คู่มือสำหรับการปฏิบัติตามข้อกำหนดของ PCI

มาตรฐานการรักษาความปลอดภัยข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูล ต่อไปนี้คือคำแนะนำแบบอธิบายทีละขั้นตอนเกี่ยวกับการรักษาความต่อเนื่องในการปฏิบัติตามมาตรฐานดังกล่าวและวิธีที่ Stripe จะช่วยเหลือคุณได้

Payments
Payments

Accept payments online, in person, and around the world with a payments solution built for any business—from scaling startups to global enterprises.

Learn more 
  1. บทแนะนำ
  2. ภาพรวมมาตรฐานความปลอดภัยของข้อมูล PCI (PCI DSS)
    1. การจัดการข้อมูลบัตร
    2. การจัดเก็บข้อมูลอย่างปลอดภัย
    3. การตรวจสอบประจำปี
  3. คำแนะนำแบบอธิบายทีละขั้นตอนเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS
    1. 1. ทราบถึงข้อกำหนดของคุณ
    2. 2. จัดทำแผนกระแสข้อมูลของคุณ
    3. 3. ตรวจสอบการควบคุมความปลอดภัยและโปรโตคอล
    4. 4. การเฝ้าสังเกตและรักษาความต่อเนื่อง
  4. วิธีที่ Stripe ช่วยเหลือองค์กรให้บรรลุและรักษาการปฏิบัติตามข้อกำหนดของ PCI อย่างต่อเนื่อง
  5. สรุป
    1. การปฏิบัติตามข้อกำหนดของ PCI ช่วยได้ แต่ยังไม่เพียงพอ

PCI DSS เวอร์ชัน 4.0 จะมีผลบังคับใช้ในวันที่ 31 มีนาคม 2024

ตั้งแต่ปี 2005 มีการนำข้อมูลผู้บริโภคกว่า 11,000 ล้านรายไปใช้โดยไม่ได้รับอนุญาตซึ่งเกิดจากการละเมิดข้อมูลกว่า 8,500 ครั้ง สถิติเหล่านี้เป็นข้อมูลล่าสุดจาก Privacy Rights Clearinghouse ซึ่งเป็นองค์กรที่รายงานเกี่ยวกับการละเมิดข้อมูลและการละเมิดด้านความปลอดภัยที่ส่งผลกระทบต่อผู้บริโภคย้อนหลังไปถึงปี 2005

เพื่อเพิ่มความปลอดภัยของข้อมูลผู้บริโภคและความน่าเชื่อถือในระบบนิเวศการชำระเงิน จึงมีการสร้างมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูลขึ้น โดย Visa, Mastercard, American Express, Discover และ JCB ได้จัดตั้งสภามาตรฐานความปลอดภัยในอุตสาหกรรมบัตรการชำระเงิน (PCI SSC) ขึ้นในปี 2006 เพื่อดูแลและจัดการมาตรฐานด้านการรักษาความปลอดภัยสำหรับบริษัทที่จัดการข้อมูลบัตรเครดิต ก่อนที่จะมีการจัดตั้ง PCI SSC บริษัทบัตรเครดิตทั้ง 5 รายนี้ต่างมีโปรแกรมมาตรฐานความปลอดภัยของตนเอง ซึ่งแต่ละรายมีข้อกำหนดและเป้าหมายที่ใกล้เคียงกันพอประมาณ โดยได้รวมตัวกันผ่าน PCI SSC เพื่อดำเนินงานให้สอดคล้องกับนโยบายมาตรฐานเดียว นั่นคือมาตรฐานความปลอดภัยของข้อมูล PCI (หรือรู้จักกันในชื่อ PCI DSS) เพื่อให้มั่นใจว่ามีการป้องกันในระดับมาตรฐานสำหรับผู้บริโภคและธนาคารในยุคอินเทอร์เน็ต

การทำความเข้าใจ PCI DSS อาจมีความซับซ้อนและท้าทาย

หากโมเดลธุรกิจของคุณกำหนดให้ต้องจัดการข้อมูลบัตร คุณอาจจำเป็นต้องปฏิบัติตามการควบคุมด้านความปลอดภัยกว่า 300 ข้อที่ระบุไว้ใน PCI DSS ซึ่งมีเอกสารประกอบอย่างเป็นทางการที่มีมากกว่า 1,800 หน้าที่เผยแพร่โดยสภา PCI เกี่ยวกับ PCI DSS และมากกว่า 300 หน้าในเอกสารดังกล่าวอธิบายเพียงเพื่อให้เข้าใจว่าควรใช้แบบฟอร์มใดในการตรวจสอบการปฏิบัติตามข้อกำหนด ซึ่งอาจใช้เวลานานกว่า 72 ชั่วโมงเพียงเพื่ออ่านเอกสารเหล่านั้น

ต่อไปนี้คือคำแนะนำแบบอธิบายทีละขั้นตอนสำหรับการตรวจสอบและรักษาความต่อเนื่องของการปฏิบัติตามข้อกำหนดของ PCI เพื่อช่วยลดภาระในการอ่านเอกสารดังกล่าว

ภาพรวมมาตรฐานความปลอดภัยของข้อมูล PCI (PCI DSS)

PCI DSS เป็นมาตรฐานความปลอดภัยระดับโลกสำหรับนิติบุคคลทุกรายที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลของเจ้าของบัตรและ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน โดย PCI DSS ได้กำหนดระดับการปกป้องพื้นฐานสำหรับผู้บริโภคและช่วยลดการฉ้อโกงรวมถึงการละเมิดข้อมูลในทั่วทั้งระบบนิเวศการชำระเงิน ซึ่งมาตรฐานนี้ใช้ได้กับทุกองค์กรที่ยอมรับหรือดำเนินการกับบัตรการชำระเงิน

การปฏิบัติตามข้อกำหนดของ PCI DSS เกี่ยวข้องกับองค์ประกอบสำคัญ 3 ข้อดังนี้

  1. การจัดการการรับข้อมูลบัตรเครดิตจากลูกค้า กล่าวคือมีการเก็บรวบรวมและส่งรายละเอียดของบัตรที่ละเอียดอ่อนอย่างปลอดภัย
  2. การจัดเก็บข้อมูลอย่างปลอดภัย ซึ่งกำหนดไว้ในขอบเขตความปลอดภัยของมาตรฐาน PCI จำนวน 12 รายการ เช่น การเข้ารหัส การเฝ้าสังเกตอย่างต่อเนื่อง และการทดสอบความปลอดภัยในการเข้าถึงข้อมูลบัตร
  3. การตรวจสอบประจำปีว่ามีการควบคุมด้านความปลอดภัยที่กำหนดหรือไม่ ซึ่งอาจรวมถึงแบบฟอร์ม แบบสอบถาม บริการตรวจหาช่องโหว่จากหน่วยงานภายนอก และการตรวจสอบบัญชีจากบริษัทอื่น (โปรดดูคำแนะนำแบบอธิบายทีละขั้นตอนด้านล่าง หากต้องการดูตารางพร้อมข้อกำหนดทั้ง 4 ระดับ)

การจัดการข้อมูลบัตร

โมเดลธุรกิจบางรูปแบบต้องมีการจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อนโดยตรงขณะรับชำระเงิน ขณะที่โมเดลธุรกิจอื่นๆ ไม่จำเป็นต้องมีการจัดการ บริษัทที่จำเป็นต้องจัดการข้อมูลบัตร (เช่น การยอมรับ PAN ที่ไม่ได้แปลงเป็นโทเค็นในหน้าการชำระเงิน) อาจจำเป็นต้องปฏิบัติตามการควบคุมด้านความปลอดภัยมากกว่า 300 รายการที่ระบุไว้ใน PCI DSS แม้ว่าข้อมูลบัตรจะผ่านเซิร์ฟเวอร์เพียงชั่วครู่ แต่บริษัทจำเป็นต้องซื้อ ใช้งาน และรักษาไว้ซึ่งซอฟต์แวร์และฮาร์ดแวร์ด้านการรักษาความปลอดภัย

หากบริษัทไม่จำเป็นต้องจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อน ก็ไม่ควรดำเนินการในขั้นตอนนี้ โซลูชันจากบริษัทอื่น (เช่น Stripe Elements) จะช่วยรับและจัดเก็บข้อมูลอย่างปลอดภัย พร้อมขจัดความซับซ้อน ต้นทุน และความเสี่ยงจำนวนมาก เนื่องจากข้อมูลบัตรจะไม่ผ่านเซิร์ฟเวอร์เลย บริษัทจึงต้องยืนยันการควบคุมด้านความปลอดภัยเพียงไม่กี่รายการเท่านั้น ซึ่งส่วนใหญ่แล้วเป็นข้อกำหนดที่ไม่ซับซ้อน เช่น การใช้รหัสผ่านที่คาดเดาได้ยาก

การจัดเก็บข้อมูลอย่างปลอดภัย

หากองค์กรจัดการหรือจัดเก็บข้อมูลบัตรเครดิต จำเป็นต้องกำหนดขอบเขตของระบบข้อมูลของเจ้าของบัตร (CDE) ซึ่ง PCI DSS จำกัดความว่า CDE เป็นบุคคล กระบวนการ และเทคโนโลยีที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลบัตรเครดิต หรือระบบใดๆ ที่เกี่ยวข้องกับที่ระบุไว้ข้างต้น เนื่องจากมีการใช้ข้อกำหนดด้านความปลอดภัยทั้งหมดกว่า 300 รายการใน PCI DSS กับ CDE ดังนั้นจึงควรจะมีการแบ่งส่วนระบบการชำระเงินออกจากส่วนที่เหลือของธุรกิจอย่างเหมาะสมเพื่อจำกัดขอบเขตการตรวจสอบ PCI หากองค์กรไม่อาจรวมขอบเขต CDE กับการแยกส่วนแบบละเอียดได้ ก็ต้องนำการควบคุมความปลอดภัย PCI ไปใช้กับทุกระบบ แล็ปท็อปทุกเครื่อง และอุปกรณ์ทุกชิ้นในเครือข่ายขององค์กร ซึ่งฟังดูยุ่งยากเหลือเกิน

การตรวจสอบประจำปี

ไม่ว่าจะมีวิธีการยอมรับข้อมูลบัตรอย่างไร องค์กรจำเป็นต้องกรอกแบบฟอร์มการตรวจสอบ PCI เป็นประจำทุกปี วิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI นั้นขึ้นอยู่กับปัจจัยหลายประการซึ่งระบุไว้แล้วด้านล่างนี้ ต่อไปนี้คือตัวอย่าง 3 สถานการณ์ที่อาจมีการขอให้องค์กรแสดงให้เห็นว่าได้ปฏิบัติตามข้อกำหนดของ PCI

  • ผู้ประมวลผลการชำระเงินอาจขอให้แสดงถึงการปฏิบัติตามข้อกำหนดผ่านการรายงานที่กำหนดสำหรับแบรนด์บัตรชำระเงิน
  • พาร์ทเนอร์ทางธุรกิจอาจขอให้แสดงถึงการปฏิบัติตามข้อกำหนดโดยเป็นเงื่อนไขเบื้องต้นที่ต้องดำเนินการก่อนทำข้อตกลงทางธุรกิจ
  • สำหรับธุรกิจแพลตฟอร์ม (ผู้ที่มีเทคโนโลยีอำนวยความสะดวกในการทำธุรกรรมทางออนไลน์สำหรับกลุ่มผู้ใช้ที่แตกต่างกันหลายกลุ่ม) ลูกค้าอาจขอให้แสดงถึงการจัดการข้อมูลอย่างปลอดภัย

มาตรฐานด้านความปลอดภัยของ PCI DSS ประกอบด้วยข้อกำหนดหลัก 12 ข้อพร้อมข้อกำหนดย่อยมากกว่า 300 ข้อที่สะท้อนให้เห็นถึงแนวทางปฏิบัติชั้นนำด้านการรักษาความปลอดภัย

สร้างและดูแลจัดการเครือข่ายและระบบที่ปลอดภัย

  • 1. ติดตั้งและคอยดูแลจัดการการควบคุมความปลอดภัยของเครือข่าย
  • 2. นำการกำหนดค่าที่ปลอดภัยไปใช้กับองค์ประกอบทั้งหมดของระบบ

ปกป้องข้อมูลของบัญชี

  • 3. ปกป้องข้อมูลของเจ้าของบัตรที่จัดเก็บไว้
  • 4. ปกป้องข้อมูลของเจ้าของบัตรด้วยเทคโนโลยีเข้ารหัสที่มีประสิทธิภาพในระหว่างการส่งข้อมูลบนเครือข่ายสาธารณะแบบเปิด

ดูแลจัดการโปรแกรมการจัดการช่องโหว่

  • 5. ปกป้องระบบและเครือข่ายทั้งหมดจากซอฟต์แวร์ที่ประสงค์ร้าย
  • 6. พัฒนารวมถึงคอยดูแลจัดการระบบและซอฟต์แวร์ที่ปลอดภัย

ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด

  • 7. จำกัดการเข้าถึงองค์ประกอบของระบบและข้อมูลของเจ้าของบัตรตามความจำเป็นทางด้านธุรกิจ
  • 8. ระบุตัวตนผู้ใช้และตรวจสอบสิทธิ์การเข้าถึงองค์ประกอบของระบบ
  • 9. จำกัดการเข้าถึงข้อมูลของเจ้าของบัตรในทางกายภาพ

เฝ้าสังเกตและทดสอบเครือข่ายเป็นประจำ

  • 10. บันทึกรวมถึงเฝ้าสังเกตการเข้าถึงองค์ประกอบของระบบและข้อมูลของเจ้าของบัตรทุกครั้ง
  • 11. ทดสอบความปลอดภัยของระบบและเครือข่ายเป็นประจำ

ดูแลนโยบายรักษาความปลอดภัยของข้อมูลอยู่เสมอ

  • 12. เสริมความปลอดภัยของข้อมูลด้วยนโยบายและขั้นตอนด้านการจัดการ

เพื่อให้ธุรกิจใหม่ๆ สามารถตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ได้ "ง่ายขึ้น" ทางสภา PCI จึงได้จัดทำแบบฟอร์มต่างๆ ขึ้นมาถึง 9 แบบหรือที่เรียกว่าแบบสอบถามเพื่อการประเมินตนเอง (SAQ) ซึ่งเป็นชุดย่อยของข้อกำหนด PCI DSS ทั้งหมด เคล็ดลับคือการทำความเข้าใจว่าแบบฟอร์มใดที่ใช้ได้ หรือพิจารณาความจำเป็นในการว่าจ้างผู้ตรวจสอบที่ได้รับการอนุมัติโดยสภา PCI เพื่อยืนยันว่ามีการปฏิบัติตามข้อกำหนดด้านความปลอดภัย PCI DSS แต่ละข้อ นอกจากนี้ สภา PCI ยังแก้ไขกฎต่างๆ ทุก 3 ปี และเผยแพร่กฎฉบับปรับปรุงเพิ่มเติมตลอดทั้งปี ซึ่งยิ่งเพิ่มความซับซ้อนขึ้นตามไปด้วย

คำแนะนำแบบอธิบายทีละขั้นตอนเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS

1. ทราบถึงข้อกำหนดของคุณ

ขั้นตอนแรกในการปฏิบัติตามข้อกำหนดของ PCI คือการทราบถึงข้อกำหนดต่างๆ ที่ใช้ในองค์กร ซึ่งการปฏิบัติตามข้อกำหนดของ PCI นั้นมีอยู่ด้วยกัน 4 ระดับ โดยทั่วไปแล้วจะขึ้นอยู่กับจำนวนธุรกรรมจากบัตรเครดิตที่ธุรกิจของคุณประมวลผลในช่วงเวลา 12 เดือน

ระดับการปฏิบัติตามข้อกำหนด
ใช้กับ
ข้อกำหนด
ระดับ 1
  1. องค์กรที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปีผ่านบัตร Visa หรือ MasterCard หรือมากกว่า 2.5 ล้านรายการต่อปีผ่านบัตร American Express หรือ
  2. ประสบปัญหาการละเมิดข้อมูล หรือ
  3. สมาคมบัตรใดก็ตาม (Visa, Mastercard เป็นต้น) ถือว่าเป็น "ระดับ 1"
  1. รายงานประจำปีด้านการปฏิบัติตามข้อกำหนด (ROC) โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) หรือรู้จักกันในชื่อการประเมินในบริษัทระดับ 1 โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) หรือผู้ตรวจสอบภายในหากลงนามโดยเจ้าหน้าที่ของบริษัท
  2. การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาสโดยผู้ให้บริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
  3. เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) สำหรับการประเมินในบริษัท โดยจะมีแบบฟอร์มเฉพาะสำหรับ merchants และผู้ให้บริการ
ระดับ 2
องค์กรที่ประมวลผลธุรกรรมระหว่าง 1-6 ล้านรายการต่อปี
  1. แบบสอบถามเพื่อประเมินตนเอง (SAQ) เกี่ยวกับข้อกำหนดของ PCI DSS ประจำปีโดยมี SAQ อยู่ 9 ประเภทซึ่งแสดงโดยสรุปในตารางด้านล่าง
  2. การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาสโดยผู้ให้บริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV) เอกสารรับรองการปฏิบัติตามข้อกำหนด
  3. เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) ซึ่ง SAQ ทั้ง 9 ฉบับมีแบบฟอร์ม AOC โดยเฉพาะ
ระดับ 3
  1. องค์กรที่ประมวลผลธุรกรรมออนไลน์ระหว่าง 20,000 - 1 ล้านรายการต่อปี
  2. องค์กรที่ประมวลผลธุรกรรมรวมน้อยกว่า 1 ล้านรายการต่อปี
เช่นเดียวกับข้อมูลด้านบน
ระดับ 4
  1. องค์กรที่ประมวลผลธุรกรรมออนไลน์น้อยกว่า 20,000 รายการต่อปี หรือ
  2. องค์กรที่ประมวลผลธุรกรรมรวมไม่เกิน 1 ล้านรายการต่อปี
เช่นเดียวกับข้อมูลด้านบน

สำหรับระดับ 2-4 มี SAQ ประเภทที่แตกต่างกันขึ้นอยู่กับวิธีผสานการทำงานการชำระเงินของคุณ ต่อไปนี้คือตารางสรุปสั้นๆ

SAQ
คำอธิบาย
A
Card-not-present merchants (ecommerce or mail/telephone order) that completely outsource all account data functions to PCI DSS–validated and compliant third parties. No electronic storage, processing, or transmission of account data on their systems or premises.

ยกเว้นช่องทางการชำระเงินที่จุดขาย Not applicable to service providers.
A-EP
Ecommerce merchants that partially outsource payment processing to PCI DSS–validated and compliant third parties, and with a website(s) that does not itself receive account data but which does affect the security of the payment transaction and/or the integrity of the page that accepts the customer’s account data. No electronic storage, processing, or transmission of account data on the merchant’s systems or premises.

สำหรับช่องทางอีคอมเมิร์ซเท่านั้น Not applicable to service providers.
B
ผู้ค้าที่ใช้เฉพาะ
  • Imprint machines with no electronic account data storage, and/or
  • Standalone, dial-out terminals with no electronic account data storage
ยกเว้นช่องทางอีคอมเมิร์ซ Not applicable to service providers.
B-IP
ผู้ค้าที่ใช้เทอร์มินัลการชำระเงินแบบสแตนด์โลนที่ได้รับการอนุมัติจาก PTS พร้อมการเชื่อมต่อ IP ไปยังผู้ประมวลผลการชำระเงินโดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ยกเว้นช่องทางอีคอมเมิร์ซ
C-VT
Merchants that manually enter payment account data a single transaction at a time via a keyboard into a PCI DSS–validated and compliant third-party virtual payment terminal solution, with an isolated computing device and a securely connected web browser. No electronic account data storage.

ยกเว้นช่องทางอีคอมเมิร์ซ Not applicable to service providers.
C
Merchants with payment application systems connected to the internet, no electronic account data storage. Not applicable to ecommerce channels.

Not applicable to service providers.
P2PE
Merchants using only a validated, PCI-listed point-to-point encryption (P2PE) solution. No access to clear-text account data and no electronic account data storage.

ยกเว้นช่องทางอีคอมเมิร์ซ Not applicable to service providers.
SPoC*
Merchants using a commercial off-the-shelf mobile device (for example, a phone or tablet) with a secure card reader included on PCI SSC’s list of validated SPoC Solutions. No access to clear-text account data and no electronic account data storage.

Not applicable to unattended card-present, mail-order/telephone order (MOTO), or ecommerce channels. Not applicable to service providers.
D
SAQ D สำหรับผู้ค้า: ผู้ค้าทั้งหมดไม่รวมอยู่ในคำอธิบายสำหรับประเภท SAQ ข้างต้น

SAQ D สำหรับผู้ให้บริการ: ผู้ให้บริการทั้งหมดที่แบรนด์การชำระเงินระบุว่ามีสิทธิ์ทำ SAQ ได้
*New SAQ for PCI DSS v4.0

2. จัดทำแผนกระแสข้อมูลของคุณ

ก่อนที่จะปกป้องข้อมูลบัตรเครดิตที่ละเอียดอ่อนได้นั้น คุณจำเป็นต้องทราบก่อนว่าข้อมูลอยู่ที่ใดและส่งไปที่นั่นได้อย่างไร ซึ่งคุณจะต้องสร้างแผนผังที่ครอบคลุมของระบบ การเชื่อมต่อเครือข่าย และแอปพลิเคชันต่างๆ ที่โต้ตอบกับข้อมูลบัตรเครดิตทั่วทั้งองค์กร และอาจจะต้องทำงานร่วมกับทีม IT และทีมรักษาความปลอดภัยเพื่อดำเนินการดังกล่าว ทั้งนี้ขึ้นอยู่กับบทบาทของคุณ

  • อันดับแรก ให้ระบุจุดให้บริการผู้บริโภคทุกจุดของธุรกิจที่เกี่ยวข้องกับธุรกรรมการชำระเงิน ตัวอย่างเช่น คุณอาจรับชำระเงินผ่านรถเข็นซื้อของออนไลน์ จุดชำระเงินในร้านค้า หรือคำสั่งซื้อที่สั่งผ่านโทรศัพท์
  • ถัดไปคือระบุวิธีต่างๆ ที่ธุรกิจใช้จัดการกับข้อมูลของเจ้าของบัตร สิ่งสำคัญคือควรทราบแน่ชัดว่ามีการจัดเก็บข้อมูลไว้ที่ใดและใครเข้าถึงได้บ้าง
  • จากนั้นระบุหาระบบภายในหรือเทคโนโลยีพื้นฐานที่เกี่ยวข้องกับธุรกรรมการชำระเงิน ซึ่งรวมถึงระบบเครือข่าย ศูนย์ข้อมูล และระบบคลาวด์

3. ตรวจสอบการควบคุมความปลอดภัยและโปรโตคอล

เมื่อกำหนดช่องทางการติดต่อลูกค้าที่อาจเป็นไปได้ทั้งหมดเกี่ยวกับข้อมูลบัตรเครดิตในองค์กรของคุณแล้ว ให้ทำงานร่วมกับทีม IT และทีมรักษาความปลอดภัยเพื่อตรวจสอบให้มั่นใจว่ามีการใช้การกำหนดค่าและโปรโตคอลการรักษาความปลอดภัยที่ถูกต้อง (ดูรายการข้อกำหนดความปลอดภัย 12 ข้อสำหรับ PCI DSS ด้านบน) ซึ่งโปรโตคอลเหล่านี้ออกแบบมาเพื่อช่วยรักษาการส่งข้อมูลให้ปลอดภัย เช่น Transport Layer Security (TLS)

ข้อกำหนดความปลอดภัย 12 ข้อสำหรับ PCI DSS มาจากแนวทางปฏิบัติชั้นนำเพื่อการปกป้องข้อมูลที่ละเอียดอ่อนสำหรับธุรกิจทุกประเภท มีหลายๆ ข้อที่คาบเกี่ยวกับข้อกำหนด GDPR, HIPAA และความเป็นส่วนตัวอื่นๆ ที่ต้องปฏิบัติตาม ดังนั้นบางข้อจึงอาจมีอยู่แล้วในองค์กรของคุณ

4. การเฝ้าสังเกตและรักษาความต่อเนื่อง

สิ่งสำคัญที่ควรทราบคือการปฏิบัติตามข้อกำหนดของ PCI นั้นไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว หากแต่เป็นขั้นตอนที่ต้องทำอย่างต่อเนื่องเพื่อทำให้มั่นใจว่าธุรกิจของคุณจะยังคงเป็นไปตามข้อกำหนดอยู่เสมอ แม้ว่ากระแสข้อมูลและจุดบริการลูกค้าจะเปลี่ยนแปลงไป บัตรเครดิตบางแบรนด์อาจกำหนดให้คุณส่งรายงานประจำไตรมาสหรือประจำปี หรือดำเนินการประเมินประจำปีในบริษัทเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งหากคุณประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปี

การจัดการการปฏิบัติตามข้อกำหนดของ PCI ตลอดทั้งปี (และอีกหลายๆ ปี) นั้นมักต้องใช้การสนับสนุนและความร่วมมือแบบข้ามแผนก หากยังไม่มีความร่วมมือดังกล่าว การสร้างทีมงานเฉพาะทางเป็นการภายในเพื่อดูแลเรื่องการปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสมอาจเป็นวิธีการดำเนินงานที่คุ้มค่า แม้ว่าบริษัทต่างๆ จะไม่เหมือนกัน แต่จุดเริ่มต้นที่ดีสำหรับ "ทีม PCI" จะประกอบด้วยตัวแทนจากฝ่ายต่างๆ ดังนี้

  • ฝ่ายรักษาความปลอดภัย: ประธานเจ้าหน้าที่บริหารฝ่ายรักษาความปลอดภัย (CSO) ประธานเจ้าหน้าที่บริหารฝ่ายรักษาความปลอดภัยของข้อมูล (CISO) และทีมงานที่ตรวจสอบว่าองค์กรได้ลงทุนอย่างเหมาะสมในการรักษาความปลอดภัยของข้อมูลที่จำเป็นรวมถึงแหล่งข้อมูลและนโยบายด้านความเป็นส่วนตัว
  • ฝ่ายเทคโนโลยี/การชำระเงิน: ประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยี (CTO) รองประธานกรรมการฝ่ายการชำระเงิน และทีมงานของประธานทั้งสองฝ่ายข้างต้นทำให้มั่นใจว่าเครื่องมือ การผสานการทำงาน และโครงสร้างพื้นฐานหลักๆ ยังคงเป็นไปตามข้อกำหนดขณะที่ระบบขององค์กรพัฒนาขึ้น
  • ฝ่ายการเงิน: หากเป็นเรื่องของระบบการชำระเงินและพาร์ทเนอร์ ประธานเจ้าหน้าที่บริหารฝ่ายการเงิน (CFO) และทีมงานจะต้องยืนยันว่ามีการพิจารณาถึงกระแสข้อมูลการชำระเงินทั้งหมด
  • ฝ่ายกฎหมาย: ทีมนี้จะช่วยอธิบายรายละเอียดความแตกต่างด้านกฎหมายเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI ที่ซับซ้อนขึ้น โปรดไปที่เว็บไซต์สภามาตรฐานความปลอดภัย PCI หากคุณได้อ่านเพียงคู่มือนี้และเอกสาร PCI อื่นๆ อีกเล็กน้อย เราแนะนำให้เริ่มต้นด้วยการอ่านแนวทางที่สำคัญ สำหรับ PCI DSS, คำแนะนำและแนวปฏิบัติสำหรับ SAQ, คำถามที่พบบ่อยเกี่ยวกับการใช้เกณฑ์คุณสมบัติ SAQ ในการกำหนดข้อกำหนดการประเมินในบริษัท และคำถามที่พบบ่อยเกี่ยวกับภาระหน้าที่สำหรับผู้ค้าที่พัฒนาแอปสำหรับอุปกรณ์ของผู้บริโภคที่ยอมรับข้อมูลบัตรการชำระเงิน

วิธีที่ Stripe ช่วยเหลือองค์กรให้บรรลุและรักษาการปฏิบัติตามข้อกำหนดของ PCI อย่างต่อเนื่อง

Stripe ช่วยลดความยุ่งยากเรื่องภาระด้านการปฏิบัติตามข้อกำหนดของ PCI ได้อย่างมากสำหรับบริษัทต่างๆ ที่ผสานการทำงานกับ Checkout, Elements, SDK สำหรับอุปกรณ์เคลื่อนที่ และ Terminal SDK โดย Stripe Checkout และ Stripe Elements ใช้ช่องการชำระเงินในระบบของเราเพื่อจัดการข้อมูลบัตรชำระเงินทั้งหมด เพื่อให้เจ้าของบัตรป้อนข้อมูลการชำระเงินที่ละเอียดอ่อนทั้งหมดในช่องการชำระเงินที่สร้างจากเซิร์ฟเวอร์ที่ผ่านการตรวจสอบ PCI DSS โดยตรง นอกจากนี้ SDK สำหรับอุปกรณ์เคลื่อนที่และ Terminal SDK ของ Stripe ยังเปิดให้เจ้าของบัตรส่งข้อมูลการชำระเงินที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่ผ่านการตรวจสอบ PCI DSS โดยตรงได้อีกด้วย

Stripe จะทำหน้าที่เป็นผู้สนับสนุนด้านการปฏิบัติตามข้อกำหนดของ PCI ให้กับผู้ใช้ทั้งหมดของเรา และช่วยเหลือคุณได้หลายวิธี ไม่ว่าคุณจะใช้การผสานการทำงานประเภทใดก็ตาม

  • เราจะวิเคราะห์วิธีการผสานการทำงานของคุณและแนะนำวิธีลดภาระด้านการปฏิบัติตามข้อกำหนด
  • เราจะแจ้งให้คุณทราบล่วงหน้าหากต้องเปลี่ยนแปลงวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดเนื่องจากจำนวนธุรกรรมที่เพิ่มขึ้น
  • สำหรับผู้ค้ารายใหญ่ (ระดับ 1) หากคุณต้องการใช้ PCI QSA (เพราะคุณจัดเก็บข้อมูลบัตรเครดิตหรือมีขั้นตอนการชำระเงินที่ซับซ้อนมากขึ้น) เรามีบริษัท QSA สำหรับกรณีดังกล่าวกว่า 350 แห่งทั่วโลก และสามารถช่วยคุณติดต่อกับผู้ตรวจสอบหลายรายที่เข้าใจวิธีการผสานการทำงาน Stripe แบบต่างๆ อย่างลึกซึ้ง

สรุป

การประเมินและการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI โดยปกติแล้วจะมีขึ้นปีละครั้ง แต่การปฏิบัติตามข้อกำหนดของ PCI นั้นไม่ใช่สิ่งที่จะดำเนินการเพียงครั้งเดียว หากแต่เป็นการประเมินและแก้ไขที่ต้องดำเนินการบ่อยครั้งอย่างต่อเนื่อง ขณะที่บริษัทเติบโตขึ้น ตรรกะและกระบวนการทางธุรกิจที่สำคัญๆ ย่อมเติบโตขึ้นด้วย ซึ่งหมายความว่าข้อกำหนดในการปฏิบัติตามนั้นจะพัฒนาไปเช่นกัน ตัวอย่างเช่น ธุรกิจออนไลน์อาจตัดสินใจเปิดหน้าร้าน เข้าสู่ตลาดใหม่ๆ หรือเปิดตัวศูนย์สนับสนุนลูกค้า หากสิ่งใหม่ๆ นั้นเกี่ยวข้องกับข้อมูลบัตรการชำระเงิน เราแนะนำให้ตรวจสอบอย่างเข้มงวดว่าการดำเนินการดังกล่าวส่งผลกระทบต่อวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ของคุณหรือไม่ และตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI อีกครั้งตามความจำเป็น

การปฏิบัติตามข้อกำหนดของ PCI ช่วยได้ แต่ยังไม่เพียงพอ

การปฏิบัติตามแนวทาง PCI DSS นั้นเป็นการป้องกันอีกหนึ่งชั้นที่จำเป็นสำหรับธุรกิจของคุณ แต่ก็ยังไม่เพียงพอ PCI DSS กำหนดมาตรฐานที่สำคัญสำหรับการจัดการและจัดเก็บข้อมูลของเจ้าของบัตร แต่ตัวมาตรฐานเองไม่ได้ให้การป้องกันที่เพียงพอสำหรับทุกระบบการชำระเงิน ดังนั้นการเปลี่ยนไปใช้วิธีการยอมรับบัตรที่ปลอดภัยกว่า (เช่น Stripe Checkout, Elements และ SDK สำหรับอุปกรณ์เคลื่อนที่) จึงเป็นวิธีในการปกป้ององค์กรของคุณที่มีประสิทธิภาพมากกว่า ซึ่งวิธีนี้จะช่วยให้ธุรกิจที่มีความคล่องตัวในการลดการละเมิดข้อมูลที่อาจเกิดขึ้นได้ และหลีกเลี่ยงวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ในอดีตที่สร้างความตึงเครียด เสียเวลา และมีค่าใช้จ่ายสูง อีกทั้งยังมีวิธีการผสานการทำงานที่ปลอดภัยกว่าและน่าเชื่อถืออยู่เสมอ

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ