ทำความรู้จัก PCI DSS 4.0 ก้าวต่อไปของมาตรฐานความปลอดภัยระดับสากล

Payment Card Industry Data Security Standard (PCI DSS) เป็นมาตรฐานความปลอดภัยที่จัดทำขึ้นโดยคณะกรรมการ PCI Security Standards Council (PCI SSC) เพื่อป้องกันการฉ้อโกงซึ่งเกิดขึ้นจากการทำธุรกรรมผ่านบัตรเครดิต โดยในวันที่ 31 มีนาคม พ.ศ. 2565 ทางคณะกรรมการได้ประกาศมาตรฐานเวอร์ชันใหม่ PCI DSS 4.0 ซึ่งได้รับการปรับปรุงให้เหมาะกับสถานการณ์ปัจจุบันมากขึ้น เช่น การรับมือกับภัยทางไซเบอร์ใหม่ๆ ในบทความความนี้ เราได้รวบรวมข้อมูลพื้นฐานเกี่ยวกับมาตรฐานความปลอดภัย PCI DSS เวอร์ชันล่าสุด และความแตกต่างระหว่าง PCI DSS 3.2.1 และ PCI DSS 4.0

PCI DSS 4.0 คืออะไร

PCI DSS 4.0 เป็นมาตรฐานความปลอดภัยสำหรับการชำระเงินผ่านบัตรเวอร์ชันล่าสุด โดยได้เพิ่มมาตรการใหม่ๆ เพื่อให้ตอบโจทย์อุตสาหกรรมการชำระเงินผ่านบัตรมากยิ่งขึ้น เวอร์ชัน 4.0 ยังคงใช้ข้อกำหนดทั้ง 12 ข้อในเวอร์ชัน 3.2.1 เป็นพื้นฐาน แต่มีการอัปเดต แก้ไข และเพิ่มคำแนะนำในหลายๆ หัวข้อ โดยมีการเปลี่ยนแปลงที่น่าสนใจบางส่วนดังนี้

• เพิ่มความยืดหยุ่นให้กับองค์กรในการใช้มาตรการต่างๆ เพื่อบรรลุเป้าหมายด้านความปลอดภัย
• เพิ่มการยืนยันตัวตนในข้อกำหนดข้อที่ 8 เพื่อบังคับใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) ในการเข้าถึงข้อมูลผู้ถือบัตรทุกรูปแบบ
• อัปเดตข้อกำหนดในการตั้งรหัสผ่าน เช่น การเพิ่มความยาวรหัสผ่านจาก 8 ตัวอักษรเป็น 12 ตัวอักษร
• แก้ไขข้อกำหนดเกี่ยวกับบัญชีที่ใช้ร่วมกัน บัญชีกลุ่ม และบัญชีทั่วไป
• เพิ่มบทบาทและหน้าที่ที่ชัดเจนในแต่ละข้อกำหนด
• ขยายความเรื่องการป้องกันไม่ให้คัดลอกหรือย้ายหมายเลขบัญชีหลักของบัตร (Primary Account Number - PAN) เมื่อใช้เทคโนโลยีการเข้าถึงคอมพิวเตอร์และเครือข่ายจากระยะทางไกล
• เพิ่มข้อกำหนดเพื่อยกระดับการรักษาความปลอดภัยของหน้าชำระเงินให้ดียิ่งขึ้นและป้องกันภัยทางไซเบอร์ในปัจจุบัน เช่น การฟิชชิง การโจมตีแบบ e-Skimming

เปรียบเทียบความแตกต่างระหว่าง PCI DSS 4.0 และ PCI DSS 3.2.1

มาตรฐานทั้งสองเวอร์ชันมีความแตกต่างที่สำคัญๆ ดังนี้

แก้ไขขอบเขตการควบคุมเพื่อรักษาความปลอดภัยอย่างต่อเนื่อง

• PCI DSS 3.2 กำหนดขอบเขตด้วยข้อกำหนดด้านความปลอดภัยแบบละเอียด
• PCI DSS 4.0 กำหนดขอบเขตแบบยืดหยุ่นโดยเน้นการตรวจสอบอย่างต่อเนื่องแทน

เน้นผลลัพธ์ของการรักษาความปลอดภัย

• PCI DSS 3.2 มีการกำหนดมาตรการที่ชัดเจนในการรักษาความปลอดภัย
• PCI DSS 4.0 เน้นผลลัพธ์ด้านความปลอดภัย ทำให้มาตรการมีความยืดหยุ่นมากขึ้น

มีวิธีการยืนยันตัวตนที่รัดกุมยิ่งขึ้น

• PCI DSS 3.2 นำ MFA มาใช้ในการเข้าถึงข้อมูลบางประเภทเป็นครั้งแรก
• PCI DSS 4.0 เพิ่มการใช้งาน MFA ให้มากขึ้น รวมถึงยอมรับวิธีการยืนยันตัวตนที่หลากหลาย

ปรับปรุงมาตรการในการรักษาความปลอดภัยของซอฟต์แวร์

• PCI DSS 3.2 นำข้อกำหนด Secure Software Lifecycle (SLC) มาใช้เป็นครั้งแรก
• PCI DSS 4.0 แก้ไขข้อกำหนด Secure Software Lifecycle (SLC) ให้รัดกุมมากขึ้น

แก้ไขข้อกำหนดในการทดสอบเจาะระบบ

• PCI DSS 3.2 กำหนดให้มีการทดสอบเจาะระบบทุกปี
• PCI DSS 4.0 แนะนำให้มีการทดสอบเจาะระบบอย่างต่อเนื่อง

ขยายความเรื่องข้อมูลที่มีการเข้ารหัส

• PCI DSS 3.2 มีการกล่าวถึงการเข้ารหัสข้อมูลแต่ยังไม่คำแนะนำที่ชัดเจน
• PCI DSS 4.0 มีคำแนะนำในการจัดการข้อมูลที่มีการเข้ารหัสอย่างชัดเจน

เพิ่มขอบเขตความรับผิดชอบของผู้ให้บริการ

• PCI DSS 3.2 กำหนดขอบเขตความรับผิดชอบของผู้ให้บริการ
• PCI DSS 4.0 ขยายความรับผิดขอบของผู้ให้บริการให้ครอบคลุมการจัดทำเอกสารอ้างอิงและการบริหารการเปลี่ยนแปลง

แก้ไขข้อกำหนดในการรายงานผล

• PCI DSS 3.2 มีข้อกำหนดในการรายงานผลที่ชัดเจน
• PCI DSS 4.0 ปรับปรุงข้อกำหนดโดยเน้นการรายงานผลแบบมีหลักฐานรองรับ

ระยะเวลาในการบังคับใช้และกระบวนการเปลี่ยนผ่าน

PCI DSS 4.0 มีผลบังคับใช้งานตั้งแต่วันที่ 31 มีนาคม พ.ศ. 2565 ไปพร้อมกับ PCI DSS 3.2.1 ซึ่งเป็นเวอร์ชันก่อนหน้า จนถึงวันที่ 31 มีนาคม พ.ศ. 2567 เพื่อให้องค์กรได้มีเวลาในการศึกษาข้อกำหนดที่ได้รับการแก้ไข อัปเดตเทมเพลตต่างๆ และบังคับใช้มาตรการใหม่

PCI DSS 3.2.1 จะยุติการใช้งานในวันที่ 31 มีนาคม พ.ศ. 2567 หลังจากนั้น เวอร์ชัน 4.0 จะเป็นเวอร์ชันเดียวที่มีผลบังคับใช้ โดยข้อกำหนดบางส่วนของ PCI DSS 4.0 จะเป็นเพียงคำแนะนำไปจนถึงวันที่ 31 มีนาคม พ.ศ. 2568

หลังจากวันที่ 31 มีนาคม พ.ศ. 2568 ข้อกำหนดทั้งหมดของ PCI DSS 4.0 จะมีผลบังคับใช้อย่างเต็มตัว

ผลของการไม่ปฏิบัติตามมาตรฐานความปลอดภัย

การไม่ปฏิบัติตามมาตรฐาน PCI DSS 4.0 ภายในระยะเวลาที่กำหนดอาจทำให้องค์กรถูกเรียกค่าปรับ ซึ่งทางคณะกรรมการได้กำหนดโครงสร้างการเรียกค่าปรับไว้ตามระยะเวลาที่ไม่ปฏิบัติตามข้อกำหนด

นอกเหนือจากค่าปรับแล้ว องค์กรที่ไม่ปฏิบัติตามมาตรฐานอาจเสียความน่าเชื่อถือในด้านความปลอดภัย ซึ่งอาจส่งผลต่อการทำธุรกิจ และอาจไม่สามารถรับชำระเงินด้วยบัตรได้อีกต่อไป

PCI DSS 4.0 ถือเป็นมาตรการในการรักษาความปลอดภัยของการรับชำระเงินที่ได้รับการแก้ไขเพื่อยกระดับความปลอดภัยและป้องกันภัยทางไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา ทั้งนี้ เนื่องจาก Opn Payments ให้ความสำคัญกับความปลอดภัยของข้อมูลเป็นอันดับหนึ่ง เราจึงได้ปรับปรุงมาตรการในการรักษาความปลอดภัยของเราให้เป็นไปตามมาตรฐาน PCI DSS 4.0 แล้วตั้งแต่ปี พ.ศ. 2566 ศึกษาข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการเปลี่ยนมาตรฐานความปลอดภัยของเราได้ในบทสัมภาษณ์กับ Hardy M. ผู้จัดการฝ่ายรักษาความปลอดภัยของระบบ

‍