ความสูญเสียจากการหลอกลวงและการฉ้อโกงบัตรมีมูลค่ารวม $194 ล้านดอลลาร์นิวซีแลนด์ (NZD) ในปี 2024 และยังคงเพิ่มขึ้นอย่างต่อเนื่อง แม้กฎหมายนิวซีแลนด์จะไม่ได้กำหนดไว้ แต่ธุรกิจที่รับชำระเงินด้วยบัตรในประเทศก็ควรปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน (PCI DSS) เครือข่ายบัตรบังคับให้ปฏิบัติตามข้อกำหนดผ่านข้อตกลงผู้ค้า การไม่ปฏิบัติตามอาจส่งผลให้ถูกปรับ ต้นทุนการทำธุรกรรมสูงขึ้น หรือสูญเสียความสามารถในการรับชำระเงินด้วยบัตรได้
ด้านล่างนี้ เราจะพูดถึงข้อกำหนด PCI DSS ความท้าทายทั่วไปในการปฏิบัติตามข้อกำหนดที่ธุรกิจในนิวซีแลนด์ต้องเผชิญ และวิธีปฏิบัติตามข้อกำหนดให้สำเร็จ
ประเด็นสำคัญ
การปฏิบัติตามข้อกำหนด PCI DSS จะบังคับใช้ผ่านข้อตกลงผู้ค้ากับเครือข่ายบัตรและธนาคารผู้รับบัตร แทนที่จะใช้กฎหมายของนิวซีแลนด์ อย่างไรก็ตาม ผลที่ตามมาทางการเงินและการดำเนินงานจากการไม่ปฏิบัติตามนั้นมีมากทีเดียว
ขอบเขตของภาระผูกพันในการปฏิบัติตามข้อกำหนดขึ้นอยู่กับปริมาณข้อมูลเจ้าของบัตรที่ระบบของคุณจัดการ คุณทำให้ขั้นตอนการปฏิบัติตามข้อกำหนดง่ายขึ้นได้โดยการลดความเสี่ยงของคุณ
การเลือกแบบสอบถามประเมินตนเอง (SAQ) ที่เหมาะสมและการกำหนดผู้รับผิดชอบภายในที่ชัดเจนคือหนึ่งในการตัดสินใจที่สำคัญที่สุดสองประการซึ่งส่งผลต่อความสำเร็จในการปฏิบัติตามข้อกำหนดของธุรกิจในนิวซีแลนด์
การปฏิบัติตามข้อกำหนดของ PCI ในนิวซีแลนด์คืออะไร
การปฏิบัติตามข้อกำหนดของ PCI หมายถึงการปฏิบัติตามข้อกำหนดของ PCI DSS ระดับโลกเกี่ยวกับเครือข่ายที่ปลอดภัย ข้อมูลเจ้าของบัตร ตลอดจนการควบคุมการเข้าถึงและความปลอดภัยของข้อมูล ธุรกิจทั้งหมดที่จัดการกับข้อมูลเจ้าของบัตรรวมถึงคาเฟ่ที่รับชำระเงินด้วยการแตะไปจนถึงบริษัทซอฟต์แวร์ที่เรียกเก็บเงินจากผู้ใช้บริการทั่วโลกต้องปฏิบัติตามมาตรการเหล่านี้
เหตุใดการปฏิบัติตามข้อกำหนดของ PCI จึงมีความสำคัญต่อธุรกิจในนิวซีแลนด์
ความสูญเสียจากการฉ้อโกงบัตรในนิวซีแลนด์มีมูลค่าหลายร้อยล้านดอลลาร์สหรัฐต่อปี การปฏิบัติตามข้อกำหนดช่วยปกป้องข้อมูลเจ้าของบัตรและลดความเสี่ยงในการเกิดการฉ้อโกง
ผลที่ตามมาจากการไม่ปฏิบัติตามข้อกำหนดแบ่งออกเป็น 2-3 ประเภทดังนี้
ค่าปรับ: เครือข่ายการชำระเงินและธนาคารผู้ให้บริการรับชำระเงินอาจเรียกเก็บค่าปรับ ซึ่งอาจมีตั้งแต่หลายร้อยจนถึงหลายแสนดอลลาร์สหรัฐ ขึ้นอยู่กับความร้ายแรงของการละเมิด
ต้นทุนการทำธุรกรรมที่เพิ่มขึ้น: ธนาคารผู้ให้บริการรับชำระเงินสามารถย้ายธุรกิจที่ไม่ปฏิบัติตามข้อกำหนดไปยังระดับอินเตอร์เชนจ์ที่สูงขึ้น
ความรับผิดชอบต่อความสูญเสียจากการฉ้อโกง: หากเกิดการละเมิดและคุณไม่ได้ปฏิบัติตามข้อกำหนดในขณะนั้น ประกันของคุณและธนาคารผู้ให้บริการรับชำระเงินอาจถือว่าคุณต้องรับผิดชอบค่าใช้จ่ายของธุรกรรมที่เป็นการฉ้อโกง การออกบัตรทดแทน และการสืบสวนทางนิติเวช
การยกเลิกการรับบัตร: ในกรณีร้ายแรง ธนาคารผู้ให้บริการรับชำระเงินหรือผู้ประมวลผลการชำระเงินอาจเพิกถอนสิทธิ์ในการรับการชำระเงินด้วยบัตรของคุณ
นอกจากนี้ยังมีความเสียหายต่อชื่อเสียงด้วย Privacy Act 2020 ของนิวซีแลนด์กำหนดให้ธุรกิจต้องแจ้งบุคคลที่ได้รับผลกระทบและPrivacy Commissionerหลังจากเกิดการละเมิดความเป็นส่วนตัวซึ่งก่อให้เกิดอันตรายร้ายแรง
การปฏิบัติตามข้อกำหนดของ PCI ทำงานอย่างไร
PCI DSS จัดระเบียบข้อกำหนดตามสภาพแวดล้อมข้อมูลเจ้าของบัตร (CDE) ซึ่งเป็นระบบ บุคคล และขั้นตอนที่จัดเก็บ ดำเนินการ หรือส่งผ่านข้อมูลเจ้าของบัตร ขอบเขตของภาระผูกพันการปฏิบัติตามข้อกำหนดของคุณขึ้นอยู่กับขนาดและรูปแบบของ CDE เป็นส่วนใหญ่
มาตรฐานปัจจุบันคือ PCI DSS 4.x ซึ่งคณะกรรมการมาตรฐานความปลอดภัยเผยแพร่เมื่อเดือนมีนาคม 2022 พร้อมด้วยกำหนดเวลาช่วงเปลี่ยนผ่านที่ทำให้เป็นเวอร์ชันที่ใช้งานเพียงเวอร์ชันเดียวในเดือนมีนาคม 2024\ เวอร์ชัน 4.0 มีการเปลี่ยนแปลงครั้งใหญ่ขึ้นซึ่งให้ความยืดหยุ่นมากขึ้นในวิธีที่ธุรกิจต่างๆ จะปฏิบัติตามข้อกำหนดบางประการได้ มีการอัปเดตย่อยๆ ออกมาตั้งแต่นั้นมา แต่หลักการหลักยังคงเหมือนเดิม การปฏิบัติตามข้อกำหนดได้รับการตรวจสอบผ่าน SAQ หรือการตรวจสอบอย่างเป็นทางการโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติ (QSA) อีกทั้งยังขึ้นอยู่กับปริมาณธุรกรรมและวิธีที่คุณจัดการกับข้อมูลบัตรดังนี้
SAQ A: โดยทั่วไปเป็นเส้นทางที่ง่ายที่สุด ซึ่งใช้กับธุรกิจที่จ้างหน่วยงานภายนอกดูแลการประมวลผลบัตรทั้งหมดและไม่ได้สัมผัสข้อมูลเจ้าของบัตรเอง
SAQ A-EP: มักจะใช้ในกรณีที่คุณใช้หน้าการชำระเงินของบุคคลที่สาม แต่เว็บไซต์ของคุณเองจะจัดการการเปลี่ยนเส้นทาง
SAQ D: เส้นทางที่ครอบคลุมที่สุด SAQ D ใช้กับธุรกิจที่จัดเก็บข้อมูลเจ้าของบัตรหรือดำเนินการในวิธีที่ไม่เข้าข่ายหมวดหมู่ที่เรียบง่ายกว่า
ผู้ค้าระดับ 1: ผู้ค้าระดับ 1 เช่น ผู้ที่ดำเนินการธุรกรรมบัตร Visa หรือ Mastercard มากกว่า 6 ล้านรายการต่อปี ต้องส่งรายงานการปฏิบัติตามข้อกำหนด (ROC) โดย QSA
ธุรกิจในนิวซีแลนด์ขนาดเล็กถึงขนาดกลางหลายแห่งจะมีคุณสมบัติตรงตามหนึ่งในเส้นทาง SAQ ซึ่งจะเป็นเส้นทางใดนั้นขึ้นอยู่กับรูปแบบการผสานการทำงานสำหรับการชำระเงินของคุณเป็นหลัก
ข้อกำหนดในการปฏิบัติตามข้อกำหนดของ PCI สำหรับธุรกิจในนิวซีแลนด์มีอะไรบ้าง
PCI DSS ประกอบด้วยข้อกำหนดหลัก 12 ประการ ข้อกำหนดเหล่านี้จัดอยู่ใน 6 วัตถุประสงค์ในการควบคุมดังนี้
1. สร้างและดูแลรักษาเครือข่ายที่ปลอดภัย
ติดตั้งและดูแลรักษาการควบคุมความปลอดภัยของเครือข่าย นี่คือรากฐานสำคัญของการปฏิบัติตามข้อกำหนดที่สำเร็จ
2. ปกป้องข้อมูลบัญชี
ใช้การเข้ารหัสที่รัดกุมเพื่อปกป้องข้อมูลเจ้าของบัตรที่จัดเก็บไว้ ห้ามเก็บรหัสยืนยันบัตรหลังจากได้รับการอนุมัติแล้ว และต้องตรวจสอบให้แน่ใจว่าการรับส่งข้อมูลเจ้าของบัตรนั้นได้รับการเข้ารหัสในเครือข่ายสาธารณะแบบเปิด
3. ดูแลรักษาโปรแกรมจัดการช่องโหว่
ปกป้องระบบจากมัลแวร์ และพัฒนาระบบตลอดจนซอฟต์แวร์ให้มีความปลอดภัย ซึ่งรวมถึงกำหนดการแพตช์ การสแกนหาช่องโหว่ และการทดสอบความปลอดภัยของใบสมัครใช้งาน
4. ใช้มาตรการควบคุมการเข้าถึงที่รัดกุม
ข้อมูลเจ้าของบัตรควรเป็นแบบจำกัดตามความจำเป็นที่ต้องทราบ ตรวจสอบสิทธิ์ผู้ใช้ทุกคนด้วยข้อมูลประจำตัวที่ไม่ซ้ำกัน และจำกัดการเข้าถึงระบบที่จัดเก็บหรือดำเนินการข้อมูลเจ้าของบัตรทางกายภาพ
5. ตรวจสอบและทดสอบเครือข่าย
ตรวจสอบและบันทึกการเข้าถึงทรัพยากรเครือข่ายและข้อมูลเจ้าของบัตรทั้งหมด ทดสอบระบบรักษาความปลอดภัยและขั้นตอนเป็นประจำ ดำเนินการสแกนหาช่องโหว่และการทดสอบเจาะระบบในสภาพแวดล้อมต่างๆ
6. รักษานโยบายความปลอดภัยของข้อมูล
รักษานโยบายที่ครอบคลุมความปลอดภัยของข้อมูลสำหรับบุคลากรทุกคน รวมถึงการฝึกอบรมและความรับผิดชอบที่ชัดเจน
ข้อกำหนดบางประการอาจตกเป็นความรับผิดชอบของผู้ให้บริการได้ หากธุรกิจในนิวซีแลนด์ได้ผสานการทำงานระบบออนไลน์หรือการชำระเงินที่จุดขายอย่างเหมาะสม
ธุรกิจในนิวซีแลนด์เผชิญกับความท้าทายใดบ้างในการปฏิบัติตามข้อกำหนดของ PCI
การปฏิบัติตามข้อกำหนดของ PCI อาจทำให้ธุรกิจในนิวซีแลนด์สะดุดได้ในรูปแบบที่คาดเดาได้ เมื่อคุณมองเห็นว่ามีอะไรผิดพลาด การปฏิบัติตามข้อกำหนดก็จะสามารถจัดการได้
ขอบเขตใหญ่กว่าที่คาดไว้
ปัญหาการปฏิบัติตามข้อกำหนดที่พบบ่อยคือการประเมินขอบเขตของ CDE ต่ำเกินไป ระบบใดก็ตามที่เชื่อมต่อกับ CDE ของคุณ (ไม่ว่าคุณจะรู้ตัวหรือไม่ก็ตาม) จะอยู่ภายใต้ข้อกำหนดของ PCI DSS ธุรกิจอาจค้นพบว่า CDE ของตนใหญ่กว่าที่คิดไว้มากเมื่อเริ่มจัดทำแผนผังการไหลเวียนของข้อมูล
โครงสร้างพื้นฐานเดิม
ธุรกิจหลายแห่งในนิวซีแลนด์อาจใช้ฮาร์ดแวร์ระบบบันทึกการขาย (POS) รุ่นเก่าและซอฟต์แวร์ในองค์กรที่ไม่ได้ออกแบบมาเพื่อ PCI DSS 4.0 การอัปเกรดอาจมีราคาแพงและก่อให้เกิดการหยุดชะงัก การรักษาการปฏิบัติตามข้อกำหนดด้วยระบบเดิมอาจหมายถึงความซับซ้อนที่เพิ่มขึ้น
ความเข้าใจผิดว่าการจ้างหน่วยงานภายนอกครอบคลุมเรื่องใดบ้าง
การใช้ผู้ให้บริการการชำระเงินที่เป็นไปตามข้อกำหนด PCI ไม่ได้หมายความว่าธุรกิจของคุณจะเป็นไปตามข้อกำหนดโดยอัตโนมัติ ตัวอย่างเช่น เว็บไซต์ของคุณอาจมีช่องโหว่ที่ทำให้ผู้โจมตีสกัดกั้นข้อมูลบัตรก่อนที่จะไปถึงแบบฟอร์มการชำระเงินของผู้ให้บริการได้ และการละเมิดนั้นจะกลายเป็นปัญหาของคุณ คุณต้องกำหนดขอบเขตความรับผิดชอบของคุณและความรับผิดชอบของผู้ให้บริการให้ชัดเจน
การลาออกของพนักงานและช่องว่างในการฝึกอบรม
PCI DSS กำหนดให้มีการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยสำหรับบุคลากรทุกคนที่โต้ตอบกับข้อมูลเจ้าของบัตร ซึ่งอาจเป็นเรื่องยากที่จะจัดการฝึกอบรมให้เป็นปัจจุบันเสมอในอุตสาหกรรมที่มีอัตราการลาออกสูง
ปัญหาในการเลือก SAQ
ตรวจสอบให้แน่ใจว่าคุณเลือก SAQ ที่เหมาะสม ธุรกิจที่คิดว่าตนมีคุณสมบัติตรงตาม SAQ A แต่แท้จริงแล้วยังมีส่วนร่วมในการประมวลผลข้อมูลเจ้าของบัตรอยู่ อาจรายงานภาระผูกพันในการปฏิบัติตามข้อกำหนดของตนต่ำกว่าความเป็นจริงมาก
ธุรกิจในนิวซีแลนด์จะมั่นใจได้อย่างไรว่ามีการปฏิบัติตามข้อกำหนดของ PCI
วิธีที่ดีในการลดภาระการปฏิบัติตามข้อกำหนดคือการลดสภาพแวดล้อมข้อมูลเจ้าของบัตร
พิจารณาแนวทางต่อไปนี้
ใช้ผู้ให้บริการชำระเงินที่เก็บข้อมูลบัตรไว้นอกระบบของคุณ
ผู้ให้บริการการชำระเงินอย่าง Stripe ที่ใช้การแปลงเป็นโทเค็นและฟิลด์การชำระเงินที่โฮสต์จะเก็บข้อมูลบัตรเข้าสู่สภาพแวดล้อมโดยตรงเพื่อไม่ให้เซิร์ฟเวอร์ของคุณได้รับหมายเลขบัตรดิบ เมื่อรวมกับการรับรองผู้ให้บริการ PCI ระดับ 1 แล้ว วิธีนี้จะช่วยให้แนวทางการปฏิบัติตามข้อกำหนดของหลายๆ ธุรกิจง่ายขึ้นได้
จัดทำแผนผังการไหลเวียนของข้อมูลของคุณก่อน
คุณไม่สามารถกำหนดขอบเขตการประเมิน PCI ได้หากไม่ทราบว่าข้อมูลเจ้าของบัตรไปอยู่ที่ใด ทำแผนผังทุกระบบที่อาจสัมผัสข้อมูลบัตรอย่างเคร่งครัด จากนั้น ทุกครั้งที่คุณเพิ่มการผสานการทำงานใหม่ อัปเดตขั้นตอนการชำระเงิน หรือเปลี่ยนระบบการจัดการความสัมพันธ์กับลูกค้า (CRM) ให้อัปเดตแผนผังนั้นด้วย
รับ SAQ ที่เหมาะสม
พูดคุยกับธนาคารผู้รับบัตรของคุณหรือ QSA ก่อนเลือก SAQ เครือข่ายบัตรเผยแพร่เกณฑ์คุณสมบัติของ SAQ และการตัดสินใจที่ถูกต้องก็ไม่ได้ชัดเจนเสมอไป หากคุณเลือกผิดตั้งแต่แรก การตัดสินใจเกี่ยวกับการปฏิบัติตามข้อกำหนดในภายหลังจะยิ่งทำให้เกิดข้อผิดพลาดมากขึ้น
ให้ความสำคัญกับการทดสอบการเจาะระบบอย่างจริงจัง
การทดสอบการเจาะระบบส่งผลอย่างมากต่อความสำเร็จของการปฏิบัติตามข้อกำหนดของคุณ การทดสอบ CDE อย่างแท้จริง รวมถึงหน้าการชำระเงิน กลไกการตรวจสอบสิทธิ์ และการแบ่งกลุ่มเครือข่ายภายใน อาจเผยให้เห็นช่องโหว่ที่การสแกนอัตโนมัติมองข้ามไปได้
กำหนดผู้รับผิดชอบภายในให้ชัดเจน
การปฏิบัติตามข้อกำหนดของ PCI อาจตกหล่นได้เมื่อสันนิษฐานว่ามีคนคอยดูแลอยู่ เช่น ไอที CFO ของคุณ หรือใครก็ตามที่ตั้งค่าระบบการชำระเงินไว้แต่แรก ข้อกำหนดแต่ละรายการต้องได้รับการมอบหมายให้กับบุคคลที่กำหนด
สร้างการรวบรวมหลักฐานเข้ากับการดำเนินงานของคุณ
ผู้ประเมินต้องการหลักฐาน การสแกนช่องโหว่ บันทึกการเข้าถึง บันทึกการฝึกอบรม และประวัติแพตช์ต้องมีอยู่และเรียกคืนได้ การสร้างเอกสารนั้นเข้ากับการดำเนินงานตามปกติของคุณจะยุ่งยากน้อยกว่าการสร้างขึ้นใหม่ก่อนการประเมิน
Stripe Connect ช่วยอะไรได้บ้าง
Stripe Connect จะจัดการในการรับส่งเงินระหว่างหลายฝ่ายสำหรับแพลตฟอร์มซอฟต์แวร์และมาร์เก็ตเพลส โดยมีกระบวนการเริ่มต้นใช้งานที่รวดเร็ว มีองค์ประกอบแบบผสานรวม มีการเบิกจ่ายทั่วโลก และอื่นๆ อีกมากมาย
Connect สามารถช่วยคุณทำสิ่งต่อไปนี้
เปิดตัวได้ภายในไม่กี่สัปดาห์: ใช้ฟังก์ชันที่จัดการอัตโนมัติโดย Stripe หรือแบบผสานรวมเพื่อให้เริ่มให้บริการได้เร็วขึ้นโดยไม่ต้องมีค่าใช้จ่ายล่วงหน้าหรือเสียเวลาไปกับการพัฒนาระบบที่มักต้องใช้สำหรับการให้บริการสนับสนุนด้านการชำระเงิน
จัดการการชำระเงินจำนวนมาก: ใช้เครื่องมือและบริการจาก Stripe แล้วไม่ต้องสิ้นเปลืองทรัพยากรเพิ่มเติมไปกับการรายงานส่วนต่างกำไร แบบฟอร์มภาษี ความเสี่ยง วิธีการชำระเงินทั่วโลก หรือการปฏิบัติตามข้อกำหนดเกี่ยวกับกระบวนการเริ่มต้นใช้งาน
ขยายธุรกิจไปทั่วโลก: ช่วยให้ผู้ใช้ของคุณเข้าถึงลูกค้าทั่วโลกได้มากขึ้นด้วยวิธีการชำระเงินในท้องถิ่นและความสามารถในการคำนวณภาษีการขาย ภาษีมูลค่าเพิ่ม และ GST ได้อย่างง่ายดาย
สร้างช่องทางรายรับใหม่ๆ: เพิ่มประสิทธิภาพให้รายรับจากการชำระเงินด้วยการเรียกเก็บค่าธรรมเนียมจากธุรกรรมแต่ละรายการ สร้างรายได้จากความสามารถของ Stripe ด้วยการเปิดใช้การชำระเงินที่จุดขาย การเบิกจ่ายทันที การเรียกเก็บภาษีการขาย การจัดหาเงินทุน บัตรชำระค่าใช้จ่าย และอื่นๆ อีกมากมายบนแพลตฟอร์มของคุณ
ดูข้อมูลเพิ่มเติมเกี่ยวกับ Stripe Connect หรือเริ่มใช้งานเลยวันนี้
เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ