สัญลักษณ์ PCI DSS สำคัญอย่างไร?
หลายท่านอาจจะเคยผ่านตาสัญลักษณ์ PCI DSS แต่ไม่รู้ว่าคืออะไร วันนี้ผมจะมาเล่าให้ฟังถึงที่มาของสิ่งนี้ครับ^^
จุดเริ่มต้นเกิดจากค่ายผู้ออกบัตรเครดิตสูญเงินไปหลายล้านบาทจากปัญหา Credit card fraud วันที่ 15 ธันวาคม ค.ศ. 2004 ค่ายบัตรเครดิต 5 ค่ายหลักได้แก่ VISA, MasterCard, American Express, Discover และ JCB จึงใด้ร่วมกันกำหนดมาตรฐานรักษาความปลอดภัยสากล(International Security Standard) ที่เรียกว่า PCI DSS(Payment Card Industry Data Security Standard) version 1.0 ขึ้นมา จากนั้นในปีค.ศ. 2007 ก็ร่วมกันก่อตั้งองค์กรอิสระ PCI SCC(The Payment Card Industry Security Standard Council) โดยมีจุดประสงค์เพื่อยกระดับความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อให้แน่ใจว่าทุกองค์กรที่เก็บรักษา ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ ไม่ว่าการทำรายการจะมีมูลค่าหรือมีจำนวนครั้งมากน้อยเพียงใดก็ตามจะต้องมีการดูแลเครือข่ายและสร้างสภาพแวดล้อมทางกายภาพที่มั่นคงปลอดภัย เพื่อปกป้องข้อมูลส่วนตัวของผู้ถือบัตร ประกอบไปด้วยข้อกำหนดขั้นต้น 12 ประการ(requirement) จัดเป็น 6 กลุ่มวัตถุประสงค์(control objective) ดังนี้
ข้อกำหนด 12 ประการ
1. ติดตั้งและดูแลการตั้งค่าของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร
2. ไม่ใช้รหัสผ่านและค่าพารามิเตอร์ความปลอดภัยตามค่าเริ่มต้นที่ถูกกำหนดมาจากบริษัทผู้ผลิต
3. ปกป้องข้อมูลของผู้ถือบัตรที่ถูกจัดเก็บเอาไว้
4. เข้ารหัสช่องทางการส่งผ่านข้อมูลของผู้ถือบัตรบนเครือข่ายเปิดและเครือข่ายสาธารณะ
5. ใช้งานระบบป้องกันคอมพิวเตอร์ไวรัสและมัลแวร์ที่มีการอัพเดตให้เป็นปัจจุบันอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบคอมพิวเตอร์และแอปพลิเคชันให้มีความมั่นคงปลอดภัย
7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรโดยเป็นไปตามหลักการรู้เท่าที่จำเป็นทางธุรกิจ
8. กำหนดหมายเลขผู้ใช้งานที่แตกต่างกันให้กับทุกคนที่เข้าถึงระบบคอมพิวเตอร์
9. จำกัดการเข้าถึงทางกายภาพของแหล่งเก็บข้อมูลของผู้ถือบัตร
10. เฝ้ามองและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร
11. ทดสอบระบบความปลอดภัยและกระบวนการด้านความปลอดภัยอย่างสม่ำเสมอ
12. จัดทำและปรับปรุงนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศสำหรับใช้งานกับพนักงานทุกคน
วัตถุประสงค์ 6 กลุ่ม
1. สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย
2. ปกป้องข้อมูลผู้ถือบัตร
3. ดูแลรักษาโปรแกรมจัดการช่องโหว่
4. จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล
5. ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ
6. คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ
PCI DSS version 3.0 เริ่มออกมาในเดือนพฤศจิกายน ค.ศ. 2013 และปรับปรุงข้อกำหนดให้ปลอดภัยขึ้นเรื่อยมาจนถึงปัจจุบัน
เป็น version 3.2.1 แล้วมีข้อกำหนดร่วมกว่า 400 ข้อ ซึ่งต้องตรวจประเมินอย่างน้อยปีละ 1 ครั้ง
สำหรับผู้ให้บริการที่ผ่านมาตรฐานนี้ สามารถตรวจสอบได้ที่เว็บไซต์ของ VISA>>>
https://www.visa.com/splisting/ (
ทั้งนี้ใน List จะไม่รวมกลุ่มร้านค้าที่ผ่านมาตรฐาน เช่น Tesco Lotus, Esso, Lazada)
สรุปว่าถ้าท่านเห็นสัญลักษณ์นี้ก็อุ่นใจได้ว่าผู้ให้บริการดังกล่าวผ่านมาตรฐานความปลอดภัยสากลนะคร้าบบบ^^
ที่มา:
https://thaicashless.blogspot.com/2020/03/pci-dsswhat-is-pci-dss.html
PCI DSS สัญลักษณ์ที่ผู้ใช้บัตรเครดิต/เดบิตควรรู้จักไว้ครับ
สัญลักษณ์ PCI DSS สำคัญอย่างไร?
หลายท่านอาจจะเคยผ่านตาสัญลักษณ์ PCI DSS แต่ไม่รู้ว่าคืออะไร วันนี้ผมจะมาเล่าให้ฟังถึงที่มาของสิ่งนี้ครับ^^
จุดเริ่มต้นเกิดจากค่ายผู้ออกบัตรเครดิตสูญเงินไปหลายล้านบาทจากปัญหา Credit card fraud วันที่ 15 ธันวาคม ค.ศ. 2004 ค่ายบัตรเครดิต 5 ค่ายหลักได้แก่ VISA, MasterCard, American Express, Discover และ JCB จึงใด้ร่วมกันกำหนดมาตรฐานรักษาความปลอดภัยสากล(International Security Standard) ที่เรียกว่า PCI DSS(Payment Card Industry Data Security Standard) version 1.0 ขึ้นมา จากนั้นในปีค.ศ. 2007 ก็ร่วมกันก่อตั้งองค์กรอิสระ PCI SCC(The Payment Card Industry Security Standard Council) โดยมีจุดประสงค์เพื่อยกระดับความปลอดภัยในทุกขั้นตอนของการชำระเงินด้วยบัตรอิเล็กทรอนิกส์ เพื่อให้แน่ใจว่าทุกองค์กรที่เก็บรักษา ประมวลผล หรือส่งต่อข้อมูลของผู้ถือบัตรอิเล็กทรอนิกส์ ไม่ว่าการทำรายการจะมีมูลค่าหรือมีจำนวนครั้งมากน้อยเพียงใดก็ตามจะต้องมีการดูแลเครือข่ายและสร้างสภาพแวดล้อมทางกายภาพที่มั่นคงปลอดภัย เพื่อปกป้องข้อมูลส่วนตัวของผู้ถือบัตร ประกอบไปด้วยข้อกำหนดขั้นต้น 12 ประการ(requirement) จัดเป็น 6 กลุ่มวัตถุประสงค์(control objective) ดังนี้
ข้อกำหนด 12 ประการ
1. ติดตั้งและดูแลการตั้งค่าของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร
2. ไม่ใช้รหัสผ่านและค่าพารามิเตอร์ความปลอดภัยตามค่าเริ่มต้นที่ถูกกำหนดมาจากบริษัทผู้ผลิต
3. ปกป้องข้อมูลของผู้ถือบัตรที่ถูกจัดเก็บเอาไว้
4. เข้ารหัสช่องทางการส่งผ่านข้อมูลของผู้ถือบัตรบนเครือข่ายเปิดและเครือข่ายสาธารณะ
5. ใช้งานระบบป้องกันคอมพิวเตอร์ไวรัสและมัลแวร์ที่มีการอัพเดตให้เป็นปัจจุบันอย่างสม่ำเสมอ
6. พัฒนาและดูแลรักษาระบบคอมพิวเตอร์และแอปพลิเคชันให้มีความมั่นคงปลอดภัย
7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรโดยเป็นไปตามหลักการรู้เท่าที่จำเป็นทางธุรกิจ
8. กำหนดหมายเลขผู้ใช้งานที่แตกต่างกันให้กับทุกคนที่เข้าถึงระบบคอมพิวเตอร์
9. จำกัดการเข้าถึงทางกายภาพของแหล่งเก็บข้อมูลของผู้ถือบัตร
10. เฝ้ามองและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร
11. ทดสอบระบบความปลอดภัยและกระบวนการด้านความปลอดภัยอย่างสม่ำเสมอ
12. จัดทำและปรับปรุงนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศสำหรับใช้งานกับพนักงานทุกคน
วัตถุประสงค์ 6 กลุ่ม
1. สร้างและดูแลรักษาระบบเครือข่ายที่มั่นคงปลอดภัย
2. ปกป้องข้อมูลผู้ถือบัตร
3. ดูแลรักษาโปรแกรมจัดการช่องโหว่
4. จัดให้มีมาตรการที่รัดกุมในการเข้าถึงข้อมูล
5. ตรวจและทดสอบระบบเครือข่ายอย่างสม่ำเสมอ
6. คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ
PCI DSS version 3.0 เริ่มออกมาในเดือนพฤศจิกายน ค.ศ. 2013 และปรับปรุงข้อกำหนดให้ปลอดภัยขึ้นเรื่อยมาจนถึงปัจจุบัน
เป็น version 3.2.1 แล้วมีข้อกำหนดร่วมกว่า 400 ข้อ ซึ่งต้องตรวจประเมินอย่างน้อยปีละ 1 ครั้ง
สำหรับผู้ให้บริการที่ผ่านมาตรฐานนี้ สามารถตรวจสอบได้ที่เว็บไซต์ของ VISA>>> https://www.visa.com/splisting/ (
ทั้งนี้ใน List จะไม่รวมกลุ่มร้านค้าที่ผ่านมาตรฐาน เช่น Tesco Lotus, Esso, Lazada)
สรุปว่าถ้าท่านเห็นสัญลักษณ์นี้ก็อุ่นใจได้ว่าผู้ให้บริการดังกล่าวผ่านมาตรฐานความปลอดภัยสากลนะคร้าบบบ^^
ที่มา: https://thaicashless.blogspot.com/2020/03/pci-dsswhat-is-pci-dss.html