PCI Security Standards Council อัปเดตมาตรฐาน PCI-DSS 3.2.1

Payment Card Industry Security Standard Council (PCI SSC) ประกาศอัปเดตมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI-DSS เวอร์ชันใหม่ล่าสุด 3.2.1 ซึ่งนำมาใช้แทนเวอร์ชัน 3.2 เพื่อลดความสับสนหลังจากที่เดดไลน์ของการปรับใช้ SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่าสิ้นสุดลง

Troy Leach, CTO ของ PCI SSC ระบุว่า การอัปเดตครั้งนี้ไม่ได้มีข้อกำหนดใหม่ใดๆ เพิ่มเติม แต่จัดทำขึ้นเพื่อขจัดความสับสนเกี่ยวกับเรื่องวันและเดดไลน์ของการใช้ SSL/TLS v1.0 ส่งผลให้องค์กรสามารถตรวจสอบการปฏิบัติตามข้อกำหนดหลังวันที่ 30 มิถุนายนนี้เป็นต้นไปได้ง่ายและแม่นยำมากขึ้น ส่วนมาตรฐานเวอร์ชันเดิมอย่าง PCI-DSS 3.2 จะยังคง Valid จนถึงวันที่ 31 ธันวาคม 2018 และจะถูกยกเลิกการใช้งานอย่างเป็นทางการในวันที่ 1 มกราคม 2019 นี้

“มันเป็นเรื่องสำคัญมากที่องค์กรจะยกเลิกการใช้งาน SSL/TLS เวอร์ชันเก่า และทำการอัปเกรดไปใช้ทางเลือกใหม่ที่มั่นคงปลอดภัยกว่าในการปกป้องข้อมูลการชำระเงิน” — Leach กล่าว

อัปเดตบน PCI-DSS 3.2.1 สามารถสรุปได้ดังนี้

  • ลบหมายเหตุตรงข้อกำหนดที่ระบุวันที่ 1 กุมภาพันธ์ 2018 ที่ผ่านไปเรียบร้อยแล้ว
  • อัปเดตข้อกำหนดและ Appendix A2 เพื่อแสดงให้เห็นว่า เฉพาะเทอมินัล POS POI (point of sale point of interaction) และจุดเชื่อมต่อกับ Service Provider ขององค์กรเท่านั้นที่ยังคงสามารถใช้ SSL/TLS เวอร์ชันเก่าเป็นมาตรการควบคุมได้หลังผ่านวันที่ 30 มิถุนายน 2018 ไปแล้ว
  • ลบ Multi-factor Authentication (MFA) ออกจากตัวอย่างมาตรการควบคุมชดเชย (Compensating Control) ใน Appendix B ทิ้ง เนื่องจาก MFA เป็นสิ่งบังคับใช้ในการเข้าถึงระบบควบคุมที่ไม่ใช้คอนโซล

การอัปเดต PCI-DSS เป็นเวอร์ชัน 3.2.1 นี้ไม่ส่งผลกระทบใดๆ ต่อ Payment Application Data Security Standard (PA-DSS) ซึ่งยงคงเป็นเวอร์ชัน 3.2 ต่อไป

ดูรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดต PCI-DSS 3.2.1 ได้ที่: https://www.pcisecuritystandards.org/document_library

ที่มา: https://www.helpnetsecurity.com/2018/05/21/pci-dss-3-2-1/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel แพตช์ช่องโหว่ 6 รายการ แนะผู้ใช้อัปเดต

Intel ได้ประกาศออกแพตช์ช่องโหว่ของเดือนมกราคมจำนวน 6 รายการ ซึ่งส่งผลกระทบกับ VTune และ Intel Processor Graphics Driver สำหรับ Windows และ Linux …

TechTalk Webinar: ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software

TechTalkThai ขอเรียนเชิญ IT Manager, IT Security Manager, IT Security Engineer, IT Compliance Officer และผู้ดูแลระบบ IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software" เพื่อทำความรู้จักกับเทคโนโลยีในการตรวจสอบการเข้าถึงสองระบบสำคัญอย่าง Microsoft AD และ File Sharing ตอบโจทย์ด้าน Security และ Compliance โดยเฉพาะ ในวันศุกร์ที่ 24 มกราคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้