Breaking News

PCI Security Standards Council อัปเดตมาตรฐาน PCI-DSS 3.2.1

Payment Card Industry Security Standard Council (PCI SSC) ประกาศอัปเดตมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI-DSS เวอร์ชันใหม่ล่าสุด 3.2.1 ซึ่งนำมาใช้แทนเวอร์ชัน 3.2 เพื่อลดความสับสนหลังจากที่เดดไลน์ของการปรับใช้ SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่าสิ้นสุดลง

Troy Leach, CTO ของ PCI SSC ระบุว่า การอัปเดตครั้งนี้ไม่ได้มีข้อกำหนดใหม่ใดๆ เพิ่มเติม แต่จัดทำขึ้นเพื่อขจัดความสับสนเกี่ยวกับเรื่องวันและเดดไลน์ของการใช้ SSL/TLS v1.0 ส่งผลให้องค์กรสามารถตรวจสอบการปฏิบัติตามข้อกำหนดหลังวันที่ 30 มิถุนายนนี้เป็นต้นไปได้ง่ายและแม่นยำมากขึ้น ส่วนมาตรฐานเวอร์ชันเดิมอย่าง PCI-DSS 3.2 จะยังคง Valid จนถึงวันที่ 31 ธันวาคม 2018 และจะถูกยกเลิกการใช้งานอย่างเป็นทางการในวันที่ 1 มกราคม 2019 นี้

“มันเป็นเรื่องสำคัญมากที่องค์กรจะยกเลิกการใช้งาน SSL/TLS เวอร์ชันเก่า และทำการอัปเกรดไปใช้ทางเลือกใหม่ที่มั่นคงปลอดภัยกว่าในการปกป้องข้อมูลการชำระเงิน” — Leach กล่าว

อัปเดตบน PCI-DSS 3.2.1 สามารถสรุปได้ดังนี้

  • ลบหมายเหตุตรงข้อกำหนดที่ระบุวันที่ 1 กุมภาพันธ์ 2018 ที่ผ่านไปเรียบร้อยแล้ว
  • อัปเดตข้อกำหนดและ Appendix A2 เพื่อแสดงให้เห็นว่า เฉพาะเทอมินัล POS POI (point of sale point of interaction) และจุดเชื่อมต่อกับ Service Provider ขององค์กรเท่านั้นที่ยังคงสามารถใช้ SSL/TLS เวอร์ชันเก่าเป็นมาตรการควบคุมได้หลังผ่านวันที่ 30 มิถุนายน 2018 ไปแล้ว
  • ลบ Multi-factor Authentication (MFA) ออกจากตัวอย่างมาตรการควบคุมชดเชย (Compensating Control) ใน Appendix B ทิ้ง เนื่องจาก MFA เป็นสิ่งบังคับใช้ในการเข้าถึงระบบควบคุมที่ไม่ใช้คอนโซล

การอัปเดต PCI-DSS เป็นเวอร์ชัน 3.2.1 นี้ไม่ส่งผลกระทบใดๆ ต่อ Payment Application Data Security Standard (PA-DSS) ซึ่งยงคงเป็นเวอร์ชัน 3.2 ต่อไป

ดูรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดต PCI-DSS 3.2.1 ได้ที่: https://www.pcisecuritystandards.org/document_library

ที่มา: https://www.helpnetsecurity.com/2018/05/21/pci-dss-3-2-1/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Pulse Secure เพิ่มเทคโนโลยี Software Define Perimeter ตอบโจทย์ Zero-trust

Pulse Secure ได้ประกาศออกเทคโนโลยี Software Define Perimeter (SDP) เป็นส่วนหนึ่งในแพลตฟอร์ตด้านการทำ Secure Access ของตน

Kaspersky Lab แจกฟรีเครื่องมือ Threat Intelligence ตัวใหม่ ‘CyberTrace’

Kaspersky Lab ได้ประกาศออกเครื่องมือด้าน Threat Intelligence ที่ชื่อ ‘CyberTrace’ ทั้งนี้จะสามารถรวมรวมข้อมูลภัยคุกคามจากหลายแหล่งที่มาและสามารถรวมเข้ากับโซลูชัน SIEM ต่างๆ ได้ ซึ่งข้อดีคือ ‘ฟรี’