. . . เป็นมาตรฐานที่พัฒนาขึ้นโดย PCI SSC หรือ Payment Card Industry Security Standard Council โดยการสนับสนุนของ Card Band 5 ราย . ได้แก่ VISA MasterCard JCB AMEX และ Discovery Card เพื่อให้เกิดมาตรฐานกลางในการรักษาความมั่นคงปลอดภัยสำหรับอุตสาหกรรมบัตรชำระเงิน . ซึ่งองค์กรใดที่เกี่ยวข้องในการรับชำระหรือ จัดเก็บข้อมูล หรือโอนข้อมูล หรือประมวลผลข้อมูลบัตร รวมไปถึงร้านค้า (Merchant) ผู้ให้บริการ (Payment Facililator, Payment Gateway) ธนาคารผู้ออกบัตร ธนาคารผู้รับชำระผ่านบัตร . จะต้องปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูล (DSS) โดยแบ่งระดับขององค์กรเป็น 4 ระดับ ตามจำนวนของรายการใช้บัตร (Transaction) และหน้าที่ที่ต้องปฏิบัติตามดังนี้ . ระดับ 1 - ร้านค้าที่ทำรายการธุรกรรมผ่านบัตรวีซ่ากว่า 6 ล้านครั้งต่อปีรวมทุกช่องทาง หรือร้านค้าทั่วโลกที่เข้าข่ายระดับ 1 ตามเงื่อนไข Visa ในแต่ละภูมิภาค ทุก ๆ ปี: * ทำแฟ้มรายงานการปฏิบัติตามกฎระเบียบ (Report on Compliance,"ROC") โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (Qualified Security Assessor,"QSA")” ซึ่งในประเทศไทยมีไม่เกิน 10 คน ตรวจสอบรายชื่อได้ที่ https://www.pcisecuritystandards.org/.../qualified... . หรือผู้ตรวจสอบภายในถ้าลงนามรับรองโดยเจ้าหน้าที่ของบริษัทฯ โดยผู้ตรวจสอบภายในจะต้องได้รับใบรับรองผู้ประเมินความปลอดภัยภายใน (Internal Security Assessor ("ISA")) ตามมาตรฐาน PCI SSC * ส่งแบบฟอร์มการรับรองการปฏิบัติตามกฎระเบียบ (Attestation of Compliance ("AOC")) ทุกไตรมาส: * ดำเนินการสแกนตรวจสอบเครือข่ายรายไตรมาสโดยผู้ให้บริการสแกนตรวจสอบที่ผ่านการรับรอง (Approved Scan Vendor,"ASV") . ระดับ 2 - ร้านค้าที่ทำรายการธุรกรรม 1 ถึง 6 ล้านครั้งต่อปีรวมทุกช่องทาง ทุก ๆ ปี: * กรอกแบบสอบถามการประเมินตนเองให้ครบถ้วน ("SAQ") * ส่งแบบฟอร์มการรับรองการปฏิบัติตามกฎระเบียบ (Attestation of Compliance ("AOC")) ทุกไตรมาส: * ดำเนินการสแกนตรวจสอบเครือข่ายรายไตรมาสโดยผู้ให้บริการสแกนตรวจสอบที่ผ่านการรับรอง (Approved Scan Vendor,"ASV") . ระดับ 3 - ร้านค้าที่ทำรายการธุรกรรมผ่านระบบอี-คอมเมิร์ช (E-Commerce) 20,000 ถึง 1 ล้านครั้งต่อปี ทุก ๆ ปี: * กรอกแบบสอบถามการประเมินตนเองให้ครบถ้วน ("SAQ") * ส่งแบบฟอร์มการรับรองการปฏิบัติตามกฎระเบียบ (Attestation of Compliance ("AOC")) ทุกไตรมาส: * ดำเนินการสแกนตรวจสอบเครือข่ายรายไตรมาสโดยผู้ให้บริการสแกนตรวจสอบที่ผ่านการรับรอง (Approved Scan Vendor,"ASV") . ระดับ 4 - ร้านค้าที่ทำรายการธุรกรรมผ่านระบบอี-คอมเมิร์ชน้อยกว่า 20,000 ครั้งต่อปี และร้านค้าอื่น ๆ ที่ทำรายการธุรกรรมไม่เกิน 1 ล้านครั้งต่อปี ทุก ๆ ปี: * กรอกแบบสอบถามการประเมินตนเองให้ครบถ้วน ("SAQ") * ส่งแบบฟอร์มการรับรองการปฏิบัติตามกฎระเบียบ (Attestation of Compliance ("AOC")) ทุกไตรมาส: * ดำเนินการสแกนตรวจสอบเครือข่ายรายไตรมาสโดยผู้ให้บริการสแกนตรวจสอบที่ผ่านการรับรอง (Approved Scan Vendor,"ASV") (หากมี) . โดยมาตรฐาน มาตรฐาน PCI DSS ที่ต้องปฏิบัติตามประกอบไปด้วย 12 หัวข้อหลักๆ ดังนี้ . รักษาเครือข่ายให้มั่นคงปลอดภัย 1. ติดตั้งและดูแลรักษาการกำหนดค่าไฟร์วอลล์ให้คงไว้เพื่อปกป้องข้อมูลผู้ถือบัตร 2. อย่าใช้ค่าเริ่มต้นที่ผู้ขายผลิตภัณฑ์จัดไว้ให้สำหรับรหัสผ่านเข้าสู่ระบบและค่าพารามิเตอร์ความปลอดภัยอื่น ๆ . ปกป้องข้อมูลผู้ถือบัตร 3. ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้ 4. เข้ารหัสการรับส่งข้อมูลของผู้ถือบัตรผ่านเข้าเครือข่ายที่เปิดเผยต่อที่สาธารณะ . ดูแลรักษาโปรแกรมการจัดการช่องโหว่ 5. ปกป้องทุกระบบจากมัลแวร์และอัพเดตซอฟต์แวร์หรือโปรแกรมต่อต้านไวรัสอย่างสม่ำเสมอ 6. พัฒนาและดูแลรักษาระบบและแอปพลิเคชันให้มั่นคงปลอดภัย . ใช้มาตรการควบคุมการเข้าถึงข้อมูลที่แข็งแกร่ง 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรให้เฉพาะผู้ที่จำเป็นต้องรู้เท่านั้น 8. ระบุและตรวจสอบสิทธิ์การเข้าถึงองค์ประกอบต่าง ๆ ของระบบ 9. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ . ตรวจติดตามและทดสอบเครือข่ายอย่างสม่ำเสมอ 10. ติดตามและเฝ้าดูทุกการเข้าถึงแหล่งเครือข่ายและข้อมูลผู้ถือบัตร 11. ทดสอบระบบและกระบวนการรักษาความปลอดภัยต่าง ๆ อย่างสม่ำเสมอ . คงไว้ซึ่งนโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) 12. คงไว้ซึ่งนโยบายที่ระบุถึงความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานทุกคน
ดาวน์โหลดมาตรฐานฉบับเต็มภาษาอังกฤษได้ที่ https://www.pcisecuritystandards.org/document_library หรือฉบับภาษาไทยได้ที่ https://www.acisonline.net/?page_id=5959
PrivacyNote ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ
Line : https://lin.ee/NHIYt0k 081-714-6016