จุดเริ่มต้นเกิดจากค่ายผู้ออกบัตรเครดิตสูญเงินไปหลายล้านบาทจากปัญหาบัตรเครดิตโดนขโมยข้อมูลไปใช้(Credit
card fraud) วันที่ 15 ธันวาคม
ค.ศ.
2004 ค่ายบัตรเครดิต
5 ค่ายหลักได้แก่
VISA,
Mastercard, American Express, Discover และ
JCB
จึงได้ร่วมกันกำหนดมาตรฐานรักษาความปลอดภัยสากล(International
Security Standard) ที่เรียกว่า
PCI
DSS(Payment Card Industry Data Security Standard) version 1.0 ขึ้นมา
จากนั้นในปีค.ศ.
2007 ก็ร่วมกันก่อตั้งองค์กรอิสระ
PCI
SCC(The Payment Card Industry Security Standard Council) โดยมีจุดประสงค์เพื่อยกระดับความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์
เพื่อให้แน่ใจว่าทุกองค์กรที่เก็บรักษา
ประมวลผล
หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์
ไม่ว่าการทำรายการจะมีมูลค่าหรือมีจำนวนครั้งมากน้อยเพียงใดก็ตามจะต้องมีการดูแลเครือข่ายและสร้างสภาพแวดล้อมทางกายภาพที่มั่นคงปลอดภัย
เพื่อปกป้องข้อมูลส่วนตัวของผู้ถือบัตร
ประกอบไปด้วยข้อกำหนดขั้นต้น
12 ประการ(requirement)
จัดเป็น
6 กลุ่มวัตถุประสงค์(control
objective) ดังนี้
ข้อกำหนด
12 ประการ
1. ติดตั้งและดูแลการตั้งค่าของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร
2. ไม่ใช้รหัสผ่านและค่าพารามิเตอร์ความปลอดภัยตามค่าเริ่มต้นที่ถูกกำหนดมาจากบริษัทผู้ผลิต
3. ปกป้องข้อมูลของผู้ถือบัตรที่ถูกจัดเก็บเอาไว้
4. เข้ารหัสช่องทางการส่งผ่านข้อมูลของผู้ถือบัตรบนเครือข่ายเปิดและเครือข่ายสาธารณะ
5. ใช้งานระบบป้องกันคอมพิวเตอร์ไวรัสและมัลแวร์ที่มีการอัปเดตให้เป็นปัจจุบันอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบคอมพิวเตอร์และแอปพลิเคชันให้มีความมั่นคงปลอดภัย
7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรโดยเป็นไปตามหลักการรู้เท่าที่จำเป็นทางธุรกิจ
8. กำหนดหมายเลขผู้ใช้งานที่แตกต่างกันให้กับทุกคนที่เข้าถึงระบบคอมพิวเตอร์
9. จำกัดการเข้าถึงทางกายภาพของแหล่งเก็บข้อมูลของผู้ถือบัตร
10. เฝ้ามองและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร
11. ทดสอบระบบความปลอดภัยและกระบวนการด้านความปลอดภัยอย่างสม่ำเสมอ
12. จัดทำและปรับปรุงนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศสำหรับใช้งานกับพนักงานทุกคน
วัตถุประสงค์
6 กลุ่ม
1. สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย
2. ปกป้องข้อมูลผู้ถือบัตร
3. ดูแลรักษาโปรแกรมจัดการช่องโหว่
4. จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล
5. ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ
6. คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ
PCI DSS version 3.0 เริ่มออกมาในเดือนพฤศจิกายน
ค.ศ.
2013 และปรับปรุงข้อกำหนดให้ปลอดภัยขึ้นเรื่อยมาจนถึงปัจจุบันเป็นเวอร์ชัน
3.2.1 ซึ่งมีข้อกำหนดร่วมกว่า
400 ข้อและจะมีการตรวจประเมินทุกปีอย่างเข้มงวดโดยผู้ตรวจประเมินอิสระ(Qualified
Security Assessor) ท่านสามารถตรวจสอบผู้ให้บริการ(service
provider) ที่ผ่านมาตรฐานนี้ได้ที่
https://www.visa.com/splisting/searchGrsp.do ตัวอย่างเช่น
- NTT Data (Thailand) Co., Ltd. PCI DSS Valid
Through Apr 30, 2020
- Omise Company Limited PCI DSS Valid Through Sep
30, 2020
- 2C2P (Thailand) Co., Ltd PCI DSS Valid Through Jan
31, 2021
สำหรับกลุ่มร้านค้าที่ผ่านมาตรฐาน
PCI
DSS แล้ว เช่น
AIS,
Tesco Lotus, Lazada, Agoda และ
Exxon Mobil เป็นต้น
ต้องตรวจสอบในเว็บไซต์ของร้านค้าเองนะครับเพราะถ้าเป็นร้านค้าชื่อจะไม่ได้ขึ้นในลิสต์ของ VISA
นอกจากนี้
ทาง
PCI
Council ยังมีมาตรฐานมาควบคุมเรื่องอื่นๆ
ด้วยเช่น
- PCI 3DS สำหรับระบบ
OTP
ใน
Verify
by VISA
- PCI PIN Security สำหรับระบบที่ต้องใส่
PIN
เช่น
Chip
with PIN/ATM
- PCI Card Production สำหรับโรงงานผลิตบัตรเครดิต
จะเห็นว่าครอบคลุมความปลอดภัยในเรื่องบัตรทุกด้านเลยทีเดียว
นอกจากนี้ในส่วนของมาตรฐานเองก็ไม่ได้หยุดอยู่กับที่กำลังจะปรับเป็น
PCI DSS version 4.0 ภายในสิ้นปีค.ศ.
2020
สรุปว่าถ้าเห็นสัญลักษณ์นี้ก็อุ่นใจได้ว่าผู้ให้บริการดังกล่าวผ่านมาตรฐานความปลอดภัยสากล แต่ถ้าไม่เห็นสัญลักษณ์นี้หรือไม่แน่ใจ "ไม่ควรผูกบัตรกับแอปหรือเว็บไซต์" นั้นๆ นะครับ
อ้างอิง
1. https://searchsecurity.techtarget.com/feature/The-history-of-the-PCI-DSS-standard-A-visual-timeline
หมายเหตุ อัปเดตข่าวสารทุกวันที่เพจ "สังคมไทยไร้เงินสด"