PCI Security Standards Council อัปเดตมาตรฐาน PCI-DSS 3.2.1

Payment Card Industry Security Standard Council (PCI SSC) ประกาศอัปเดตมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI-DSS เวอร์ชันใหม่ล่าสุด 3.2.1 ซึ่งนำมาใช้แทนเวอร์ชัน 3.2 เพื่อลดความสับสนหลังจากที่เดดไลน์ของการปรับใช้ SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่าสิ้นสุดลง

Troy Leach, CTO ของ PCI SSC ระบุว่า การอัปเดตครั้งนี้ไม่ได้มีข้อกำหนดใหม่ใดๆ เพิ่มเติม แต่จัดทำขึ้นเพื่อขจัดความสับสนเกี่ยวกับเรื่องวันและเดดไลน์ของการใช้ SSL/TLS v1.0 ส่งผลให้องค์กรสามารถตรวจสอบการปฏิบัติตามข้อกำหนดหลังวันที่ 30 มิถุนายนนี้เป็นต้นไปได้ง่ายและแม่นยำมากขึ้น ส่วนมาตรฐานเวอร์ชันเดิมอย่าง PCI-DSS 3.2 จะยังคง Valid จนถึงวันที่ 31 ธันวาคม 2018 และจะถูกยกเลิกการใช้งานอย่างเป็นทางการในวันที่ 1 มกราคม 2019 นี้

“มันเป็นเรื่องสำคัญมากที่องค์กรจะยกเลิกการใช้งาน SSL/TLS เวอร์ชันเก่า และทำการอัปเกรดไปใช้ทางเลือกใหม่ที่มั่นคงปลอดภัยกว่าในการปกป้องข้อมูลการชำระเงิน” — Leach กล่าว

อัปเดตบน PCI-DSS 3.2.1 สามารถสรุปได้ดังนี้

  • ลบหมายเหตุตรงข้อกำหนดที่ระบุวันที่ 1 กุมภาพันธ์ 2018 ที่ผ่านไปเรียบร้อยแล้ว
  • อัปเดตข้อกำหนดและ Appendix A2 เพื่อแสดงให้เห็นว่า เฉพาะเทอมินัล POS POI (point of sale point of interaction) และจุดเชื่อมต่อกับ Service Provider ขององค์กรเท่านั้นที่ยังคงสามารถใช้ SSL/TLS เวอร์ชันเก่าเป็นมาตรการควบคุมได้หลังผ่านวันที่ 30 มิถุนายน 2018 ไปแล้ว
  • ลบ Multi-factor Authentication (MFA) ออกจากตัวอย่างมาตรการควบคุมชดเชย (Compensating Control) ใน Appendix B ทิ้ง เนื่องจาก MFA เป็นสิ่งบังคับใช้ในการเข้าถึงระบบควบคุมที่ไม่ใช้คอนโซล

การอัปเดต PCI-DSS เป็นเวอร์ชัน 3.2.1 นี้ไม่ส่งผลกระทบใดๆ ต่อ Payment Application Data Security Standard (PA-DSS) ซึ่งยงคงเป็นเวอร์ชัน 3.2 ต่อไป

ดูรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดต PCI-DSS 3.2.1 ได้ที่: https://www.pcisecuritystandards.org/document_library

ที่มา: https://www.helpnetsecurity.com/2018/05/21/pci-dss-3-2-1/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] 5 แนวโน้มธุรกิจไทย หลังประกาศใช้กม.คุ้มครองข้อมูลส่วนบุคคล

ปีนี้นอกจากภาคธุรกิจต้องฟื้นฟูกิจการจากพิษโควิดแล้ว การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ใน 1 มิถุนายนนี้ กำลังเริ่มเป็นที่จับตาของภาคธุรกิจไทยเชื่อมโยงไปถึงธุรกิจโลก เพราะทุกที่กำลังจับตาดูว่าไทยจะใช้กฎหมายนี้อย่างจริงจังขนาดไหน เพื่อเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศที่บังคับกันอย่างจริงจังแล้ว โดยเฉพาะในสหภาพยุโรปซึ่งหากการบังคับใช้ไม่เกิดผลจริงจัง การกีดกันทางการค้าคงมีผลตามมา

Cisco ประกาศแพตช์ช่องโหว่ร้ายแรงให้ StarOS

พบช่องโหว่ร้ายแรงที่คนร้ายสามารถลอบรันโค้ดใน Redundancy Configuration manager(RCM) ที่ใช้ในซอฟต์แวร์ StarOS