ใช้จ่ายออนไลน์คราใดอย่าลืมสังเกตป้าย PCI DSS(What is PCI DSS?)

จุดเริ่มต้นเกิดจากค่ายผู้ออกบัตรเครดิตสูญเงินไปหลายล้านบาทจากปัญหาบัตรเครดิตโดนขโมยข้อมูลไปใช้(Credit card fraud) วันที่ 15 ธันวาคม ค.ศ. 2004 ค่ายบัตรเครดิต 5 ค่ายหลักได้แก่ VISA, Mastercard, American Express, Discover และ JCB จึงได้ร่วมกันกำหนดมาตรฐานรักษาความปลอดภัยสากล(International Security Standard) ที่เรียกว่า PCI DSS(Payment Card Industry Data Security Standard) version 1.0 ขึ้นมา

จากนั้นในปีค.ศ. 2007 ก็ร่วมกันก่อตั้งองค์กรอิสระ PCI SCC(The Payment Card Industry Security Standard Council) โดยมีจุดประสงค์เพื่อยกระดับความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อให้แน่ใจว่าทุกองค์กรที่เก็บรักษา ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ ไม่ว่าการทำรายการจะมีมูลค่าหรือมีจำนวนครั้งมากน้อยเพียงใดก็ตามจะต้องมีการดูแลเครือข่ายและสร้างสภาพแวดล้อมทางกายภาพที่มั่นคงปลอดภัย เพื่อปกป้องข้อมูลส่วนตัวของผู้ถือบัตร ประกอบไปด้วยข้อกำหนดขั้นต้น 12 ประการ(requirement) จัดเป็น 6 กลุ่มวัตถุประสงค์(control objective) ดังนี้

ข้อกำหนด 12 ประการ

1. ติดตั้งและดูแลการตั้งค่าของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร

2. ไม่ใช้รหัสผ่านและค่าพารามิเตอร์ความปลอดภัยตามค่าเริ่มต้นที่ถูกกำหนดมาจากบริษัทผู้ผลิต

3. ปกป้องข้อมูลของผู้ถือบัตรที่ถูกจัดเก็บเอาไว้

4. เข้ารหัสช่องทางการส่งผ่านข้อมูลของผู้ถือบัตรบนเครือข่ายเปิดและเครือข่ายสาธารณะ

5. ใช้งานระบบป้องกันคอมพิวเตอร์ไวรัสและมัลแวร์ที่มีการอัปเดตให้เป็นปัจจุบันอย่างสม่ำเสมอ

6. พัฒนาและดูแลรักษาระบบคอมพิวเตอร์และแอปพลิเคชันให้มีความมั่นคงปลอดภัย

7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรโดยเป็นไปตามหลักการรู้เท่าที่จำเป็นทางธุรกิจ

8. กำหนดหมายเลขผู้ใช้งานที่แตกต่างกันให้กับทุกคนที่เข้าถึงระบบคอมพิวเตอร์

9. จำกัดการเข้าถึงทางกายภาพของแหล่งเก็บข้อมูลของผู้ถือบัตร

10. เฝ้ามองและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร

11. ทดสอบระบบความปลอดภัยและกระบวนการด้านความปลอดภัยอย่างสม่ำเสมอ

12. จัดทำและปรับปรุงนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศสำหรับใช้งานกับพนักงานทุกคน

วัตถุประสงค์ 6 กลุ่ม

1. สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย

2. ปกป้องข้อมูลผู้ถือบัตร

3. ดูแลรักษาโปรแกรมจัดการช่องโหว่

4. จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล

5. ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ

6. คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ

PCI DSS version 3.0 เริ่มออกมาในเดือนพฤศจิกายน ค.ศ. 2013 และปรับปรุงข้อกำหนดให้ปลอดภัยขึ้นเรื่อยมาจนถึงปัจจุบันเป็นเวอร์ชัน 3.2.1 ซึ่งมีข้อกำหนดร่วมกว่า 400 ข้อและจะมีการตรวจประเมินทุกปีอย่างเข้มงวดโดยผู้ตรวจประเมินอิสระ(Qualified Security Assessor) ท่านสามารถตรวจสอบผู้ให้บริการ(service provider) ที่ผ่านมาตรฐานนี้ได้ที่ https://www.visa.com/splisting/searchGrsp.do ตัวอย่างเช่น

- NTT Data (Thailand) Co., Ltd. PCI DSS Valid Through Apr 30, 2020

- Omise Company Limited PCI DSS Valid Through Sep 30, 2020

- 2C2P (Thailand) Co., Ltd PCI DSS Valid Through Jan 31, 2021

สำหรับกลุ่มร้านค้าที่ผ่านมาตรฐาน PCI DSS แล้ว เช่น AIS, Tesco Lotus, Lazada, Agoda และ Exxon Mobil เป็นต้น ต้องตรวจสอบในเว็บไซต์ของร้านค้าเองนะครับเพราะถ้าเป็นร้านค้าชื่อจะไม่ได้ขึ้นในลิสต์ของ VISA 

นอกจากนี้ ทาง PCI Council ยังมีมาตรฐานมาควบคุมเรื่องอื่นๆ ด้วยเช่น

- PCI 3DS สำหรับระบบ OTP ใน Verify by VISA

- PCI PIN Security สำหรับระบบที่ต้องใส่ PIN เช่น Chip with PIN/ATM

- PCI Card Production สำหรับโรงงานผลิตบัตรเครดิต

จะเห็นว่าครอบคลุมความปลอดภัยในเรื่องบัตรทุกด้านเลยทีเดียว  นอกจากนี้ในส่วนของมาตรฐานเองก็ไม่ได้หยุดอยู่กับที่กำลังจะปรับเป็น PCI DSS version 4.0 ภายในสิ้นปีค.ศ. 2020

สรุปว่าถ้าเห็นสัญลักษณ์นี้ก็อุ่นใจได้ว่าผู้ให้บริการดังกล่าวผ่านมาตรฐานความปลอดภัยสากล แต่ถ้าไม่เห็นสัญลักษณ์นี้หรือไม่แน่ใจ "ไม่ควรผูกบัตรกับแอปหรือเว็บไซต์" นั้นๆ นะครับ

อ้างอิง

1. https://searchsecurity.techtarget.com/feature/The-history-of-the-PCI-DSS-standard-A-visual-timeline

2. https://blog.pcisecuritystandards.org/request-for-comments-pci-dss-version-4.0

หมายเหตุ อัปเดตข่าวสารทุกวันที่เพจ "สังคมไทยไร้เงินสด"