มีอะไรใหม่ในมาตรฐาน PCI-DSS 3.2 ล่าสุด

pci_ssc_logo

สภามาตรฐานด้านความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน (Payment Card Industry Security Standard Council) ออกมาตรฐาน PCI-DSS ซึ่งเป็นมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรเครดิตของลูกค้า เวอร์ชันใหม่ล่าสุด คือ 3.2 ซึ่งข้อกำหนดที่เปลี่ยนไปจากเดิม มีดังนี้

Credit: ShutterStock
Credit: ShutterStock

Multi-factor Authentication

การพิสูจน์ตัวตนแบบหลายปัจจัยจะถูกนำมาใช้ในการเข้าถึงระบบข้อมูลของผู้ถือบัตรไม่ว่ากรณีใดก็ตาม ซึ่งก่อนหน้านี้จำเป็นต้องใช้วิธีการพิสูจน์ตัวตนแบบดังกล่าวเฉพาะกรณีที่เข้าถึงจากระยะไกล (Remote Access) ผ่านทางอุปกรณ์หรือผู้ใช้ที่ไม่น่าเชื่อถือเท่านั้น
เพื่อผ่านมาตรฐาน PCI-DSS 3.2 การพิสูจน์ตัวตนแบบหลายปัจจัยนี้จำเป็นต้องพร้อมใช้งานก่อนวันที่ 1 กุมภาพันธ์ 2018

Designated Entities Supplemental Validation (DESV)

DESV เป็นกลุ่มของขั้นตอนที่บอกผู้ที่เกี่ยวข้องว่าจะผ่านมาตรฐาน PCI-DSS ได้อย่างไร ซึ่งกลุ่มขั้นตอนนี้จะถูกบรรจุเข้ามาเป็นมาตรฐานในเวอร์ชัน 3.2 โดยผู้ที่เกี่ยวข้องอาจถูกธนาคารหรือผู้ให้บริการบัตรร้องขอให้แสดงสิ่งที่ยืนยันว่าองค์กรปฏิบัติตามข้อกำหนดในมาตรฐาน PCI-DSS จริง

ข้อกำหนดใหม่สำหรับ Service Provider

PCI-DSS 3.2 มีการเพิ่มข้อกำหนดใหม่ให้แก่ Service Provider หลายประการ เช่น มีการจัดทำเอกสารที่บรรยายถึงสถาปัตยกรรมการเข้ารหัสข้อมูลและรายงานถึงความล้มเหลวของระบบควบคุมความมั่นคงปลอดภัยที่สำคัญ, ระบุหน้าที่ความรับผิดชอบสำหรับการคุ้มครองข้อมูลผู้ถือบัตรและการปฏิบัติตามมาตรฐาน PCI-DSS, ต้องมีการทดสอบเจาะระบบควบคุมแต่ละส่วนอย่างสม่ำเสมอ และต้องทำให้ผู้บริหารระดับสูงเข้าใจถึงข้อกำหนด PCI-DSS

เปลี่ยนการใช้งานจาก SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่านั้น

การเปลี่ยนวิธีการเข้ารหัสนี้จำเป็นต้องทำถายในวันที่ 1 กรกฎาคม 2018

นอกจากนี้ ข้อกำหนดที่เปลี่ยนแปลงและเพิ่มขึ้นมาใหม่บนมาตรฐาน PCI-DSS 3.2 นั้น จะถูกพิจารณาว่าเป็น “Best Practices” จนกระทั่งวันที่ 31 มกราคม 2018 และเมื่อเริ่มเข้าวันที่ 1 กุมภาพันธ์ 2018 ข้อกำหนดทั้งหมดจะกลายเป็นข้อกำหนดที่บังคับใช้ทันที

ที่มา: https://www.helpnetsecurity.com/2016/04/28/pci-dss-3-2-whats-new/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware แนะนำการเลือกใช้ vSphere CPU Scheduler ให้เหมาะกับระดับความปลอดภัยของ VM ที่ต้องการ

ในช่วงที่ผ่านมานี้เราได้เห็นช่องโหว่ในระดับ CPU ที่ทำให้เกิดปัญหาการเข้าถึงข้อมูลข้าม Process กันค่อนข้างมาก และกลายเป็นประเด็นใหญ่ในวงการ IT กันมาอย่างต่อเนื่อง ทาง VMware จึงได้ทำการออกแนวทางการเลือกใช้ vSphere CPU Scheduler สำหรับแต่ละ VM ซึ่งแต่ละวิธีการนั้นก็จะมีข้อดีข้อเสียและรูปแบบการใช้งานที่เหมาะสมกับระดับของความมั่นคงปลอดภัยที่แตกต่างกันออกไป ทาง TechTalkThai จึงขอนำมาสรุปเป็นภาษาไทยให้ผู้อ่านทุกท่านได้เลือกไปใช้เป็นแนวทางกันดังนี้ครับ

ผู้ใช้งานพบ Google ติดตามการซื้อสินค้าผ่าน Gmail ทาง Google ระบุทำไปเพื่อให้ผู้ใช้งานติดตามการซื้อขายของตนเองได้ง่ายๆ เท่านั้น

เมื่อสัปดาห์ที่ผ่านมา มีผู้ใช้งานบน Reddit ได้ออกมาเผยถึงการค้นพบว่า Google นั้นมีการตรวจสอบเนื้อหาภายใน Gmail ว่าผู้ใช้งานแต่ละคนมีการซื้อสินค้าใดเกิดขึ้นบ้าง และทำเป็นหน้าสรุปการซื้อขายทั้งหมดที่เกิดขึ้นและมีการยืนยันผ่าน Gmail ในบัญชีนั้นๆ