แนวทางการรักษาความปลอดภัยของบัตรเครดิตในญี่ปุ่น: สิ่งที่ธุรกิจต้องรู้

Payments
Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด ตั้งแต่ธุรกิจสตาร์ทอัพไปจนถึงองค์กรใหญ่ระดับโลก

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. แนวทางการรักษาความปลอดภัยของบัตรเครดิตคืออะไร
  3. ทำไมแนวทางการรักษาความปลอดภัยของบัตรเครดิตจึงมีความสำคัญ
  4. แนวทางการรักษาความปลอดภัยของบัตรเครดิตเวอร์ชัน 5.0 กับ 6.0 แตกต่างกันอย่างไรบ้าง
    1. มาตรการเพื่อป้องกันการโจรกรรมข้อมูลบัตรเครดิต
    2. มาตรการป้องกันการฉ้อโกงเพื่อป้องกันการใช้ข้อมูลบัตร
    3. มาตรการเพื่อป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต
    4. การนำ EMV 3D Secure มาใช้
    5. การเกิดการฉ้อโกงขึ้นบ่อยครั้งและธุรกิจที่มีความเสี่ยงสูง
    6. ธุรกิจที่จัดการธุรกรรมคำสั่งซื้อทางไปรษณีย์/โทรศัพท์ (MO/TO)
    7. การสนับสนุนธุรกิจ
    8. การป้อน PIN สำหรับการชำระเงินด้วยบัตร
  5. ขั้นตอนในการปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิต
    1. ประเมินสถานะปัจจุบันและปัญหาในการปฏิบัติตามข้อกำหนด
    2. กำหนดลำดับความสำคัญ
    3. การตรวจสอบและการฝึกอบรมพนักงานเป็นประจำ
  6. การไม่ปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตจะส่งผลให้เกิดอะไรตามมาบ้าง
    1. การรั่วไหลของข้อมูลและการสูญเสียความไว้วางใจ
    2. ความสูญเสียทางการเงินและการดึงเงินคืน
    3. บทลงโทษจากหน่วยงานกำกับดูแลหรือการระงับการดำเนินธุรกิจ
  7. เหตุใดธุรกิจจึงควรมีมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง

ความนิยมในการชำระเงินแบบไร้เงินสดส่งผลให้เกิดการฉ้อโกงบัตรเครดิตเพิ่มมากขึ้นในประเทศญี่ปุ่น ในส่วนของธุรกิจที่มีเว็บไซต์อีคอมเมิร์ซและใช้การชำระเงินออนไลน์ มาตรการรักษาความปลอดภัยถือเป็นข้อบังคับที่ต้องทำตามอย่างเคร่งครัด ในบทความนี้ เราจะอธิบายแนวทางการรักษาความปลอดภัยของบัตรเครดิตในประเทศญี่ปุ่น รวมถึงวัตถุประสงค์ ภูมิหลัง และขั้นตอนในการปฏิบัติตามแนวทางดังกล่าว

บทความนี้ให้ข้อมูลอะไรบ้าง

  • แนวทางการรักษาความปลอดภัยของบัตรเครดิตคืออะไร
  • ทำไมแนวทางการรักษาความปลอดภัยของบัตรเครดิตจึงมีความสำคัญ
  • แนวทางการรักษาความปลอดภัยของบัตรเครดิตเวอร์ชัน 5.0 กับ 6.0 แตกต่างกันอย่างไรบ้าง
  • ขั้นตอนในการปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิต
  • การไม่ปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตจะส่งผลให้เกิดอะไรตามมาบ้าง
  • เหตุใดธุรกิจจึงควรมีมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง

แนวทางการรักษาความปลอดภัยของบัตรเครดิตคืออะไร

แนวทางการรักษาความปลอดภัยของบัตรเครดิต คือ ชุดนโยบายที่กำกับดูแลมาตรการรักษาความปลอดภัยสำหรับการใช้บัตรเครดิต ธุรกิจทั้งหมดในประเทศญี่ปุ่นต้องปฏิบัติตามแนวทางเหล่านี้ แนวทางดังกล่าวอิงตามแผนของกระทรวงเศรษฐกิจ การค้า และอุตสาหกรรม (METI) เพื่อลดความเสี่ยงต่อการรั่วไหลของข้อมูลและการฉ้อโกง รวมถึงสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับธุรกรรม สมาคมเครดิตแห่งญี่ปุ่น (Japan Consumer Credit Association หรือ JCA) ยังดำเนินงานเพื่อยกระดับความตระหนักรู้ด้านการรักษาความปลอดภัยและรับรองว่าธุรกิจต่างๆ ใช้มาตรการอย่างครบถ้วนในอุตสาหกรรม

เวอร์ชัน 6.0 (ซึ่งเป็นแนวทางเวอร์ชันล่าสุด) กำหนดมาตรฐานการรักษาความปลอดภัยที่เข้มงวดกว่าเวอร์ชันก่อนหน้า ธุรกิจต่างๆ จำเป็นต้องคอยติดตามการปรับปรุงพัฒนาล่าสุดและดำเนินการตามการเปลี่ยนแปลงที่เกิดขึ้น การเปลี่ยนแปลงแก้ไขเหล่านี้ ได้แก่ การจัดการข้อมูลบัตรเครดิตอย่างเหมาะสม การตรวจจับและรับมือตั้งแต่เนิ่นๆ ต่อการใช้งานในลักษณะที่เป็นการฉ้อโกงหรือไม่ได้รับอนุญาต การฝึกอบรมด้านการรักษาความปลอดภัยให้กับพนักงาน และมาตรการต่างๆ เพื่อแก้ไขช่องโหว่ของระบบ

การปฏิบัติตามแนวทางเหล่านี้จะช่วยให้ธุรกิจได้รับความไว้วางใจจากลูกค้าและดำเนินธุรกิจได้อย่างยั่งยืน โดยธุรกิจทั้งหมดจะต้องเข้าใจรายละเอียดของแนวทางล่าสุดและใช้มาตรการที่เหมาะสมในการปฏิบัติตามแนวทางเหล่านั้น

ทำไมแนวทางการรักษาความปลอดภัยของบัตรเครดิตจึงมีความสำคัญ

การสำรวจของ JCA ซึ่งมุ่งเน้นธุรกิจที่ออกบัตรเครดิตของแบรนด์ต่างประเทศในญี่ปุ่น คาดว่าตัวเลขการสูญเสียจากการฉ้อโกงบัตรเครดิตในปี 2024 จะสูงถึงประมาณ 55,500 ล้านเยน ซึ่งเพิ่มขึ้นอย่างมีนัยสำคัญเมื่อเทียบกับปี 2014 ที่มีตัวเลขอยู่เพียง 11,000 ล้านเยน การสูญเสียที่เกิดจากการโจรกรรมหมายเลขคิดเป็นเกือบ 60% ของยอดรวมในปี 2014 โดยเปอร์เซ็นต์นี้เกิน 90% ภายในปี 2024 ซึ่งแสดงให้เห็นถึงช่องโหว่ของธุรกรรมออนไลน์ เช่น ธุรกรรมบนเว็บไซต์อีคอมเมิร์ซ

ตัวเลขเหล่านี้แสดงให้เห็นถึงเหตุผลที่ธุรกิจต้องปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตฉบับล่าสุด แนวทางเหล่านี้อาจช่วยธุรกิจปกป้องลูกค้า ปฏิบัติตามกฎหมาย และรักษาความน่าเชื่อถือของแบรนด์ได้ ในกรณีที่มีการรั่วไหลของข้อมูลหรือการเข้าถึงโดยไม่ได้รับอนุญาตซึ่งไม่น่าเกิดขึ้น ผลที่อาจเกิดขึ้นตามมา ได้แก่ การสูญเสียลูกค้า การสูญเสียจากการดึงเงินคืน บทลงโทษจากหน่วยงานกำกับดูแล หรือการชำระค่าเสียหาย

แนวทางการรักษาความปลอดภัยของบัตรเครดิตเวอร์ชัน 5.0 กับ 6.0 แตกต่างกันอย่างไรบ้าง

แนวทางการรักษาความปลอดภัยของบัตรเครดิตได้รับการปรับปรุงแก้ไขมาแล้วหลายครั้งนับตั้งแต่เปิดตัวครั้งแรกในปี 2020 มาตรการเหล่านี้แบ่งออกเป็น 2 หมวดหมู่ ได้แก่ ธุรกรรมแบบไม่พบหน้ากัน (กล่าวคือ ธุรกรรมแบบอีคอมเมิร์ซ) และธุรกรรมแบบพบหน้ากัน ธุรกิจต่างๆ จำเป็นต้องปฏิบัติตามแนวทางที่กำกับดูแลประเภทธุรกิจของตน เช่น ตอนนี้เวอร์ชัน 6.0 มีมาตรการใหม่ๆ สำหรับธุรกิจอีคอมเมิร์ซ ธุรกิจประเภทนี้จึงต้องปฏิบัติตามแนวทางใหม่เหล่านี้

แนวทางการรักษาความปลอดภัยของบัตรเครดิตมีความละเอียดมาก การทำความเข้าใจประเด็นหลักๆ จะช่วยธุรกิจในการเริ่มใช้งานและรับมือกับมาตรการแต่ละอย่างได้ ในตารางด้านล่างนี้ เราจะเปรียบเทียบเวอร์ชัน 5.0 กับ 6.0 เพื่อช่วยระบุมาตรการต่างๆ ที่เพิ่มเข้ามาในแต่ละแนวทาง

มาตรการ

เวอร์ชัน 5.0

เวอร์ชัน 6.0

การคุ้มครองข้อมูลบัตร

ธุรกิจอีคอมเมิร์ซและธุรกิจแบบพบหน้ากัน

ธุรกิจอีคอมเมิร์ซ

  • นอกเหนือจากรายการในเวอร์ชัน 5.0 แล้ว ธุรกิจต่างๆ จะต้องใช้มาตรการรับมือกับช่องโหว่สำหรับระบบและเว็บไซต์ของตน

ระบบป้องกันการฉ้อโกง

ธุรกิจอีคอมเมิร์ซ

  • จัดตั้งระบบประมวลผลการอนุมัติ
  • ป้องกันการใช้งานในลักษณะที่เป็นการฉ้อโกงหรือไม่ได้รับอนุญาตด้วยความช่วยเหลือจากผู้จัดการที่มีคุณสมบัติเหมาะสมตามที่ระบุไว้ในข้อตกลงของธุรกิจ

ธุรกิจแบบพบหน้ากัน

  • เทอร์มินัลการชำระเงินทั้งหมดต้องเป็นไปตามข้อกำหนด EMV เพื่อช่วยให้สามารถทำธุรกรรมผ่านบัตรที่มีแผงวงจรรวม (IC) ได้

ธุรกิจอีคอมเมิร์ซ

  • นอกเหนือจากรายการในเวอร์ชัน 5.0 แล้ว ธุรกิจต่างๆ จะต้องใช้ Three-Domain (3D) Secure ของ Europay, MasterCard และ Visa (EMV)
  • ใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

การเกิดการฉ้อโกงขึ้นบ่อยครั้ง / ธุรกิจที่มีความเสี่ยงสูง

ธุรกิจอีคอมเมิร์ซ

  • ธุรกิจที่จัดการผลิตภัณฑ์ที่มีความเสี่ยงสูงต้องใช้มาตรการอย่างน้อย 1 ใน 4 อย่างที่ระบุไว้ในแนวทางการรักษาความปลอดภัยของบัตรเครดิต ธุรกิจที่มีประวัติการฉ้อโกงต้องใช้มาตรการอย่างน้อย 2 อย่าง (ข้อกำหนดนี้สิ้นสุดในเวอร์ชัน 5.0)

ธุรกิจอีคอมเมิร์ซ

  • ธุรกิจที่มีประวัติการฉ้อโกงต้องใช้มาตรการที่เหมาะสมในการป้องกันไม่ให้เกิดกิจกรรมที่เป็นการฉ้อโกงคล้ายๆ กันอีกในอนาคต โดยใช้มาตรการเพิ่มเติมจากมาตรการป้องกันการฉ้อโกงที่ระบุไว้ในแนวทางนี้ โดยขึ้นอยู่กับสถานการณ์ของกิจกรรมที่เป็นการฉ้อโกง

ธุรกิจที่จัดการธุรกรรมคำสั่งซื้อทางไปรษณีย์/คำสั่งซื้อทางโทรศัพท์ (MO/TO)

ธุรกิจที่จัดการธุรกรรมแบบ MO/TO

  • จัดตั้งระบบประมวลผลการอนุมัติ
  • กำหนดหน้าที่ในการดูแลในฐานะผู้จัดการที่มีคุณสมบัติเหมาะสมตามที่ระบุไว้ในข้อตกลงของธุรกิจ
  • ผสานการทำงานมาตรการแบบไม่พบหน้ากันเพื่อป้องกันการใช้งานในลักษณะที่เป็นการฉ้อโกงตามความเสี่ยงและความเสียหายที่เกิดขึ้น
  • ธุรกิจที่มีความเสี่ยงสูงต้องใช้มาตรการอย่างน้อย 1 ใน 4 อย่าง ส่วนธุรกิจที่มีประวัติการฉ้อโกงต้องใช้มาตรการอย่างน้อย 2 อย่าง (ข้อกำหนดนี้สิ้นสุดในเวอร์ชัน 5.0)

ธุรกิจที่จัดการธุรกรรมแบบ MO/TO

  • จัดตั้งระบบประมวลผลการอนุมัติ
  • กำหนดหน้าที่ในการดูแลในฐานะผู้จัดการที่มีคุณสมบัติเหมาะสมตามที่ระบุไว้ในข้อตกลงของธุรกิจ
  • ผสานการทำงานมาตรการแบบไม่พบหน้ากันเพื่อป้องกันการใช้งานในลักษณะที่เป็นการฉ้อโกงตามความเสี่ยงและความเสียหายที่เกิดขึ้น

การสนับสนุนธุรกิจ

ธุรกิจอีคอมเมิร์ซ

  • บริษัทบัตรและผู้ให้บริการชำระเงิน (PSP) จะประสานงานและทำงานร่วมกันเพื่อให้คำแนะนำและข้อมูลแก่ธุรกิจอีคอมเมิร์ซ
  • ผู้ให้บริการระบบอีคอมเมิร์ซและธุรกิจอื่นๆ ที่เกี่ยวข้องควรทำความเข้าใจมาตรการรับมือกับช่องโหว่ที่ธุรกิจอีคอมเมิร์ซควรนำมาใช้ และให้บริการด้านการกำหนดค่าและโซลูชันระบบอีคอมเมิร์ซ รวมถึงการบำรุงรักษา การจัดการ คำแนะนำ และข้อมูล

ป้อนหมายเลขประจำตัวส่วนบุคคล (PIN) ในระหว่างการชำระเงินด้วยบัตร

ธุรกิจแบบพบหน้ากัน

มาตรการเพื่อป้องกันการโจรกรรมข้อมูลบัตรเครดิต

ในเวอร์ชัน 5.0 นั้น JCA ได้นำมาตรการคุ้มครองข้อมูลบัตรมาใช้ เช่น การไม่เก็บรักษาข้อมูลและการปฏิบัติตามข้อกำหนดของ PCI DSS มาตรการเหล่านี้มีประสิทธิภาพพอสมควรในการป้องกันเหตุการณ์ที่มีการโจรกรรมข้อมูลบัตรเป็นจำนวนมากภายในระยะเวลาสั้นๆ

แต่ก็มีเหตุการณ์ที่ข้อมูลบัตรรั่วไหลอันเนื่องมาจากการเข้าถึงภายนอกโดยไม่ได้รับอนุญาต ไวรัส หรือการแทรกแซงระบบ เหตุการณ์เช่นนี้เกิดจากมาตรการรับมือกับช่องโหว่ที่ไม่เพียงพอ เช่น มาตรการป้องกันไวรัสในระบบและเว็บไซต์ธุรกิจอีคอมเมิร์ซ การจัดการสิทธิ์ของผู้ดูแลระบบ และการจัดการอุปกรณ์ ดังนั้น เวอร์ชัน 6.0 จึงกำหนดให้ธุรกิจอีคอมเมิร์ซต้องใช้มาตรการรับมือกับช่องโหว่ในระบบและเว็บไซต์ดังต่อไปนี้เพื่อป้องกันการรั่วไหลของข้อมูลบัตร

  • การจำกัดการเข้าถึงหน้าจอการดูแลระบบและการจัดการ ID/รหัสผ่านสำหรับผู้ดูแลระบบ
  • มาตรการเพื่อแก้ไขข้อผิดพลาดในการกำหนดค่าและการมีมาตรการรับมือที่ไม่เพียงพอเกี่ยวกับการเข้าถึงไดเรกทอรีข้อมูล
  • มาตรการรับมือกับช่องโหว่สำหรับแอปบนเว็บ
  • การนำมาใช้และการใช้งานซอฟต์แวร์ป้องกันไวรัสเป็นมาตรการรับมือกับมัลแวร์
  • มาตรการรับมือกับการตรวจสอบความถูกต้องที่เป็นอันตรายและเครดิตมาสเตอร์

เมื่อจ้างให้บุคคลภายนอกสร้าง กำหนดค่า และใช้งานระบบหรือเว็บไซต์อีคอมเมิร์ซ ผู้ทำสัญญาจากภายนอกจะต้องปฏิบัติตามมาตรการรับมือกับช่องโหว่ต่างๆ ที่ธุรกิจอีคอมเมิร์ซต้องนำมาใช้

มาตรการป้องกันการฉ้อโกงเพื่อป้องกันการใช้ข้อมูลบัตร

ในปี 2023 การใช้บัตรในลักษณะที่เป็นการฉ้อโกงในญี่ปุ่นมีมูลค่ากว่า 54,000 ล้านเยน โดย 93% ของจำนวนนี้เกิดจากการโจรกรรมตัวตนในธุรกิจอีคอมเมิร์ซ ดังนั้นจึงมีการเพิ่มมาตรการโดยมุ่งที่จะป้องกันการฉ้อโกงในช่วงก่อนและระหว่างการชำระเงินด้วยบัตร

ต่อไปนี้คือวิธีที่การฉ้อโกงอาจเกิดขึ้นได้ก่อน ระหว่าง และหลังการใช้บัตร

  • ก่อนการชำระเงินด้วยบัตร: มิจฉาชีพอาจลงทะเบียนบัญชีที่เอาไว้ฉ้อโกงหรือใช้ข้อมูลการเข้าสู่ระบบในการฉ้อโกงโดยการแอบอ้างเป็นลูกค้า
  • ระหว่างการชำระเงินด้วยบัตร: มีกรณีต่างๆ ที่ใช้หมายเลขบัตรและข้อมูลบัตรที่เครดิตมาสเตอร์สร้างขึ้นมาโดยไม่ได้รับอนุญาต นอกจากนี้ยังมีการหลอกลวงแบบฟิชชิ่งเพื่อโจรกรรมข้อมูลบัตร บัญชี รหัสผ่าน และข้อมูลคุณลักษณะด้วย
  • หลังจากการชำระเงินด้วยบัตร: อาจมีการนำส่งหรือขายต่อสินค้าในลักษณะที่เป็นการฉ้อโกง ดังนั้นจึงจำเป็นต้องตรวจสอบรายละเอียดคำสั่งซื้อและที่อยู่สำหรับจัดส่ง

เนื่องจากการฉ้อโกงอาจเกิดขึ้นได้ จึงจำเป็นต้องใช้มาตรการต่างๆ ที่กำกับดูแลขั้นตอนในการทำธุรกรรมผ่านบัตร เช่น การป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาตก่อนการชำระเงินด้วยบัตร และการนำ EMV 3D Secure เข้ามาใช้ในระหว่างขั้นตอนการชำระเงินด้วยบัตร

มาตรการเพื่อป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

ในเวอร์ชัน 6.0 เราขอแนะนำมาตรการต่อไปนี้เพื่อป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

  • การจำกัดการเข้าถึงจากที่อยู่โปรโตคอลอินเทอร์เน็ต (IP) ที่น่าสงสัย
  • การยืนยันตัวตนโดยใช้การยืนยันแบบ 2 ขั้นตอนหรือการตรวจสอบสิทธิ์แบบหลายปัจจัย
  • การยืนยันข้อมูลส่วนตัวในระหว่างการลงทะเบียนเป็นสมาชิก
  • การจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบอย่างเข้มงวดยิ่งขึ้น
  • การแจ้งเตือนทางอีเมลและบริการส่งข้อความสั้น (SMS) เมื่อสมาชิกเข้าสู่ระบบหรือเปลี่ยนคุณลักษณะของตน
  • การวิเคราะห์คุณลักษณะและพฤติกรรม
  • การตรวจสอบเอกลักษณ์ของอุปกรณ์

การนำ EMV 3D Secure มาใช้

เวอร์ชัน 6.0 มีมาตรการที่เกี่ยวข้องกับการนำ EMV 3D Secure มาใช้ ธุรกิจอีคอมเมิร์ซต้องดำเนินการดังต่อไปนี้

  • ผสานการทำงาน EMV 3D Secure และดำเนินการตรวจสอบสิทธิ์เพื่อให้แน่ใจว่าธุรกิจสามารถยืนยันตัวตนของเจ้าของบัตรได้อย่างเหมาะสม
  • ปรับปรุงความแม่นยำของการตรวจสอบสิทธิ์แบบอิงตามความเสี่ยง (Risk-Based Authentication หรือ RBA)

การเกิดการฉ้อโกงขึ้นบ่อยครั้งและธุรกิจที่มีความเสี่ยงสูง

ธุรกิจจะถือว่ามีการฉ้อโกงเกิดขึ้นบ่อยครั้งเมื่อมีการเรียกเก็บเงินที่เป็นการฉ้อโกงหลายครั้งอย่างต่อเนื่อง ทั้งนี้ เพื่อวัตถุประสงค์ของแนวทางเหล่านี้ ธุรกิจจะถือว่ามีการฉ้อโกงเกิดขึ้นบ่อยครั้งเมื่อการเรียกเก็บเงินที่เป็นการฉ้อโกงเกิน 500,000 เยนในช่วงสามเดือนต่อเนื่อง

ธุรกิจที่มีความเสี่ยงสูง คือ ธุรกิจที่จัดการสินค้าดิจิทัลเป็นหลัก เช่น เกมออนไลน์ เครื่องใช้ไฟฟ้าในบ้าน เงินอิเล็กทรอนิกส์ ตั๋ว และบริการจองที่พัก ธุรกิจที่มีความเสี่ยงสูงและธุรกิจที่มีการฉ้อโกงเกิดขึ้นสูงจะต้องใช้มาตรการเพิ่มเติม

ในแนวทางจนถึงเวอร์ชัน 5.0 ธุรกิจที่มีประวัติการฉ้อโกงจะต้องใช้มาตรการอย่างน้อย 2 ใน 4 อย่างที่ระบุไว้ในแนวทางการรักษาความปลอดภัยของบัตรเครดิต ธุรกิจที่มีความเสี่ยงสูงจะต้องใช้มาตรการอย่างน้อย 1 อย่าง มาตรการเหล่านี้ ได้แก่ การตรวจสอบสิทธิ์ของเจ้าของบัตร การยืนยันบัตร การวิเคราะห์คุณลักษณะและพฤติกรรม และการยืนยันที่อยู่สำหรับจัดส่ง

อย่างไรก็ตาม ในแนวทางตั้งแต่เวอร์ชัน 6.0 ตอนนี้ธุรกิจจะต้องนำมาตรการเพิ่มเติมและเหมาะสมมาใช้หรือมาตรการที่มีประสิทธิภาพยิ่งขึ้นตามแนวทางแบบแบ่งระดับ แนวทางนี้ควรได้รับการปรับแต่งให้เหมาะกับความเสียหายจริงที่เกิดขึ้นจากการฉ้อโกงและวิธีการเฉพาะที่นำมาใช้ การเปลี่ยนแปลงแนวทางนี้เป็นผลมาจากผลิตภัณฑ์และบริการต่างๆ ที่ธุรกิจสามารถนำเสนอได้ รวมถึงวิธีการต่างๆ ที่มิจฉาชีพสามารถใช้เพื่อสร้างหรือเข้าควบคุมบัญชีได้

ธุรกิจที่จัดการธุรกรรมคำสั่งซื้อทางไปรษณีย์/โทรศัพท์ (MO/TO)

คำว่า "MO/TO" เป็นคำที่มักใช้กันในญี่ปุ่นเพื่อสื่อถึงการขายที่เป็นคำสั่งซื้อทางไปรษณีย์ (MO) และคำสั่งซื้อทางโทรศัพท์ (TO) หรือกล่าวอีกอย่างได้ว่าธุรกิจ MO/TO ประมวลผลการชำระเงินด้วยบัตรทางโทรศัพท์หรือทางไปรษณีย์

ธุรกิจจำนวนมากที่จัดการธุรกรรมแบบ MO/TO ยังทำอีคอมเมิร์ซด้วย ด้วยเหตุนี้ มาตรการ 4 อย่างสำหรับธุรกิจ MO/TO ที่ปรากฏอยู่ในแนวทางจนถึงเวอร์ชัน 5.0 จึงได้รับการปรับปรุงแก้ไขแล้ว มาตรการต่อไปนี้ยังคงจำเป็นสำหรับธุรกิจ MO/TO ในเวอร์ชัน 6.0 ต่อไป

  • การจัดตั้งระบบประมวลผลการอนุมัติ
  • หน้าที่ในการดูแลในฐานะผู้จัดการที่มีคุณสมบัติเหมาะสมตามที่ระบุไว้ในข้อตกลงของธุรกิจ
  • การผสานการทำงานของมาตรการแบบไม่พบหน้ากันเพื่อป้องกันการใช้งานในลักษณะที่เป็นการฉ้อโกงตามความเสี่ยงและความเสียหายที่เกิดขึ้น

การสนับสนุนธุรกิจ

บริษัทบัตรเครดิตและผู้ให้บริการชำระเงินต้องให้ข้อมูลและการสนับสนุนเกี่ยวกับมาตรการรับมือกับช่องโหว่ที่ธุรกิจอีคอมเมิร์ซควรนำมาใช้

นอกจากนี้ ผู้ให้บริการระบบและธุรกิจอื่นๆ จะต้องปฏิบัติตามมาตรการรับมือกับช่องโหว่เมื่อจัดการกับการสร้างและกำหนดค่าเว็บไซต์อีคอมเมิร์ซ รวมถึงจะต้องให้คำแนะนำและการสนับสนุนแก่ธุรกิจอีคอมเมิร์ซในการดำเนินงานและบำรุงรักษาเว็บไซต์ด้วย

การป้อน PIN สำหรับการชำระเงินด้วยบัตร

ตั้งแต่เดือนเมษายน 2025 ธุรกิจที่ทำธุรกรรมที่จุดขายไม่จำเป็นต้องยืนยันตัวตนของลูกค้าด้วยลายเซ็นในระหว่างการชำระเงินด้วยบัตรอีกต่อไป แต่ต้องขอให้ลูกค้าป้อน PIN แทน

ขั้นตอนในการปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิต

ธุรกิจต้องใช้มาตรการต่างๆ เพื่อป้องกันไม่ให้ข้อมูลบัตรถูกโจรกรรมและนำไปใช้ ด้านล่างนี้คือลำดับเหตุการณ์ที่นำไปสู่การโจรกรรมและการใช้ข้อมูลบัตรในลักษณะที่เป็นการฉ้อโกง จากนั้น เราจะสรุปมาตรการที่ควรดำเนินการในแต่ละขั้นตอน

หากต้องการปฏิบัติตามเวอร์ชัน 6.0 ธุรกิจจะต้องใช้มาตรการหลายๆ ด้านที่เหมาะกับประเภทอุตสาหกรรมและรูปแบบธุรกรรมของตนโดยเฉพาะ นอกจากนี้ ธุรกิจต้องกำหนดโครงสร้างองค์กรภายในที่เหมาะสมด้วย

ต่อไปนี้เป็นตัวอย่างบางส่วนแบบเฉพาะเจาะจงซึ่งแสดงให้เห็นว่าธุรกิจจะปฏิบัติตามแนวทางต่อไปได้อย่างไร

ประเมินสถานะปัจจุบันและปัญหาในการปฏิบัติตามข้อกำหนด

ขั้นตอนแรก คือ ธุรกิจต้องประเมินระดับการรักษาความปลอดภัยของตนและพิจารณาว่าระดับการรักษาความปลอดภัยเป็นอย่างไรเมื่อเปรียบเทียบกับแนวทางในเวอร์ชัน 6.0 การประเมินนี้จะช่วยให้ธุรกิจพบจุดแตกต่างระหว่างแนวทางที่ปฏิบัติจริงกับระเบียบข้อบังคับ ต่อไปนี้คือคำถาม 2-3 ข้อที่ธุรกิจใช้ยืนยันสถานะปัจจุบันของข้อมูลบัตรและมาตรการด้านระบบป้องกันการฉ้อโกงได้

มาตรการเพื่อป้องกันการโจรกรรมข้อมูลบัตร

  • มีการจำกัดการเข้าถึงหน้าจอการจัดการหรือไม่
  • มีการจัดการ ID ผู้ดูแลระบบและรหัสผ่านอย่างถูกต้องหรือไม่
  • ไฟล์สำคัญๆ ได้ถูกนำออกจากไดเรกทอรีสาธารณะหรือไม่
  • แอปบนเว็บมีช่องโหว่หรือไม่
  • ได้จัดให้มีมาตรการป้องกันมัลแวร์หรือไม่
  • มีการติดตั้งใช้งานซอฟต์แวร์ป้องกันไวรัสหรือไม่
  • ได้จัดให้มีมาตรการป้องกันเครดิตมาสเตอร์หรือไม่

มาตรการป้องกันการใช้ข้อมูลบัตร

  • มีการใช้ EMV 3D Secure หรือไม่
  • มีการจำกัดการเข้าถึงจากที่อยู่ IP ที่น่าสงสัยหรือไม่
  • มีการใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยหรือหลายปัจจัยเพื่อยืนยันตัวตนของลูกค้าหรือไม่
  • มีการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบหรือไม่ ระบบจะล็อกบัญชีลูกค้าเอาไว้หรือไม่หากมีการพยายามเข้าสู่ระบบที่ไม่สำเร็จครบตามจำนวนครั้งแล้ว
  • มีการตรวจสอบการเปลี่ยนแปลงข้อมูลสมาชิก (เช่น ที่อยู่อีเมล ที่อยู่บ้าน หมายเลขโทรศัพท์) หรือไม่
  • มีการค้นหาธุรกรรมที่เป็นการฉ้อโกงตามการประเมินความเสี่ยงโดยใช้ข้อมูลธุรกรรมที่ผ่านมา (กล่าวคือ ระบบตรวจจับการฉ้อโกง) หรือไม่
  • สามารถระบุอุปกรณ์โดยใช้เทคโนโลยีเกี่ยวกับลายนิ้วมือได้หรือไม่

กำหนดลำดับความสำคัญ

มาตรการรักษาความปลอดภัยควรเป็นมากกว่าการใช้มาตรการหลายๆ อย่างร่วมกัน แต่มาตรการดังกล่าวควรได้รับการพิจารณาตามธุรกิจและสถานการณ์ของธุรกิจนั้นๆ ธุรกิจสามารถวิเคราะห์ระดับความเสี่ยงของตนเพื่อพิจารณาว่าต้องใช้มาตรการใดบ้างจากรายการข้างต้น วิธีนี้จะช่วยให้ธุรกิจสามารถใช้แนวทางแบบหลายระดับในการปฏิบัติตามมาตรการเหล่านั้นได้

การตรวจสอบและการฝึกอบรมพนักงานเป็นประจำ

การฉ้อโกงนั้นซับซ้อนขึ้นเรื่อยๆ เมื่อธุรกิจนำมาตรการรักษาความปลอดภัยแบบใหม่ๆ เข้ามาใช้ วิธีการฉ้อโกงก็พัฒนาขึ้นเพื่อรับมือกับมาตรการดังกล่าวเช่นกัน ด้วยเหตุนี้ มาตรการทางเทคนิค แนวคิดริเริ่มด้านองค์กร และการฝึกอบรมพนักงานจึงเป็นเรื่องจำเป็น นอกจากนี้ ธุรกิจควรสนับสนุนให้มีการตรวจสอบความเสี่ยงต่อการฉ้อโกงตั้งแต่เนิ่นๆ โดยจัดให้มีการตรวจสอบอย่างต่อเนื่อง

การไม่ปฏิบัติตามแนวทางการรักษาความปลอดภัยของบัตรเครดิตจะส่งผลให้เกิดอะไรตามมาบ้าง

การไม่ปฏิบัติตามแนวทางต่างๆ อาจส่งผลกระทบร้ายแรงต่อการดำเนินธุรกิจ ความเสี่ยงหลักๆ จากการไม่ปฏิบัติตามแนวทางดังกล่าวมีดังต่อไปนี้

การรั่วไหลของข้อมูลและการสูญเสียความไว้วางใจ

การรั่วไหลของข้อมูลส่วนตัวอาจบั่นทอนความน่าเชื่อถือของธุรกิจ ซึ่งนำไปสู่การสูญเสียลูกค้าและส่งผลให้แบรนด์เสียหายเมื่อสื่อนำไปพูดถึง

ความสูญเสียทางการเงินและการดึงเงินคืน

การดึงเงินคืนและการชำระเงินชดเชยเนื่องจากการฉ้อโกงอาจเป็นภาระอันใหญ่หลวง โดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดเล็กและขนาดกลาง

บทลงโทษจากหน่วยงานกำกับดูแลหรือการระงับการดำเนินธุรกิจ

หากหน่วยงานกำกับดูแลพบว่ามีการละเมิดแนวทางดังกล่าว ธุรกิจอาจได้รับคำสั่งให้ปรับปรุงหรือถูกระงับการดำเนินธุรกิจได้

เหตุใดธุรกิจจึงควรมีมาตรการรักษาความปลอดภัยอย่างต่อเนื่อง

แนวทางการรักษาความปลอดภัยของบัตรเครดิตเป็นแนวทางที่ปฏิบัติได้จริงสำหรับการเตรียมพร้อมรับมือกับความเสี่ยงของการฉ้อโกงที่เปลี่ยนแปลงอยู่ตลอดเวลา แนวทางเวอร์ชัน 6.0 กำหนดให้มีการปฏิบัติตามข้อกำหนดด้านการไม่เก็บรักษาข้อมูลและ PCI DSS รวมถึงการนำมาตรการรับมือกับช่องโหว่ที่เหมาะสมกับแต่ละธุรกิจโดยเฉพาะเข้ามาใช้ โดยมาตรการรับมือเหล่านี้จะอิงตามแนวทางในสายธุรกิจนั้นๆ

ธุรกิจที่นำมาตรการเหล่านี้มาใช้ล่าช้าหรือหลีกเลี่ยงมาตรการดังกล่าวอาจเสี่ยงที่จะเสียความไว้วางใจจากลูกค้าไป และยังต้องเผชิญกับภัยคุกคามต่ออนาคตของธุรกิจด้วย คุณควรใช้แพลตฟอร์มการชำระเงินที่ครอบคลุมซึ่งเป็นไปตามข้อกำหนดของ PCI DSS เช่น Stripe Payments เมื่อใช้วิธีนี้ ธุรกิจของคุณก็จะสร้างสภาพแวดล้อมที่เป็นไปตามแนวทางเวอร์ชันล่าสุดได้อย่างค่อยเป็นค่อยไป

เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Payments

Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด

Stripe Docs เกี่ยวกับ Payments

ค้นหาคู่มือเกี่ยวกับการเชื่อมต่อ Payments API ของ Stripe