PCI Security Standards Council อัปเดตมาตรฐาน PCI-DSS 3.2.1

Payment Card Industry Security Standard Council (PCI SSC) ประกาศอัปเดตมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI-DSS เวอร์ชันใหม่ล่าสุด 3.2.1 ซึ่งนำมาใช้แทนเวอร์ชัน 3.2 เพื่อลดความสับสนหลังจากที่เดดไลน์ของการปรับใช้ SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่าสิ้นสุดลง

Troy Leach, CTO ของ PCI SSC ระบุว่า การอัปเดตครั้งนี้ไม่ได้มีข้อกำหนดใหม่ใดๆ เพิ่มเติม แต่จัดทำขึ้นเพื่อขจัดความสับสนเกี่ยวกับเรื่องวันและเดดไลน์ของการใช้ SSL/TLS v1.0 ส่งผลให้องค์กรสามารถตรวจสอบการปฏิบัติตามข้อกำหนดหลังวันที่ 30 มิถุนายนนี้เป็นต้นไปได้ง่ายและแม่นยำมากขึ้น ส่วนมาตรฐานเวอร์ชันเดิมอย่าง PCI-DSS 3.2 จะยังคง Valid จนถึงวันที่ 31 ธันวาคม 2018 และจะถูกยกเลิกการใช้งานอย่างเป็นทางการในวันที่ 1 มกราคม 2019 นี้

“มันเป็นเรื่องสำคัญมากที่องค์กรจะยกเลิกการใช้งาน SSL/TLS เวอร์ชันเก่า และทำการอัปเกรดไปใช้ทางเลือกใหม่ที่มั่นคงปลอดภัยกว่าในการปกป้องข้อมูลการชำระเงิน” — Leach กล่าว

อัปเดตบน PCI-DSS 3.2.1 สามารถสรุปได้ดังนี้

  • ลบหมายเหตุตรงข้อกำหนดที่ระบุวันที่ 1 กุมภาพันธ์ 2018 ที่ผ่านไปเรียบร้อยแล้ว
  • อัปเดตข้อกำหนดและ Appendix A2 เพื่อแสดงให้เห็นว่า เฉพาะเทอมินัล POS POI (point of sale point of interaction) และจุดเชื่อมต่อกับ Service Provider ขององค์กรเท่านั้นที่ยังคงสามารถใช้ SSL/TLS เวอร์ชันเก่าเป็นมาตรการควบคุมได้หลังผ่านวันที่ 30 มิถุนายน 2018 ไปแล้ว
  • ลบ Multi-factor Authentication (MFA) ออกจากตัวอย่างมาตรการควบคุมชดเชย (Compensating Control) ใน Appendix B ทิ้ง เนื่องจาก MFA เป็นสิ่งบังคับใช้ในการเข้าถึงระบบควบคุมที่ไม่ใช้คอนโซล

การอัปเดต PCI-DSS เป็นเวอร์ชัน 3.2.1 นี้ไม่ส่งผลกระทบใดๆ ต่อ Payment Application Data Security Standard (PA-DSS) ซึ่งยงคงเป็นเวอร์ชัน 3.2 ต่อไป

ดูรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดต PCI-DSS 3.2.1 ได้ที่: https://www.pcisecuritystandards.org/document_library

ที่มา: https://www.helpnetsecurity.com/2018/05/21/pci-dss-3-2-1/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Twitter ลบหลายพัน Accounts ปลอมที่มุ่งหวังทางการเมืองออกจากระบบ

Twitter ได้ออกมาเปิดเผยว่าได้ทำการลบ Accounts ปลอมออกจากระบบรวมทั้งสิ้น 4,779 รายชื่อ เนื่องจากเชื่อว่า Accounts เหล่านี้ถูกสร้างและใช้งานเพื่อหวังผลทางการเมือง คาดมีส่วนเกี่ยวข้องกับประเทศอิหร่านและรัสเซีย

Microsoft เตือนพบการโจมตีของ Worm ด้วยช่องโหว่บน Exim แล้ว แนะผู้ใช้เร่งอัปเดต

ราว 2 สัปดาห์ก่อนได้มีการแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Exim (MTA) บน Mail Server ซึ่งวันนี้ทาง Microsoft ได้ค้นพบ Linux Worm ที่ใช้งานช่องโหว่นี้เพื่อแพร่ระบาดและติดตั้งตัวขุดเหมืองบน Azure …