ความถี่

ความหมาย

Daily (รายวัน)

ต้องดำเนินการทุกวันของปี (365 หรือ 366 วัน) รวมวันหยุดราชการและวันหยุดเสาร์-อาทิตย์

Weekly (รายสัปดาห์)

อย่างน้อยทุก 7 วัน ต้องดำเนินการ 1 ครั้ง

Monthly (รายเดือน)

อย่างน้อยทุก 30-31 วัน หรือในวันเดียวกันของแต่ละเดือน

Quarterly (รายไตรมาส)

อย่างน้อยทุก 90-92 วัน หรือในไตรมาสที่กำหนด เช่น มกราคม, เมษายน, กรกฎาคม, ตุลาคม

Every 6 months (ทุกครึ่งปี)

อย่างน้อยทุก 180-184 วัน หรือ 6 เดือนครั้ง

Annually (รายปี)

อย่างน้อยปีละครั้ง (365-366 วัน) เช่น ทำในมกราคมปีนี้ ต้องทำอีกในมกราคมปีหน้า

Periodically (เป็นระยะๆ)

กำหนดเองตามการประเมินความเสี่ยง (Risk Analysis) เช่น ทุก 6 เดือน หรือทุกปี

Immediately (ทันที)

ต้องดำเนินการทันทีที่เกิดเหตุการณ์ เช่น ตรวจพบภัยคุกคาม

Promptly (โดยเร็วที่สุด)

ต้องดำเนินการเร็วที่สุดเท่าที่สามารถทำได้ ภายหลังจากการค้นพบปัญหา

Upon Significant Change (เมื่อมีการเปลี่ยนแปลงสำคัญ)

ต้องดำเนินการเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบ เช่น เปลี่ยนอุปกรณ์ใหม่ หรือเปลี่ยนระบบที่เกี่ยวกับข้อมูลบัตร

ประเภท

รายละเอียด

Recurring Requirements

กำหนดรอบเวลาชัดเจน เช่น Daily, Weekly, Quarterly, Annually ที่ต้องทำซ้ำเป็นประจำ

Event-Driven Requirements

เกิดจากเหตุการณ์ เช่น Significant Change, Immediate Actions ต้องทำทันทีที่เกิดเหตุ

Risk-Based Requirements

กำหนดโดยองค์กรเองจากการวิเคราะห์ความเสี่ยง เช่น Periodically Review Access Rights

หมายเลข Requirement

ความถี่ที่กำหนด

รายละเอียดการดำเนินการ

2.2.5

Periodically

ทบทวนและอัปเดตการตั้งค่าความปลอดภัยของระบบ

3.2.1

Annually

ตรวจสอบว่าไม่มีการจัดเก็บข้อมูล Sensitive Authentication Data (SAD) หลังอนุมัติธุรกรรม

5.2.3.1

Daily

อัปเดต Antivirus/Malware Definitions

5.2.3.2

Promptly

ตอบสนองต่อ Malware ตัวใหม่ที่ไม่สามารถตรวจพบได้

5.2.4.1

Periodically

ทบทวนผลการตรวจจับ Malware

5.3.2

Periodically

ทบทวนการกำหนดค่า Malware Control

6.3.2

Upon Significant Change

ทบทวนและอัปเดต Web Application Firewall (WAF) หลังมีการเปลี่ยนแปลงระบบ

6.4.2

Periodically

ทบทวนการ Mapping ของ Access Control ใน Application

6.5.1.2

Periodically

ตรวจสอบ Public-Facing Web Applications

6.5.1.3

Promptly

ติดตั้ง Patch หลังพบช่องโหว่สำคัญ

6.5.2.1

Periodically

ทดสอบความปลอดภัย Application และ API

6.5.3

Annually

ทดสอบซ้ำ Application หลังมีการเปลี่ยนแปลงใหญ่

8.2.2

Periodically

ทบทวน User Access

8.2.4

Periodically

ทบทวนสิทธิ์ผู้ใช้พิเศษ (Privilege Accounts)

8.6.3

Periodically

ทบทวนการใช้ System Accounts

9.4.1

Periodically

ทบทวนการควบคุมการเข้าถึง Media ที่มีข้อมูลบัตร

10.4.1.1

Daily

ตรวจสอบ Log Security Events และ Anomalies

10.4.1.2

Periodically

ตรวจสอบการตั้งค่า Log Collection

10.4.2.1

Periodically

ทบทวนความปลอดภัยของการจัดเก็บ Log

10.7.1

Annually

ทดสอบและตรวจสอบ Logging Mechanisms

11.2.1

Quarterly

Internal Vulnerability Scan

11.2.2

Quarterly

External Vulnerability Scan (ASV Scan)

11.3.1.1

Annually และ Upon Significant Change

External Penetration Test

11.3.1.2

Annually และ Upon Significant Change

Internal Penetration Test

11.3.2.1

Periodically

ทบทวนการแก้ไขช่องโหว่หลัง Penetration Testing

11.4.2

Annually และ Upon Significant Change

ทดสอบ Segmentation Controls

11.5.1.1

Periodically

ทบทวน Change Detection (FIM - File Integrity Monitoring)

11.6.1

Periodically

ตรวจหา Rogue Wireless Access Points

11.6.1.1

Quarterly

สแกนหา Rogue Wireless Access Point

12.2.1

Annually

ประเมินความเสี่ยง (Risk Assessment)

12.5.2

Annually

ทบทวนขอบเขต PCI DSS (Scope Review)

12.6.1

Annually

ฝึกอบรมความปลอดภัยข้อมูลสำหรับพนักงานที่เกี่ยวข้อง

12.6.2

Annually

ฝึกอบรม Awareness สำหรับพนักงานใหม่ก่อนเริ่มงาน

12.10.2

Annually

ทดสอบแผนตอบสนองเหตุการณ์ (Incident Response Plan)