Faq

เกร็ด พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

  1. Answer :

    เป็นความจริงเพียงครึ่งหนึ่ง เพราะวัตถุประสงค์หลักของกฎหมายฉบับนี้ คือ ป้องปรามมิให้ผู้ใดใช้เทคโนโลยีสารสนเทศไปในทางที่ทำให้ผู้อื่นเกิดความเสียหาย และได้ระวางโทษไว้ทั้งจำและปรับ แต่ด้วยความที่ พ.ร.บ.ฉบับนี้เกี่ยวข้องกับเทคโนโลยีสารสนเทศ หลักฐานต่างๆ จึงอยู่ในรูปของข้อมูลอิเล็กทรอนิคส์ หรือใช้ศัพท์ว่า “ข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data)” ซึ่งเป็นหลักฐานที่จำเป็นในการสืบสวนหาผู้กระทำความผิด แต่ปัญหาก็คือหลักฐานประเภทนี้ถูกทำลายหรือดัดแปลง ตกแต่ง ได้ง่าย กฎหมายจึงต้องบังคับให้มีการเก็บหลักฐานที่สามารถพิสูจน์ได้ว่าข้อมูลนั้นๆ จะไม่ถูกดัดแปลง หรือแก้ไข

  2. Answer :

    กฎหมายกำหนดให้ “ผู้ให้บริการ” มีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ของ “ผู้ใช้บริการ”

    ผู้ให้บริการ คือผู้ที่เปิดให้บุคคลอื่นเข้าสู่อินเตอร์เน็ต หรือให้บุคคลติดต่อกันได้ผ่านระบบคอมพิวเตอร์ ได้แก่ หน่วยงานทั้งภาครัฐและเอกชน, โรงพยาบาล,โรงแรม, ร้านอินเตอร์เน็ต, อพาร์ทเม้นท์ และอื่นๆ ที่มีเครือข่ายคอมพิวเตอร์ หรืออินเตอร์เน็ต ไม่ว่าจะมีสายหรือไร้สาย

    อีกมุมหนึ่งคือ ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์ของบุคคลอื่น เช่น ISP เป็นต้น

    ผู้ใช้บริการ คือ บุคคลที่เข้ามาใช้บริการของผู้ให้บริการ ไม่ว่าจะเสียค่าใช้จ่ายหรือไม่ก็ตาม ได้แก่ พนักงานในองค์กร, ลูกค้า, ผู้พักอาศัย เป็นต้น

  3. Answer :

    พ.ร.บ.กำหนดให้ “ผู้ให้บริการ” ต้องเก็บรักษาข้อมูลของ “ผู้ใช้บริการ” เท่าที่จำเป็น เพื่อให้ระบุตัวผู้กระทำความผิด หากเกิดคดีความขึ้นได้ โดยหลักฐานที่เก็บนั้นต้องสามารถพิสูจน์ต่อพนักงานเจ้าหน้าที่/ศาลได้ว่าไม่ได้ถูกดัดแปลง หรือแก้ไข โดยเก็บบันทึกไว้ไม่ต่ำกว่า 90 วัน นับจากวันสุดท้ายที่ใช้บริการ

    ทั้งนี้ การเก็บ Log File “เท่าที่จำเป็น” นั้น คือเพื่อให้ทราบว่าใคร เข้ามาใช้เครือข่ายคอมพิวเตอร์ กระทำการใด ในช่วงเวลาใด เพื่อเป็นข้อมูลประกอบกับหลักฐานแวดล้อมอื่น ดังนั้น เครือข่ายใดที่มีผู้ใช้งานเพียงไม่กี่ราย ก็สามารถเลือกใช้วิธีจดบันทึกการใช้งานลงบนสมุด ระบุชื่อบุคคล, ช่วงเวลาที่ใช้งาน และเครื่องคอมพิวเตอร์ที่ใช้ ก็ถือเป็นการเก็บหลักฐานที่ไม่ถูกดัดแปลงแก้ไขได้เช่นกัน ไม่จำเป็นต้องติดตั้งอุปกรณ์เก็บบันทึก Log File ให้สิ้นเปลืองแต่อย่างใด

  4. Answer :

    ประเด็นนี้มักเกิดความเข้าใจคลาดเคลื่อนบ่อยครั้ง โดยเข้าใจว่าอุปกรณ์หรือเทคโนโลยีใดที่มีการจับข้อมูลที่วิ่งอยู่บนเครือข่ายคอมพิวเตอร์ ถือว่าผิดตามมาตรานี้ ซึ่งหากตีความเช่นนี้คงเกิดความวุ่นวาย เพราะทั้ง Firewall, AntiVirus, IDS/IPS, UTM/USM ล้วนเข้าข่ายนี้ทั้งสิ้น เพราะทางเทคโนโลยีอุปกรณ์เหล่านี้ต้องนำข้อมูลที่วิ่งอยู่บนเครือข่ายมาเปรียบเทียบกับรูปแบบต่างๆ ที่ตัวเองมีอยู่เพื่อระบุว่าข้อมูลใดที่ผิดปรกติ เช่นเป็น Virus ประเภทใดเป็นต้น ดังนั้นการตีความจึงต้องดูเจตนาเป็นหลัก เช่น หากบริษัทใดมีระบบใดๆ ดังกล่าวข้างต้น หรือลักษณะการทำงานอย่างนี้ติดตั้งอยู่เพื่อกิจการงานของบริษัทฯ โดยบริษัทฯ เป็นผู้จัดหามาโดยชอบ ถือว่าเป็นการทำโดยชอบจึงไม่เข้าข่ายความผิดตามมาตรานี้ ซึ่งท่านพรเพชร วิชิตชลชัย ประธานศาลอุทธรณ์ภาค 4 ได้อธิบายไว้ว่า “ต้องอย่าลืมว่าการกระทำความผิดตามมาตรานี้ ผู้กระทำได้กระทำไป “โดยมิชอบ” ด้วย ซึ่งหมายถึงการไม่มีอำนาจกระทำ ดังนั้น ถ้าผู้กระทำมีอำนาจที่จะกระทำได้ไม่ว่าโดยกฎหมายหรือโดยการอนุญาตของเจ้าของสิทธิ ผู้กระทำย่อมไม่มีความผิด”

    อีกกรณีหนึ่ง หากมีผู้ใช้บริการอินเตอร์เน็ตสาธารณะแล้วถูกผู้ไม่หวังดีดักข้อมูลบางอย่างที่เป็นข้อมูลส่วนตัวไป ก็อาจไม่สามารถอ้างความคุ้มครองตามมาตรานี้ได้ หากข้อมูลดังกล่าวมิได้ถูกเข้ารหัสเพื่อป้องกันการเข้าถึง ซึ่งท่านพรเพชร ได้อธิบายไว้ว่า “การพิจารณาว่าข้อมูลคอมพิวเตอร์ได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้หรือไม่ ต้องพิจารณาจากข้อเท็จจริงว่าลักษณะการส่งข้อมูลคอมพิวเตอร์ดังกล่าวนั้นผู้ส่งต้องการให้เป็นเรื่องเฉพาะตน ไม่ได้ต้องการให้เปิดเผยข้อมูลนั้นแก่ผู้ใดหรือไม่ การพิจารณาว่าข้อมูลคอมพิวเตอร์ใดมีไว้เพื่อประโยชน์สาธารณะจึงต้องพิจารณาจากการมีการเข้ารหัสการเข้าถึงข้อมูลคอมพิวเตอร์ดังกล่าวเพียงใด ดังนั้นจึงไม่ใช่เรื่องที่จะพิจารณาจากเนื้อหาของข้อมูลว่าเป็นความลับหรือไม่ เช่น เนื้อหาของข้อมูลอาจเป็นเรื่องความลับทางการค้า แต่หากผู้ส่งใช้วิธีการส่งที่ไม่มีมาตรการป้องกันการเข้าถึงข้อมูลนั้น ผู้ที่ดักรับย่อมไม่มีความผิด”


เอกสารชี้แจงผลิตภัณฑ์ SRAN

  1. Answer :

    โดยทางบริษัทโกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ผู้ริเริ่มพัฒนาผลิตภัณฑ์ด้านระบบป้องกันภัยคุกคามบนเครือข่ายสารสนเทศ ภายใต้แบรนด์ “SRAN” ได้ทำการสำรวจข้อมูลความต้องการและความพึงพอใจของลูกค้า พบว่ามีการสื่อความเข้าใจในผลิตภัณฑ์ที่ไม่ถูกต้องนัก โดยจำกัดความอุปกรณ์ “SRAN” ว่าเป็นอุปกรณ์จัดเก็บ Log เท่านั้น จึงส่งผลกับการนำไปติดตั้งและใช้งานไม่ถูกต้อง ทำให้เกิดปัญหากับการใช้งานของลูกค้าหรือผู้ใช้งาน โดยอุปกรณ์ภายใต้แบรนด์ “SRAN” ไม่ใช่เป็นเพียงอุปกรณ์จัดเก็บ Log เท่านั้น แต่เป็นอุปกรณ์ที่ช่วยใน “การเฝ้าระวังภัยคุกคามบนเครือข่าย” ปัญหาที่เกิดจากการเข้าใจผิด ทำให้การนำอุปกรณ์ไปติดตั้ง มีปัญหาระบบล่มหรือรองรับข้อมูลจราจรที่มีการใช้งานภายในเครือข่ายที่นำไปติดตั้งไม่เพียงพอ ส่งผลต่อการเข้าใจผิดของลูกค้า

    ในการติดตั้งอุปกรณ์ “SRAN” ไม่ใช่การส่ง Log จากอุปกรณ์ทั้งหมดในเครือข่าย มายังที่อุปกรณ์เพียงเพื่อจัดเก็บข้อมูลจราจร ตามพรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยในเนื้อหาของพรบ. นั้นได้กำหนดประเภทของข้อมูลจราจรในการจัดเก็บเอาไว้ว่ามีประเภทใดบ้าง แต่ปัญหาที่พบก็คือ มีการนำข้อมูลจราจรทั้งหมดที่เกิดขึ้นภายในเครือข่ายส่งมาจัดเก็บที่อุปกรณ์เพียงอุปกรณ์เดียว ซึ่งส่งผลให้อุปกรณ์รองรับข้อมูลจราจรที่มีการใช้งานภายในเครือข่ายไม่เพียงพอ โดยไม่ทำการคัดเลือกเฉพาะข้อมูลที่จำเป็นในการจัดเก็บ  ทั้งนี้อุปกรณ์SRAN มีความสามารถในการเฝ้าระวังภัยคุยคามบนเครือข่าย รวมทั้งสามารถตรวจสอบและจัดเก็บข้อมูลจราจร ตามพรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 เป็นผลให้เกิดกรณีที่มีความเข้าใจผิด ในการใช้ความสามารถในการจัดเก็บข้อมูลจราจรผิดวิธีการ ทำให้มีการจัดเก็บข้อมูลจราจรบนเครือข่ายเกิดความซ้ำซ้อนกัน ส่งผลให้เกิดปัญหาที่กล่าวไว้ข้างต้นได้

    โดยการจัดเก็บข้อมูลจราจรของอุปกรณ์ SRAN สามารถแบ่งออกเป็น 2 รูปแบบ ดังนี้

    1.  ใช้ความสามารถในการตรวจสอบและจัดเก็บข้อมูลจราจรบนเครือข่าย โดยใช้การติดตั้งทั้งในแบบขวางอุปกรณ์ (Inline or Transparent Mode) หรือแบบใช้ความสามารถของอุปกรณ์ Switch โดยการ Mirroring Port (Passive Mode) ส่งข้อมูลมาให้

    2.  ใช้ความสามารถในการรับ Log จากอุปกรณ์อื่นๆ ผ่านการส่ง Syslog Protocol มายังที่อุปกรณ์

    ทั้งนี้จากการติดตั้งทั้ง 2 แบบนั้น ทำให้เกิดกรณีที่ว่า มีการติดตั้งและปรับแต่งการทำงานทั้ง 2 แบบขึ้น จึงทำให้มีการจัดเก็บข้อมูลที่ซ้ำซ้อนกัน ยกตัวอย่างเช่น ใช้ความสามารถที่ 1 และยังมีการส่งข้อมูลจราจรในแบบที่ 2 ของอุปกรณ์ Firewall มายังที่อุปกรณ์ ซึ่งส่งผลให้มีการจัดเก็บข้อมูลซ้ำซ้อนมากเป็น 2 เท่า ทำให้มีการใช้พื้นที่ในการจัดเก็บเป็นจำนวนมาก และยังส่งผลให้จัดเก็บข้อมูลที่ไม่จำเป็น ทั้งยังส่งผลให้อุปกรณ์ไม่สามารถรองรับการทำงานได้เพียงพอ

    เอกสารชี้แจ้งผลิตภัณฑ์ต้องการให้ผู้ติดตั้งหรือผู้ใช้งานสามารถนำอุปกรณ์ไปใช้อย่างถูกวิธีและมีประสิทธิภาพมากที่สุด และส่งผลต่อความพึงพอใจของลูกค้าและใช้ประโยชน์จากผลิตภัณฑ์ได้อย่างเต็มประสิทธิภาพ คลิกดาวน์โหลด

  2. Answer :

    SRAN คือ แบรนด์ของชื่อผลิตภัณฑ์ในกลุ่มของ SRAN โดยใช้ รูปแมววิเชียรมาศ เป็นสัญญาลักษณ์ของเครื่องหมายการค้า ซึ่งจุดประสงค์ของ SRAN คือการได้ผลิตอุปกรณ์ที่ความสามารถเทียบเท่ากับโปรดักต่างประเทศ ซึ่งช่วยให้ลดต้นทุนในการลงทุนในด้านไอทีและยัง
    เป็นผู้นำทางด้านความปลอดภัยของสารสนเทศซึ่งเป็นที่รู้จักกันแพร่หลาย และ ทางกลุ่ม SRAN ได้คิดค้น อุปกรณ์ SRAN ซึ่งแยกตามความสามารถของอุปกรณ์ทำให้ครอบคลุมได้กว้างต่อการใช้งานได้แก่ SRAN Security Center ,SRAN Light ,SRANwall ,Zemog System เป็นต้น

  3. Answer :

     อุปกรณ์ SRAN เก็บ Log ได้ 90 วันอย่างน้อย ซึ่งตรงตามกับ พ.ร.บ.ทางคอมพิวเตอร์ได้กำหนดมา และ “SRAN” ไม่ใช่เป็นเพียงอุปกรณ์จัดเก็บ Log เท่านั้น แต่เป็นอุปกรณ์ที่ช่วยใน “การเฝ้าระวังภัยคุกคามบนเครือข่าย” ปัญหาที่เกิดจากการเข้าใจผิด ทำให้การนำอุปกรณ์ไปติดตั้ง มีปัญหาระบบล่มหรือรองรับข้อมูลจราจรที่มีการใช้งานภายในเครือข่ายที่นำไปติดตั้งไม่เพียงพอส่งผลต่อการเข้าใจผิดของลูกค้าในการติดตั้งอุปกรณ์ “SRAN” ไม่ใช่การส่ง Log จากอุปกรณ์ทั้งหมดในเครือข่าย มายังที่อุปกรณ์เพียงเพื่อจัดเก็บข้อมูลจราจร ตามพรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยในเนื้อหาของพรบ. นั้นได้กำหนดประเภทของข้อมูลจราจรในการจัดเก็บเอาไว้ว่ามีประเภทใดบ้าง แต่ปัญหาที่พบก็คือ มีการนำข้อมูลจราจรทั้งหมดที่เกิดขึ้นภายในเครือข่ายส่งมาจัดเก็บที่อุปกรณ์เพียงอุปกรณ์เดียว ซึ่งส่งผลให้อุปกรณ์รองรับข้อมูลจราจรที่มีการใช้งานภายในเครือข่ายไม่เพียงพอ โดยไม่ทำการคัดเลือกเฉพาะข้อมูลที่จำเป็นในการจัดเก็บ ทั้งนี้อุปกรณ์ SRAN มีความสามารถในการเฝ้าระวังภัยคุยคามบนเครือข่าย รวมทั้งสามารถตรวจสอบและจัดเก็บข้อมูลจราจร ตามพรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 เป็นผลให้เกิดกรณีที่มีความเข้าใจผิด ในการใช้ความสามารถในการจัดเก็บข้อมูลจราจรผิดวิธีการ ทำให้มีการจัดเก็บข้อมูลจราจรบนเครือข่ายเกิดความซ้ำซ้อนกัน ส่งผลให้เกิดปัญหาที่กล่าวไว้ข้างต้นได้

  4. Answer :

    การจัดเก็บข้อมูลจราจรของอุปกรณ์ SRAN สามารถแบ่งออกเป็น 2 รูปแบบ ดังนี้

    3.1. ใช้ความสามารถในการตรวจสอบและจัดเก็บข้อมูลจราจรบนเครือข่าย โดยใช้การติดตั้งทั้งในแบบอุปกรณ์ (Inline or Transparent Mode) หรือแบบใช้ความสามารถของอุปกรณ์ Switch โดยการ Mirroring Port (Passive Mode) ส่งข้อมูลมาให้

    3.2. ใช้ความสามารถในการรับ Log จากอุปกรณ์อื่นๆ ผ่านการส่ง Syslog Protocol มายังที่อุปกรณ์

  5. Answer :

    Switches ที่มีความสามารถในการทำ SPAN , Mirror Port


คำถามเกี่ยวกับ PCI DSS

  1. Answer :

    PCI DSS หรือ Payment Card Industry Data Security Standard คือมาตรฐานการรักษาความปลอดภัยที่ถูกกำหนดและบริหาร
    จัดการโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) ซึ่งเป็นองค์กรอิสระที่จัดตั้งขึ้น
    โดยค่ายบัตรเครดิต 5 ค่ายหลัก ได้แก่ Visa, MasterCard, American Express, Discover และ JCB โดยมุ่งเน้นที่การยกระดับ
    ความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อให้แน่ใจว่าทุกองค์กรที่ เก็บรักษา ประมวลผล หรือส่งต่อข้อมูลของ
    ผู้ถือบัตรอิเล็กทรอนิกส์
     มีการดูแลเครือข่ายและสร้างสภาพแวดล้อมทางกายภาพที่มั่นคงปลอดภัย เพื่อปกป้องข้อมูลส่วนตัว
    ของผู้ถือบัตร

  2. Answer :

    จากสถิติการรั่วไหลของข้อมูลในปี 2010 พบว่า ข้อมูลจากบัตรอิเล็กทรอนิกส์มีการรั่วไหลสูงสุด ถึง 85% ของข้อมูลที่รั่วไหลทั้งหมด โดยข้อมูลที่รั่วไหลมาจากระบบรับชำระเงินหน้าร้านมากที่สุด คิดเป็น 75% ของทั้งหมด แสดงให้เห็นว่าการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อซื้อสินค้า/บริการผ่านหน้าร้านโดยตรงนั้น มีความเสี่ยงสูงที่ข้อมูลส่วนตัวของลูกค้าจะรั่วไหลได้ ทั้งยังตกเป็นเป้าของการแฮกข้อมูลอีกด้วย โดยอาจมีสาเหตุจากการเก็บข้อมูลไม่เหมาะสม การออกแบบระบบไม่เหมาะสมการขาดนโยบายรักษา ความปลอดภัยที่ดีความรู้เท่าไม่่ถึงการณ์ของ
    พนักงานเป็นต้น เมื่อการรักษาความปลอดภัยบกพร่อง เป็นเหตุให้ข้อมูลรั่วไหลแล้ว ย่อมเกิดความสูญเสียขึ้นทั้งในรูปที่เป็นตัวเงินและไม่ใช่ตัวเงิน จึงควรปกป้องข้อมูลส่วนตัวของผู้ถือบัตรให้ปลอดภัยมากที่สุด เพื่อป้องกันความสูญเสียที่อาจเกิดขึ้น

  3. Answer :

    ผู้ที่เข้าข่ายต้องปฏิบัติตามมาตรฐาน PCI DSS นั้น ครอบคลุมทุกองค์กรที่ เก็บรักษา ประมวลผลหรือส่งต่อข้อมูลของผู้ถือบัตร
    อิเล็กทรอนิกส์ ทั้งในรูปของบัตรเครดิต บัตรเดบิต และบัตรเติมเงิน
     ซึ่งต้องรับผิดชอบต่อการปกป้องข้อมูลของผู้ถือบัตร 
    ทั้งข้อมูลในรูปแบบเอกสาร และไฟล์อิเล็กทรอนิกส์โดยแบ่งองค์กรออกได้เป็น 3 กลุ่มใหญ่ คือ

    1. สถาบันการเงิน เช่น ธนาคาร, บริษัทประกันภัย/ประกันชีวิต, ผู้ให้บริการสินเชื่อ
    2. ผู้ค้า (Merchant) ซึ่งก็คือผู้ขายสินค้าและบริการ เช่น เว็บไซต์ขายสินค้า, ร้านค้าปลีก, โรงแรม, ร้านอาหาร, โรงพยาบาล, สถานีบริการน้ำมัน
    3. ผู้ให้บริการ (Service Provider) เช่น Payment Gateway, ผู้ให้บริการเว็บโฮสติ้ง, ศูนย์ข้อมูลผู้ถือบัตร
  4. Answer :

    ศึกษาข้อมูลเพิ่มเติมเกี่ยวกับมาตรฐาน PCI DSS ได้จากเว็บไซต์ของ PCI SSC ที่ 

    https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

  5. Answer :

    ผู้ประกอบการที่เข้าข่ายต้องปฏิบัติให้สอดคล้องกับมาตรฐาน PCI DSS จะต้องมีการตรวจสอบระบบเครือข่ายของตนในรูปแบบต่างๆ ดังนี้

    • ตรวจประเมินความปลอดภัยประจำปี ณ สถานที่ทำงาน (Annual On-Site Security Audit) ซึ่งต้องดำเนินการโดยผู้ตรวจสอบภายนอกที่ได้รับการรับรอง (Qualified Security Assessor; QSA)
    • ทำแบบสำรวจประเมินตนเอง (Self-Assessment Questionnaire; SAQ) เป็นประจำทุกปี
    • ตรวจสอบเครือข่ายรายไตรมาส โดยสแกนหาช่องโหว่ (Vulnerability Scan) และทดสอบการโจมตีระบบ (Penetration Test) ทั้งภายในและภายนอก โดย ASV (Approved Scanning Vendor) ซึ่งเป็นหน่วยงานที่ได้รับการรับรองจาก PCI SSC 
  6. Answer :

    เกณฑ์การกำหนด “ระดับ” ขององค์กรนั้น ขึ้นกับปริมาณธุรกรรมในรอบ 12 เดือน โดยรวมทุกธุรกรรมที่เกี่ยวข้องกับ
    บัตรเครดิต บัตรเดบิต และบัตรเติมเงิน
     ในกรณีที่ผู้ค้า (Merchant) มีหน่วยธุรกิจมากกว่าหนึ่งหน่วย ก็จะกำหนดระดับโดยพิจารณาจากปริมาณธุรกรรมทั้งหมดที่มีการจัดเก็บ ประมวลผล หรือส่งต่อข้อมูล ซึ่งองค์กรนั้นรวบรวมมาจากทุกหน่วยธุรกิจ แต่หากข้อมูลจากทุกหน่วยธุรกิจในองค์กรไม่ได้ถูกเก็บรวบรวมไว้ ก็จะกำหนดระดับโดยพิจารณาจากปริมาณธุรกรรมของแต่ละหน่วยธุรกิจแทน โดยแต่ละค่ายบัตรมีเกณฑ์พิจารณาแตกต่างกันไป ในที่นี้ขอยกเกณฑ์ของค่ายวีซ่า และมาสเตอร์มาเป็นตัวอย่าง ดังนี้ 

  7. Answer :

    เพื่อให้สอดคล้องตามข้อหนดของ PCI ผู้จำหน่ายสินค้า/บริการ (Merchant) ต้องปฏิบัติตามขั้นตอน ดังนี้

    • ระบุประเภทผู้ค้า (validation type) ตามที่ PCI DSS กำหนดไว้ เพื่อหาว่าแบบสำรวจประเมินตนเอง (Self Assessment Questionnaire; SAQ) ชุดใดที่เหมาะกับธุรกิจตน

    ประเภท
    ผู้ค้า

    รายละเอียด SAQ

        1

    ผู้ค้าที่ไม่มีการแสดงบัตร (การสั่งซื้อทางไปรษณีย์/โทรศัพท์ หรืออีคอมเมิร์ซ), ข้อมูลผู้ถือบัตรทั้งหมดถูกจัดการโดยหน่วยงานภายนอก ผู้ค้าที่มีหน้าร้านไม่จัดอยู่ในประเภทนี้

      A

        2

    Imprint-only merchants,ไม่มีการเก็บข้อมูลผู้ถือบัตร

      B

        3

    Stand-alone dial-up terminal merchants,ไม่มีการเก็บข้อมูลผู้ถือบัตร

      B

        4

    ผู้ค้าที่มีระบบชำระเงินเชื่อมต่อกับอินเทอร์เน็ต,ไม่มีการเก็บข้อมูลผู้ถือบัตร

      C

        5

    ผู้ค้าทุกราย (นอกเหนือจาก 4 ประเภทข้างต้น) รวมทั้งผู้ให้บริการทุกราย ซึ่งค่ายบัตรกำหนดให้ทำ SAQ

      D

     

    • ทำแบบสำรวจประเมินตนเอง (SAQ) ตามคำแนะนำที่กำหนดไว้ในคู่มือ SAQ
    • ดำเนินการสแกนเครือข่ายเพื่อหาช่องโหว่ (Vulnerability Scan) และขอหลักฐานผลการสแกนที่ผ่านแล้ว จาก ASV (Approved Scanning Vendor) ที่ได้รับการรับรองจาก PCI SSC โดยกำหนดให้มีการสแกนเครือข่ายเพื่อหาช่องโหว่ เฉพาะผู้ค้าประเภทที่ 4 และ 5 ซึ่งเป็นผู้ค้าที่มี IP เชื่อมต่อกับอินเทอร์เน็ต เช่น ผู้ค้าที่มีการจัดเก็บข้อมูลของผู้ถือบัตรด้วยวิธีทางอิเล็กทรอนิกส์ หรือมีระบบประมวลผลที่เชื่อมต่อกับอินเทอร์เน็ต ก็จำเป็นต้องสแกนเครือข่ายทุก 3 เดือน  
    • กรอกใบรับรองการผ่านมาตรฐาน (Attestation of Compliance) ให้ครบถ้วนสมบูรณ์
    • จัดส่ง SAQ, ผลการสแกนที่ผ่านแล้ว (ถ้ามี) และใบรับรองการผ่านมาตรฐาน ให้กับสถาบันผู้ออกบัตร 
  8. Answer :

    ผู้จำหน่ายสินค้า/บริการทุกราย ไม่ว่าจะมีขนาดเล็กหรือใหญ่ แต่หากมีการจัดเก็บ ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตร ก็จะต้องปฏิบัติให้สอดคล้องตามข้อกำหนดของ PCI DSS 

  9. Answer :

    จำเป็น เพราะทุกธุรกิจที่เก็บข้อมูล ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ จะต้องปฏิบัติให้สอดคล้องตาม PCI DSS 

  10. Answer :

    การให้หน่วยงานภายนอกประมวลผลข้อมูลของผู้ถือบัตรเครดิตให้นั้น มิได้เป็นเหตุยกเว้นให้องค์กรนั้นไม่ปฏิบัติตามมาตรฐาน PCI DSS เป็นแต่เพียงการลดทอนความเสี่ยงที่อาจเกิดขึ้นเท่านั้น อย่างไรก็ตามหากองค์กรดังกล่าวมีการเก็บข้อมูล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ ก็จะต้องปฏิบัติให้สอดคล้องตาม PCI DSS เช่นกัน 

  11. Answer :

    มาตรฐาน PCI DSS ครอบคลุมบัตรอิเล็กทรอนิกส์ ทั้งที่เป็นบัตรเครดิต บัตรเดบิต และบัตรเติมเงิน ของค่ายบัตรเครดิต 5 ค่ายหลักที่เข้าร่วมใน PCI SSC ได้แก่ Visa, MasterCard, American Express, Discover และ JCB ดังนั้น ธุรกรรมของบัตรเดบิต จึงเข้าข่ายต้องปฏิบัติให้สอดคล้องตาม PCI DSS

  12. Answer :

    กรณีมีการฝ่าฝืน ไม่ปฏิบัติให้สอดคล้องตาม PCI DSS ค่ายบัตรเครดิตอาจพิจารณาโทษปรับกับสถาบันผู้ออกบัตรเป็นมูลค่าสูงถึงเดือนละ US$ 5,000 – 10,000 โดยสถาบันผู้ออกบัตรมักจะเรียกปรับต่อจากผู้ค้า และอาจระงับการใช้ธุรกรรมหรือปรับเพิ่มค่าธรรมเนียมก็ได้ การปรับดังกล่าวมิได้เปิดเผยในวงกว้าง แต่ก็อาจสร้างความเสียหายให้กับธุรกิจขนาดเล็กได้ จึงควรศึกษาข้อสัญญาให้ถี่ถ้วน เพื่อให้ทราบถึงความเสี่ยงที่อาจเกิดขึ้น

  13. Answer :

    ข้อมูลของผู้ถือบัตร หมายถึง ข้อมูลส่วนตัวที่ใช้บ่งชี้ และเชื่อมโยงถึงตัวผู้ถือบัตร เช่น เลขที่บัญชี ชื่อ ที่อยู่ วันหมดอายุของบัตร เลขประจำตัวประชาชน เป็นต้น ข้อมูลส่วนตัวดังกล่าวที่ถูกจัดเก็บ ประมวลผล หรือส่งต่อนั้น ถือเป็นข้อมูลของผู้ถือบัตรทั้งสิ้น 

  14. Answer :

    ในแง่ของ PCI DSS นั้น ผู้ค้า (merchant) หมายถึง องค์กรใดก็ตามที่รับชำระค่าสินค้า และ/หรือ บริการ ด้วยบัตรอิเล็กทรอนิกส์ซึ่งมีโลโก้ของ 1 ใน 5 สมาชิกของ PCI SSC (Visa, MasterCard, American Express, Discover และ JCB) และอาจอยู่ในสถานะผู้ให้บริการ (Service Provider) ก็ได้ หากบริการที่นำเสนอเกี่ยวข้องกับการเก็บข้อมูล ประมวลผล หรือการส่งต่อข้อมูลของผู้ถือบัตร โดยกระทำการแทนผู้ค้า หรือผู้ให้บริการรายอื่น ยกตัวอย่างเช่น ISP เป็น “ผู้ค้า” ที่รับชำระค่าบริการรายเดือนด้วยบัตรอิเล็กทรอนิกส์ แต่ก็ถือเป็นผู้ให้บริการด้วยเช่นกัน หาก ISP รายนั้นให้บริการโฮสติ้ง โดยมี “ผู้ค้า” เป็นลูกค้า

  15. Answer :

    ผู้ให้บริการ” ตามที่ระบุไว้ใน PCI Guidelines คือ องค์กรที่ทำหน้าที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตร โดยกระทำการแทนอีกองค์กรหนึ่ง 

  16. Answer :

    ในมุมของ PCI นั้น “โปรแกรมการชำระเงิน” มีความหมายกว้างมาก ครอบคลุมทุกสิ่งที่จัดเก็บ ประมวลผลหรือส่งต่อข้อมูล
    บัตรด้วยวิธีทางอิเล็กทรอนิกส์ นับตั้งแต่ ระบบ POS (Point of Sale System) ในร้านอาหาร ไปจนถึงระบบชำระเงินในเว็บไซต์
    ขายสินค้า ดังนั้น ซอฟต์แวร์ทุกรูปแบบที่ถูกออกแบบให้สามารถเข้าถึงข้อมูลบัตรเครดิตได้ จึงจัดเป็น “โปรแกรมการชำระเงิน” ทั้งสิ้น

  17. Answer :

    Payment Gateway เป็นตัวเชื่อมระหว่างผู้ค้า กับธนาคารหรือองค์กรที่ประมวลผลข้อมูลซึ่งเป็นหน้าด่านในการเชื่อมต่อไปยังค่าย
    บัตรเครดิต โดย Payment Gateway ถือเป็นช่องทางในการรับข้อมูลจากโปรแกรมการชำระเงินหลากหลายรูปแบบเพื่อส่งต่อให้กับธนาคาร
    หรือองค์กรที่ประมวลผลข้อมูล

  18. Answer :

    หากองค์กรใดมีการจัดเก็บข้อมูลของผู้ถือบัตรด้วยวิธีทางอิเล็กทรอนิกส์ หรือระบบประมวลผลข้อมูลมีการเชื่อมต่อกับอินเทอร์เน็ต ก็จำเป็นต้องสแกนเครือข่ายเพื่อหาช่องโหว่ (Vulnerability Scanning) ทุก 3 เดือน โดย ASV ที่ได้รับการรับรองจาก PCI SSC

  19. Answer :

    การสแกนเครือข่ายนั้น ทำได้โดยการใช้เครื่องมือ (Tool) เพื่อตรวจสอบหาช่องโหว่ในระบบของผู้ค้าหรือผู้ให้บริการซึ่งเครื่องมือดังกล่าว
    จะทำการสแกนเครือข่ายจากภายนอก เพื่อตรวจสอบเครือข่ายและเว็บแอพพลิเคชั่นโดยยึดตามไอพีแอดเดรสที่เชื่อมต่อกับอินเทอร์เน็ต
    ของผู้ค้าหรือผู้ให้บริการ ผลของการสแกนจะแสดงให้เห็นถึงช่องโหว่ในระบบปฏิบัติการ (OS), เซอร์วิส และอุปกรณ์ต่างๆที่แฮกเกอร์อาจใช้
    เป็นเป้าโจมตีเครือข่ายส่วนตัวขององค์กรได้ โดยเครื่องมือที่ ASV เช่น Qualys และ Rapid7 นำมาใช้นั้นผู้ค้าหรือผู้ให้บริการไม่จำเป็น
    ต้องติดตั้งซอฟต์แวร์ลงบนระบบของตนแต่อย่างใด 
          ทั้งนี้  โดยปกติแล้วการสแกนเครือข่ายรายไตรมาสให้สอดคล้องตามมาตรฐาน PCI นั้นจำเป็นสำหรับผู้ค้าที่มีไอพีแอดเดรสที่เชื่อมต่อ
    กับอินเทอร์เน็ตเท่านั้น ซึ่งมักจะเป็นผู้ค้าที่ทำ SAQ ฉบับ C หรือ D 

  20. Answer :

    ผู้ค้า/ผู้ให้บริการที่เข้าข่ายต้องสแกนเครือข่ายจะต้องทำการสแกนเครือข่ายทุกๆ 90 วัน หรือไตรมาสละครั้ง  โดยจัดส่งผลการสแกนที่ผ่านเกณฑ์มาตรฐาน ตามตารางเวลาที่กำหนดโดยสถาบันผู้ออกบัตร ซึ่งการสแกนดังกล่าวต้องดำเนินการโดย ASV ที่ได้รับการรับรองจาก PCI SSC  

  21. Answer :

    PCI ไม่ใช่กฎหมาย หากแต่เป็นมาตรฐานที่กำหนดขึ้นโดยค่ายบัตรเครดิต 5 ค่ายหลัก คือ Visa, MasterCard, Discover, AMEX และ JCB อย่างไรก็ดี หากผู้ค้าไม่ให้ความร่วมมือในการปฏิบัติให้สอดคล้องตาม PCI DSS ทางสถาบันผู้ออกบัตร/ผู้ให้บริการ สามารถพิจารณาโทษปรับได้ และอาจเกิดความเสียหายอื่นๆ ตามมา เช่น เสียภาพลักษณ์, เสียค่าใช้จ่ายในการสืบหาตัวผู้กระทำผิด เป็นต้น ด้วยเหตุนี้การลงทุนลงแรง
    เพียงเล็กน้อยให้สอดคล้องตาม PCI DSS ย่อมช่วยลดความเสี่ยงและความเสียหายที่อาจเกิดขึ้นตามมาได้อย่างมากมายมหาศาล