Breaking News

มีอะไรใหม่ในมาตรฐาน PCI-DSS 3.2 ล่าสุด

pci_ssc_logo

สภามาตรฐานด้านความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน (Payment Card Industry Security Standard Council) ออกมาตรฐาน PCI-DSS ซึ่งเป็นมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรเครดิตของลูกค้า เวอร์ชันใหม่ล่าสุด คือ 3.2 ซึ่งข้อกำหนดที่เปลี่ยนไปจากเดิม มีดังนี้

Credit: ShutterStock
Credit: ShutterStock

Multi-factor Authentication

การพิสูจน์ตัวตนแบบหลายปัจจัยจะถูกนำมาใช้ในการเข้าถึงระบบข้อมูลของผู้ถือบัตรไม่ว่ากรณีใดก็ตาม ซึ่งก่อนหน้านี้จำเป็นต้องใช้วิธีการพิสูจน์ตัวตนแบบดังกล่าวเฉพาะกรณีที่เข้าถึงจากระยะไกล (Remote Access) ผ่านทางอุปกรณ์หรือผู้ใช้ที่ไม่น่าเชื่อถือเท่านั้น
เพื่อผ่านมาตรฐาน PCI-DSS 3.2 การพิสูจน์ตัวตนแบบหลายปัจจัยนี้จำเป็นต้องพร้อมใช้งานก่อนวันที่ 1 กุมภาพันธ์ 2018

Designated Entities Supplemental Validation (DESV)

DESV เป็นกลุ่มของขั้นตอนที่บอกผู้ที่เกี่ยวข้องว่าจะผ่านมาตรฐาน PCI-DSS ได้อย่างไร ซึ่งกลุ่มขั้นตอนนี้จะถูกบรรจุเข้ามาเป็นมาตรฐานในเวอร์ชัน 3.2 โดยผู้ที่เกี่ยวข้องอาจถูกธนาคารหรือผู้ให้บริการบัตรร้องขอให้แสดงสิ่งที่ยืนยันว่าองค์กรปฏิบัติตามข้อกำหนดในมาตรฐาน PCI-DSS จริง

ข้อกำหนดใหม่สำหรับ Service Provider

PCI-DSS 3.2 มีการเพิ่มข้อกำหนดใหม่ให้แก่ Service Provider หลายประการ เช่น มีการจัดทำเอกสารที่บรรยายถึงสถาปัตยกรรมการเข้ารหัสข้อมูลและรายงานถึงความล้มเหลวของระบบควบคุมความมั่นคงปลอดภัยที่สำคัญ, ระบุหน้าที่ความรับผิดชอบสำหรับการคุ้มครองข้อมูลผู้ถือบัตรและการปฏิบัติตามมาตรฐาน PCI-DSS, ต้องมีการทดสอบเจาะระบบควบคุมแต่ละส่วนอย่างสม่ำเสมอ และต้องทำให้ผู้บริหารระดับสูงเข้าใจถึงข้อกำหนด PCI-DSS

เปลี่ยนการใช้งานจาก SSL/TLS v1.0 ไปเป็น TLS v1.1 หรือใหม่กว่านั้น

การเปลี่ยนวิธีการเข้ารหัสนี้จำเป็นต้องทำถายในวันที่ 1 กรกฎาคม 2018

นอกจากนี้ ข้อกำหนดที่เปลี่ยนแปลงและเพิ่มขึ้นมาใหม่บนมาตรฐาน PCI-DSS 3.2 นั้น จะถูกพิจารณาว่าเป็น “Best Practices” จนกระทั่งวันที่ 31 มกราคม 2018 และเมื่อเริ่มเข้าวันที่ 1 กุมภาพันธ์ 2018 ข้อกำหนดทั้งหมดจะกลายเป็นข้อกำหนดที่บังคับใช้ทันที

ที่มา: https://www.helpnetsecurity.com/2016/04/28/pci-dss-3-2-whats-new/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Fortinet เปิดตัว FortiGate E-Series ระดับ High-end ใหม่ 3 รุ่น

Fortinet ประกาศเปิดตัว FortiGate E-Series 3 รุ่นใหม่ ได้แก่ 3300E, 2200E และ 1100E ชูจุดเด่นด้านประสิทธิภาพของ Threat Protection และ …