TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (ACIS) เป็นบริษัทไทยรายแรกที่ได้รับการรับรองให้เป็น Qualified Security Assessor Company (QSAC) จาก Payment Card Industry Security Standards Council (PCI SSC) พร้อมให้บริการตรวจประเมินองค์กรทั้งในประเทศไทยและต่างประเทศตามมาตรฐาน PCI DSS แล้ว
เนื่องด้วยการเปลี่ยนรูปแบบการดำเนินธุรกิจของภาคการเงินการธนาคารไปเป็นการให้บริการผ่านช่องทางออนไลน์เพิ่มมากขึ้น ทำให้บริษัทที่พัฒนาแอพพลิเคชั่นหรือให้บริการแอพพลิเคชั่นที่เกี่ยวข้องกับการเงิน โดยเฉพาะระบบที่มีการเชื่อมต่อกับบริษัทที่ให้บริการผลิตภัณฑ์ด้านบัตรเครดิตหรือเดบิต Visa, MasterCard, American Express, Discover และ JCB International มีความจำเป็นที่จะต้องปฏิบัติตามและผ่านการรับรองมาตรฐาน PCI DSS เพื่อทำให้ระบบสามารถเชื่อมต่อและให้บริการได้ตามแผนธุรกิจขององค์กร โดยการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS อาจทำได้โดยตรวจสอบและกรอกแบบสอบถามด้วยตนเอง (Self-Assessment Questionnaire: SAQ) ด้วยบุคลากรภายในองค์กร หรือจ้างหน่วยงานภายนอกเป็นผู้ตรวจสอบและกรอกแบบสอบถามก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมที่เกี่ยวข้องกับบัตรเครดิตหรือเดบิตขององค์กร โดยองค์กรที่มีปริมาณธุรกรรมผ่านบัตรเครดิตสจำนวนมากเกินกว่าระดับที่บริษัทเจ้าของผลิตภัณฑ์กำหนด จะต้องได้รับการตรวจประเมิน (Audit) จากบริษัทผู้ตรวจประเมินอิสระ (Qualified Security Assessor: QSA) ที่ได้ขึ้นทะเบียนไว้กับ PCI SCC และจัดส่งรายงานการประเมิน (Report of Compliance: ROC) เป็นประจำทุกปี นอกจากนี้ ในกรณีที่องค์กรจะใช้บริการผลิตภัณฑ์ด้านบัตรเครดิตหรือเดบิตของเจ้าใดเจ้าหนึ่ง (Visa, MasterCard, American Express, Discover และ JCB International) บริษัทเจ้าของผลิตภัณฑ์อาจจะมีข้อกำหนดที่แตกต่างกันออกไป เช่น กรณีที่จะให้บริการของ VISA ต้องมีการปฏิบัติตามข้อกำหนดที่ VISA กำหนดทั้ง 6 Milestones โดยข้อกำหนดในแต่ละ Milestone จะอ้างอิงมาจากมาตรฐาน PCI DSS ทั้งหมด
ทั้งนี้ ACIS ในฐานะของผู้ตรวจสอบรับรองมาตรฐาน PCI DSS พร้อมที่จะให้บริการองค์กรทั้งในประเทศไทยและต่างประเทศที่ต้องการผ่านการรับรองมาตรฐาน PCI DSS โดยมีทีมบุคลากรที่เป็นผู้ตรวจสอบ QSA และผู้เชี่ยวชาญด้านมาตรฐาน PCI DSS เพื่อให้บริการตรวจประเมิน (Pre-Audit / Audit) ฝึกอบรม (Training) เพื่อเตรียมความพร้อมสำหรับการปฏิบัติตามมาตรฐาน PCI DSS สำหรับองค์กรที่สนใจสามารถติดต่อทีมงานผ่านทาง www.acisonline.net, e-mail: registration@acisonline.net, Tel: +66 2253 4736
เกี่ยวกับมาตรฐาน PCI DSS
ในช่วงทศวรรษที่ผ่านมาธุรกิจที่เกี่ยวข้องกับการเงินโดยเฉพาะการชำระเงิน มีการพัฒนาและเปลี่ยนแปลงไปอย่างรวดเร็ว บนโลกของเทคโนโลยีที่มีการเปลี่ยนแปลงไปแบบที่เราคงไม่คาดคิดกันมาก่อน การชำระเงินโดยการใช้บัตรเครดิต เดบิต หรือบัตรกดเงินสด มีความสะดวกและรวดเร็วมากยิ่งขึ้น ทำให้อัตราการเกิดอาชญากรรมที่เกี่ยวข้องกับระบบการชำระเงินมีเพิ่มสูงขึ้นอย่างน่าตกใจ ซึ่งหน่วยงานที่เป็นเจ้าของผลิตภัณฑ์หรือค่ายบัตรรายใหญ่ เช่น Visa, MasterCard, American Express, Discover และ JCB International มีความจำเป็นที่จะต้องตั้งกฎเกณฑ์ที่เป็นมาตรฐานด้านการรักษาความมั่งคงปลอดภัยเกิดขึ้น จึงมีการรวมตัวกันตั้ง Payment Card Industry Security Standards Council หรือ PCI SSC และกำหนดมาตรฐานกลางของผู้ให้บริการระบบการชำระเงินของค่ายบัตรดังกล่าว ต้องปฏิบัติตาม มาตรฐาน Payment Card Industry Data Security Standard โดย Payment Card Industry Security Standards Council หรือที่รู้จักกันในชื่อมาตรฐาน PCI DSS โดยเวอร์ชันที่ 1 มีการประกาศใช้ในครั้งแรกในปี 2004 และเวอร์ชันที่ใช้ปัจจุบัน คือ เวอร์ชัน 3.2.1 (2018)
มาตรฐาน PCI DSS version 3.2.1 มีเป้าหมายในการยกระดับความปลอดภัยของระบบรับชำระเงิน โดยการปกป้องข้อมูลของผู้ถือบัตร (Card Holder Data: CHD) ซึ่งถ้ามีการรั่วไหลออกไปจะนำมาซึ่งความเสียหายที่กระทบทั้งด้านการเงินและชื่อเสียงอย่างมาก รวมทั้งเพื่อสร้างความมั่นใจในการชำระเงินผ่านบัตรของค่ายต่างๆ โดยมีวัตถุประสงค์หลักจำนวน 6 ข้อ และข้อกำหนดหลักจำนวน 12 ข้อ ดังแสดงในรูป
สำหรับองค์กรที่อยู่ในระบบของการชำระเงินด้วยบัตรประเภทต่าง ๆ เช่น Merchant, Acquirer, Issuer หรือผู้ให้บริการระบบชำระเงินที่เป็น Third Party เช่น Payment Gateway นั้นจะต้องปฏิบัติตามข้อกำหนดในมาตรฐาน PCI DSS ตามเงื่อนไขของเจ้าของค่ายบัตร โดยจะมีเงื่อนไขแบ่งระดับ (Level) ตามจำนวนธุรกรรม (Transaction) รายปีที่เกิดขึ้น
