พื้นฐานของการปฏิบัติตาม PCI: สิ่งที่คุณต้องรู้

ข้อมูลบัตรเครดิตเป็นประเภทข้อมูลที่มีค่าที่สุดสำหรับอาชญากรไซเบอร์ เนื่องจากชุดข้อมูลเหล่านี้มีมูลค่าหลายล้านดอลลาร์ในตลาดมืด

ปัจจุบัน บริษัททุกขนาดประมวลผลข้อมูลบัตรเครดิตและบัตรเดบิตของลูกค้าและรับชำระเงินด้วยบัตรเครดิต ทุกบริษัทที่ดำเนินการ จัดเก็บ และส่งข้อมูลทางการเงินอยู่ภายใต้เรดาร์ของผู้ไม่ประสงค์ดี และเผชิญกับความเสี่ยงสูงสุดในการโจมตีทางไซเบอร์

ด้วยเหตุผลเหล่านี้ บริษัทบัตรเครดิตรายใหญ่จึงสร้างมาตรฐาน PCI เพื่อเป็นแนวทางด้านความปลอดภัยสำหรับบริษัทในการรักษาความปลอดภัยข้อมูลทางการเงินของลูกค้า ในบทความนี้ เราจะตรวจสอบพื้นฐานของการปฏิบัติตาม PCI

เรามาเริ่มกันที่การอธิบายการปฏิบัติตามมาตรฐาน PCI DSS เพิ่มเติม

การปฏิบัติตาม PCI DSS คืออะไร?

Payment Card Industry Data Security Standard (PCI DSS) คือชุดข้อกำหนดด้านความปลอดภัยทางเทคนิคและการปฏิบัติงานเพื่อปกป้องข้อมูลของผู้ถือบัตรเครดิต

การปฏิบัติตาม PCI ก่อตั้งขึ้นโดยบริษัทบัตรเครดิตรายใหญ่ เช่น Visa, Mastercard, American Express, Discover Financial Services และ JCB Express PCI พยายามที่จะเปิดใช้งานกรอบสากลสำหรับการรักษาความปลอดภัยข้อมูลทางการเงินของลูกค้า

บริษัททั้งหมดที่รวบรวม จัดเก็บ และส่งอยู่ภายใต้การปฏิบัติตาม PCI DSS และมีหน้าที่ปฏิบัติตามแนวทางและข้อกำหนดด้านความปลอดภัย

PCI DSS มีสี่ระดับความสอดคล้อง (1,2,3,4) ระดับการปฏิบัติตาม PCI ของบริษัทต่างๆ จะพิจารณาจากปริมาณธุรกรรมในช่วงหนึ่งปี บริษัทที่อยู่ภายใต้ระดับ 4 มีการทำธุรกรรมน้อยกว่า 20,000 รายการต่อปี

ระดับ 3 ใช้กับร้านค้าที่ทำธุรกรรมระหว่าง 20,000-1 ล้านต่อปี ระดับ 2 ใช้กับบริษัทที่ทำธุรกรรมระหว่าง 1-6 ล้านต่อปี บริษัทที่ดำเนินการธุรกรรมมากกว่า 6 รายการต่อปีจัดอยู่ในระดับ 1

ข้อกำหนดของ PCI จะเข้มงวดมากขึ้นเมื่อระดับเพิ่มขึ้นจาก 4 เป็น 1 แต่ไม่ว่าจะปฏิบัติตามระดับใด บริษัททั้งหมดมีหน้าที่ต้องปฏิบัติตามข้อกำหนด PCI ทั้งหมดตามขอบเขต

กรอบการจัดการข้อมูลผู้ถือบัตรที่ปลอดภัยกำหนดขึ้นในหกประเภทตาม PCI หมวดหมู่ข้อกำหนด PCI ประกอบด้วยการปกป้องข้อมูลผู้ถือบัตร แผนการจัดการช่องโหว่ การตรวจสอบเครือข่าย การจัดการเครือข่ายและระบบที่ปลอดภัย ข้อจำกัดการควบคุมการเข้าถึง และนโยบายความปลอดภัยของข้อมูล

เนื้อหาของหมวดหมู่เหล่านี้สร้างขั้นตอนความต้องการทั้งหมดสิบสองขั้นตอน ข้อกำหนด PCI รับรองความปลอดภัยของการจัดการข้อมูลผู้ถือบัตร นี่คือรายการตรวจสอบสำหรับการปฏิบัติตาม PCI

ข้อกำหนดของ PCI

1- ติดตั้งและบำรุงรักษาไฟร์วอลล์สำหรับการปกป้องข้อมูลของผู้ถือบัตร

เนื่องจากไฟร์วอลล์เป็นกลไกการป้องกันด่านแรกของเครือข่าย การกำหนดค่าและบำรุงรักษาไฟร์วอลล์อย่างเหมาะสมจึงมีความสำคัญอย่างยิ่งต่อการรักษาความปลอดภัยของข้อมูลผู้ถือบัตร ไฟร์วอลล์เป็นเครื่องมือที่มีประสิทธิภาพสูงในการป้องกันข้อมูลที่ละเอียดอ่อนจากภัยคุกคามทางไซเบอร์ เนื่องจากไฟร์วอลล์จะจำกัดการรับส่งข้อมูลเครือข่ายและบล็อกการเข้าถึงที่ไม่ได้รับอนุญาต นั่นเป็นเหตุผลที่การสร้างไฟร์วอลล์เป็นข้อกำหนดแรก

02. มีการป้องกันด้วยรหัสผ่านที่เหมาะสม

บริการเครือข่าย ระบบ ณ จุดขาย (POS) และผลิตภัณฑ์ของบริษัทอื่นส่วนใหญ่ได้รับการกำหนดค่าด้วยการตั้งค่าเริ่มต้น

อาชญากรไซเบอร์สามารถเข้าถึงเครือข่ายและข้อมูลที่ละเอียดอ่อนได้อย่างง่ายดาย หากองค์กรไม่กำหนดการตั้งค่าใหม่จากโรงงาน เนื่องจากรหัสผ่านและชื่อผู้ใช้เริ่มต้นเป็นที่รู้จักอย่างกว้างขวาง

นอกจากการเปลี่ยนการตั้งค่ารหัสผ่านแล้ว องค์กรต้องเปลี่ยนรหัสผ่านของอุปกรณ์และซอฟต์แวร์ทั้งหมดที่ต้องใช้อย่างสม่ำเสมอ

03. ปกป้องข้อมูลผู้ถือบัตรที่เก็บไว้

ข้อมูลผู้ถือบัตรที่เก็บไว้ทั้งหมดจะต้องได้รับการเข้ารหัส ผู้ค้าต้องแน่ใจว่ามีการป้องกันข้อมูลที่ละเอียดอ่อนเหล่านี้ผ่านคีย์เข้ารหัสและอัลกอริทึม และทำการสแกนเป็นประจำ

04. เข้ารหัสข้อมูลที่ส่งของผู้ถือบัตร

การรักษาความปลอดภัยของข้อมูลผู้ถือบัตรเป็นข้อกำหนดที่สำคัญที่สุดในการปฏิบัติตาม PCI ดังนั้น ร้านค้าต้องเข้ารหัสและรักษาความปลอดภัยในการรับส่งข้อมูลของผู้ถือบัตรผ่านเครือข่ายสาธารณะ

05. ใช้ซอฟต์แวร์ป้องกันไวรัส

การมีซอฟต์แวร์ป้องกันไวรัสเป็นสิ่งจำเป็นสำหรับการป้องกันข้อมูลจากมัลแวร์ ดังนั้น องค์กรจึงต้องใช้และอัปเดตซอฟต์แวร์ป้องกันไวรัสบนอุปกรณ์ทั้งหมดเป็นประจำเพื่อตรวจจับและกำจัดมัลแวร์ใดๆ

06. การบำรุงรักษาซอฟต์แวร์และระบบ

ซอฟต์แวร์และระบบทั้งหมดควรได้รับการอัปเดตเป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย โปรดทราบว่าซอฟต์แวร์บางอย่าง เช่น ฐานข้อมูล ซอฟต์แวร์ป้องกันไวรัส และไฟร์วอลล์ จำเป็นต้องมีการอัปเดตบ่อยขึ้น

07. จำกัดการเข้าถึงข้อมูล

เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่ควรได้รับอนุญาตให้เข้าถึงข้อมูลของผู้ถือบัตรเมื่อจำเป็น บุคคลภายนอกและพนักงานไม่ควรเข้าถึงข้อมูลที่ละเอียดอ่อน

08. การระบุที่ไม่ซ้ำกันสำหรับการเข้าถึงของผู้ใช้

ต้องกำหนดชื่อผู้ใช้และรหัสผ่านเฉพาะให้กับผู้ใช้ที่ได้รับอนุญาตแต่ละรายซึ่งสามารถเข้าถึงข้อมูลผู้ถือบัตรได้ ข้อมูลรับรองการเข้าถึงของผู้ใช้ช่วยให้มั่นใจถึงความรับผิดชอบและลดเวลาตอบสนอง

09. จำกัดการเข้าถึงทางกายภาพ

การเข้าถึงทางกายภาพจะต้องถูกจำกัดให้มากเท่ากับการเข้าถึงแบบดิจิทัลเพื่อปกป้องข้อมูลที่สำคัญ องค์กรต้องจัดเก็บข้อมูลของผู้ถือบัตรในสถานที่ที่ปลอดภัยและบังคับใช้การควบคุมและการอนุญาตที่เข้มงวด

10- ติดตามและตรวจสอบการเข้าถึงเครือข่าย

การเข้าถึงเครือข่ายและการรับส่งข้อมูลทั้งหมดต้องได้รับการติดตามและตรวจสอบเมื่อข้อมูลผู้ถือบัตรและหมายเลขบัญชีหลัก บันทึกการเข้าถึงที่เกี่ยวข้องกับข้อมูลผู้ถือบัตรจะต้องได้รับการบำรุงรักษาและตรวจสอบอย่างต่อเนื่อง

11- การประเมินระบบรักษาความปลอดภัยเป็นประจำ

ควรทำการประเมินระบบรักษาความปลอดภัยและทดสอบการเจาะระบบเป็นประจำเพื่อระบุและแก้ไขช่องโหว่ด้านความปลอดภัย ขั้นตอนนี้ช่วยกำหนดสถานะปัจจุบันของระบบรักษาความปลอดภัยและปรับปรุงให้เหมาะสม

12- รักษานโยบายความปลอดภัยทางไซเบอร์

ข้อกำหนด PCI ทั้งหมดจะต้องระบุและจัดทำเป็นเอกสารด้วยนโยบายความปลอดภัยทางไซเบอร์ ด้วยการรักษานโยบายความปลอดภัยทางไซเบอร์ องค์กรสามารถรับรองการปฏิบัติตามและความปลอดภัยของเครือข่ายของตน

ผลของการไม่ปฏิบัติตาม PCI DSS

การไม่ปฏิบัติตาม PCI DSS อาจนำมาซึ่งค่าปรับและบทลงโทษที่สูง ตามความรุนแรงและระยะเวลาของการละเมิด หน่วยงาน PCI สามารถเรียกเก็บค่าปรับระหว่าง 5,000 ถึง 100,000 ดอลลาร์ต่อเดือน

ค่าปรับอาจเพิ่มขึ้นเป็นรายเดือนเมื่อระยะเวลาการละเมิดนานขึ้น นอกจากนี้ หลังจากเหตุการณ์การละเมิดข้อมูล บริษัทต่างๆ อาจต้องรับผิดชอบในการออกใหม่และค่าใช้จ่ายในการแก้ไขทั้งหมด

นอกเหนือจากนี้ การไม่ปฏิบัติตาม PCI อาจส่งผลให้เกิดบทลงโทษเพิ่มเติม เช่น ค่าธรรมเนียมการทำธุรกรรมเพิ่มขึ้น และการสูญเสียร้านค้ารับชำระเงินด้วยบัตรเครดิตในบางครั้งหรือถาวร การปฏิบัติตามข้อกำหนด PCI เป็นสิ่งสำคัญเพื่อหลีกเลี่ยงการลงโทษและรักษาความปลอดภัยข้อมูลทางการเงินที่เป็นความลับของลูกค้า

คำสุดท้าย

ข้อมูลทางการเงินของลูกค้าจะต้องได้รับการปกป้องจากการโจมตีทางไซเบอร์ตลอดเวลา

การปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) สามารถช่วยบริษัทรักษาความปลอดภัยชุดข้อมูลทางการเงินที่ประมวลผล จัดเก็บ และส่งต่อ

ในยุคที่ความเสี่ยงทางไซเบอร์ ค่าปรับการปฏิบัติตามข้อกำหนด และบทลงโทษสูงมาก ทุกบริษัทที่อยู่ภายใต้ PCI ควรปฏิบัติตามข้อกำหนดของตนและปฏิบัติตาม PCI