ความนิยมในการชำระเงินแบบไร้เงินสดส่งผลให้เกิดการฉ้อโกงบัตรเครดิตเพิ่มมากขึ้นในประเทศญี่ปุ่น ในส่วนของธุรกิจที่มีเว็บไซต์อีคอมเมิร์ซและใช้การชำระเงินออนไลน์ มาตรการรักษาความปลอดภัยถือเป็นข้อบังคับที่ต้องทำตามอย่างเคร่งครัด ในบทความนี้ เราจะอธิบายแนวทางการรักษาความปลอดภัยของบัตรเครดิตในประเทศญี่ปุ่น รวมถึงวัตถุประสงค์ ภูมิหลัง และขั้นตอนในการปฏิบัติตามแนวทางดังกล่าว
บทความนี้ให้ข้อมูลอะไรบ้าง
- แนวทางการรักษาความปลอดภัยของบัตรเครดิตคืออะไร
- ทำไมแนวทางการรักษาความปลอดภัยของบัตรเครดิตจึงมีความสำคัญ
- แนวทางการรักษาความปลอดภัยของบัตรเครดิตเวอร์ชัน 5.0 กับ 6.0 แตกต่างกันอย่างไรบ้าง
- ขั้นตอนในการปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิต
- การไม่ปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตจะส่งผลให้เกิดอะไรตามมาบ้าง
- เหตุใดธุรกิจจึงควรมีมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง
แนวทางการรักษาความปลอดภัยของบัตรเครดิตคืออะไร
แนวทางการรักษาความปลอดภัยของบัตรเครดิต คือ ชุดนโยบายที่กำกับดูแลมาตรการรักษาความปลอดภัยสำหรับการใช้บัตรเครดิต ธุรกิจทั้งหมดในประเทศญี่ปุ่นต้องปฏิบัติตามแนวทางเหล่านี้ แนวทางดังกล่าวอิงตามแผนของกระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม (METI) เพื่อลดความเสี่ยงต่อการรั่วไหลของข้อมูลและการฉ้อโกง รวมถึงสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับธุรกรรม สมาคมเครดิตแห่งญี่ปุ่น (Japan Consumer Credit Association หรือ JCA) ยังดำเนินงานเพื่อยกระดับความตระหนักรู้ด้านการรักษาความปลอดภัยและรับรองว่าธุรกิจต่างๆ ใช้มาตรการอย่างครบถ้วนในอุตสาหกรรม
เวอร์ชัน 6.0 (ซึ่งเป็นแนวทางเวอร์ชันล่าสุด) กำหนดมาตรฐานการรักษาความปลอดภัยที่เข้มงวดกว่าเวอร์ชันก่อนหน้า ธุรกิจต่างๆ จำเป็นต้องคอยติดตามการปรับปรุงพัฒนาล่าสุดและดำเนินการตามการเปลี่ยนแปลงที่เกิดขึ้น การเปลี่ยนแปลงแก้ไขเหล่านี้ ได้แก่ การจัดการข้อมูลบัตรเครดิตอย่างเหมาะสม การตรวจจับและรับมือตั้งแต่เนิ่นๆ ต่อการใช้งานในลักษณะที่เป็นการฉ้อโกงหรือไม่ได้รับอนุญาต การฝึกอบรมด้านการรักษาความปลอดภัยให้กับพนักงาน และมาตรการต่างๆ เพื่อแก้ไขช่องโหว่ของระบบ
การปฏิบัติตามแนวทางเหล่านี้จะช่วยให้ธุรกิจได้รับความไว้วางใจจากลูกค้าและดำเนินธุรกิจได้อย่างยั่งยืน โดยธุรกิจทั้งหมดจะต้องเข้าใจรายละเอียดของแนวทางล่าสุดและใช้มาตรการที่เหมาะสมในการปฏิบัติตามแนวทางเหล่านั้น
ทำไมแนวทางการรักษาความปลอดภัยของบัตรเครดิตจึงมีความสำคัญ
การสำรวจของ JCA ซึ่งมุ่งเน้นธุรกิจที่ออกบัตรเครดิตของแบรนด์ต่างประเทศในญี่ปุ่น คาดว่าตัวเลขการสูญเสียจากการฉ้อโกงบัตรเครดิตในปี 2024 จะสูงถึงประมาณ 55,500 ล้านเยน ซึ่งเพิ่มขึ้นอย่างมีนัยสำคัญเมื่อเทียบกับปี 2014 ที่มีตัวเลขอยู่เพียง 11,000 ล้านเยน การสูญเสียที่เกิดจากการโจรกรรมหมายเลขคิดเป็นเกือบ 60% ของยอดรวมในปี 2014 โดยเปอร์เซ็นต์นี้เกิน 90% ภายในปี 2024 ซึ่งแสดงให้เห็นถึงช่องโหว่ของธุรกรรมออนไลน์ เช่น ธุรกรรมบนเว็บไซต์อีคอมเมิร์ซ
ตัวเลขเหล่านี้แสดงให้เห็นถึงเหตุผลที่ธุรกิจต้องปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตฉบับล่าสุด แนวทางเหล่านี้อาจช่วยธุรกิจปกป้องลูกค้า ปฏิบัติตามกฎหมาย และรักษาความน่าเชื่อถือของแบรนด์ได้ ในกรณีที่มีการรั่วไหลของข้อมูลหรือการเข้าถึงโดยไม่ได้รับอนุญาตซึ่งไม่น่าเกิดขึ้น ผลที่อาจเกิดขึ้นตามมา ได้แก่ การสูญเสียลูกค้า การสูญเสียจากการดึงเงินคืน บทลงโทษจากหน่วยงานกำกับดูแล หรือการชำระค่าเสียหาย
แนวทางการรักษาความปลอดภัยของบัตรเครดิตเวอร์ชัน 5.0 กับ 6.0 แตกต่างกันอย่างไรบ้าง
แนวทางการรักษาความปลอดภัยของบัตรเครดิตได้รับการปรับปรุงแก้ไขมาแล้วหลายครั้งนับตั้งแต่เปิดตัวครั้งแรกในปี 2020 มาตรการเหล่านี้แบ่งออกเป็น 2 หมวดหมู่ ได้แก่ ธุรกรรมแบบไม่พบหน้ากัน (กล่าวคือ ธุรกรรมแบบอีคอมเมิร์ซ) และธุรกรรมแบบพบหน้ากัน ธุรกิจต่างๆ จำเป็นต้องปฏิบัติตามแนวทางที่กำกับดูแลประเภทธุรกิจของตน เช่น ตอนนี้เวอร์ชัน 6.0 มีมาตรการใหม่ๆ สำหรับธุรกิจอีคอมเมิร์ซ ธุรกิจประเภทนี้จึงต้องปฏิบัติตามแนวทางใหม่เหล่านี้
แนวทางการรักษาความปลอดภัยของบัตรเครดิตมีความละเอียดมาก การทำความเข้าใจประเด็นหลักๆ จะช่วยธุรกิจในการเริ่มใช้งานและรับมือกับมาตรการแต่ละอย่างได้ ในตารางด้านล่างนี้ เราจะเปรียบเทียบเวอร์ชัน 5.0 กับ 6.0 เพื่อช่วยระบุมาตรการต่างๆ ที่เพิ่มเข้ามาในแต่ละแนวทาง
มาตรการ |
เวอร์ชัน 5.0 |
เวอร์ชัน 6.0 |
---|---|---|
การคุ้มครองข้อมูลบัตร |
ธุรกิจอีคอมเมิร์ซและธุรกิจแบบพบหน้ากัน
|
ธุรกิจอีคอมเมิร์ซ
|
ระบบป้องกันการฉ้อโกง |
ธุรกิจอีคอมเมิร์ซ
ธุรกิจแบบพบหน้ากัน
|
ธุรกิจอีคอมเมิร์ซ
|
การเกิดการฉ้อโกงขึ้นบ่อยครั้ง / ธุรกิจที่มีความเสี่ยงสูง |
ธุรกิจอีคอมเมิร์ซ
|
ธุรกิจอีคอมเมิร์ซ
|
ธุรกิจที่จัดการธุรกรรมคำสั่งซื้อทางไปรษณีย์/คำสั่งซื้อทางโทรศัพท์ (MO/TO) |
ธุรกิจที่จัดการธุรกรรมแบบ MO/TO
|
ธุรกิจที่จัดการธุรกรรมแบบ MO/TO
|
การสนับสนุนธุรกิจ |
— |
ธุรกิจอีคอมเมิร์ซ
|
ป้อนหมายเลขประจำตัวส่วนบุคคล (PIN) ในระหว่างการชำระเงินด้วยบัตร |
— |
ธุรกิจแบบพบหน้ากัน
|
มาตรการเพื่อป้องกันการโจรกรรมข้อมูลบัตรเครดิต
ในเวอร์ชัน 5.0 นั้น JCA ได้นำมาตรการคุ้มครองข้อมูลบัตรมาใช้ เช่น การไม่เก็บรักษาข้อมูลและการปฏิบัติตามข้อกำหนดของ PCI DSS มาตรการเหล่านี้มีประสิทธิภาพพอสมควรในการป้องกันเหตุการณ์ที่มีการโจรกรรมข้อมูลบัตรเป็นจำนวนมากภายในระยะเวลาสั้นๆ
แต่ก็มีเหตุการณ์ที่ข้อมูลบัตรรั่วไหลอันเนื่องมาจากการเข้าถึงภายนอกโดยไม่ได้รับอนุญาต ไวรัส หรือการแทรกแซงระบบ เหตุการณ์เช่นนี้เกิดจากมาตรการรับมือกับช่องโหว่ที่ไม่เพียงพอ เช่น มาตรการป้องกันไวรัสในระบบและเว็บไซต์ธุรกิจอีคอมเมิร์ซ การจัดการสิทธิ์ของผู้ดูแลระบบ และการจัดการอุปกรณ์ ดังนั้น เวอร์ชัน 6.0 จึงกำหนดให้ธุรกิจอีคอมเมิร์ซต้องใช้มาตรการรับมือกับช่องโหว่ในระบบและเว็บไซต์ดังต่อไปนี้เพื่อป้องกันการรั่วไหลของข้อมูลบัตร
- การจำกัดการเข้าถึงหน้าจอการดูแลระบบและการจัดการ ID/รหัสผ่านสำหรับผู้ดูแลระบบ
- มาตรการเพื่อแก้ไขข้อผิดพลาดในการกำหนดค่าและการมีมาตรการรับมือที่ไม่เพียงพอเกี่ยวกับการเข้าถึงไดเรกทอรีข้อมูล
- มาตรการรับมือกับช่องโหว่สำหรับแอปบนเว็บ
- การนำมาใช้และการใช้งานซอฟต์แวร์ป้องกันไวรัสเป็นมาตรการรับมือกับมัลแวร์
- มาตรการรับมือกับการตรวจสอบความถูกต้องที่เป็นอันตรายและเครดิตมาสเตอร์
เมื่อจ้างให้บุคคลภายนอกสร้าง กำหนดค่า และใช้งานระบบหรือเว็บไซต์อีคอมเมิร์ซ ผู้ทำสัญญาจากภายนอกจะต้องปฏิบัติตามมาตรการรับมือกับช่องโหว่ต่างๆ ที่ธุรกิจอีคอมเมิร์ซต้องนำมาใช้
มาตรการป้องกันการฉ้อโกงเพื่อป้องกันการใช้ข้อมูลบัตร
ในปี 2023 การใช้บัตรในลักษณะที่เป็นการฉ้อโกงในญี่ปุ่นมีมูลค่ากว่า 54,000 ล้านเยน โดย 93% ของจำนวนนี้เกิดจากการโจรกรรมตัวตนในธุรกิจอีคอมเมิร์ซ ดังนั้นจึงมีการเพิ่มมาตรการโดยมุ่งที่จะป้องกันการฉ้อโกงในช่วงก่อนและระหว่างการชำระเงินด้วยบัตร
ต่อไปนี้คือวิธีที่การฉ้อโกงอาจเกิดขึ้นได้ก่อน ระหว่าง และหลังการใช้บัตร
- ก่อนการชำระเงินด้วยบัตร: มิจฉาชีพอาจลงทะเบียนบัญชีที่เอาไว้ฉ้อโกงหรือใช้ข้อมูลการเข้าสู่ระบบในการฉ้อโกงโดยการแอบอ้างเป็นลูกค้า
- ระหว่างการชำระเงินด้วยบัตร: มีกรณีต่างๆ ที่ใช้หมายเลขบัตรและข้อมูลบัตรที่เครดิตมาสเตอร์สร้างขึ้นมาโดยไม่ได้รับอนุญาต นอกจากนี้ยังมีการหลอกลวงแบบฟิชชิ่งเพื่อโจรกรรมข้อมูลบัตร บัญชี รหัสผ่าน และข้อมูลคุณลักษณะด้วย
- หลังจากการชำระเงินด้วยบัตร: อาจมีการนำส่งหรือขายต่อสินค้าในลักษณะที่เป็นการฉ้อโกง ดังนั้นจึงจำเป็นต้องตรวจสอบรายละเอียดคำสั่งซื้อและที่อยู่สำหรับจัดส่ง
เนื่องจากการฉ้อโกงอาจเกิดขึ้นได้ จึงจำเป็นต้องใช้มาตรการต่างๆ ที่กำกับดูแลขั้นตอนในการทำธุรกรรมผ่านบัตร เช่น การป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาตก่อนการชำระเงินด้วยบัตร และการนำ EMV 3D Secure เข้ามาใช้ในระหว่างขั้นตอนการชำระเงินด้วยบัตร
มาตรการเพื่อป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต
ในเวอร์ชัน 6.0 เราขอแนะนำมาตรการต่อไปนี้เพื่อป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต
- การจำกัดการเข้าถึงจากที่อยู่โปรโตคอลอินเทอร์เน็ต (IP) ที่น่าสงสัย
- การยืนยันตัวตนโดยใช้การยืนยันแบบ 2 ขั้นตอนหรือการตรวจสอบสิทธิ์แบบหลายปัจจัย
- การยืนยันข้อมูลส่วนตัวในระหว่างการลงทะเบียนเป็นสมาชิก
- การจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบอย่างเข้มงวดยิ่งขึ้น
- การแจ้งเตือนทางอีเมลและบริการส่งข้อความสั้น (SMS) เมื่อสมาชิกเข้าสู่ระบบหรือเปลี่ยนคุณลักษณะของตน
- การวิเคราะห์คุณลักษณะและพฤติกรรม
- การตรวจสอบเอกลักษณ์ของอุปกรณ์
การนำ EMV 3D Secure มาใช้
เวอร์ชัน 6.0 มีมาตรการที่เกี่ยวข้องกับการนำ EMV 3D Secure มาใช้ ธุรกิจอีคอมเมิร์ซต้องดำเนินการดังต่อไปนี้
- ผสานการทำงาน EMV 3D Secure และดำเนินการตรวจสอบสิทธิ์เพื่อให้แน่ใจว่าธุรกิจสามารถยืนยันตัวตนของเจ้าของบัตรได้อย่างเหมาะสม
- ปรับปรุงความแม่นยำของการตรวจสอบสิทธิ์แบบอิงตามความเสี่ยง (Risk-Based Authentication หรือ RBA)
การเกิดการฉ้อโกงขึ้นบ่อยครั้งและธุรกิจที่มีความเสี่ยงสูง
ธุรกิจจะถือว่ามีการฉ้อโกงเกิดขึ้นบ่อยครั้งเมื่อมีการเรียกเก็บเงินที่เป็นการฉ้อโกงหลายครั้งอย่างต่อเนื่อง ทั้งนี้ เพื่อวัตถุประสงค์ของแนวทางเหล่านี้ ธุรกิจจะถือว่ามีการฉ้อโกงเกิดขึ้นบ่อยครั้งเมื่อการเรียกเก็บเงินที่เป็นการฉ้อโกงเกิน 500,000 เยนในช่วงสามเดือนต่อเนื่อง
ธุรกิจที่มีความเสี่ยงสูง คือ ธุรกิจที่จัดการสินค้าดิจิทัลเป็นหลัก เช่น เกมออนไลน์ เครื่องใช้ไฟฟ้าในบ้าน เงินอิเล็กทรอนิกส์ ตั๋ว และบริการจองที่พัก ธุรกิจที่มีความเสี่ยงสูงและธุรกิจที่มีการฉ้อโกงเกิดขึ้นสูงจะต้องใช้มาตรการเพิ่มเติม
ในแนวทางจนถึงเวอร์ชัน 5.0 ธุรกิจที่มีประวัติการฉ้อโกงจะต้องใช้มาตรการอย่างน้อย 2 ใน 4 อย่างที่ระบุไว้ในแนวทางการรักษาความปลอดภัยของบัตรเครดิต ธุรกิจที่มีความเสี่ยงสูงจะต้องใช้มาตรการอย่างน้อย 1 อย่าง มาตรการเหล่านี้ ได้แก่ การตรวจสอบสิทธิ์ของเจ้าของบัตร การยืนยันบัตร การวิเคราะห์คุณลักษณะและพฤติกรรม และการยืนยันที่อยู่สำหรับจัดส่ง
อย่างไรก็ตาม ในแนวทางตั้งแต่เวอร์ชัน 6.0 ตอนนี้ธุรกิจจะต้องนำมาตรการเพิ่มเติมและเหมาะสมมาใช้หรือมาตรการที่มีประสิทธิภาพยิ่งขึ้นตามแนวทางแบบแบ่งระดับ แนวทางนี้ควรได้รับการปรับแต่งให้เหมาะกับความเสียหายจริงที่เกิดขึ้นจากการฉ้อโกงและวิธีการเฉพาะที่นำมาใช้ การเปลี่ยนแปลงแนวทางนี้เป็นผลมาจากผลิตภัณฑ์และบริการต่างๆ ที่ธุรกิจสามารถนำเสนอได้ รวมถึงวิธีการต่างๆ ที่มิจฉาชีพสามารถใช้เพื่อสร้างหรือเข้าควบคุมบัญชีได้
ธุรกิจที่จัดการธุรกรรมคำสั่งซื้อทางไปรษณีย์/โทรศัพท์ (MO/TO)
คำว่า "MO/TO" เป็นคำที่มักใช้กันในญี่ปุ่นเพื่อสื่อถึงการขายที่เป็นคำสั่งซื้อทางไปรษณีย์ (MO) และคำสั่งซื้อทางโทรศัพท์ (TO) หรือกล่าวอีกอย่างได้ว่าธุรกิจ MO/TO ประมวลผลการชำระเงินด้วยบัตรทางโทรศัพท์หรือทางไปรษณีย์
ธุรกิจจำนวนมากที่จัดการธุรกรรมแบบ MO/TO ยังทำอีคอมเมิร์ซด้วย ด้วยเหตุนี้ มาตรการ 4 อย่างสำหรับธุรกิจ MO/TO ที่ปรากฏอยู่ในแนวทางจนถึงเวอร์ชัน 5.0 จึงได้รับการปรับปรุงแก้ไขแล้ว มาตรการต่อไปนี้ยังคงจำเป็นสำหรับธุรกิจ MO/TO ในเวอร์ชัน 6.0 ต่อไป
- การจัดตั้งระบบประมวลผลการอนุมัติ
- หน้าที่ในการดูแลในฐานะผู้จัดการที่มีคุณสมบัติเหมาะสมตามที่ระบุไว้ในข้อตกลงของธุรกิจ
- การผสานการทำงานของมาตรการแบบไม่พบหน้ากันเพื่อป้องกันการใช้งานในลักษณะที่เป็นการฉ้อโกงตามความเสี่ยงและความเสียหายที่เกิดขึ้น
การสนับสนุนธุรกิจ
บริษัทบัตรเครดิตและผู้ให้บริการชำระเงินต้องให้ข้อมูลและการสนับสนุนเกี่ยวกับมาตรการรับมือกับช่องโหว่ที่ธุรกิจอีคอมเมิร์ซควรนำมาใช้
นอกจากนี้ ผู้ให้บริการระบบและธุรกิจอื่นๆ จะต้องปฏิบัติตามมาตรการรับมือกับช่องโหว่เมื่อจัดการกับการสร้างและกำหนดค่าเว็บไซต์อีคอมเมิร์ซ รวมถึงจะต้องให้คำแนะนำและการสนับสนุนแก่ธุรกิจอีคอมเมิร์ซในการดำเนินงานและบำรุงรักษาเว็บไซต์ด้วย
การป้อน PIN สำหรับการชำระเงินด้วยบัตร
ตั้งแต่เดือนเมษายน 2025 ธุรกิจที่ทำธุรกรรมที่จุดขายไม่จำเป็นต้องยืนยันตัวตนของลูกค้าด้วยลายเซ็นในระหว่างการชำระเงินด้วยบัตรอีกต่อไป แต่ต้องขอให้ลูกค้าป้อน PIN แทน
ขั้นตอนในการปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิต
ธุรกิจต้องใช้มาตรการต่างๆ เพื่อป้องกันไม่ให้ข้อมูลบัตรถูกโจรกรรมและนำไปใช้ ด้านล่างนี้คือลำดับเหตุการณ์ที่นำไปสู่การโจรกรรมและการใช้ข้อมูลบัตรในลักษณะที่เป็นการฉ้อโกง จากนั้น เราจะสรุปมาตรการที่ควรดำเนินการในแต่ละขั้นตอน
หากต้องการปฏิบัติตามเวอร์ชัน 6.0 ธุรกิจจะต้องใช้มาตรการหลายๆ ด้านที่เหมาะกับประเภทอุตสาหกรรมและรูปแบบธุรกรรมของตนโดยเฉพาะ นอกจากนี้ ธุรกิจต้องกำหนดโครงสร้างองค์กรภายในที่เหมาะสมด้วย
ต่อไปนี้เป็นตัวอย่างบางส่วนแบบเฉพาะเจาะจงซึ่งแสดงให้เห็นว่าธุรกิจจะปฏิบัติตามแนวทางต่อไปได้อย่างไร
ประเมินสถานะปัจจุบันและปัญหาในการปฏิบัติตามข้อกำหนด
ขั้นตอนแรก คือ ธุรกิจต้องประเมินระดับการรักษาความปลอดภัยของตนและพิจารณาว่าระดับการรักษาความปลอดภัยเป็นอย่างไรเมื่อเปรียบเทียบกับแนวทางในเวอร์ชัน 6.0 การประเมินนี้จะช่วยให้ธุรกิจพบจุดแตกต่างระหว่างแนวทางที่ปฏิบัติจริงกับระเบียบข้อบังคับ ต่อไปนี้คือคำถาม 2-3 ข้อที่ธุรกิจใช้ยืนยันสถานะปัจจุบันของข้อมูลบัตรและมาตรการด้านระบบป้องกันการฉ้อโกงได้
มาตรการเพื่อป้องกันการโจรกรรมข้อมูลบัตร
- มีการจำกัดการเข้าถึงหน้าจอการจัดการหรือไม่
- มีการจัดการ ID ผู้ดูแลระบบและรหัสผ่านอย่างถูกต้องหรือไม่
- ไฟล์สำคัญๆ ได้ถูกนำออกจากไดเรกทอรีสาธารณะหรือไม่
- แอปบนเว็บมีช่องโหว่หรือไม่
- ได้จัดให้มีมาตรการป้องกันมัลแวร์หรือไม่
- มีการติดตั้งใช้งานซอฟต์แวร์ป้องกันไวรัสหรือไม่
- ได้จัดให้มีมาตรการป้องกันเครดิตมาสเตอร์หรือไม่
มาตรการป้องกันการใช้ข้อมูลบัตร
- มีการใช้ EMV 3D Secure หรือไม่
- มีการจำกัดการเข้าถึงจากที่อยู่ IP ที่น่าสงสัยหรือไม่
- มีการใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยหรือหลายปัจจัยเพื่อยืนยันตัวตนของลูกค้าหรือไม่
- มีการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบหรือไม่ ระบบจะล็อกบัญชีลูกค้าเอาไว้หรือไม่หากมีการพยายามเข้าสู่ระบบที่ไม่สำเร็จครบตามจำนวนครั้งแล้ว
- มีการตรวจสอบการเปลี่ยนแปลงข้อมูลสมาชิก (เช่น ที่อยู่อีเมล ที่อยู่บ้าน หมายเลขโทรศัพท์) หรือไม่
- มีการค้นหาธุรกรรมที่เป็นการฉ้อโกงตามการประเมินความเสี่ยงโดยใช้ข้อมูลธุรกรรมที่ผ่านมา (กล่าวคือ ระบบตรวจจับการฉ้อโกง) หรือไม่
- สามารถระบุอุปกรณ์โดยใช้เทคโนโลยีเกี่ยวกับลายนิ้วมือได้หรือไม่
กำหนดลำดับความสำคัญ
มาตรการรักษาความปลอดภัยควรเป็นมากกว่าการใช้มาตรการหลายๆ อย่างร่วมกัน แต่มาตรการดังกล่าวควรได้รับการพิจารณาตามธุรกิจและสถานการณ์ของธุรกิจนั้นๆ ธุรกิจสามารถวิเคราะห์ระดับความเสี่ยงของตนเพื่อพิจารณาว่าต้องใช้มาตรการใดบ้างจากรายการข้างต้น วิธีนี้จะช่วยให้ธุรกิจสามารถใช้แนวทางแบบหลายระดับในการปฏิบัติตามมาตรการเหล่านั้นได้
การตรวจสอบและการฝึกอบรมพนักงานเป็นประจำ
การฉ้อโกงนั้นซับซ้อนขึ้นเรื่อยๆ เมื่อธุรกิจนำมาตรการรักษาความปลอดภัยแบบใหม่ๆ เข้ามาใช้ วิธีการฉ้อโกงก็พัฒนาขึ้นเพื่อรับมือกับมาตรการดังกล่าวเช่นกัน ด้วยเหตุนี้ มาตรการทางเทคนิค แนวคิดริเริ่มด้านองค์กร และการฝึกอบรมพนักงานจึงเป็นเรื่องจำเป็น นอกจากนี้ ธุรกิจควรสนับสนุนให้มีการตรวจสอบความเสี่ยงต่อการฉ้อโกงตั้งแต่เนิ่นๆ โดยจัดให้มีการตรวจสอบอย่างต่อเนื่อง
การไม่ปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตจะส่งผลให้เกิดอะไรตามมาบ้าง
การไม่ปฏิบัติตามแนวทางต่างๆ อาจส่งผลกระทบร้ายแรงต่อการดำเนินธุรกิจ ความเสี่ยงหลักๆ จากการไม่ปฏิบัติตามแนวทางดังกล่าวมีดังต่อไปนี้
การรั่วไหลของข้อมูลและการสูญเสียความไว้วางใจ
การรั่วไหลของข้อมูลส่วนตัวอาจบั่นทอนความน่าเชื่อถือของธุรกิจ ซึ่งนำไปสู่การสูญเสียลูกค้าและส่งผลให้แบรนด์เสียหายเมื่อสื่อนำไปพูดถึง
ความสูญเสียทางการเงินและการดึงเงินคืน
การดึงเงินคืนและการชำระเงินชดเชยเนื่องจากการฉ้อโกงอาจเป็นภาระอันใหญ่หลวง โดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดเล็กและขนาดกลาง
บทลงโทษจากหน่วยงานกำกับดูแลหรือการระงับการดำเนินธุรกิจ
หากหน่วยงานกำกับดูแลพบว่ามีการละเมิดแนวทางดังกล่าว ธุรกิจอาจได้รับคำสั่งให้ปรับปรุงหรือถูกระงับการดำเนินธุรกิจได้
เหตุใดธุรกิจจึงควรมีมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง
แนวทางการรักษาความปลอดภัยของบัตรเครดิตเป็นแนวทางที่ปฏิบัติได้จริงสำหรับการเตรียมพร้อมรับมือกับความเสี่ยงของการฉ้อโกงที่เปลี่ยนแปลงอยู่ตลอดเวลา แนวทางเวอร์ชัน 6.0 กำหนดให้มีการปฏิบัติตามข้อกำหนดด้านการไม่เก็บรักษาข้อมูลและ PCI DSS รวมถึงการนำมาตรการรับมือกับช่องโหว่ที่เหมาะสมกับแต่ละธุรกิจโดยเฉพาะเข้ามาใช้ โดยมาตรการรับมือเหล่านี้จะอิงตามแนวทางในสายธุรกิจนั้นๆ
ธุรกิจที่นำมาตรการเหล่านี้มาใช้ล่าช้าหรือหลีกเลี่ยงมาตรการดังกล่าวอาจเสี่ยงที่จะเสียความไว้วางใจจากลูกค้าไป และยังต้องเผชิญกับภัยคุกคามต่ออนาคตของธุรกิจด้วย คุณควรใช้แพลตฟอร์มการชำระเงินที่ครอบคลุมซึ่งเป็นไปตามข้อกำหนดของ PCI DSS เช่น Stripe Payments เมื่อใช้วิธีนี้ ธุรกิจของคุณก็จะสร้างสภาพแวดล้อมที่เป็นไปตามแนวทางเวอร์ชันล่าสุดได้อย่างค่อยเป็นค่อยไป
เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ