได้นำไปใช้กับทุกองค์กรที่เก็บรักษา ประมวลผล หรือรับส่งข้อมูลของผู้ถือบัตรเครดิต ไม่ว่าจะเป็นบัตรของค่ายใดก็ตาม
มาตรฐาน PCI DSS ได้เริ่มใช้ในโครงการรักษาความปลอดภัยข้อมูลของบัตรเครดิต 5 ค่ายยักษ์ คือ Visa, MasterCard, American Express, Discover และ JCB ซึ่งมีจุดหมายร่วมกันเพื่อยกระดับการคุ้มครองลูกค้า โดยสร้างความมั่นใจว่าผู้ขาย (ผู้รับชำระเงินด้วยบัตรเครดิต) มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการเก็บรักษา การประมวลผล และการรับส่งข้อมูลของผู้ถือบัตรเครดิต
การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ การประเมินการปฏิบัติตามมาตรฐาน PCI DSS จะต้องทำเป็นประจำทุกปี โดยองค์กรที่มีปริมาณธุรกรรมผ่านบัตรเครดิตมาก จะต้องได้รับการตรวจประเมินจากผู้ตรวจประเมินอิสระ (Qualified Security Assessor : QSA) ส่วนบริษัทที่มีปริมาณธุรกรรมไม่มากนัก สามารถเลือกที่จะตรวจประเมินได้ด้วยตนเองผ่านแบบสำรวจประเมินตนเอง (Self-Assessment Questionnaire : SAQ)
ในประเทศสหรัฐอเมริกา องค์กรที่มีธุรกรรมทางการเงินผ่านบัตรเครดิตตั้งแต่หนึ่งค่ายขึ้นไป แต่ไม่ดำเนินการให้สอดคล้องกับข้อกำหนด PCI DSS จะไม่สามารถรับชำระเงินผ่านบัตรเครดิตได้ ทั้งยังต้องถูกตรวจสอบ และอาจถึงขั้นเสียเงินค่าปรับอีกด้วย

ข้อกำหนด PCI DSS
ปัจจุบันมาตรฐาน PCI DSS เป็นเวอร์ชั่น 1.2 ระบุข้อกำหนดไว้ 12 ข้อ จำแนกตามวัตถุประสงค์ได้เป็น 6 กลุ่ม คือ

สำหรับในประเทศไทยมี พ.ร.ฎ. ว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 ซึ่งตราขึ้นเพื่อยกระดับความเชื่อมั่นในการทำธุรกรรมทางการเงินออนไลน์ ทำให้ระบบข้อมูลอิเล็กทรอนิกส์มีความน่าเชื่อถือและเป็นที่ยอมรับ และสร้างความความมั่นคงปลอดภัยทางระบบสารสนเทศ ดังนั้นผู้ให้บริการการชำระเงินทางอิเล็กทรอนิกส์ จึงต้องมีนโยบายและมาตรการในการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ซึ่งธนาคารแห่งประเทศไทยได้กำหนดหลักเกณฑ์ไว้ สรุปได้ดังนี้

1.การควบคุมการเข้าถึง และการพิสูจน์ตัวตนผู้ใช้ โดย
1.1 กำหนดหน้าที่และความรับผิดชอบของบุคลากรหรือหน่วยงานที่ดูแลด้าน IT Security ขององค์กร พร้อมการอบรมเพื่อเพิ่มเติมความรู้แก่บุคลากรอย่างสม่ำเสมอ
1.2 ควบคุมและจำกัดสิทธิการใช้ระบบสารสนเทศที่เกี่ยวกับการให้บริการ และข้อมูลตามความจำเป็นในการใช้งาน ป้องกันการลักลอบการเข้าถึงระบบโดยผู้ที่ไม่มีสิทธิ ทั้งจากภายในและภายนอกองค์กร พร้อมบันทึกการเข้าใช้ระบบสารสนเทศของผู้ใช้บริการและบุคลากรที่เกี่ยวข้อง
1.3 ระบุหรือพิสูจน์ตัวตนและตรวจสอบสิทธิของผู้ใช้ระบบ โดยใช้เทคโนโลยีที่เหมาะสม เช่น รหัสผ่าน, เลขประจำตัว (Personal Identification Number), อุปกรณ์หรือบัตรที่เก็บข้อมูลส่วนบุคคล (Token หรือ Smart Card) เป็นต้น เพื่อป้องกันการปฏิเสธการรับผิดกรณีมีข้อพิพาทเกิดขึ้น

2.การรักษาความลับของข้อมูล และความถูกต้องเชื่อถือได้ของระบบสารสนเทศ โดย
2.1 กำหนดชั้นความลับของข้อมูลตามระดับความสำคัญ และสิทธิผู้ที่สามารถเข้าถึงข้อมูลดังกล่าว รวมทั้งจัดให้มีวิธีการรับส่ง ประมวลผล และจัดเก็บข้อมูลลับในลักษณะที่มั่นคงปลอดภัยตามระดับความสำคัญ
2.2 บริหารจัดการเครือข่ายที่เกี่ยวกับการให้บริการ เพื่อป้องกันภัยคุกคามทางเครือข่าย หรือข้อมูลที่ส่งผ่านทางเครือข่าย

3.การรักษาสภาพความพร้อมใช้งานของการให้บริการ โดยการประเมินและจัดการความเสี่ยงของระบบที่ให้บริการ พร้อมติดตามตรวจสอบความผิดปกติและความล่อแหลมของระบบสารสนเทศ โดยประเมินช่องโหว่ของระบบ (Vulnerability Assessment) โดยเฉพาะในส่วนของระบบเครือข่ายที่เกี่ยวกับการให้บริการ
หากระบบมีความเสี่ยงสูง ควรจัดให้มีการทดสอบเจาะระบบ (Penetration Test) ด้วยเพื่อทดสอบประสิทธิภาพของเทคโนโลยีการรักษาความมั่นคงปลอดภัย

4.การตรวจสอบความมั่นคงปลอดภัยทางระบบสารสนเทศ โดยจัดให้มีผู้ตรวจสอบและดำเนินการตรวจสอบในเรื่องที่มีความเสี่ยงหรือมีความสำคัญต่อการให้บริการ อย่างน้อยปีละ 1 ครั้ง

มาตรฐาน PCI DSS กับ SRAN Data Safehouse
SRAN Data Safehouse ซึ่งเป็นบริการเก็บบันทึก Log File และเฝ้าระวังภัยคุกคามสำหรับเว็บไซต์ พร้อมตรวจหาช่องโหว่และประเมินความเสี่ยงเว็บไซต์ ได้พัฒนาคุณสมบัติขึ้นเป็นลำดับ โดยเพิ่มการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS ซึ่งเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก
หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check

จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report

จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server นั้น สอดคล้องกับข้อกำหนดในมาตรฐาน PCI DSS หรือไม่ ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมได้จากรายงานการประเมินช่องโหว่ของระบบ

ตัวอย่างรายงานการประเมินช่องโหว่ของระบบ

บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด จำกัด ผู้นำด้านการพัฒนาผลิตภัณฑ์และให้บริการด้านความปลอดภัยข้อมูลสารสนเทศของ ไทย ร่วมมือกับบริษัท Qualys Inc. ผู้นำด้านการประเมินความเสี่ยงเครือข่ายสารสนเทศระดับโลก นำเสนอบริการด้านการรักษาความมั่นคงปลอดภัย สำหรับองค์กรที่ต้องการจัดทำ IT Security และ Policy Compliance เพื่อช่วยตรวจหาช่องโหว่และแนะนำกระบวนการแก้ไข รวมถึงการเปรียบเทียบผลการตรวจสอบกับข้อกำหนดและแนวทางปฏิบัติตามมาตรฐาน PCI DSS, Sarbanes-Oxley (SOX), GLBA, HIPAA, Basel II ช่วยเพิ่มประสิทธิภาพในการตรวจรักษาความปลอดภัยและการกำหนดนโยบายให้ สอดคล้องกับแนวทางปฏิบัติตามมาตรฐานต่าง ๆ ซึ่งได้รับการยอมรับและรับรองจากหน่วยงานด้านการ Audit ระดับโลก ทั้งยังช่วยอำนวยความสะดวกและลดค่าใช้จ่ายในการดูแลความปลอดภัยระบบสารสนเทศ ขององค์กรอีกด้วย

  

บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ในฐานะตัวแทนผู้ให้บริการของ Approved Scanning Vendor (ASV) ที่ได้รับการรับรองจาก PCI Security Standard Council ได้เปิดให้บริการตรวจประเมินและออกรายงานการผ่านมาตรฐาน PCI DSS พร้อมบริการด้านรักษาความปลอดภัยข้อมูลสารสนเทศ ด้วยทีมงานมืออาชีพ

สนใจรายละเอียดเพิ่มเติมติดต่อ

โทรศัพท์ : 02-982-5445 (อัตโนมัติ)

สายด่วน (Hotline) : 086-445-5366 ทุกวัน ตลอด 24 ชั่วโมง

โทรสาร : 02-982-4004

อีเมล์ : info@gbtech.co.th