PCI Security Standards Council อัปเดตมาตรฐาน PCI-DSS 3.2.1

Payment Card Industry Security Standard Council (PCI SSC) ประกาศอัปเดตมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI-DSS เวอร์ชันใหม่ล่าสุด 3.2.1 ซึ่งนำมาใช้แทนเวอร์ชัน 3.2 เพื่อลดความสับสนหลังจากที่เดดไลน์ของการปรับใช้ SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่าสิ้นสุดลง

Troy Leach, CTO ของ PCI SSC ระบุว่า การอัปเดตครั้งนี้ไม่ได้มีข้อกำหนดใหม่ใดๆ เพิ่มเติม แต่จัดทำขึ้นเพื่อขจัดความสับสนเกี่ยวกับเรื่องวันและเดดไลน์ของการใช้ SSL/TLS v1.0 ส่งผลให้องค์กรสามารถตรวจสอบการปฏิบัติตามข้อกำหนดหลังวันที่ 30 มิถุนายนนี้เป็นต้นไปได้ง่ายและแม่นยำมากขึ้น ส่วนมาตรฐานเวอร์ชันเดิมอย่าง PCI-DSS 3.2 จะยังคง Valid จนถึงวันที่ 31 ธันวาคม 2018 และจะถูกยกเลิกการใช้งานอย่างเป็นทางการในวันที่ 1 มกราคม 2019 นี้

“มันเป็นเรื่องสำคัญมากที่องค์กรจะยกเลิกการใช้งาน SSL/TLS เวอร์ชันเก่า และทำการอัปเกรดไปใช้ทางเลือกใหม่ที่มั่นคงปลอดภัยกว่าในการปกป้องข้อมูลการชำระเงิน” — Leach กล่าว

อัปเดตบน PCI-DSS 3.2.1 สามารถสรุปได้ดังนี้

  • ลบหมายเหตุตรงข้อกำหนดที่ระบุวันที่ 1 กุมภาพันธ์ 2018 ที่ผ่านไปเรียบร้อยแล้ว
  • อัปเดตข้อกำหนดและ Appendix A2 เพื่อแสดงให้เห็นว่า เฉพาะเทอมินัล POS POI (point of sale point of interaction) และจุดเชื่อมต่อกับ Service Provider ขององค์กรเท่านั้นที่ยังคงสามารถใช้ SSL/TLS เวอร์ชันเก่าเป็นมาตรการควบคุมได้หลังผ่านวันที่ 30 มิถุนายน 2018 ไปแล้ว
  • ลบ Multi-factor Authentication (MFA) ออกจากตัวอย่างมาตรการควบคุมชดเชย (Compensating Control) ใน Appendix B ทิ้ง เนื่องจาก MFA เป็นสิ่งบังคับใช้ในการเข้าถึงระบบควบคุมที่ไม่ใช้คอนโซล

การอัปเดต PCI-DSS เป็นเวอร์ชัน 3.2.1 นี้ไม่ส่งผลกระทบใดๆ ต่อ Payment Application Data Security Standard (PA-DSS) ซึ่งยงคงเป็นเวอร์ชัน 3.2 ต่อไป

ดูรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดต PCI-DSS 3.2.1 ได้ที่: https://www.pcisecuritystandards.org/document_library

ที่มา: https://www.helpnetsecurity.com/2018/05/21/pci-dss-3-2-1/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เสริมความแกร่งให้ธุรกิจ และปกป้องข้อมูลด้วย IBM QRadar SIEM และIBM FlashSystem Safeguarded Copy

เมื่อธุรกิจยุคดิจิทัล ต้องเผชิญกับความท้าทายจากภัยไซเบอร์หลากหลายรูปแบบ ไม่ว่าจะเป็น แฮ็กเกอร์ ข้อมูลรั่วไหล และแรนซัมแวร์ที่เป็นอุปสรรคสำคัญคอยขัดขวางและสร้างความเสียหายอย่างมาก ทั้งงบประมาณในการกู้คืนระบบ เวลาและโอกาสทางธุรกิจ และที่สำคัญคือความเชื่อถือของลูกค้า ที่ไม่อาจประเมินเป็นตัวเงินได้

Google เพิ่มหลายความสามารถใหม่ให้บริการ Cloud Armor

Cloud Armor เป็นบริการ Web Application Firewall และ DDoS Mitigation ที่ถูกปล่อยออกมาตั้งแต่ปี 2019 ซึ่งวันนี้มีการเพิ่มความสามารถใหม่ๆให้บริการนี้อีกหลายตัว