You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

Loading...

PCI DSS 3.2.1

มาตรฐาน PCI DSS 3.2.1
Requirement ของมาตรฐาน PCI DSS แบ่งออกเป็น 12 กลุ่มดังนี้
 
1: ติดตั้งและดูแลรักษาการตั้งค่าของ Firewall เพื่อปกป้องข้อมูลผู้ถือบัตร
1.1 ติดตั้งและปฏิบัติตามมาตรฐานการตั้งค่า Firewall และ Router ดังนี้
1.1.1 มีกระบวนการอย่างเป็นทางการสำหรับการอนุมัติและทดสอบการเชื่อมต่อเครือข่ายเมื่อมีการเปลี่ยนแปลงการตั้งค่าของ Firewall และ Router
1.1.2 Network Diagram ที่แสดงการเชื่อมต่อระหว่าง Cardholder Data Environment กับเครือข่ายอื่นรวมทั้งเครือข่ายไร้สาย ต้องอัพเดทให้เป็นปัจจุบัน
1.1.3 Data Flow Diagram ที่แสดงการไหลของข้อมูล Cardholder Data ทั้งใน Systems และ Networks ต้องอัพเดทให้เป็นปัจจุบัน
1.1.4 กำหนดให้มี Firewall ควบคุมการเข้า-ออกของข้อมูลในทุกจุดที่มีการเชื่อมต่ออินเทอร์เน็ตและระหว่าง DMZ กับเครือข่ายภายใน
1.1.5 จัดทำเอกสารอธิบาย กลุ่ม บทบาท และหน้าที่ความรับผิดชอบ สำหรับการจัดการระบบเครือข่าย
1.1.6 จัดทำเอกสารที่ระบุความต้องการทางธุรกิจสำหรับการใช้งาน Service, Protocol และ Port ที่ได้รับอนุญาตทั้งหมด รวมถึงเอกสารระบุถึงการใช้ security feature สำหรับการใช้งาน Protocol ที่ไม่ปลอดภัย
1.1.7 มีข้อกำหนดให้ตรวจสอบ Firewall และ Router rule sets อย่างน้อยทุก 6 เดือน

1.2 ตั้งค่า Firewall และ Router ให้จำกัดการเชื่อมต่อระหว่างเครือข่ายภายนอกกับระบบอื่น ๆ ที่อยู่ใน Cardholder Data Environment
1.2.1 จำกัดการเชื่อมต่อข้อมูลเข้าและออก Cardholder Data Environment โดยตั้งค่าปฏิเสธการเชื่อมต่อที่ไม่ได้อนุญาตทั้งหมด
1.2.2 ไฟล์การตั้งค่าของ Router มีการ synchronize (เช่น ระหว่าง start-up configuration และ running configuration) และถูกเก็บรักษาอย่างปลอดภัย
1.2.3 ติดตั้ง Firewall ระหว่างเครือข่าย Wireless กับ Cardholder Data Environment และตั้งค่า Firewall ให้ปฏิเสธการเชื่อมต่อที่ไม่ได้อนุญาตทั้งหมด และอนุญาตให้เชื่อมต่อเฉพาะการเชื่อมต่อที่มีความจำเป็นทางด้านธุรกิจ

1.3 ห้ามมีการเชื่อมต่อโดยตรงกับเครือข่ายสาธารณะ ระหว่างอินเทอร์เน็ตกับระบบอื่น ๆ ที่อยู่ใน Cardholder data environment.
1.3.1 ใช้ DMZ เพื่อจำกัดข้อมูลขาเข้า โดยให้เข้าถึงได้เฉพาะ Service, Protocol และ Port ของระบบ ที่สามารถเข้าถึงได้แบบสาธารณะ
1.3.2 จำกัดการเชื่อมต่อจากอินเทอร์เน็ตให้เชื่อมต่อได้เฉพาะ DMZ เท่านั้น
1.3.3 ใช้มาตรการ anti-spoofing เพื่อตรวจจับและป้องกันการปลอมแปลง IP address (เช่น ป้องกันการเชื่อมต่อจากอินเทอร์เน็ตโดยใช้ IP address ภายใน)
1.3.4 ไม่อนุญาตให้มีการส่งข้อมูลออกจาก Cardholder Data Environment ไปยังอินเทอร์เน็ต
1.3.5 กำหนดให้ไฟร์วอลล์อนุญาตให้ข้อมูลขาเข้าผ่านเฉพาะการเชื่อมต่อที่เป็น “established” แล้วเท่านั้น โดยให้ปฏิเสธข้อมูลขาเข้าทั้งหมดที่ไม่ได้เกี่ยวข้องกับเซสชั่นที่ “established” ไปแล้วก่อนหน้านั้น
1.3.6 วางระบบที่จัดเก็บข้อมูลผู้ถือบัตร (เช่น ฐานข้อมูล) ให้อยู่ภายในเครือข่ายภายใน ที่มีการแบ่งแยกออกจาก DMZ และเครือข่ายภายนอก
1.3.7 ไม่เปิดเผย IP address ภายใน และข้อมูล Routing ให้กับผู้ที่ไม่ได้รับอนุญาต
หมายเหตุ: วิธีการปิดบัง IP Address เช่น
• Network Address Translation (NAT)
• วาง Server ที่มีข้อมูลผู้ถือบัตรหลัง Proxy/Firewall
• ลบข้อมูลหรือคัดกรองข้อมูล Routing เครือข่ายภายในที่มีการลงทะเบียน Address
• ใช้งาน Address ภายในแบบ RFC 1918 แทนการใช้แบบลงทะเบียน Address

1.4 ติดตั้ง Personal Firewall Software ที่เครื่องคอมพิวเตอร์ส่วนตัวของพนักงานที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (เช่น laptop ที่ใช้โดยพนักงาน) และที่สามารถใช้ในการเข้าถึงเครือข่ายภายในได้ การตั้งค่า Firewall
• ระบุมาตรฐานการตั้งค่า Personal firewall
• ตั้งค่าให้ Personal firewall ทำงานตลอดเวลา
• ตั้งค่าไม่ให้ผู้ใช้งาน สามารถแก้ไขการตั้งค่า Personal firewall ของเครื่องคอมพิวเตอร์ได้ รวมถึงเครื่องคอมพิวเตอร์ส่วนตัวของพนักงาน

1.5 จัดทำเอกสารนโยบาย และคู่มือปฏิบัติงานสำหรับบริหารจัดการ Firewall และสื่อสารให้ทุกคนรับทราบ

2: ไม่ใช้รหัสผ่านและการตั้งค่าความปลอดภัยที่เป็นค่าตั้งต้นของผลิตภัณฑ์
2.1 เปลี่ยนค่าตั้งต้นของผลิตภัณฑ์ และลบหรือปิดการใช้งานบัญชีผู้ใช้ที่ไม่มีความจำเป็นต้องใช้งานก่อนติดตั้งระบบบนเครือข่าย รวมทั้งรหัสผ่านที่เป็นค่าตั้งต้นของผลิตภัณฑ์ของระบบปฏิบัติการ
ซอฟต์แวร์ที่ให้บริการด้านความปลอดภัย บัญชีผู้ใช้ของระบบ ทั้งแอปพลิเคชันและระบบ เครื่อง point-of-sale (POS) และ SNMP community strings
2.1.1 หากมีการใช้งานเครือข่าย Wireless เชื่อมต่อกับ Cardholder data environment หรือส่งข้อมูลผู้ถือบัตร ให้เปลี่ยนค่าตั้งต้นของผลิตภัณฑ์เมื่อติดตั้งใช้งาน โดยเปลี่ยนค่าตั้งต้นของ Wireless Encryption Key, รหัสผ่าน และ SNMP community strings.

2.2 จัดทำเอกสารมาตรฐานการตั้งค่าสำหรับระบบทั้งหมด โดยให้มีการตั้งค่าให้ครอบคลุมช่องโหว่และสอดคล้องกับมาตรฐานสากล เช่น
• Center for Internet Security (CIS)
• International Organization for Standardization (ISO)
• SysAdmin Audit Network Security (SANS) Institute
• National Institute of Standards Technology (NIST).
2.2.1 การติดตั้งใช้งานระบบสารสนเทศที่มีการปฏิบัติงานที่แตกต่างกันให้แยก Server กัน เพราะแต่ละระบบต้องการระดับความปลอดภัยที่แตกต่างกัน (เช่น Web servers, Database servers, and DNS)
หมายเหตุ: หากมีการใช้งานเทคโนโลยี Virtualization ต้องใช้งาน Virtual System Component แยกจากกัน
2.2.2 เปิดใช้งานเฉพาะ Service, Protocol และ Daemons เฉพาะที่มีความจำเป็นต้องใช้งาน
2.2.3 ใช้ Security feature เพิ่มเติม สำหรับ Service, Protocol หรือ Daemon ที่ไม่ปลอดภัย
2.2.4 ตั้งค่าความปลอดภัยของระบบเพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาต
2.2.5 ลบฟังก์ชันที่ไม่จำเป็น เช่น Script, Driver, Feature, Subsystem, File systems และ Web server
2.3 กำหนดให้ต้องมีการเข้ารหัสสำหรับการบริหาร จัดการระบบแบบ non-console โดยใช้วิธีการเข้ารหัสที่ปลอดภัย
2.4 ดูแลรักษาทะเบียนทรัพย์สินสารสนเทศที่อยู่ในขอบเขตของ PCI DSS
2.5 จัดทำเอกสารนโยบาย และคู่มือปฏิบัติงานสำหรับบริหารจัดการค่าตั้งต้นของผลิตภัณฑ์ และสื่อสารให้ทุกคนรับทราบ
2.6 การใช้งาน hosting providers ร่วมกับผู้อื่น ผู้ให้บริการต้องปฏิบัติตามข้อกำหนด PCI DSS Appendix A

3: ปกป้องข้อมูลผู้ถือบัตรที่ถูกจัดเก็บ
3.1 จำกัดสื่อบันทึกข้อมูล cardholder data ให้น้อยที่สุด โดยใช้ data retention และ disposal policies, procedures และ processes โดยอย่างน้อยต้องมีการระบุข้อกำหนดดังนี้
จำกัดปริมาณข้อมูลที่จัดเก็บและระยะเวลาจัดเก็บตามกฎหมาย ข้อบังคับ และข้อกำหนดทางธุรกิจ
ระบุความต้องการในการเก็บรักษาข้อมูลผู้ถือบัตร
กระบวนการสำหรับการทำลายข้อมูลอย่างปลอดภัย เมื่อไม่มีความจำเป็นต้องใช้งาน
กระบวนการระบุและทำลายข้อมูลที่เกินระยะเวลาการจัดเก็บอย่างปลอดภัยรายไตรมาส

3.2 ไม่จัดเก็บ Sensitive authentication data หลังจากที่มีการอนุมัติใช้งาน ถึงแม้ว่าจะมีการเข้ารหัส สำหรับบริษัทที่ทำหน้าที่ออกบัตร สามารถจัดเก็บข้อมูลที่ใช้ในการพิสูจน์ตัวตน (sensitive authentication data) โดย
ระบุความจำเป็นทางธุรกิจ
เก็บข้อมูลอย่างปลอดภัย
ข้อมูลที่ใช้ในการพิสูจน์ตัวตน (sensitive authentication data) ระบุข้อกำหนด 3.2.1 ถึง 3.2.3
3.2.1 ไม่จัดเก็บข้อมูล full track จากแถบแม่เหล็ก (ที่อยู่ด้านหลังของบัตร ใน chip หรือที่อื่น ๆ) ข้อมูลนี้สามารถเรียกได้ว่า full track, track, track 1, track 2 และข้อมูลแถบแม่เหล็ก
หมายเหตุ: โดยทั่วไปของลักษณะธุรกิจ ข้อมูลในแถบแม่เหล็กดังต่อไปนี้ สามารถจัดเก็บได้
ชื่อผู้ถือบัตร
หมายเลขบัตร
วันหมดอายุ
Service code
เพื่อเป็นการลดความเสี่ยง ควรจัดเก็บข้อมูลข้างต้นที่จำเป็นสำหรับธุรกิจเท่านั้น
3.2.2 ห้ามเก็บรหัสหรือค่าที่ใช้ในการตรวจสอบบัตร (หมายเลข 3 หรือ 4 หลัก ที่พิมพ์บนหน้าหรือหลังบัตรชำระเงิน เพื่อใช้ตรวจสอบ Card-not present transactions) หลังจากที่มีการอนุมัติใช้งาน
3.2.3 ห้ามจัดเก็บ PIN (personal identification number) หรือ PIN ที่เข้ารหัส หลังจากที่มีการอนุมัติใช้งาน

3.3 ปกปิดหมายเลขบัตรที่มีการแสดงผล (แสดงเฉพาะ 6 หลักแรกกับ 4 หลักสุดท้าย) เฉพาะบุคคลที่มีหน้าที่ความรับผิดชอบมีความจำเป็นต้องเข้าถึงการแสดงผลหมายเลขบัตรที่ครบถ้วน
หมายเหตุ: ข้อกำหนดนี้ไม่บังคับใช้กับพนักงานและหน่วยงานอื่นที่มีความจำเป็นทางกฎหมายที่ต้องการแสดงหมายเลขบัตรทั้ง 16 หลัก

3.4 การจัดเก็บหมายเลขบัตร ต้องมีการเข้ารหัสเพื่อทำให้ไม่สามารถอ่านได้ (อุปกรณ์ดิจิทัลที่เคลื่อนย้ายได้ สื่อสำรองข้อมูล) โดยใช้วิธีต่าง ๆ เช่น
One-way hashes
Truncation
Index tokens and pads (โดยต้องมีการเก็บรักษา pads อย่างปลอดภัย)
การเข้ารหัสที่แข็งแกร่งที่มีกระบวนการบริหารจัดการกุญแจเข้ารหัส
หมายเหตุ: ในกรณีที่มีการเก็บ PAN ทั้งในรูปแบบของ Hash และ Truncate มีความเป็นไปได้ที่ผู้ไม่ประสงค์ดีจะสามารถหาความสัมพันธ์ของทั้ง 2 รูปแบบและใช้ข้อมูลดังกล่าวเพื่อหา Original PAN ได้
ดังนั้นในกรณีที่จำเป็นต้องเก็บทั้ง 2 แบบ จะต้องมีการควบคุมไม่ให้เหตุการณ์ดังกล่าวนี้เกิดขึ้นได้
3.4.1 หากมีการใช้งานการเข้ารหัส Disk แทนการเข้ารหัสฐานข้อมูล ต้องมีการควบคุมการเข้าถึงให้แยกจากการเข้าถึงในระดับระบบปฏิบัติการเพื่อป้องกันการเข้าถึงข้อมูลบัตร ต้องจัดเก็บกุญแจที่ใช้ในการถอดรหัสแยกกับบัญชีผู้ใช้งาน

3.5 จัดทำเอกสารและกระบวนการบริหารจัดการกุญแจที่ใช้ในการเข้ารหัสข้อมูลผู้ถือบัตร
หมายเหตุ: ข้อกำหนดนี้ใช้กับ กุญแจที่ใช้ในการเข้ารหัสข้อมูลบัตร และกุญแจที่ใช้ในการเข้ารหัสกุญแจ (key-encrypting key)
3.6 จัดทำเอกสารขั้นตอนปฏิบัติงานและมีการนำไปใช้ สำหรับบริหารจัดการกุญแจที่ใช้ในการเข้ารหัสข้อมูลผู้ถือบัตร
หมายเหตุ: มาตรฐานสากลในการบริหารจัดการกุญแจเข้ารหัส เช่น NIST http://csrc.nist.gov
3.7 จัดทำเอกสารนโยบาย และคู่มือปฏิบัติงานสำหรับการปกป้องข้อมูลผู้ถือบัตร และสื่อสารให้ทุกคนรับทราบ