คู่มือสำหรับการปฏิบัติตามข้อกำหนดของ PCI

มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูล ต่อไปนี้คือคำแนะนำทีละขั้นตอนเกี่ยวกับการรักษาความต่อเนื่องในการปฏิบัติตามมาตรฐานดังกล่าวและวิธีที่ Stripe จะช่วยเหลือคุณได้

บทนำ

ตั้งแต่ปี 2005 มีการนำข้อมูลผู้บริโภคกว่า 11,000 ล้านรายไปใช้โดยไม่ได้รับอนุญาตซึ่งเกิดจากการละเมิดข้อมูลกว่า 8,500 ครั้ง โดยข้อมูลเหล่านี้เป็นตัวเลขจาก Privacy Rights Clearinghouse ซึ่งเป็นองค์กรที่รายงานเกี่ยวกับการละเมิดข้อมูลและการละเมิดด้านความปลอดภัยที่ส่งผลกระทบต่อผู้บริโภคย้อนหลังไปถึงปี 2005

เพื่อเพิ่มความปลอดภัยของข้อมูลผู้บริโภคและความน่าเชื่อถือในระบบนิเวศการชำระเงิน จึงมีการสร้างมาตรฐานขั้นต่ำสำหรับความปลอดภัยของข้อมูลขึ้น โดย Visa, Mastercard, American Express, Discover และ JCB ได้จัดตั้งสภามาตรฐานความปลอดภัยในอุตสาหกรรมบัตรการชำระเงิน (PCI SSC) ขึ้นในปี 2006 เพื่อดูแลและจัดการมาตรฐานด้านความปลอดภัยสำหรับบริษัทที่จัดการข้อมูลบัตรเครดิต ก่อนที่จะมีการจัดตั้ง PCI SSC บริษัทบัตรเครดิตทั้ง 5 รายนี้ต่างมีโปรแกรมมาตรฐานความปลอดภัยของตนเอง ซึ่งแต่ละรายมีข้อกำหนดและเป้าหมายที่ใกล้เคียงกันพอประมาณ โดยได้รวมตัวกันผ่าน PCI SSC เพื่อดำเนินงานให้สอดคล้องกับนโยบายมาตรฐานเดียว นั่นคือมาตรฐานความปลอดภัยของข้อมูล PCI (หรือรู้จักกันในชื่อ PCI DSS) เพื่อให้มั่นใจว่ามีการป้องกันในระดับมาตรฐานสำหรับผู้บริโภคและธนาคารในยุคอินเทอร์เน็ต

การทำความเข้าใจ PCI DSS อาจมีความซับซ้อนและท้าทาย

หากโมเดลธุรกิจของคุณกำหนดให้ต้องจัดการข้อมูลบัตร คุณอาจจำเป็นต้องปฏิบัติตามการควบคุมด้านความปลอดภัยกว่า 300 ข้อที่ระบุไว้ใน PCI DSS ซึ่งมีเอกสารประกอบอย่างเป็นทางการกว่า 1,800 หน้าที่เผยแพร่โดยสภา PCI เกี่ยวกับ PCI DSS และมีเอกสารกว่า 300 หน้าเพียงเพื่อทำความเข้าใจว่าควรใช้แบบฟอร์มใดในการตรวจสอบการปฏิบัติตามข้อกำหนด ซึ่งอาจใช้เวลานานกว่า 72 ชั่วโมงเพียงเพื่ออ่านเอกสารเหล่านั้น

ต่อไปนี้คือคำแนะนำทีละขั้นตอนสำหรับการตรวจสอบและรักาาความต่อเนื่องของการปฏิบัติตามข้อกำหนดของ PCI เพื่อช่วยลดภาระในการอ่านเอกสารดังกล่าว

ภาพรวมของมาตรฐานความปลอดภัยของข้อมูล PCI (PCI DSS)

PCI DSS เป็นมาตรฐานความปลอดภัยระดับโลกสำหรับนิติบุคคลทั้งหมดที่จัดเก็บ ดำเนินการ หรือส่งต้อข้อมูลของเจ้าของบัตรและ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน โดย PCI DSS ได้กำหนดระดับการปกป้องพื้นฐานสำหรับผู้บริโภคและช่วยลดการฉ้อโกงและการละเมิดข้อมูลในระบบนิเวศการชำระเงินทั้งระบบ ซึ่งมาตรฐานนี้ใช้ได้กับทุกองค์กรที่ยอมรับหรือดำเนินการบัตรการชำระเงิน

การปฏิบัติตามข้อกำหนดของ PCI DSS เกี่ยวข้องกับสิ่งสำคัญ 3 ข้อดังนี้

  1. การจัดการการรับข้อมูลบัตรเครดิตจากลูกค้า กล่าวคือมีการรวบรวมและส่งข้อมูลบัตรที่ละเอียดอ่อนอย่างปลอดภัย
  2. การจัดเก็บข้อมูลอย่างปลอดภัย ซึ่งกำหนดไว้ในขอบเขตความปลอดภัยของมาตรฐาน PCI จำนวน 12 รายการ เช่น การเข้ารหัส การตรวจสอบอย่างต่อเนื่อง และการทดสอบความปลอดภัยในการเข้าถึงข้อมูลบัตร
  3. การตรวจสอบประจำปีว่ามีการควบคุมด้านความปลอดภัยที่กำหนดหรือไม่ ซึ่งอาจรวมถึงแบบฟอร์ม แบบสอบถาม บริการสแกนช่องโหว่จากหน่วยงานภายนอก และการตรวจสอบจากบุคคลที่ 3 (โปรดใช้คู่มือทีละขั้นตอนด้านล่างเพื่อดูตารางพร้อมระดับข้อกำหนดทั้ง 4)

การจัดการข้อมูลบัตร

โมเดลธุรกิจบางอย่างต้องมีการจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อนโดยตรงขณะยอมรับการชำระเงิน ขณะที่โมเดลธุรกิจอื่นๆ ไม่ได้กำหนด บริษัทที่จำเป็นต้องจัดการข้อมูลบัตร (เช่น การยอมรับ PAN ที่ไม่ได้แปลงเป็นโทเค็นในหน้าการชำระเงิน) อาจจำเป็นต้องปฏิบัติตามการควบคุมด้านความปลอดภัยมากกว่า 300 รายการที่ระบุไว้ในข้อกำหนด PCI DSS แม้ว่าข้อมูลบัตรจะผ่านเซิร์ฟเวอร์เพียงชั่วครู่ แต่บริษัทจำเป็นต้องซื้อ ใช้งาน และรักษาไว้ซึ่งซอฟต์แวร์และฮาร์ดแวร์ด้านความปลอดภัย

หากบริษัทไม่จำเป็นต้องจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อน ก็ไม่ควรดำเนินการในขั้นตอนนี้ โซลูชันจากบุคคลที่สาม (เช่น Stripe Elements) จะช่วยยอมรับและจัดเก็บข้อมูลอย่างปลอดภัย พร้อมขจัดความซับซ้อน ต้นทุน และความเสี่ยงจำนวนมาก เนื่องจากข้อมูลบัตรจะไม่ผ่านเซิร์ฟเวอร์เลย บริษัทจึงยืนยันการควบคุมด้านความปลอดภัยเพียง 22 รายการเท่านั้น ซึ่งส่วนใหญ่แล้วเป็นข้อกำหนดที่ตรงไปตรงมา เช่น การใช้รหัสผ่านที่คาดเดาได้ยาก

การจัดเก็บข้อมูลอย่างปลอดภัย

หากองค์กรจัดการหรือจัดเก็บข้อมูลบัตรเครดิต จำเป็นต้องกำหนดขอบเขตของระบบข้อมูลของเจ้าของบัตร (CDE) ซึ่ง PCI DSS จำกัดความว่า CDE เป็นบุคคล กระบวนการ และเทคโนโลยีที่จัดเก็บ ดำเนินการ หรือส่งต่อข้อมูลบัตรเครดิต หรือระบบใดๆ ที่เชื่อมต่อ เนื่องจากมีการใช้ข้อกำหนดด้านความปลอดภัยกว่า 300 รายการทั้งหมดใน PCI DSS กับ CDE ดังนั้นสิ่งสำคัญคือควรจะมีการแบ่งส่วนระบบการชำระเงินออกจากส่วนที่เหลือของธุรกิจอย่างเหมาะสมเพื่อจำกัดขอบเขตการตรวจสอบ PCI หากองค์กรไม่อาจรวมขอบเขต CDE กับการแยกส่วนแบบละเอียดได้ ก็ต้องนำการควบคุมความปลอดภัย PCI ไปใช้กับทุกระบบ แล็ปท็อป และอุปกรณ์ในเครือข่ายขององค์กร ซึ่งฟังดูยุ่งยากเหลือเกิน

การตรวจสอบประจำปี

ไม่ว่าจะมีวิธีการยอมรับข้อมูลบัตรอย่างไร องค์กรจำเป็นต้องกรอกแบบฟอร์มการตรวจสอบ PCI เป็นประจำทุกปี วิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI นั้นขึ้นอยู่กับปัจจัยหลายประการซึ่งระบุไว้ด้านล่าง ต่อไปนี้คือตัวอย่าง 3 สถานการณ์ที่อาจขอให้องค์กรแสดงให้เห็นว่าได้ปฏิบัติตามข้อกำหนดของ PCI

  • ผู้ประมวลผลการชำระเงินอาจขอให้แสดงถึงการปฏิบัติตามข้อกำหนดผ่านการรายงานที่กำหนดสำหรับแบรนด์บัตรการชำระเงิน
  • พาร์ทเนอร์ทางธุรกิจอาจขอให้แสดงถึงการปฏิบัติตามข้อกำหนดเป็นเงื่อนไขเบื้องต้นที่ต้องดำเนินการก่อนทำข้อตกลงทางธุรกิจ
  • สำหรับธุรกิจแพลตฟอร์ม (ผู้ที่มีเทคโนโลยีอำนวยความสะดวกในการทำธุรกรรมทางออนไลน์สำหรับกลุ่มผู้ใช้ที่แตกต่างกันหลายกลุ่ม) ลูกค้าอาจขอให้แสดงถึงการจัดการข้อมูลอย่างปลอดภัย

มาตรฐานด้านความปลอดภัยชุดล่าสุด PCI DSS เวอร์ชัน 3.2.1 ประกอบด้วยข้อกำหนดหลัก 12 ข้อพร้อมข้อกำหนดย่อย 300 ข้อที่สะท้อนให้เห็นถึงแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย

    สร้างและจัดการเครือข่ายและระบบที่ปลอดภัย

  1. ติดตั้งและใช้การกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลของเจ้าของบัตร
  2. อย่าใช้ค่าเริ่มต้นที่ผู้ให้บริการกำหนดกับรหัสผ่านของระบบและพารามิเตอร์ความปลอดภัยอื่นๆ
  3. ปกป้องข้อมูลของเจ้าของบัตร

  4. ปกป้องข้อมูลของเจ้าของบัตรที่จัดเก็บไว้
  5. เข้ารหัสเมื่อมีการส่งข้อมูลของเจ้าของบัตรผ่านเครือข่ายเปิดหรือสาธารณะ
  6. ดูแลโปรแกรมการจัดการช่องโหว่

  7. ปกป้องระบบทั้งหมดจากมัลแวร์และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจำ
  8. พัฒนาและรักษาระบบและแอปพลิเคชันที่ปลอดภัย
  9. ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด

  10. จำกัดการเข้าถึงข้อมูลของเจ้าของบัตรตามที่จำเป็นสำหรับธุรกิจเท่านั้น
  11. ระบุและตรวจสอบสิทธิ์การเข้าถึงองค์ประกอบของระบบ
  12. จำกัดการเข้าถึงข้อมูลของเจ้าของบัตรในทางกายภาพ
  13. ตรวจสอบและทดสอบเครือข่ายอยู่เป็นประจำ

  14. ติดตามและตรวจสอบการเข้าถึงทรัพยากรในเครือข่ายและข้อมูลของเจ้าของบัตรทั้งหมด
  15. ทดสอบระบบและขั้นตอนรักษาความปลอดภัยอยู่เป็นประจำ
  16. ดูแลนโยบายรักษาความปลอดภัยของข้อมูล

  17. ใช้นโยบายที่เน้นเรื่องการรักษาความปลอดภัยของข้อมูลสำหรับบุคลากรทุกคน

เพื่อให้ธุรกิจใหม่ๆ ตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ได้ "ง่ายขึ้น" ทางสภา PCI จึงได้สร้างแบบฟอร์มต่างๆ 9 แบบ หรือที่เรียกว่าแบบสอบถามเพื่อการประเมินตนเอง (SAQ) ซึ่งเป็นชุดย่อยของข้อกำหนด PCI DSS ทั้งหมด เคล็ดลับคือการทำความเข้าใจว่าแบบฟอร์มใดที่ใช้ได้ หรือพิจารณาความจำเป็นในการว่าจ้างผู้ตรวจสอบที่ได้รับการอนุมัติโดยสภา PCI เพื่อยืนยันว่ามีการปฏิบัติตามข้อกำหนดด้านความปลอดภัย PCI DSS แต่ละข้อ นอกจากนี้ สภา PCI ยังแก้ไขกฎต่างๆ ทุก 3 ปี และเผยแพร่กฎฉบับปรับปรุงเพิ่มเติมทั้งปี ซึ่งยิ่งเพิ่มความซับซ้อนขึ้นตามไปด้วย

คำแนะนำทีละขั้นตอนเพื่อการปฏิบัติตามข้อกำหนดของ PCI DSS v3.2.1

1. ทราบถึงข้อกำหนดของคุณ

ขั้นตอนแรกในการปฏิบัติตามข้อกำหนดของ PCI คือการทราบถึงข้อกำหนดต่างๆ ที่ใช้ในองค์กร ซึ่งการปฏิบัติตามข้อกำหนดของ PCI นั้นมีอยู่ด้วยกัน 4 ระดับ โดยทั่วไปแล้วจะขึ้นอยู่กับจำนวนธุรกรรมบัตรเครดิตที่ธุรกิจของคุณดำเนินการในช่วงเวลา 12 เดือน

ใช้กับ ข้อกำหนด
ระดับ 1
  1. องค์กรที่ดำเนินการทางธุรกรรมมากกว่า 6 ล้านรายการต่อปีผ่านบัตร Visa หรือ MasterCard หรือมากกว่า 2.5 ล้านรายการต่อปีผ่านบัตร American Express หรือ
  2. ประสบปัญหาการละเมิดข้อมูล หรือ
  3. สมาคมบัตรใดก็ตาม (Visa, Mastercard เป็นต้น) ถือว่าเป็น "ระดับ 1"
  1. รายงานประจำปีด้านการปฏิบัติตามข้อกำหนด (ROC) หรือรู้จักกันในชื่อการประเมินในบริษัทระดับ 1 โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) หรือผู้ตรวจสอบภายในหากลงนามโดยเจ้าหน้าที่ของบริษัท
  2. การสแกนเครือข่ายประจำไตรมาสโดยผู้ให้บริการสแกนที่ได้รับการอนุมัติ (ASV)
  3. การรับรองการปฏิบัติตามข้อกำหนด (AOC) สำหรับการประเมินในบริษัท โดยจะมีแบบฟอร์มเฉพาะสำหรับผู้ค้าและผู้ให้บริการ
ระดับ 2 องค์กรที่ดำเนินการทางธุรกรรมระหว่าง 1-6 ล้านรายการต่อปี
  1. แบบสอบถามเพื่อประเมินตนเองเกี่ยวกับข้อกำหนดของ PCI DSS ประจำปี (SAQ) โดยมี SAQ อยู่ 9 ประเภทซึ่งแสดงโดยสรุปในตารางด้านล่าง
  2. การสแกนเครือข่ายประจำไตรมาสโดยผู้ให้บริการสแกนที่ได้รับการอนุมัติ (ASV)
  3. การรับรองการปฏิบัติตามข้อกำหนด (AOC) ซึ่ง SAQ ทั้ง 9 ฉบับมีแบบฟอร์ม AOC โดยเฉพาะ
ระดับ 3
  1. องค์กรที่ดำเนินการทางธุรกรรมทางออนไลน์ระหว่าง 20,000-1 ล้านรายการต่อปี
  2. องค์กรที่ดำเนินการทางธุรกรรมรวมทั้งหมดต่ำกว่า 1 ล้านรายการต่อปี
ระดับ 4
  1. องค์กรที่ดำเนินการทางธุรกรรมทางออนไลน์ต่ำกว่า 20,000 รายการต่อปี หรือ
  2. องค์กรที่ดำเนินการทางธุรกรรมรวมทั้งหมดสูงถึง 1 ล้านรายการต่อปี

สำหรับระดับ 2-4 มี SAQ ประเภทที่แตกต่างกันขึ้นอยู่กับวิธีผสานการทำงานการชำระเงินของคุณ ต่อไปนี้คือตารางสรุปสั้นๆ

SAQ คำอธิบาย
A

ผู้ค้าที่ไม่ต้องแสดงบัตรจริง (อีคอมเมิร์ซหรือคำสั่งซื้อทางอีเมล/โทรศัพท์) ที่ใช้บริการฟังก์ชันข้อมูลเจ้าของบัตรทั้งหมดจากบุคคลที่สามที่ปฏิบัติตามข้อกำหนดของ PCI DSS โดยไม่มีการจัดเก็บข้อมูลทางอิเล็กทรอนิกส์ ดำเนินการ หรือส่งต่อข้อมูลของเจ้าของบัตรรายใดผ่านระบบหรือสถานที่ให้บริการของผู้ค้า

ใช้กับช่องทางการชำระเงินที่จุดขายไม่ได้

A-EP

ผู้ค้าอีคอมเมิร์ซที่ใช้บริการประมวลผลการชำระเงินทั้งหมดจากบุคคลที่สามที่ผ่านการตรวจสอบตามข้อกำหนดของ PCI DSS และผู้ที่มีเว็บไซต์ที่ไม่ได้รับข้อมูลของเจ้าของบัตรโดยตรงแต่อาจส่งผลกระทบต่อความปลอดภัยของธุรกรรมการชำระเงิน โดยไม่มีการจัดเก็บทางอิเล็กทรอนิกส์ ดำเนินการ หรือส่งต่อข้อมูลของเจ้าของบัตรรายใดผ่านระบบหรือสถานที่ของผู้ค้า

ใช้ได้กับช่องทางอีคอมเมิร์ซเท่านั้น

B

ผู้ค้าที่ใช้เฉพาะ

  • เครื่องพิมพ์ที่ไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์ และ/หรือ
  • เทอร์มินัลแบบสแตนด์อโลนที่เชื่อมต่อกับสายโทรศัพท์และไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ใช้กับช่องทางอีคอมเมิร์ซไม่ได้

B-IP

ผู้ค้าที่ใช้เทอร์มินัลการชำระเงินแบบสแตนด์โลนที่ได้รับการอนุมัติจาก PTS พร้อมการเชื่อมต่อ IP ไปยังผู้ประมวลผลการชำระเงินโดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ใช้กับช่องทางอีคอมเมิร์ซไม่ได้

C-VT

ผู้ค้าที่ป้อนธุรกรรมแต่ละรายการเองผ่านคีย์บอร์ดในโซลูชันเทอร์มินัลการชำระเงินเสมือนจริงที่ใช้อินเทอร์เน็ต ซึ่งโซลูชันดังกล่าวให้บริการและอยู่ในระบบของผู้ให้บริการบุคคลที่สามที่ผ่านการตรวจสอบตามข้อกำหนดของ PCI DSS โดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ใช้กับช่องทางอีคอมเมิร์ซไม่ได้

C

ผู้ค้าที่มีระบบแอปพลิเคชันการชำระเงินเชื่อมต่อกับอินเทอร์เน็ต ไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ใช้กับช่องทางอีคอมเมิร์ซไม่ได้

P2PE

ผู้ค้าใช้เฉพาะเทอร์มินัลการชำระเงินแบบฮาร์ดแวร์ที่รวมอยู่หรือที่จัดการผ่านโซลูชันการเข้ารหัสแบบจุดต่อจุด (P2PE) ที่ระบุใน PCI SSC และได้รับการตรวจสอบแล้ว โดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ใช้กับผู้ค้าอีคอมเมิร์ซไม่ได้

D

SAQ D สำหรับผู้ค้า: ผู้ค้าทั้งหมดไม่รวมอยู่ในคำอธิบายสำหรับประเภท SAQ ข้างต้น

SAQ D สำหรับผู้ให้บริการ: ผู้ให้บริการทั้งหมดที่แบรนด์การชำระเงินระบุว่ามีสิทธิ์ทำ SAQ ได้

โปรดดูแผนผังในหน้า 18 ของเอกสาร PCI นี้เพื่อช่วยในการเลือกเอกสาร SAQ และเอกสารยืนยันให้เหมาะสมกับองค์กรของคุณที่สุด

ข้อกำหนดของ PCI DSS จะเปลี่ยนแปลงเมื่อเวลาผ่านไป ดังนั้นหนึ่งในวิธีที่ดีที่สุดในการรับข้อมูลอัปเดตเกี่ยวกับข้อกำหนดการรับรองใหม่หรือข้อกำหนดการรับรองที่เปลี่ยนแปลงรวมถึงวิธีปฏิบัติตามคือการเป็นองค์กรที่เข้าร่วม PCI (PO)

2. จัดทำแผนกระแสข้อมูลของคุณ

ก่อนที่จะปกป้องข้อมูลบัตรเครดิตที่ละเอียดอ่อนได้นั้น คุณจำเป็นต้องทราบก่อนว่าข้อมูลอยู่ที่ใดและส่งไปที่นั่นได้อย่างไร ซึ่งคุณจะต้องสร้างแผนผังที่ครอบคลุมของระบบ การเชื่อมต่อเครือข่าย และแอปพลิเคชันต่างๆ ที่โต้ตอบกับข้อมูลบัตรเครดิตทั่วทั้งองค์กร และอาจจะต้องทำงานร่วมกับทีม IT และทีมรักษาความปลอดภัยเพื่อดำเนินการดังกล่าว ทั้งนี้ขึ้นอยู่กับบทบาทของคุณ

*อันดับแรก ให้ระบุจุดให้บริการผู้บริโภคทุกจุดของธุรกิจ ซึ่งรวมถึงธุรกรรมการชำระเงิน ตัวอย่างเช่น คุณอาจยอมรับการชำระเงินผ่านรถเข็นซื้อของออนไลน์ จุดชำระเงินในร้านค้า หรือคำสั่งซื้อที่สั่งผ่านโทรศัพท์ *ถัดไปคือระบุวิธีต่างๆ ที่ธุรกิจใช้จัดการกับข้อมูลของเจ้าของบัตร สิ่งสำคัญคือควรทราบแน่ชัดว่าข้อมูลจัดเก็บไว้ที่ใดและใครเข้าถึงได้บ้าง *จากนั้นระบุระบบภายในหรือเทคโนโลยีพื้นฐานที่เกี่ยวข้องกับธุรกรรมการชำระเงิน ซึ่งรวมถึงระบบเครือข่าย ศูนย์ข้อมูล และระบบคลาวด์

3. ตรวจสอบการควบคุมความปลอดภัยและโปรโตคอล

เมื่อกำหนดช่องทางการติดต่อลูกค้าที่อาจเป็นไปได้ทั้งหมดเกี่ยวกับข้อมูลบัตรเครดิตในองค์กรของคุณแล้ว ให้ทำงานร่วมกับทีม IT และทีมรักษาความปลอดภัยเพื่อตรวจสอบให้มั่นใจว่ามีการใช้การกำหนดค่าและโปรโตคอลความปลอดภัยที่ถูกต้อง (ดูรายการข้อกำหนดความปลอดภัย 12 ข้อสำหรับ PCI DSS ด้านบน) ซึ่งโปรโตคอลเหล่านี้ออกแบบมาเพื่อช่วยรักษาการส่งข้อมูลให้ปลอดภัย เช่น Transport Layer Security (TLS)

ข้อกำหนดความปลอดภัย 12 ข้อสำหรับ PCI DSS v3.2.1 มาจากแนวทางปฏิบัติที่ดีที่สุดเพื่อการปกป้องข้อมูลที่ละเอียดอ่อนสำหรับธุรกิจทุกประเภท มีหลายๆ ข้อที่คาบเกี่ยวกับข้อกำหนด GDPR, HIPAA และความเป็นส่วนตัวอื่นๆ ที่ต้องปฏิบัติตาม ดังนั้นบางข้ออาจมีอยู่แล้วในองค์กรของคุณ

4. การตรวจสอบและรักษาความต่อเนื่อง

สิ่งสำคัญที่ควรทราบคือการปฏิบัติตามข้อกำหนดของ PCI นั้นไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว หากแต่เป็นขั้นตอนต่อเนื่องเพื่อทำให้มั่นใจว่าธุรกิจของคุณจะยังคงเป็นไปตามข้อกำหนดแม้ว่ากระแสข้อมูลและจุดบริการลูกค้าจะเปลี่ยนแปลงไป บัตรเครดิตบางแบรนด์อาจกำหนดให้คุณส่งรายงานประจำไตรมาสหรือประจำปี หรือดำเนินการประเมินประจำปีในบริษัทเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดที่ต่อเนื่อง โดยเฉพาะอย่างยิ่งหากคุณดำเนินการธุรกรรมมากกว่า 6 ล้านรายการต่อปี

การจัดการการปฏิบัติตามข้อกำหนดของ PCI ตลอดทั้งปี (และอีกหลายๆ ปี) นั้นมักต้องใช้การสนับสนุนและความร่วมมือแบบข้ามแผนก หากยังไม่มีความร่วมมือดังกล่าว การสร้างทีมงานเฉพาะทางเป็นการภายในเพื่อดูแลเรื่องการปฏิบัติตามข้อกำหนดอย่างถูกต้องอาจเป็นวิธีการดำเนินงานที่คุ้มค่า แม้ว่าบริษัทต่างๆ จะมีเอกลักษณ์เป็นของตนเอง แต่จุดเริ่มต้นที่ดีสำหรับ "ทีมงาน PCI" จะประกอบด้วยตัวแทนจากฝ่ายต่างๆ ดังนี้

  • ความปลอดภัย: ประธานเจ้าหน้าที่บริหารฝ่ายความปลอดภัย (CSO) ประธานเจ้าหน้าที่บริหารฝ่ายความปลอดภัยของข้อมูล (CISO) และทีมงานที่ตรวจสอบว่าองค์กรได้ลงทุนอย่างเหมาะสมในการรักษาความปลอดภัยของข้อมูลที่จำเป็นรวมถึงทรัพยากรและนโยบายความเป็นส่วนตัว
  • เทคโนโลยี/การชำระเงิน: ประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยี (CTO) รองประธานกรรมการฝ่ายการชำระเงิน และทีมงานทำให้มั่นใจว่าเครื่องมือ การผสานการทำงาน และโครงสร้างพื้นฐานหลักๆ ยังคงเป็นไปตามข้อกำหนดขณะที่ระบบขององค์กรพัฒนาขึ้น
  • การเงิน: หากเป็นเรื่องของระบบการชำระเงินและพาร์ทเนอร์ ประธานเจ้าหน้าที่บริหารฝ่ายการเงิน (CFO) และทีมงานจะต้องยืนยันว่ามีการพิจารณาถึงกระแสข้อมูลการชำระเงินทั้งหมด
  • กฎหมาย: ทีมนี้จะช่วยอธิบายรายละเอียดความแตกต่างด้านกฎหมายเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI ที่ซับซ้อนขึ้น โปรดไปที่เว็บไซต์สภามาตรฐานความปลอดภัย PCI หากคุณได้อ่านเพียงคู่มือนี้ และเอกสาร PCI อื่นๆ อีกเล็กน้อย เราแนะนำให้เริ่มต้นด้วยการอ่านแนวทางที่สำคัญ สำหรับ PCI DSS SAQ instructions and guidelines คำถามที่พบบ่อยเกี่ยวกับการใช้เกณฑ์คุณสมบัติ SAQ ในการกำหนดข้อกำหนดการประเมินในบริษัท และคำถามที่พบบ่อยเกี่ยวกับภาระหน้าที่สำหรับผู้ค้าที่พัฒนาแอปสำหรับอุปกรณ์ของผู้บริโภคที่ยอมรับข้อมูลบัตรการชำระเงิน

วิธีที่ Stripe ช่วยเหลือองค์กรให้บรรลุและรักษาการปฏิบัติตามข้อกำหนดของ PCI อย่างต่อเนื่อง

Stripe ช่วยลดความยุ่งยากเรื่องภาระด้านการปฏิบัติตามข้อกำหนดของ PCI ได้อย่างมากสำหรับบริษัทต่างๆ ที่ผสานการทำงานกับ Checkout, Elements, SDK สำหรับอุปกรณ์เคลื่อนที่ และ Terminal SDK โดย Stripe Checkout และ Stripe Elements ใช้ช่องการชำระเงินในระบบของเราเพื่อจัดการข้อมูลบัตรการชำระเงินทั้งหมด เพื่อให้เจ้าของบัตรป้อนข้อมูลการชำระเงินที่ละเอียดอ่อนทั้งหมดในช่องการชำระเงินที่สร้างจากเซิร์ฟเวอร์ที่ผ่านการตรวจสอบ PCI DSS โดยตรง นอกจากนี้ Stripe บนอุปกรณ์เคลื่อนที่และ Terminal SDK ยังเปิดให้เจ้าของบัตรส่งข้อมูลการชำระเงินที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่ผ่านการตรวจสอบ PCI DSS โดยตรงได้อีกด้วย

เราจะแสดงแบบฟอร์ม PCI (SAQ) ในแดชบอร์ด Stripe โดยใช้วิธีการยอมรับบัตรที่ปลอดภัยมากขึ้น เพื่อทำให้การตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ทำได้ง่ายดายเพียงคลิกปุ่มเดียว วิธีนี้จะช่วยประหยัดเวลาได้หลายร้อยชั่วโมงสำหรับองค์กรขนาดเล็ก และประหยัดเวลาได้นับพันชั่วโมงสำหรับองค์กรขนาดใหญ่

Stripe จะทำหน้าที่เป็นผู้สนับสนุนด้านการปฏิบัติตามข้อกำหนดของ PCI ให้กับผู้ใช้ทั้งหมดของเรา และช่วยเหลือคุณได้หลายวิธี ไม่ว่าคุณจะใช้การผสานการทำงานประเภทใดก็ตาม

  • เราจะวิเคราะห์วิธีการผสานการทำงานและแนะนำว่าคุณควรใช้แบบฟอร์มการปฏิบัติตามข้อกำหนดของ PCI แบบไหนรวมถึงวิธีลดภาระด้านการปฏิบัติตามข้อกำหนด
  • เราจะแจ้งให้คุณทราบล่วงหน้าหากต้องเปลี่ยนแปลงวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดจำนวนธุรกรรมที่เพิ่มขึ้น
  • สำหรับผู้ค้ารายใหญ่ (ระดับ 1) เรามีชุด PCI ที่จะช่วยลดเวลาการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI จากหลายเดือนให้เหลือแค่ไม่กี่วัน และหากต้องการใช้ PCI QSA (เพราะคุณจัดเก็บข้อมูลบัตรเครดิตไว้หรือมีขั้นตอนการชำระเงินที่ซับซ้อนมากขึ้น) เรามีบริษัท QSA ดังกล่าวกว่า 350 แห่งทั่วโลกและสามารถเชื่อมโยงคุณเข้ากับผู้ตรวจสอบหลายรายที่เข้าใจวิธีการผสานการทำงาน Stripe ต่างๆ
ระดับผู้ค้าของ Visa เวลาตรวจสอบโดยเฉลี่ย (การประมาณรายปี) เวลาตรวจสอบโดยเฉลี่ยด้วย Stripe Elements, Checkout หรือ SDK สำหรับอุปกรณ์เคลื่อนที่ (การประมาณรายปี)
ระดับ 1 3-5 เดือน 2-5 วัน
ระดับ 2 1-3 เดือน 0 วัน
ระดับ 3 1-3 เดือน 0 วัน
ระดับ 4 1-3 เดือน 0 วัน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Stripe ช่วยคุณปกป้องข้อมูลของลูกค้าและปฏิบัติตามข้อกำหนดของ PCI โปรดอ่าน Stripe Docs เกี่ยวกับความปลอดภัยในการผสานการทำงาน

สรุป

การประเมินและการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI โดยปกติแล้วจะมีขึ้นปีละครั้ง แต่การปฏิบัติตามข้อกำหนดของ PCI นั้นไม่ใช่การดำเนินงานเพียงครั้งเดียว หากแต่เป็นความพยายามที่สำคัญและต่อเนื่องในการประเมินและแก้ไข ขณะที่บริษัทเติบโตขึ้น ตรรกะและกระบวนการทางธุรกิจที่สำคัญๆ ย่อมเติบโตขึ้นด้วย ซึ่งหมายความว่าข้อกำหนดในการปฏิบัติตามนั้นจะพัฒนาไปเช่นกัน ตัวอย่างเช่น ธุรกิจออนไลน์อาจตัดสินใจเปิดหน้าร้าน เข้าสู่ตลาดใหม่ๆ หรือเปิดตัวศูนย์สนับสนุนลูกค้า หากสิ่งใหม่ๆ นั้นเกี่ยวข้องกับข้อมูลบัตรการชำระเงิน เราแนะนำให้ตรวจสอบอย่างเข้มงวดว่าการดำเนินการดังกล่าวส่งผลกระทบต่อวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ของคุณหรือไม่ และตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI อีกครั้งหากจำเป็น

การปฏิบัติตามข้อกำหนดของ PCI ช่วยได้ แต่ยังไม่เพียงพอ

การปฏิบัติตามแนวทาง PCI DSS นั้นเป็นการป้องกันอีกหนึ่งชั้นที่จำเป็นสำหรับธุรกิจของคุณ แต่ยังไม่เพียงพอ PCI DSS กำหนดมาตรฐานที่สำคัญสำหรับการจัดการและจัดเก็บข้อมูลของเจ้าของบัตร แต่ตัวมาตรฐานเองไม่ได้ให้การป้องกันที่เพียงพอสำหรับทุกระบบการชำระเงิน ดังนั้นการเปลี่ยนไปใช้วิธีการยอมรับบัตรที่ปลอดภัยกว่า (เช่น Stripe Checkout, Elements และ SDK สำหรับอุปกรณ์เคลื่อนที่) จึงเป็นวิธีที่มีประสิทธิภาพมากกว่าในการปกป้ององค์กรของคุณ ข้อดีในระยะยาวของวิธีนี้คือ คุณไม่จำเป็นต้องพึ่งพามาตรฐานพื้นฐานของอุตสาหกรรมหรือกังวลว่าอาจเกิดความล้มเหลวด้านการควบคุมความปลอดภัย ซึ่งวิธีนี้จะช่วยให้ธุรกิจที่มีความคล่องตัวลดการละเมิดข้อมูลที่อาจเกิดขึ้นได้ และหลีกเลี่ยงวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ในอดีตที่สร้างความตึงเครียด เสียเวลา และมีค่าใช้จ่ายสูง อีกทั้งยังมีวิธีการผสานการทำงานที่ปลอดภัยกว่าและน่าเชื่อถืออยู่เสมอ

กลับไปที่คู่มือ
You’re viewing our website for India, but it looks like you’re in the United States.