PCI DSS

PCI DSS

ความปลอดภัยข้อมูลบัตรชำระเงินด้วยมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)

ความปลอดภัยข้อมูลบัตรชำระเงินด้วยมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)
Red Overlay
PCI DSS
Red Overlay

PCI DSS v4.0

ตามประกาศ PCI DSS v3.2.1 ได้ยกเลิกการใช้งานไปเมื่อวันที่ 2 เมษายน 2024 และแทนที่ด้วย v4.0 ตั้งแต่วันที่ 1 เมษายน 2024 ซึ่ง PCI DSS v4.0 นี้มีการเปลี่ยนแปลงที่สำคัญที่พ่อค้าและผู้ให้บริการที่ดูแลข้อมูลบัตรชำระเงินต้องรับทราบและวางแผนเพื่อให้เป็นไปตามข้อกำหนด PCI DSS ข้อกำหนดใหม่จำนวนมากถือเป็นแนวทางปฏิบัติที่ดีที่สุดจนถึงวันที่ 31 มีนาคม 2025 แต่ข้อความชัดเจนคือ เริ่มวางแผนตั้งแต่ตอนนี้เพื่อให้แน่ใจว่าข้อกำหนดทั้งหมดมีการนำไปปฏิบัติและตรงตามข้อกำหนดก่อนที่ข้อกำหนดที่มีผลบังคับใช้ในอนาคตจะมีผล

ดาวน์โหลดสำเนาของมาตรฐาน PCI DSS

ดาวน์โหลดมาตรฐาน

PCI DSS คืออะไร

มาตรฐานความปลอดภัยของข้อมูลบัตรชำระเงิน (PCI DSS) เป็นมาตรฐานสากลสำหรับยกระดับมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน โดยการควบคุมความปลอดภัยที่จัดการโดย PCI Security Standards Council (PCI SSC) และพัฒนาโดยผู้เชี่ยวชาญจากหน่วยงานบัตรชำระเงินระหว่างประเทศ (VISA, MasterCard, JCB, AMEX และ Discover) เพื่อช่วยป้องกันการละเมิดข้อมูลบัตรเครดิต

มาตรฐานความปลอดภัยข้อมูลนี้มีข้อกำหนดเพื่อช่วยปกป้องข้อมูลผู้ถือบัตร โดยคำนึงถึงคน,กระบวนการและเทคโนโลยีที่เกี่ยวข้องในระบบการประมวลผลบัตรชำระเงิน ซึ่งจะมุ่งเน้นการจัดการความปลอดภัยทั้งนโยบาย ขั้นตอน ระบบและการออกแบบซอฟแวร์ที่เชื่อถือได้

มีอะไรใหม่บ้างใน PCI DSS v4.0

มาตรฐานเน้นย้ำการรับมือความเสี่ยงและวิธีโจมตีใหม่ ๆ ที่เกิดขึ้นจากเทคโนโลยีต่างๆ ที่ใช้ในระบบการชำระเงิน การปรับปรุงเหล่านี้มุ่งเน้นไปที่:

  • ความยืดหยุ่นที่มากขึ้น โดยอนุญาตให้ใช้วิธีการต่างๆ เพื่อบรรลุเป้าหมายด้านความปลอดภัย
  • รองรับความต้องการด้านความปลอดภัยตามภัยคุกคามที่เปลี่ยนแปลงไป
  • ส่งเสริมความปลอดภัยให้เป็นบริการอย่างต่อเนื่อง
  • รวมวิธีการและขั้นตอนการตรวจสอบความสอดคล้องที่เข้มงวดขึ้น

ต่อไปนี้เป็นการปรับปรุงที่สำคัญหลายประการใน v4.0 ที่ควรทราบ:

  • แนวทางที่ปรับแต่งได้ วิธีการรายงานใหม่เพื่อทดสอบและตรวจสอบข้อกำหนด โดยอิงตามการบรรลุเป้าหมายด้านความปลอดภัย แทนที่จะเป็นการควบคุมตามข้อกำหนดตายตัว
  • บทบาทและความรับผิดชอบ กำหนดไว้สำหรับข้อกำหนดแต่ละข้อ เพื่อส่งเสริมความปลอดภัยให้เป็นกระบวนการอย่างต่อเนื่อง มั่นใจว่ามีการมอบหมายและจัดการงานอย่างมีประสิทธิภาพ
  • เอกสารกำหนดขอบเขต จำเป็นต้องมีเสมอในเวอร์ชันก่อนหน้าเพื่อสนับสนุนการประเมิน แต่ปัจจุบันผู้ขายจำเป็นต้องมีเอกสารประกอบละเอียดและมีการตรวจสอบเป็นประจำทุกปี ส่วนผู้ให้บริการต้องตรวจสอบทุกสองปี
  • การวิเคราะห์ความเสี่ยงแบบกำหนดเป้าหมาย กำหนดความถี่ของกิจกรรมการปฏิบัติตามข้อกำหนดบางอย่างตามระดับความเสี่ยงของมัลแวร์ แอปพลิเคชัน และบัญชีระบบ การตรวจสอบ POI การตรวจสอบบันทึก การจัดการช่องโหว่ และการตรวจสอบความถูกต้องของหน้าชำระเงิน
  • ข้อกำหนดการรับรองความถูกต้องหลายปัจจัย (MFA) ที่เข้มงวดขึ้น MFA จำเป็นสำหรับการเข้าถึงสภาพแวดล้อมข้อมูลผู้ถือบัตร (CDE) ไม่ใช่เพียงการเข้าถึงระดับผู้ดูแลระบบ สิ่งนี้จะปรับปรุงความปลอดภัยจากการเข้าถึงที่ไม่ได้รับอนุญาตที่อาจเกิดขึ้น
  • ข้อกำหนดอีคอมเมิร์ซและฟิชชิ่งใหม่เพื่อจัดการกับภัยคุกคามที่กำลังดำเนินอยู่: การตรวจสอบความสมบูรณ์ของสคริปต์หน้าการชำระเงิน และ 'หน้าที่ในการดูแล' บนระบบอีเมล
  • การเข้ารหัสและการจัดการคีย์ที่ดีขึ้น ต้องใช้คีย์การเข้ารหัสที่แข็งแกร่ง แฮชแบบมีคีย์สำหรับ PAN ที่เก็บไว้ สินค้าคงคลัง และขั้นตอนการจัดการคีย์ที่แยกต่างหาก
  • การบันทึกและการตรวจสอบที่ดียิ่งขึ้น บันทึกกิจกรรม การเข้าถึง และการแจ้งเตือนที่ครอบคลุมมากขึ้นในทุกสภาพแวดล้อม การตรวจสอบบันทึกโดยอัตโนมัติเพื่อการตรวจจับสิ่งผิดปกติและกิจกรรมที่น่าสงสัยได้ดียิ่งขึ้น
  • การจัดการการเข้าถึงและความปลอดภัยของรหัสผ่านที่ดีขึ้น ข้อกำหนดและนโยบายรหัสผ่านที่เข้มงวดขึ้นเพื่อป้องกันการโจมตีแบบ Brute-force (บรูท-ฟอร์ซ) ทบทวนและเน้นที่บัญชีระบบและแอปพลิเคชัน โดยเฉพาะอย่างยิ่งบัญชีที่มีความสามารถในการเข้าสู่ระบบแบบโต้ตอบ
  • การสแกนช่องโหว่ภายในที่ผ่านการรับรองความถูกต้อง จำเป็นต้องมีการวางแผนและกำหนดขอบเขตเพื่อให้แน่ใจว่าสามารถแก้ไขผลการค้นพบเพิ่มเติมได้ทันเวลาสำหรับการประเมิน
  • การจัดการช่องโหว่ การแก้ไขช่องโหว่ ไม่เพียงแต่ช่องโหว่ที่จัดเป็นระดับวิกฤตหรือร้ายแรงเท่านั้น
  • การตอบสนองต่อเหตุการณ์ การตรวจพบ PAN ที่ไม่คาดคิด การปรับเปลี่ยนหน้าชำระเงิน ฯลฯ

การปรับปรุงเหล่านี้ใช้แนวทางที่เน้นข้อมูลมากขึ้นเพื่อปกป้องข้อมูลเจ้าของบัตรที่ละเอียดอ่อน สำหรับร้านค้าและผู้ให้บริการ มาตรฐานใหม่นี้จะกำหนดให้ต้องมีการวางแผนเพิ่มเติม โซลูชันทางเทคนิค ทรัพยากร และงบประมาณ เพื่อให้เป็นไปตามข้อกำหนด

ประโยชน์ของ PCI DSS

  • แสดงให้เห็นว่าคุณเป็นองค์กรที่เชื่อถือได้
  • ลดความเสี่ยงของการละเมิดข้อมูลบัตรเครดิต
  • ลดความเสี่ยงของความเสียหายทางการเงินและชื่อเสียง
  • ลดต้นทุนที่เกี่ยวข้องในการแก้ปัญหาด้านบริการ

การปฏิบัติตามมาตรฐาน PCI DSS มีผลกับใครบ้าง

การปฏิบัติตามมาตรฐาน PCI DSS เป็นสิ่งจำเป็นสำหรับทุกองค์กรที่จัดเก็บประมวลผลหรือส่งข้อมูลบัตรชำระเงินรวมถึงธุรกิจใด ๆ ที่อาจส่งผลต่อความปลอดภัยของสภาพแวดล้อมในการประมวลผลบัตรเครดิต เช่น บริษัท ผู้พัฒนาซอฟต์แวร์และผู้ให้บริการที่จัดการ ธนาคารและหน่วยงานชำระเงินระหว่างประเทศ เป็นต้น อย่างไรก็ตาม เพื่อแสดงให้เห็นถึงการปฏิบัติตามมาตรฐาน นั่นคือสิ่งที่เราสามารถช่วยได้โดยมอบการตรวจสอบความสอดคล้องของระบบงานของท่านกับ PCI DSS โดยสถาบันมาตรฐานอังกฤษ (bsi.)

แนวทางในการรับรอง PCI DSS ของคุณ

ดูข้อมูลเกี่ยวกับการรับรอง PCI DSS ของเรา - ได้รับการออกแบบมาเพื่อช่วยเหลือคุณในทุกขั้นตอน


ติดต่อเรา

ไม่ว่าในตอนนี้คุณกำลังเริ่มวางแผนที่จะทำการขอรับรองระบบ หรือต้องการพัฒนาระบบให้ดียิ่งขึ้น ติดต่อเรา เพื่อที่ทีมผู้เชี่ยวชาญของเราจะแนะนำให้คุณผ่านทุกกระบวนการ การขอรับรองระบบ

โทร 02-294-4889-92

อีเมล infothai@bsigroup.com
เยี่ยมชม Facebook ของเรา