[Guest Post] PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง?

หลายๆ ท่านที่อยู่ในวงการความปลอดภัยข้อมูลสารสนเทศ หรือแม้แต่อยู่ในวงการเงินการธนาคารเอง คงจะทราบถึงหรือรู้จักเจ้ามาตรฐาน Payment Card Industry Data Security Standard หรือ PCI DSS กันเป็นอย่างดี เพราะ PCI DSS นั้น ถือว่าเป็นมาตรฐานหลัก ที่ได้ถูกออกแบบโดย Payment Card Industry Security Standards Council หรือ PCI SSC มาเพื่อควบคุมการใช้งานข้อมูล ของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต และบัตรเงินสด เพื่อเข้ามาช่วยในการป้องกันการใช้งานข้อมูลบัตรอย่างเหมาะสม และเพื่อลดการเกิดการฉ้อโกงการใช้จ่ายผ่านบัตรอิเล็กทรอนิกส์เหล่านั้น ซึ่งจะรวมถึงบัตรประเภท Visa, MasterCard, American Express, Discovery และ JCB นั่นเอง

และหลังจากที่ทาง PCI SSC ได้ประกาศใช้มาตรฐาน PCI DSS มาหลายเวอร์ชั่น โดยเริ่มตั้งแต่เวอร์ชั่น 1.0 ในปี 2004 เรื่อยมาจนมาถึงเวอร์ชั่น 3.1 ในปี 2015 และเมื่อไม่นานมานี้เอง ในเดือนเมษายน 2016 ที่ผ่านมา ทาง PCI SSC ก็ได้ออกมาตรฐาน PCI DSS เวอร์ชั่นใหม่ล่าสุด นั่นก็คือเวอร์ชั่น 3.2 เพื่อมาใช้แทนที่เวอร์ชั่นเดิม คือเวอร์ชั่น 3.1 นั่นเอง ซึ่งใน PCI DSS เวอร์ชั่น 3.2 นั้นก็ได้มีการปรับปรุง แก้ไข ให้มีความทันสมัยเป็นปัจจุบัน เพื่อครอบคลุมช่องโหว่ใหม่ ๆ เพิ่มเติมแนวทางปฏิบัติ และยังเพิ่มความชัดเจนของมาตรฐานให้มากยิ่งขึ้นจากเวอร์ชั่นเดิม

สำหรับโครงสร้างหลักของตัวมาตรฐาน PCI DSS เวอร์ชั่น 3.2 นั้น ยังคงจะประกอบไปด้วย 6 วัตถุประสงค์ของการควบคุม (6 Control objectives) โดยมี 12 ข้อกำหนดหลัก (12 requirements) เหมือนในเวอร์ชั่นเดิม

การเพิ่มเติม ปรับปรุง แก้ไข ในส่วนหลัก ๆ ของมาตรฐานมีดังต่อไปนี้

• เพิ่มเติม Designated Entities Supplement Validation (DESV) ในส่วนของภาคผนวก A3 และในข้อกำหนดที่ 3, 10, 11, 12 ซึ่งจากเดิมนั้นจะเป็นเอกสารแยกอีกฉบับ โดย DESV นั้นก็คือกลุ่มขั้นตอนการปฏิบัติเพื่อแสดงให้เห็นและยืนยันได้ว่าข้อกำหนดของ PCI DSS นั้นได้ถูกนำไปใช้งานจริง (Enforced) อย่างต่อเนื่องสม่ำเสมอตลอดทั้งปี มิได้เพียงแค่ที่จะปฏิบัติเพื่อจะให้ผ่านการตรวจสอบเท่านั้น ตัวอย่างเช่น 1 การสร้างแผนการปฏิบัติตามข้อกำหนด (Compliance program) สำหรับ PCI DSS, A3.2 การจัดทำขอบเขต (Scope) ของ PCI DSS และ A3.3 การตรวจสอบการนำ PCI DSS ไปใช้ในขั้นตอนธุรกิจตามปกติ หรือ Business-as-usual (BAU) เป็นต้น
• ข้อกำหนดใหม่ 4.6 สำหรับกระบวนการควบคุมการเปลี่ยนแปลง หรือ Change control process เพื่อให้องค์กรได้ตรวจสอบและวิเคราะห์ถึงการเปลี่ยนแปลงที่อาจจะมีผลกระทบกับสภาพแวดล้อมและตัวควบคุมด้านความปลอดภัยสำหรับการปกป้องข้อมูลของผู้ถือบัตรได้
• ข้อกำหนดใหม่ 8 และ 10.8.1 เป็นกระบวนการสำหรับผู้ให้บริการ (Service provider) ใช้ในการตรวจจับและรายงานความผิดพลาดของตัวความคุมทางความมั่นคงปลอดภัยที่สำคัญ เพื่อลดความเสี่ยงในการถูกโจมตี เข้าถึง และขโมยข้อมูลของผู้ถือบัตรได้
• ข้อกำหนดใหม่ 3.4.1 สำหรับผู้ให้บริการ (Service provider) ที่จะต้องจัดทำการทดสอบการเจาะระบบ (Penetration testing) ให้มีความถี่เพิ่มมากยิ่งขึ้น โดยเพิ่มจากเดิมอย่างน้อยปีละ 1 ครั้ง เป็นอย่างน้อย 1 ครั้งในทุก ๆ 6 เดือน
• ข้อกำหนด 4.1 จัดเรียงเลขใหม่เนื่องจากมีการเพิ่มข้อกำหนดใหม่สำหรับผู้ให้บริการ (Service Provider) เพื่อให้ผู้บริหารเข้ามามีส่วนร่วมในการพัฒนาเชิงกลยุทธ์ ของการรักษาความปลอดภัยของข้อมูลของผู้ถือบัตร และเพื่อที่จะจัดตั้งให้มีผู้ที่มีหน้าที่ความรับผิดชอบด้าน PCI DSS Compliance รวมถึงการจัดตั้งแผนการปฏิบัติตามข้อกำหนด (Compliance program) ด้วย
• เพิ่มการพิสูจน์ตัวตนแบบหลายปัจจัย หรือ Multi-factor authentication สำหรับการเข้าถึงข้อมูลบัตรโดยผู้ดูแลระบบที่เข้าถึงข้อมูลผ่านช่องทางที่มิใช่การใช้งานผ่านคอลโซล (จากเดิมที่มีการกำหนดให้ใช้การพิสูจน์ตัวตนแบบหลายปัจจัยสำหรับการเข้าถึงจากระยะไกล หรือ Remote access เท่านั้น)
• ข้อกำหนดใหม่ 11 และ 12.11.1 สำหรับผู้ให้บริการ (Service provider) ในการทบทวนและตรวจติดตามการปฏิบัติตามนโยบายและขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศของพนักงานอย่างน้อย 1 ครั้งในทุก ๆ ไตรมาส
• ปรับปรุงแก้ไขข้อกำหนด 3 ให้มีความชัดเจนยิ่งขึ้น สำหรับการปิดบังการแสดงเลขที่รหัสของบัตร Primary Account Number หรือ PAN โดยให้แสดงเลขที่รหัสของบัตรเฉพาะ 6 ตัวแรก/4 ตัวสุดท้าย เท่าที่จำเป็นกับการใช้งานในทางธุรกิจเท่านั้น

ทั้งนี้สำหรับ PCI DSS ในเวอร์ชั่น 3.2 นั้นยังมีรายละเอียดย่อยที่มีการปรับปรุงแก้ไขเล็ก ๆ น้อย ๆ อีกมากมาย โดยหากท่านใดสนใจในรายละเอียดเพิ่มเติม สามารถที่จะทำการดาวน์โหลดมาตรฐาน PCI DSS เวอร์ชั่น 3.2 ได้จากทางเว็บไซต์ของ PCI SSC ได้โดยตรง

ทาง PCI SSC เองนั้น ได้เน้นย้ำว่าทางองค์กรที่เกี่ยวข้อง ควรที่จะนำเจ้ามาตรฐาน PCI DSS เวอร์ชั่นใหม่นี้มาใช้งานให้เร็วที่สุดเพื่อปกป้อง ตรวจจับ และรับมือกับการโจมตีทางไซเบอร์ ที่อาจจะก่อให้เกิดการรั่วไหลของข้อมูลการชำระเงินและข้อมูลของผู้ถือบัตรได้ สำหรับเจ้า PCI DSS เวอร์ชั่น 3.1 ซึ่งเป็นเวอร์ชั่นเดิมนั้น จะหมดอายุลงในวันที่ 31 ตุลาคม 2016 ซึ่ง ณ ขณะนี้ ข้อกำหนดใหม่ ๆ ที่อยู่ใน PCI DSS เวอร์ชั่น 3.2 นั้น จะเป็นเพียงวิธีปฏิบัติที่ดีที่สุด หรือ “Best practice” เพื่อให้องค์กรที่เกี่ยวข้องนั้นได้มีเวลาที่จะนำไปเตรียมการและสามารถนำไปปรับใช้ให้ได้ทันเวลาก่อนวันที่ 1 กุมภาพันธ์ 2018 ซึ่งเป็นวันที่ข้อกำหนดใหม่ทั้งหมดจะมีผลบังคับใช้จริง

สำหรับท่านใดที่สนใจในรายละเอียดหรือคำแนะนำเพิ่มเติมในการเตรียมความพร้อมและการจัดทำมาตรฐาน PCI DSS เวอร์ชั่น 3.2 หรือมาตรฐานอื่น ๆ สามารถติดต่อขอข้อมูลเพิ่มเติมได้โดยท่านสามารถติดต่อขอรายละเอียดเพิ่มเติมได้ที่ http://www.zolventure.com หรือ http://www.acinfotec.com

บทความโดย จริญญา จันทร์ปาน Sales and Solution Delivery Director, ACinfotec Co.,Ltd. และ Zolventure Co.,Ltd. สำหรับผู้ที่สนใจบริการ Security ครบวงจรทั้ง Solution, Consulting, Assessment และ Training สามารถตรวจสอบรายละเอียดเพิ่มเติมได้ที่ http://www.acinfotec.com/ หรือติดต่อทาง Email ที่ jarinya@acinfotec.com ได้ทันที

 

เกี่ยวกับ ACinfotec

ACinfotec เป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC Services ทั้งในส่วน Process และด้านเทคนิค โดยบริษัทมีการให้บริการหลายแบบ ได้แก่

• IT Standards – ISO 27001, ISO 20000, ISO 22301 CMMI, ISO31000, COBIT5, ISO 29100
• Assessment services – Penetration test, Vulnerability assessment, Incident Handling, Forensics
• Training – PECB, IRCA, EC-Council, CISA, CISM, CISSP, COBIT5, ITIL, Project management

 

เกี่ยวกับ Zolventure

Zolventure เป็นผู้นำด้านการ Implement และการให้บริการทั้งในส่วน Software tools, Managed service และ Data/Content services ซึ่งบริษัทมีการให้บริการในหลากหลายรูปแบบ ได้แก่

• Big Data service
• GRC services – PCI PA-DSS, Risk Management tools, IT Service Management tools, Business Management tools
• Intelligent gather – Zirious