PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง

credibility_pci-logo sss

หลาย ๆ ท่านที่อยู่ในวงการความปลอดภัยข้อมูลสารสนเทศ หรือแม้แต่อยู่ในวงการเงินการธนาคารเอง คงจะทราบถึงหรือรู้จักเจ้ามาตรฐาน Payment Card Industry Data Security Standard หรือ PCI DSS กันเป็นอย่างดี เพราะเจ้า PCI DSS นั้น ถือว่าเป็นมาตรฐานหลัก ที่ได้ถูกออกแบบโดย Payment Card Industry Security Standards Council หรือ PCI SSC มาเพื่อควบคุมการใช้งานข้อมูล ของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต และบัตรเงินสด เพื่อเข้ามาช่วยในการป้องกันการใช้งานข้อมูลบัตรอย่างเหมาะสม และเพื่อลดการเกิดการฉ้อโกงการใช้จ่ายผ่านบัตรอิเล็กทรอนิกส์เหล่านั้น ซึ่งจะรวมถึงบัตรประเภท Visa, MasterCard, American Express, Discovery และ JCB นั่นเอง

และหลังจากที่ทาง PCI SSC ได้ประกาศใช้มาตรฐาน PCI DSS มาหลายเวอร์ชั่น โดยเริ่มตั้งแต่เวอร์ชั่น 1.0 ในปี 2004 เรื่อยมาจนมาถึงเวอร์ชั่น 3.1 ในปี 2015 และเมื่อไม่นานมานี้เอง ในเดือนเมษายน 2016 ที่ผ่านมา ทาง PCI SSC ก็ได้ออกมาตรฐาน PCI DSS เวอร์ชั่นใหม่ล่าสุด นั่นก็คือเวอร์ชั่น 3.2 เพื่อมาใช้แทนที่เวอร์ชั่นเดิม คือเวอร์ชั่น 3.1 นั่นเอง ซึ่งใน PCI DSS เวอร์ชั่น 3.2 นั้นก็ได้มีการปรับปรุง แก้ไข ให้มีความทันสมัยเป็นปัจจุบัน เพื่อครอบคลุมช่องโหว่ใหม่ ๆ เพิ่มเติมแนวทางปฏิบัติ และยังเพิ่มความชัดเจนของมาตรฐานให้มากยิ่งขึ้นจากเวอร์ชั่นเดิม แต่สำหรับในรายละเอียดเอียดนั้นจะมีอะไรเปลี่ยนไป หรือมีเพิ่มเติมเข้ามาใหม่บ้าง เราไปดูกันเลย
aaaa
สำหรับโครงสร้างหลักของตัวมาตรฐาน PCI DSS เวอร์ชั่น 3.2 นั้น ยังคงจะประกอบไปด้วย 6 วัตถุประสงค์ของการควบคุม (6 Control objectives) โดยมี 12 ข้อกำหนดหลัก (12 requirements) เหมือนในเวอร์ชั่นเดิม ซึ่งจะประกอบไปด้วย

aaaccc

*ที่มา: PCI DSS เวอร์ชั่น 3.2 / PCI Security Standards Council

1. ติดตั้งและดูแลการตั้งค่าของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร
2. ไม่ใช้รหัสผ่านและค่าพารามิเตอร์ความปลอดภัยตามค่าเริ่มต้นที่ถูกกำหนดมาจากบริษัทผู้ผลิต
3. ปกป้องข้อมูลของผู้ถือบัตรที่ถูกจัดเก็บเอาไว้
4. เข้ารหัสช่องทางการส่งผ่านข้อมูลของผู้ถือบัตรบนเครือข่ายเปิดและเครือข่ายสาธารณะ
5. ใช้งานระบบป้องกันคอมพิวเตอร์ไวรัสและมัลแวร์ที่มีการอัพเดตให้เป็นปัจจุบันอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบคอมพิวเตอร์และแอปพลิเคชันให้มีความมั่นคงปลอดภัย
7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรโดยเป็นไปตามหลักการรู้เท่าที่จำเป็นทางธุรกิจ
8. กำหนดหมายเลขผู้ใช้งานที่แตกต่างกันให้กับทุกคนที่เข้าถึงระบบคอมพิวเตอร์
9. จำกัดการเข้าถึงทางกายภาพของแหล่งเก็บข้อมูลของผู้ถือบัตร
10. เฝ้ามองและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร
11. ทดสอบระบบความปลอดภัยและกระบวนการด้านความปลอดภัยอย่างสม่ำเสมอ
12. จัดทำและปรับปรุงนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศสำหรับใช้งานกับพนักงานทุกคน

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

สำหรับการเพิ่มเติม ปรับปรุง แก้ไข ในส่วนหลัก ๆ ของมาตรฐานมีดังต่อไปนี้
● เพิ่มเติม Designated Entities Supplement Validation (DESV) ในส่วนของภาคผนวก A3 และในข้อกำหนดที่ 3, 10, 11, 12 ซึ่งจากเดิมนั้นจะเป็นเอกสารแยกอีกฉบับ โดย DESV นั้นก็คือกลุ่มขั้นตอนการปฏิบัติเพื่อแสดงให้เห็นและยืนยันได้ว่าข้อกำหนดของ PCI DSS นั้นได้ถูกนำไปใช้งานจริง (Enforced) อย่างต่อเนื่องสม่ำเสมอตลอดทั้งปี มิได้เพียงแค่ที่จะปฏิบัติเพื่อจะให้ผ่านการตรวจสอบเท่านั้น ตัวอย่างเช่น A3.1 การสร้างแผนการปฏิบัติตามข้อกำหนด (Compliance program) สำหรับ PCI DSS, A3.2 การจัดทำขอบเขต (Scope) ของ PCI DSS และ A3.3 การตรวจสอบการนำ PCI DSS ไปใช้ในขั้นตอนธุรกิจตามปกติ หรือ Business-as-usual (BAU) เป็นต้น
● ข้อกำหนดใหม่ 6.4.6 สำหรับกระบวนการควบคุมการเปลี่ยนแปลง หรือ Change control process เพื่อให้องค์กรได้ตรวจสอบและวิเคราะห์ถึงการเปลี่ยนแปลงที่อาจจะมีผลกระทบกับสภาพแวดล้อมและตัวควบคุมด้านความปลอดภัยสำหรับการปกป้องข้อมูลของผู้ถือบัตรได้
● ข้อกำหนดใหม่ 10.8 และ 10.8.1 เป็นกระบวนการสำหรับผู้ให้บริการ (Service provider) ใช้ในการตรวจจับและรายงานความผิดพลาดของตัวความคุมทางความมั่นคงปลอดภัยที่สำคัญ เพื่อลดความเสี่ยงในการถูกโจมตี เข้าถึง และขโมยข้อมูลของผู้ถือบัตรได้
● ข้อกำหนดใหม่ 11.3.4.1 สำหรับผู้ให้บริการ (Service provider) ที่จะต้องจัดทำการทดสอบการเจาะระบบ (Penetration testing) ให้มีความถี่เพิ่มมากยิ่งขึ้น โดยเพิ่มจากเดิมอย่างน้อยปีละ 1 ครั้ง เป็นอย่างน้อย 1 ครั้งในทุก ๆ 6 เดือน
● ข้อกำหนด 12.4.1 จัดเรียงเลขใหม่เนื่องจากมีการเพิ่มข้อกำหนดใหม่สำหรับผู้ให้บริการ (Service Provider) เพื่อให้ผู้บริหารเข้ามามีส่วนร่วมในการพัฒนาเชิงกลยุทธ์ ของการรักษาความปลอดภัยของข้อมูลของผู้ถือบัตร และเพื่อที่จะจัดตั้งให้มีผู้ที่มีหน้าที่ความรับผิดชอบด้าน PCI DSS Compliance รวมถึงการจัดตั้งแผนการปฏิบัติตามข้อกำหนด (Compliance program) ด้วย
● เพิ่มการพิสูจน์ตัวตนแบบหลายปัจจัย หรือ Multi-factor authentication สำหรับการเข้าถึงข้อมูลบัตรโดยผู้ดูแลระบบที่เข้าถึงข้อมูลผ่านช่องทางที่มิใช่การใช้งานผ่านคอลโซล (จากเดิมที่มีการกำหนดให้ใช้การพิสูจน์ตัวตนแบบหลายปัจจัยสำหรับการเข้าถึงจากระยะไกล หรือ Remote access เท่านั้น)
● ข้อกำหนดใหม่ 12.11 และ 12.11.1 สำหรับผู้ให้บริการ (Service provider) ในการทบทวนและตรวจติดตามการปฏิบัติตามนโยบายและขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศของพนักงานอย่างน้อย 1 ครั้งในทุก ๆ ไตรมาส
● ปรับปรุงแก้ไขข้อกำหนด 3.3 ให้มีความชัดเจนยิ่งขึ้น สำหรับการปิดบังการแสดงเลขที่รหัสของบัตร Primary Account Number หรือ PAN โดยให้แสดงเลขที่รหัสของบัตรเฉพาะ 6 ตัวแรก/4 ตัวสุดท้าย เท่าที่จำเป็นกับการใช้งานในทางธุรกิจเท่านั้น
ทั้งนี้สำหรับ PCI DSS ในเวอร์ชั่น 3.2 นั้นยังมีรายละเอียดย่อยที่มีการปรับปรุงแก้ไขเล็ก ๆ น้อย ๆ อีกมากมาย โดยหากท่านใดสนใจในรายละเอียดเพิ่มเติม สามารถที่จะทำการดาวน์โหลดมาตรฐาน PCI DSS เวอร์ชั่น 3.2 ได้จากทางเว็บไซต์ของ PCI SSC ได้โดยตรง

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

ทาง PCI SSC เองนั้น ได้เน้นย้ำว่าทางองค์กรที่เกี่ยวข้อง ควรที่จะนำเจ้ามาตรฐาน PCI DSS เวอร์ชั่นใหม่นี้มาใช้งานให้เร็วที่สุดเพื่อปกป้อง ตรวจจับ และรับมือกับการโจมตีทางไซเบอร์ ที่อาจจะก่อให้เกิดการรั่วไหลของข้อมูลการชำระเงินและข้อมูลของผู้ถือบัตรได้ สำหรับเจ้า PCI DSS เวอร์ชั่น 3.1 ซึ่งเป็นเวอร์ชั่นเดิมนั้น จะหมดอายุลงในวันที่ 31 ตุลาคม 2016 ซึ่ง ณ ขณะนี้ ข้อกำหนดใหม่ ๆ ที่อยู่ใน PCI DSS เวอร์ชั่น 3.2 นั้น จะเป็นเพียงวิธีปฏิบัติที่ดีที่สุด หรือ “Best practice” เพื่อให้องค์กรที่เกี่ยวข้องนั้นได้มีเวลาที่จะนำไปเตรียมการและสามารถนำไปปรับใช้ให้ได้ทันเวลาก่อนวันที่ 1 กุมภาพันธ์ 2018 ซึ่งเป็นวันที่ข้อกำหนดใหม่ทั้งหมดจะมีผลบังคับใช้จริง

สำหรับท่านใดที่สนใจในรายละเอียดหรือคำแนะนำเพิ่มเติมในการเตรียมความพร้อมและการจัดทำมาตรฐาน PCI DSS เวอร์ชั่น 3.2 หรือมาตรฐานอื่น ๆ สามารถติดต่อขอข้อมูลเพิ่มเติมได้ที่บริษัท ACinfotec ซึ่งเป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC (Governance, Risk management and Compliance) แบบครบวงจร มาเป็นระยะเวลายาวนานกว่า 13 ปี