มาตรฐาน PCI-DSS 3.1 พร้อมใช้งาน

pci_ssc_logo

คณะกรรมการมาตรฐานความปลอดภัย PCI ได้ประกาศเผยแพร่มาตรฐานความปลอดภัยข้อมูล PCI-DSS (Payment Card Industry Data Security Standard) เวอร์ชัน 3.1 ใหม่ล่าสุดพร้อมคู่มือแนะนำ ซึ่งเวอร์ชันดังกล่าวมีการปรับปรุงมาตรฐานเดิมเล็กน้อย และเพิ่มมาตรฐานเกี่ยวกับช่องโหว่ของโปรโตคอลเข้ารหัส SSL ซึ่งอาจนำความเสี่ยงมาสู่การชำระเงินผ่านบัตรเครดิตได้

PCI-DSS 3.0 เตรียมเลิกใช้หลัง 30 มิถุนายน

PCI-DSS เป็นมาตรฐานด้านความปลอดภัยของข้อมูลสำหรับการชำระเงินผ่านบัตรเครดิต เพื่อให้ลูกค้าผู้ถือบัตรเครดิตมั่นใจได้ว่า ผู้ขาย (ผู้รับชำระเงินผ่านบัตรเครดิต) มีมาตรฐานการรักษาความปลอดภัยในการเก็บรักษา ประมวลผล และรับส่งข้อมูลของผู้ถือบัตรเครดิต มาตรฐานเวอร์ชันล่าสุดที่เพิ่งประกาศใช้ คือ PCI-DSS 3.1 ซึ่งพร้อมใช้งาน ณ วันนี้แล้ว สำหรับ PCI-DSS 3.0 มาตรฐานเดิมจะถูกยกเลิกการใช้งานในวันที่ 30 มิถุนายน 2015

woman_holding_cc_terminal-LDprod
Credit: LDprod/ShutterStock

 

SSL และ TLS รุ่นเก่าจะไม่ผ่านมาตรฐานอีกต่อไป

สถานบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯระบุว่า SSL นั่นไม่สมควรยอมรับให้ใช้งานเพื่อรักษาความปลอดภัยของข้อมูล เนื่องจากโปรโตคอลดังกล่าวนั้นไม่ได้ถูกออกแบบมาอย่างปลอดภัยตั้งแต่แรก การอัพเกรดไปใช้งานโปรโตคอล TLS แทนถือว่าเป็นทางเดียวในตอนนี้ที่ช่วยให้สามารถป้องกันช่องโหว่ที่เกิดขึ้นบน SSL เช่น POODLE หรือ BEAST ได้

เพื่อป้องกันความเสี่ยงดังกล่าว PCI DSS 3.1 ได้เพิ่มความต้องการข้อ 2.2.3, 2.3 และ 4.1 เพื่อยกเลิกการยอมรับการใช้โปรโตคอล SSL และ TLS รุ่นเก่า เนื่องจากไม่ปลอดภัยสำหรับใช้ชำระเงินผ่านบัตรเครดิต มาตรฐาน 3.1 พร้อมใช้งานแล้ว แต่มีเงื่อนไขบางข้อที่ยินยอมให้เริ่มบังคับใช้อย่างจริงจังหลังวันที่ 30 มิถุนายน 2015 เนื่องจากจำเป็นต้องใช้เวลาในการปรับปรุงระบบ ได้แก่

  • SSL และ TLS รุ่นเก่าจะไม่สามารถใช้เพื่อระบุเป็นมาตรฐานความปลอดภัยของการชำระเงินผ่านบัตรเครดิตได้
  • ก่อนถึงวันดังกล่าว ระบบที่ใช้งาน SSL หรือ TLS รุ่นเก่าจะต้องระบุวิธีการรับมือความเสี่ยงและแผนการปรับไปใช้งานเวอร์ชัน 3.1
  • ถือว่า PCI-DSS 3.1 เป็นมาตรฐานปัจจุบันทันที ระบบใหม่ที่กำลังพัฒนาไม่จำเป็นต้องใช้ SSL หรือ TLS รุ่นเก่า
  • Point-of-sale (POS) Terminal เช่น อุปกรณ์อ่านการ์ดแบบแถบแม่เหล็ก หรือแบบฝังชิพ ที่สามารถยืนยันได้ว่าไม่ได้รับผลกระทบต่อช่องโหว่ของ SSL และ TLS รุ่นเก่า สามารถใช้โปรโตคอลเหล่านั้นต่อไปโดยถือว่าผ่านตามมาตรฐาน PCI-DSS ได้

รายละเอียดมาตรฐาน PCI-DSS 3.1 สามารถดูได้ที่นี่

ที่มา: http://www.net-security.org/secworld.php?id=18221

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco ออกแพตช์แก้ช่องโหว่ Zero-day บน Catalyst SD-WAN Manager ที่ถูกใช้โจมตียกระดับสิทธิ์เป็น root

Cisco ปล่อยอัปเดตด้านความปลอดภัยแก้ช่องโหว่บน Catalyst SD-WAN Manager (เดิมคือ SD-WAN vManage) หลังพบว่าถูกใช้โจมตีจริงในลักษณะ Zero-day เพื่อยกระดับสิทธิ์เป็น root บนระบบที่ได้รับผลกระทบ

ERP on Cloud เทรนด์ใหม่อุตสาหกรรมการผลิตไทย : Digiwin Thailand จับมือ GWS CLOUD โชว์โซลูชันในงาน ME EXPO 2026 [Guest Post]

Digiwin Thailand และ GWS CLOUD เตรียมเข้าร่วมจัดแสดงโซลูชัน “Digiwin ERP on GWS CLOUD” ซึ่งถือเป็นเทรนด์ใหม่ในอุตสาหกรรมการผลิตไทย เป็นครั้งแรก ในงาน ME …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand