อุตสาหกรรมยานยนต์กำลังเข้าสู่ยุคการเปลี่ยนแปลงสู่รูปแบบการค้าออนไลน์ผ่านการติดต่อโดยตรงกับลูกค้าเพื่อรับชำระเงินด้วยบัตรเครดิต นวัตกรรมนี้ทำให้ผู้ขับขี่และผู้โดยสารสามารถชำระเงินสำหรับสินค้าและบริการโดยตรงจากรถยนต์ของพวกเขา ซึ่งเป็นการมอบประสบการณ์ให้กับผู้บริโภคที่ดีขึ้น
โดยอุตสาหกรรมยานยนต์ก็เหมือนกันกับอุตสาหกรรมอื่น ๆ ที่ต้องปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลในอุตสาหกรรมการ์ดชำระเงิน (PCI DSS) ในการทำรายการด้วยบัตร รุ่นใหม่ของ PCI DSS (4.0) จะมีผลบังคับใช้ในวันที่ 31 มีนาคม 2024 และมีข้อกำหนดที่เข้มงวดใหม่หลายประการ
การเปลี่ยนแปลงรูปแบบการชำระเงินในอุตสาหกรรมยานยนต์
บริการสมัครสมาชิก เช่น บริการสตรีมเพลง แอปพลิเคชัน บริการรักษาความปลอดภัย และบริการทีลีเมตริกหรือบริการคอนซิเยอร์สามารถชำระเงินผ่านระบบบริการในรถยนต์โดยใช้บัตรเครดิตได้ ระบบการชำระเงินเหล่านี้อาจถูกเก็บรวบรวมโดยผู้ผลิตรถยนต์หรือบุคคลที่สามอื่น ๆ
ผู้ให้บริการเหล่านี้ที่รับชำระด้วยบัตรเครดิตมีบทบาทเป็นผู้ขายหรือผู้ให้บริการตามนิยามของมาตรฐาน PCI DSS ซึ่งทั้งผู้ขายและผู้ให้บริการบริการจะต้องสร้างรายงานเกี่ยวกับความปลอดภัย (ROC) หรือแบบประเมินตนเอง (SAQ) อย่างน้อยหนึ่งครั้งต่อปีเพื่อปฏิบัติตาม PCI DSS ROC หรือ SAQ ที่เริ่มต้นหลังจากวันที่ 31 มีนาคม 2024 (วันที่เลิกใช้รุ่น PCI ก่อนหน้า 3.2.1) จะต้องใช้รุ่นใหม่ 4.0 พร้อมกับข้อกำหนดที่เข้มงวดมากขึ้น
PCI DSS 4.0 นำมาพร้อมกับข้อกำหนดใหม่
หลังจากเตรียมการมาเป็นเวลาสองปี วันที่ 31 มีนาคม 2024 สำหรับการปฏิบัติตาม PCI DSS 4.0 เริ่มเข้ามาแล้วเร็ว ๆ นี้ PCI DSS 4.0 ซึ่งนำมาพร้อมกับการเปลี่ยนแปลงสำคัญในระบบชำระเงิน ให้ความสำคัญต่อการวิเคราะห์ความเสี่ยงเป้าหมาย ความสมบูรณ์ขององค์กรและการบริหารระบบ นอกจากนี้ยังทำให้การปฏิบัติตาม PCI DSS มีความต่อเนื่อง และสามารถทำแบบประเมินมาตรการควบคุมที่กำหนดเองสำหรับ PCI ซึ่งทำให้ธุรกิจสามารถใช้ควบคุมทางเทคนิคอื่นที่ทำให้บรรลุวัตถุประสงค์ของการประเมินได้
ผลกระทบต่ออุตสาหกรรมยานยนต์
การเปลี่ยนแปลงที่สำคัญของ PCI DSS 4.0 ส่งผลกระทบต่ออุตสาหกรรมยานยนต์ในหลาย ๆ ด้าน ดังนี้
เพิ่มความต้องการในการปฏิบัติตามประจำปี
PCI DSS 4.0 เพิ่มความต้องการในการปฏิบัติตามประจำปีของผู้ประกอบการและผู้ให้บริการโดยการเพิ่มควบคุมใหม่ ๆ เช่น
ผู้ให้บริการต้องมีความต้องการโดยชัดแจ้งในการให้ข้อมูลให้กับผู้ประกอบการที่จำเป็นต้องใช้ในการปฏิบัติตามควบคุมการตรวจสอบใน PCI DSS 12.8.4 และ 12.8.5
อย่างน้อยทุก 12 เดือนและเมื่อมีการเปลี่ยนแปลงที่สำคัญ ผู้ประกอบการและผู้ให้บริการต้องมีเอกสารและยืนยันขอบเขตของ PCI DSS
ผู้ประกอบการและผู้ให้บริการต้องดำเนินการวิเคราะห์ความเสี่ยงที่เป้าหมายสำหรับมาตรการควบคุมใด ๆ ที่ใช้องค์กรออกแบบเอง อย่างน้อยทุก 12 เดือน
ผู้ประกอบการและผู้ให้บริการต้องดำเนินการวิเคราะห์ความเสี่ยงอย่างน้อยทุก 12 เดือนสำหรับมาตรการควบคุมใด ๆ ที่ออกแบบเอง
ผู้ประกอบการและผู้ให้บริการต้องทบทวนความเหมาะสมของการเข้ารหัสและโปรโตคอลอย่างน้อยทุก 12 เดือน
ผู้ประกอบการและผู้ให้บริการต้องทบทวนการใช้เทคโนโลยีฮาร์ดแวร์และซอฟต์แวร์อย่างน้อยทุก 12 เดือน
ความเสี่ยงทางกฎหมาย
การไม่ปรับตัวตามมาตรฐาน PCI DSS 4.0 อาจทำให้เกิดการสอบสวนเพิ่มเติม หรือมีค่าปรับ โทษและการประเมินเสียหาย โดยเฉพาะหากมีการรั่วไหลของข้อมูลบัตร ซึ่งรัฐบาลหลายแห่ง ได้รวมมาตรฐาน PCI DSS เข้ากับกฎหมาย