PCI DSS 4.0 เวอร์ชันใหม่

1. เกริ่นนำเกี่ยวกับมาตรฐาน PCI DSS

ในยุคที่การทำธุรกรรมผ่านบัตรเครดิตและเดบิตเป็นเรื่องปกติ, มาตรฐาน PCI DSS (Payment Card Industry Data Security Standard) ถือเป็นเครื่องมือสำคัญที่ช่วยปกป้องข้อมูลบัตรชำระเงินจากการถูกขโมยหรือทุจริต มาตรฐานนี้ได้รับการริเริ่มและสนับสนุนจากบริษัทบัตรชำระเงินชั้นนำทั่วโลก เช่น VISA, Mastercard, JCB, Discover, American Express และ UnionPay เพื่อให้ทุกธุรกรรมเป็นไปอย่างปลอดภัย

 

2. องค์กรที่ต้องปฏิบัติตามมาตรฐานนี้มีใครบ้าง?

มาตรฐาน PCI DSS บังคับใช้กับทุกองค์กรที่มีการจัดเก็บ ประมวลผล หรือส่งต่อข้อมูลบัตรชำระเงิน (ข้อมูลบัตรเครดิต หรือบัตรเดบิต ที่มีตราสัญลักษณ์ของ VISA, Mastercard, JCB, Discover, American Express หรือ UnionPay) โดยแบ่งประเภทได้ ดังนี้

  • ผู้รับชำระเงินจากผู้ถือบัตรโดยตรง เช่น ร้านค้า (Merchant) ทั้งในรูปแบบออนไลน์ ออฟไลน์
  • ผู้ออกบัตรชำระเงิน หรือให้บริการการชำระเงินกับร้านค้า เช่น ธนาคาร, ผู้ให้บริการ Payment Gateway
  • ผู้ให้บริการอื่น ๆ ที่สามารถเข้าถึงหรือส่งผลกระทบต่อความปลอดภัยของข้อมูลบัตรชำระเงิน เช่น Cloud Services, Data Center Service, บริการจัดเก็บข้อมูล, บริการที่ต้องประมวลผลข้อมูลบัตรชำระเงิน เป็นต้น

3. ทำไมต้องปฏิบัติตามมาตรฐาน PCI DSS?

การปฏิบัติตาม PCI DSS เป็นการปฏิบัติตามกฎเกณฑ์ของบริษัทบัตรชำระเงิน (Card Brand)  การปฏิบัติที่ไม่สอดคล้องกับมาตรฐาน อาจนำไปสู่การเสียค่าปรับมูลค่า 50,000 – 200,000 USD ต่อครั้ง (อ้างอิงจาก Visa Core Rules and Visa Product and Service Rules)

หากเกิดเหตุการณ์ละเมิดข้อมูลบัตรชำระเงินหรือข้อมูลรั่วไหล องค์กรอาจต้องจ่ายค่าชดเชยให้กับบริษัทบัตรชำระเงิน (Card Brand) สำหรับธุรกรรมฉ้อโกงที่สืบเนื่องจากเหตุการณ์ดังกล่าว หรือในกรณีที่ร้ายแรงที่สุด บริษัทบัตรชำระเงิน (Card Brand) อาจขอยุติความสัมพันธ์ทางธุรกิจกับองค์กร ส่งผลให้องค์กรไม่สามารถให้บริการที่เกี่ยวข้องกับการชำระเงินผ่านบัตรได้

นอกจากนี้ การปฏิบัติตาม PCI DSS ยังเป็นสิ่งจำเป็นในการปกป้องข้อมูลของลูกค้าและองค์กรเองจากภัยคุกคามทางไซเบอร์ที่มีวิวัฒนาการอยู่ตลอดเวลา การนำแนวทางของ PCI DSS ไปใช้อย่างจริงจังและต่อเนื่อง จะช่วยยกระดับความมั่นคงปลอดภัยของโครงสร้างพื้นฐานด้าน IT และ ลดความเสี่ยงจากการถูกโจมตี การรั่วไหลของข้อมูล พร้อมทั้งช่วยให้องค์กรสามารถรักษาความไว้วางใจจากลูกค้า สร้างความได้เปรียบในการแข่งขัน

4. การเปลี่ยนแปลงสู่ PCI DSS 4.0

PCI DSS 4.0 Transition Timeline

มีนาคม 2022 – ประกาศมาตรฐาน PCI DSS 4.0

 31 มีนาคม 2024 – ยกเลิกมาตรฐาน PCI DSS 3.2.1

หลังจากวันที่ 31 มีนาคม 2024  การตรวจประเมินเพื่อออกรายงานรับรองความสอดคล้อง จะต้องอ้างอิงตามมาตรฐาน PCI DSS 4.0 เท่านั้น โดยยกเว้นเฉพาะบางข้อกำหนดที่เป็น Future-dated requirement จำนวน 51 ข้อ ใน PCI DSS 4.0 ซึ่งจะมีผลบังคับใช้ในอีกหนึ่งปี (31 มีนาคม 2025)

หากองค์กรได้ทำการตรวจประเมินเพื่อออกรายงานรับรองความสอดคล้องตาม PCI DSS 3.2.1 ไว้แล้วก่อน 31 มีนาคม 2024 จะสามารถใช้ผลการตรวจนั้นได้จนถึงวันที่ 31 มีนาคม 2025

31 มีนาคม 2025 – เริ่มบังคับใช้ข้อกำหนดที่เป็น Future-dated requirement จำนวน 51 ข้อ ใน PCI DSS 4.0

หลังจากวันที่ 31 มีนาคม 2024  เป็นต้นไป การตรวจประเมินเพื่อออกรายงานรับรองความสอดคล้อง จะต้องตรวจตามข้อกำหนดทั้งหมดที่เกี่ยวข้องในมาตรฐาน PCI DSS 4.0

ดังนั้น องค์กรจำเป็นที่จะต้องวางแผนการอัปเกรดไว้แต่เนิ่น ๆ เพื่อให้มีเวลาเพียงพอในการปรับเปลี่ยนกระบวนการทำงานและปรับปรุงระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับข้อกำหนดใหม่ได้ทันท่วงที

5. สรุปการเปลี่ยนแปลงที่สำคัญใน PCI DSS 4.0

  • เพิ่มความยืดหยุ่นในการปฏิบัติตาม โดยใช้แนวทางตามความเสี่ยง (Risk-Based Approach) ช่วยให้องค์กรสามารถเลือกใช้มาตรการควบคุมที่เหมาะสมกับบริบทและความท้าทายเฉพาะของแต่ละองค์กรได้ดียิ่งขึ้น โดยอาศัยเครื่องมือที่สำคัญ คือ Customized Approach และ Target Risk Analysis
  • เพิ่มข้อกำหนดสำหรับเทคโนโลยีใหม่ ๆ ที่เข้ามามีบทบาทสำคัญ อาทิ Containerization, SDLC และ Cloud Service
  • ปรับปรุงข้อกำหนดให้สอดคล้องกับวิวัฒนาการของเทคนิคการโจมตีรูปแบบใหม่อย่าง Phishing หรือ Malware ต่าง ๆ
  • ทบทวนและขยายความข้อกำหนดเดิมให้มีความชัดเจน เข้าใจง่ายยิ่งขึ้น พร้อมทั้งอธิบายถึงวัตถุประสงค์ของการควบคุมในแต่ละข้ออย่างละเอียด

6. ข้อกำหนดในมาตรฐาน PCI DSS 4.0

PCI DSS 4.0 ประกอบด้วย 12 ข้อกำหนดหลัก โดยภายใต้ข้อกำหนดหลัก ประกอบด้วย ข้อกำหนดย่อย ๆ จำนวนทั้งหมด 250 ข้อ (เพิ่มจาก 232 ข้อใน PCI DSS 3.2.1) ไม่นับรวมข้อกำหนดเพิ่มเติมในภาคผนวก เพื่อให้ครอบคลุมถึงเทคโนโลยีใหม่และรูปแบบการโจมตีที่มีการพัฒนาอย่างต่อเนื่อง

PCI Data Security Standard – High Level Overview

ท่านสามารถ Download ข้อกำหนด PCI DSS 4.0 แบบเต็มได้จาก  https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf

7. ความสำคัญของการกำหนดขอบเขตในการปฏิบัติตาม PCI DSS

ในการปฏิบัติตาม PCI DSS สิ่งสำคัญลำดับแรก ๆ คือการระบุขอบเขต (Scope) ของคน กระบวนการ และระบบ ซึ่งครอบคลุมการระบุ Cardholder Data Environment (CDE) และองค์ประกอบต่าง ๆ ที่เกี่ยวข้อง ให้ครบถ้วนและถูกต้อง  เนื่องจากมีผลอย่างมากต่อขอบเขตของดำเนินการ รวมถึงทรัพยากรที่จะต้องใช้เพื่อดำเนินการและบำรุงรักษาการปฏิบัติให้สอดคล้องกับมาตรฐาน

หากระบุขอบเขต (Scope) ไม่ครอบคลุม อาจเกิดช่องโหว่ที่ทำให้ข้อมูลบัตรตกอยู่ในความเสี่ยง  ในทางกลับกันหากกำหนดขอบเขตกว้างเกินไป ก็อาจส่งผลให้เกิดความยุ่งยากและเสียค่าใช้จ่ายโดยใช่เหตุ ดังนั้นองค์กรจึงต้องทำการวิเคราะห์และทบทวนขอบเขต (Scope) อย่างละเอียดรอบคอบ พร้อมทั้งจัดทำเอกสารแผนผังแสดงองค์ประกอบทั้งหมดที่อยู่ในขอบเขตไว้อย่างชัดเจน เพื่อใช้เป็นพื้นฐานสำหรับการออกแบบมาตรการควบคุมและเตรียมตัวรับการตรวจสอบเพื่อขอใบรับรอง

แจกฟรี … Initial Checklist for PCI DSS 4.0 Implementation (ภาษาไทย)  กรุณาติดต่อ [email protected]

Scope is the KEY

 

ที่บริษัทเอซีอินโฟเทค เรามีประสบการณ์มากกว่า 21 ปีในการให้คำปรึกษาครบวงจรแก่องค์กรต่างๆ เพื่อการปฏิบัติตามมาตรฐาน PCI DSS 4.0 ตั้งแต่เริ่มต้นจนถึงการตรวจสอบและรับรอง ประสบการณ์ที่สั่งสมมานานจากการทำงานกับลูกค้าหลากหลายในอุตสาหกรรมต่างๆ ทำให้เราเข้าใจอย่างถ่องแท้ถึงความท้าทายและข้อกังวลที่องค์กรต่างๆ มักประสบ

กระบวนการให้คำปรึกษาของเราเริ่มต้นด้วยการประเมินช่องว่างระหว่างสถานะปัจจุบันขององค์กรกับข้อกำหนดในมาตรฐาน PCI DSS 4.0 โดยจะระบุขอบเขตของทรัพยากรและกระบวนการที่เกี่ยวข้อง จากนั้นเราจะช่วยจัดลำดับความสำคัญและให้คำแนะนำในการปรับปรุงที่เหมาะสมสำหรับแต่ละองค์กร ครอบคลุมทั้งคำแนะนำด้านเทคนิคในการออกแบบระบบหรือการเลือกใช้เทคโนโลยีที่จำเป็น พร้อมคำนึงถึงความเสี่ยง ข้อจำกัดต่างๆ และความคุ้มค่าของการลงทุน

นอกจากนี้ เรายังให้การสนับสนุนในการจัดเตรียมเอกสารนโยบาย ขั้นตอนการทำงาน และหลักฐานต่างๆ เพื่อรองรับการตรวจสอบตามข้อกำหนดของ PCI DSS ด้วยความเชี่ยวชาญและประสบการณ์ของเรา เรามั่นใจว่าสามารถช่วยให้ลูกค้าของเราปฏิบัติตามมาตรฐาน PCI DSS 4.0 ได้อย่างราบรื่น ทันกำหนด และได้ผลลัพธ์ที่คุ้มค่า ตรงตามบริบทและเป้าหมายทางธุรกิจของแต่ละองค์กร

หากองค์กรของท่านต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับการปรับตัวสู่ PCI DSS 4.0 หรือด้านมาตรฐานความมั่นคงปลอดภัยสารสนเทศอื่นๆ สามารถติดต่อทีมงานมืออาชีพจาก ACinfotec ได้ที่อีเมล [email protected] หรือโทรศัพท์ 02-670-8980-3