What is the cardholder data environment (CDE)?

Payments
Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด ตั้งแต่ธุรกิจสตาร์ทอัพไปจนถึงองค์กรใหญ่ระดับโลก

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. CDE มีบทบาทอย่างไรในอุตสาหกรรมบัตรชําระเงิน
  3. องค์ประกอบ ข้อกําหนด และประเภทข้อมูลภายใน CDE
    1. องค์ประกอบ
    2. ข้อกําหนด
    3. ประเภทข้อมูล
  4. ข้อกําหนดด้าน CDE ของ PCI DSS
  5. วิธีการสร้างและดูแล CDE ให้ปลอดภัย
  6. วิธีจัดการกับการละเมิด CDE

สภาพแวดล้อมข้อมูลของเจ้าของบัตร (CDE) หมายถึงกลไกที่ประมวลผล ส่ง หรือจัดเก็บข้อมูลเจ้าของบัตรภายในธุรกิจ โดยรวมถึงองค์ประกอบของระบบทั้งหมดที่เกี่ยวข้องโดยตรงในการจัดการข้อมูลของเจ้าของบัตร ซึ่งอาจประกอบด้วยซอฟต์แวร์ ฮาร์ดแวร์ และขั้นตอนหรือนโยบายอื่นๆ ที่ส่งผลต่อความปลอดภัยของธุรกรรมบัตรเครดิตและข้อมูล

ต่อไปนี้เราจะอธิบายสิ่งที่คุณควรทราบเกี่ยวกับ CDE รวมถึงบทบาทของ CDE ในการชําระเงิน วิธีการทํางาน และวิธีในการสร้างสภาพแวดล้อมการชำระเงินที่แข็งแกร่ง ปลอดภัย และน่าเชื่อถือสำหรับธุรกิจ

บทความนี้ให้ข้อมูลอะไรบ้าง

  • CDE มีบทบาทอย่างไรในอุตสาหกรรมบัตรชําระเงิน
  • องค์ประกอบ ข้อกําหนด และประเภทข้อมูลภายใน CDE
  • ข้อกําหนดของ PCI DSS สําหรับ CDE
  • วิธีการสร้างและดูแล CDE ให้ปลอดภัย
  • วิธีจัดการกับการละเมิด CDE

CDE มีบทบาทอย่างไรในอุตสาหกรรมบัตรชําระเงิน

CDE คือโครงสร้างพื้นฐานสําหรับประมวลผล เก็บ หรือส่งรายละเอียดบัตรชําระเงินภายในธุรกิจ สภาพแวดล้อมนี้ครอบคลุมถึงระบบทางเทคนิคและการดําเนินงานทั้งหมดที่จัดการข้อมูลบัตรชําระเงิน ต่อไปนี้คือภาพรวมของการทำงานข้อสําคัญๆ ของ CDE ภายในระบบนิเวศการชําระเงินในวงกว้าง

  • การคุ้มครองข้อมูลเจ้าของบัตร: ธุรกิจต่างๆ ใช้ CDE เพื่อปกป้องข้อมูลการชําระเงินของลูกค้าจากการเข้าถึงที่ไม่ได้รับอนุญาตและการละเมิดข้อมูล ในปี 2021 มีการละเมิดดังกล่าวมากกว่า 4,100เหตุการณ์ จากรายงานของ Flashpoint และ Risk Based Security การใช้สภาพแวดล้อมการทํางานที่จัดสรรโดยเฉพาะจะช่วยให้ธุรกิจใช้มาตรการรักษาความปลอดภัยโดยมุ่งเน้นจุดที่จำเป็นมากที่สุดได้

  • การปฏิบัติตามมาตรฐาน: องค์กรที่จัดการข้อมูลเจ้าของบัตรจะต้องปฏิบัติตามมาตรฐานการรักษาความปลอดภัยข้อมูลสําหรับอุตสาหกรรมบัตรชําระเงิน (PCI DSS) โดย CDE เป็นที่ที่องค์กรเหล่านี้ทุ่มเทการดำเนินงานเพื่อให้เป็นไปตามตามมาตรฐาน

  • การลดความเสี่ยง: CDE ช่วยให้ธุรกิจระบุและลดความเสี่ยงต่อข้อมูลบัตรชําระเงินได้ เมื่อพิจารณาถึงผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูล การปกป้องข้อมูลนี้จึงเป็นสิ่งสําคัญ ตัวอย่างเช่น ในปี 2013 เหตุการณ์ละเมิดข้อมูลบัตรเครดิตที่ห้าง Target ทำให้เกิดค่าใช้จ่ายรวมกว่า 290 ล้านดอลลาร์สหรัฐและราคาหุ้นของบริษัทที่ลดลง

  • ความเชื่อมั่นของลูกค้า: CDE ที่ปลอดภัยช่วยสร้างความเชื่อมั่นให้กับลูกค้าโดยแสดงให้เห็นว่าข้อมูลการชําระเงินปลอดภัย

  • การรักษาความถูกต้องสมบูรณ์ของธุรกรรม: CDE ช่วยให้มั่นใจว่าธุรกรรมจะดําเนินการอย่างปลอดภัยและถูกต้องแม่นยํา ซึ่งทำให้ขั้นตอนการชําระเงินถูกต้องสมบูรณ์

  • หลีกเลี่ยงผลกระทบทางกฎหมายและการเงิน การละเมิดข้อมูลอาจนําไปสู่การดําเนินการทางกฎหมายและความสูญเสียทางการเงินอย่างมีนัยสําคัญ ธุรกิจต่างๆ จึงใช้ CDE เพื่อป้องกันตัวเองจากผลกระทบดังกล่าว

ธุรกิจที่จัดการข้อมูลบัตรชําระเงินโดยไม่มีกลยุทธ์ CDE ที่มีประสิทธิภาพจะทำให้สถานะทางการเงินและชื่อเสียงอยู่ในความเสี่ยง ต่อไปนี้เราจะอธิบายวิธีการทำแผนอย่างรอบคอบเพื่อลดความเสี่ยงและได้ประโยชน์สูงสุด

องค์ประกอบ ข้อกําหนด และประเภทข้อมูลภายใน CDE

ใน CDE มีองค์ประกอบหลายอย่างที่โต้ตอบกันเพื่อจัดการข้อมูลบัตรชําระเงินที่ละเอียดอ่อน ต่อไปนี้คือภาพรวมขององค์ประกอบเหล่านี้ ข้อกำหนดในการดูแลป้องกัน และประเภทของข้อมูลที่องค์ประกอบเหล่านี้จัดการ:

องค์ประกอบ

  • ฮาร์ดแวร์การคํานวณ: ประกอบด้วยเซิร์ฟเวอร์และเวิร์กสเตชันที่ใช้ปฏิบัติงานซอฟต์แวร์การประมวลผลการชําระเงิน และยังครอบคลุมถึงองค์ประกอบเครือข่าย เช่น เราเตอร์ สวิตช์ และไฟร์วอลล์ ซึ่งกำกับและปกป้องข้อมูลขณะที่เคลื่อนย้ายไปทั่วเครือข่าย
  • เทอร์มินัลการชําระเงิน: อุปกรณ์เหล่านี้เป็นอุปกรณ์จริงซึ่งอยู่ที่จุดขาย ซึ่งใช้รูด เสียบ หรือแตะบัตรชําระเงินของลูกค้า
  • ระบบจัดเก็บ: หมายถึงพื้นที่จัดเก็บข้อมูลบัตรชําระเงิน ไม่ว่าจะในรูปแบบไฟล์ดิจิทัล ฐานข้อมูลหรือการสํารองข้อมูล ระบบประเภทนี้รวมถึงสื่อแบบนำออกได้ เช่น ไดรฟ์ USB หรือเทปสํารองข้อมูล
  • แอปพลิเคชัน: คือซอฟต์แวร์ที่ประมวลผลการชําระเงิน ซึ่งรวมถึง ระบบบันทึกการขายและเกตเวย์การชําระเงิน
  • การควบคุมการเข้าถึง: ระบบเหล่านี้คือระบบที่ออกแบบมาเพื่อตรวจสอบตัวตนของผู้ใช้ที่เข้าถึง CDE ทางกายภาพไปยังพื้นที่รักษาความปลอดภัยและการเข้าถึงทางดิจิทัลไปยังระบบข้อมูล

ข้อกําหนด

  • การเข้ารหัสข้อมูล: ข้อมูลบัตรชําระเงินต้องเข้ารหัสโดยใช้มาตรฐานการเข้ารหัสที่รัดกุม โดยเฉพาะเมื่อส่งผ่านเครือข่ายเปิดหรือสาธารณะ
  • การจัดการการเข้าถึง: ควรกำหนดให้เข้าถึง CDE ได้เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น และควรมีการบันทึกและติดตามกิจกรรมของบุคคลดังกล่าว
  • ความปลอดภัยทางกายภาพ: สิทธิ์เข้าถึง CDE ทางกายภาพต้องผ่านการควบคุมและตรวจสอบ โดยมีการคุ้มครองจุดเข้าใช้งานจากการเข้าถึงที่ไม่ได้รับอนุญาต
  • การทดสอบเป็นประจํา: ควรต้องสแกนและทำการทดสอบเจาะระบบเป็นประจําเพื่อระบุหาและแก้ไขช่องโหว่
  • นโยบายการเก็บรักษาและการทำลายข้อมูล: ธุรกิจจะต้องมีนโยบายที่ชัดเจนเพื่อกำกับดูแลระยะเวลาเก็บรักษาข้อมูลของเจ้าของบัตรและระเบียบขั้นตอนในการทำลายข้อมูลของเจ้าของบัตรอย่างปลอดภัยเมื่อไม่ต้องใช้แล้ว
  • การจัดการผู้ให้บริการ: หากบุคคลที่สามมีสิทธิ์เข้าถึง CDE บุคคลดังกล่าวจะต้องปฏิบัติตามข้อกําหนดด้านความปลอดภัยเหล่านี้ด้วย

ประเภทข้อมูล

  • ข้อมูลเจ้าของบัตร: ประกอบด้วยชื่อเจ้าของบัตร หมายเลขบัตร วันหมดอายุ และรหัสบริการ ซึ่งเป็นข้อมูลที่มักปรากฎอยู่ด้านหน้าบัตรชําระเงิน
  • ข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน: ซึ่งนับรวมองค์ประกอบต่างๆ เช่น รหัสความปลอดภัยของบัตร (ค่าการยืนยันบัตร [CVV] or CVV2) หมายเลขประจําตัวส่วนบุคคล (PIN) และแถบแม่เหล็กหรือข้อมูลชิป ซึ่งใช้ตรวจสอบสิทธิ์เจ้าของบัตรและอนุมัติธุรกรรม

CDE ควรเป็นสิ่งที่ควรให้ความสำคัญเป็นอันดับต้นๆ สำหรับธุรกิจที่่ต้องจัดการกับการชำระเงินของลูกค้า ปริมาณการชําระเงิน หรือปัจจัยความเสี่ยงอื่นๆ ไม่ว่าจะอยู่ในอุตสาหกรรมใดก็ตาม ธุรกิจที่เข้าใจองค์ประกอบของ CDE และปฏิบัติตามข้อกําหนดด้านความปลอดภัยจะสามารถปกป้องข้อมูลของเจ้าของบัตรจากการละเมิดและการใช้งานในทางที่ผิดได้อย่างมีประสิทธิภาพ

ข้อกําหนดด้าน CDE ของ PCI DSS

PCI DSS ได้ให้แนวทางสําหรับการรักษาข้อมูลบัตรชําระเงินให้ปลอดภัยภายใน CDE เอาไว้ โดยมาตรฐานที่ละเอียดและครอบคลุมเหล่านี้ออกแบบมาเพื่อปกป้องข้อมูลเจ้าของบัตรนับตั้งแต่มีการใช้บัตรไปจนถึงสิ้นสุดขั้นตอนธุรกรรม และนอกเหนือจากนั้น ต่อไปนี้คือรายละเอียดแจกแจงข้อกําหนดที่สําคัญ

  • ติดตั้งและใช้การกําหนดค่าไฟร์วอลล์: ไฟร์วอลล์ทําหน้าที่เป็นตัวป้องกันด่านหน้าของ CDE โดยต้องมีการตั้งค่าและจัดการอย่างเหมาะสมเพื่อควบคุมการรับส่งข้อมูลขาเข้าและขาออกบนเครือข่ายตามชุดของกฎที่กำหนดใช้ เพื่อรับประกันว่าการเข้าถึงที่ไม่ได้รับอนุญาตจะถูกบล็อก

  • เปลี่ยนค่ารหัสผ่านและพารามิเตอร์ความปลอดภัยเริ่มต้นที่ผู้ให้บริการตั้งไว้: ระบบมักจะมาพร้อมกับรหัสผ่านและการตั้งค่าเริ่มต้นซึ่งเสี่ยงต่อการแสวงหาประโยชน์ได้ง่าย ธุรกิจจะต้องเปลี่ยนการตั้งค่าเริ่มต้นเหล่านี้ให้เป็นรหัสผ่านและการกําหนดค่าที่ไม่ซ้ําและซับซ้อนก่อนที่จะเชื่อมโยงระบบต่างๆ

  • ปกป้องข้อมูลเจ้าของบัตรที่จัดเก็บไว้: หากธุรกิจจัดเก็บข้อมูลเจ้าของบัตร ข้อมูลต้องได้รับการเข้ารหัสข้อมูลด้วยวิธีการที่เป้นที่ยอมรับ การเข้าถึงข้อมูลนี้จะต้องเป็นไปตามความจำเป็น โดยมีนโยบายการเก็บรักษาข้อมูลที่เข้มงวดเป็นตัวกําหนดระยะเวลาในการจัดเก็บข้อมูลและมีขั้นตอนการลบข้อมูลที่ชัดเจน

  • เข้ารหัสเพื่อส่งข้อมูลของเจ้าของบัตรผ่านเครือข่ายสาธารณะ: เนื่องจากข้อมูลอาจถูกดักจับได้ระหว่างการส่งข้อมูล จึงต้องมีการเข้ารหัสด้วยวิธีการที่รัดกุมทุกครั้งที่มีการส่งข้อมูลผ่านเครือข่ายที่เข้าถึงได้ง่าย เช่น อินเทอร์เน็ต

  • ใช้และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจํา: ซอฟต์แวร์ป้องกันไวรัสช่วยปกป้องระบบจากโปรแกรมที่เป็นอันตราย จึงต้องใช้ซอฟแวร์นี้กับทุกระบบที่มักตกเป็นเป้าของมัลแวร์ โดยการอัปเดตเป็นประจําเป็นสิ่งสําคัญ

  • พัฒนาและดูแลรักษาระบบและแอปพลิเคชันให้ปลอดภัย: ธุรกิจจะต้องปกป้ององค์ประกอบของระบบทั้งหมดจากช่องโหว่ด้วยการติดตั้งแพตช์ความปลอดภัย เมื่อธุรกิจพัฒนาแอปพลิเคชัน การรักษาความปลอดภัยควรเป็นข้อพิจารณาหลัก

  • ให้สิทธิ์เข้าถึงข้อมูลของเจ้าของบัตรตามหลักการให้เข้าถึงเฉพาะที่จำเป็นอย่างเคร่งครัด: ธุรกิจควรบังคับใช้หลักการให้สิทธิ์น้อยที่สุด ซึ่งบุคคลจะได้รับสิทธิ์เข้าถึงเฉพาะข้อมูล ทรัพยากร และฟังก์ชันที่จําเป็นในการดําเนินงานเท่านั้น

  • กําหนด ID ที่ไม่ซ้ำกันให้กับแต่ละคนที่มีสิทธิ์เข้าถึงคอมพิวเตอร์: ซึ่งทำให้ตรวจสอบการกระทำกับข้อมูลและระบบที่สำคัญกลับไปยังตัวบุคคลได้ ซึ่งช่วยรับรองความรับผิดชอบได้

  • จํากัดการเข้าถึงข้อมูลเจ้าของบัตรในทางกายภาพ: การป้องกันทางกายภาพต้องป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบและอุปกรณ์จัดเก็บข้อมูล ซึ่งรวมถึงการล็อก การควบคุมการเข้าถึง และกลไกการเฝ้าติดตาม

  • ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลเจ้าของบัตรทั้งหมด: กลไกการบันทึกและความสามารถในการติดตามกิจกรรมของผู้ใช้มีความสําคัญในการตรวจจับ ป้องกัน และรับมือกับการละเมิด

  • ทดสอบระบบและขั้นตอนรักษาความปลอดภัยอยู่เป็นประจํา: ระบบและขั้นตอนการรักษาความปลอดภัยต้องผ่านการทดสอบความแข็งแกร่งเป็นประจํา เพื่อให้แน่ใจว่ามีการกําหนดค่าอย่างเหมาะสมและปกป้องข้อมูลเจ้าของบัตรได้อย่างมีประสิทธิภาพ

  • ใช้นโยบายที่ครอบคลุมการรักษาความปลอดภัยของข้อมูล ธุรกิจต่างๆ ต้องจัดทําและใช้นโยบายอย่างเป็นทางการที่ครอบคลุมด้านเทคโนโลยี โปรแกรมสร้างความตระหนัก และการรักษาความปลอดภัยของข้อมูลซึ่งมีโครงสร้างการจัดการที่ชัดเจน แล้วสื่อสารนโยบายนี้ไปยังพนักงานและผู้รับจ้างทุกคน

การปฏิบัติตามข้อกําหนดเหล่านี้จะช่วยสร้างสภาพแวดล้อมที่ปลอดภัยในการจัดการข้อมูลเจ้าของบัตร ซึ่งจะช่วยปกป้องธุรกิจและลูกค้าจากการละเมิดข้อมูลไปพร้อมๆ กับรักษาความน่าเชื่อถือและความถูกต้องสมบูรณ์ของข้อมูล การปฏิบัติตามข้อกําหนดของ PCI DSS อยู่เสมอเป็นการแสดงถึงความมุ่งมั่นของธุรกิจในการรักษาความปลอดภัยและทำตามเป้าหมายในการสร้างสภาพแวดล้อมการชําระเงินที่ปลอดภัยในวงกว้าง

วิธีการสร้างและดูแล CDE ให้ปลอดภัย

การสร้างและการดูแล CDE ให้เข้มแข็งเป็นอย่างไร ต่อไปนี้เป็นขั้นตอนโดยสรุป

  • กําหนดขอบเขต CDE: กำหนดระบบ บุคคล และขั้นตอนทั้งหมดในการจัดเก็บ ประมวลผล หรือส่งข้อมูลเจ้าของบัตร ทำแผนผังขั้นตอนการเคลื่อนที่ของข้อมูลเพื่อให้แน่ใจว่าไม่มีส่วนใดในสภาพแวดล้อมที่ถูกมองข้าม

  • แบ่งส่วนเครือข่าย: แยก CDE จากทรัพยากรเครือข่ายอื่นๆ เพื่อจํากัดการเข้าถึง ซึ่งจะช่วยลดจํานวนระบบต่างๆ ที่สามารถโต้ตอบกับ CDE ได้ ซึ่งจะช่วยลดรูปแบบการโจมตีที่อาจเกิดขึ้น

  • ปกป้องข้อมูลด้วยการเข้ารหัส: ใช้การเข้ารหัสที่รัดกุมเพื่อจัดเก็บและส่งข้อมูลเจ้าของบัตร การเข้ารหัสทําหน้าที่เหมือนแม่กุญแจที่ทำให้บุคคลที่ไม่ได้รับอนุญาตอ่านข้อมูลไม่ได้หากไม่มีลูกกุญแจที่ถูกต้อง

  • ควบคุมการเข้าถึง: ตรวจสอบให้มั่นใจว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง CDE ได้ ซึ่งทำได้ด้วยการยืนยันตัวตนที่เหมาะสมโดยใช้ ID ที่ไม่ซ้ำและวิธีการตรวจสอบสิทธิ์ที่รัดกุม

  • ความปลอดภัยทางกายภาพ: รักษาความปลอดภัยให้ที่ตั้งทางกายภาพของ CDE เช่น ล็อกห้อง ใช้กล้องวงจรปิด และระบบควบคุมการเข้าถึง เพื่อป้องกันการเข้าโดยไม่ได้รับอนุญาต

  • ดูแลระบบรักษาความปลอดภัย: ตรวจสอบให้แน่ใจว่าแอปพลิเคชันความปลอดภัย เช่น ไฟร์วอลล์ ซอฟต์แวร์ป้องกันไวรัส และระบบตรวจจับการบุกรุกได้รับการปรับปรุงให้เป็นปัจจุบันเพื่อป้องกันภัยคุกคามใหม่ๆ

  • พัฒนาและบังคับใช้นโยบายความปลอดภัย เขียนนโยบายที่ชัดเจนซึ่งกําหนดความคาดหวังด้านความปลอดภัยและฝึกอบรมพนักงานตามนโยบาย จัดให้มีขั้นตอนการปฏิบัติงานประจําวัน ซึ่งมีคําแนะนําโดยละเอียดเกี่ยวกับวิธีการรับมือกับเหตุการณ์ด้านความปลอดภัยและวิธีการตรวจสอบตามรอบปกติ

  • ตรวจสอบและบันทึกกิจกรรมทั้งหมด: ใช้กลไกการบันทึกข้อมูลเพื่อบันทึกว่าใครเข้าถึง CDE เพื่อทำอะไร และเมื่อใด ตรวจสอบบันทึกเป็นประจำเพื่อหากิจกรรมที่น่าสงสัย

  • ทดสอบมาตรการรักษาความปลอดภัย: ทําการทดสอบเป็นประจํา เช่น การสแกนหาช่องโหว่และการทดสอบการเจาะข้อมูลเพื่อค้นหาและแก้ไขจุดอ่อนด้านความปลอดภัย

  • รับมือต่อการละเมิด: จัดทำแผนรับมือกับเหตุการณ์ซึ่งระบุวิธีการรับมือกับการละเมิดความปลอดภัย โดยควรมีกลยุทธ์การควบคุมเหตุการณ์ แผนการสื่อสาร และขั้นตอนป้องกันไม่ให้เกิดเหตุเพิ่มเติม

  • การตรวจสอบและปรับปรุงเป็นประจํา: การรักษาความปลอดภัยเป็นขั้นตอนที่ต้องทำต่อเนื่อง ให้ตรวจสอบและปรับปรุงมาตรการควบคุม นโยบาย และระเบียบขั้นตอนด้านความปลอดภัยอย่างสม่ําเสมอเพื่อปรับตัวให้เท่าทันภัยคุกคามใหม่ๆ

  • การตรวจข้อมูลผู้ให้บริการ: หากบุคคลที่สามมีสิทธิ์เข้าถึง CDE ให้ตรวจสอบอย่างละเอียดให้แน่ใจว่าบุคคลดังกล่าวปฏิบัติตามข้อกําหนดด้านความปลอดภัย

CDE ที่ปลอดภัยต้องมีการกํากับดูแลอย่างต่อเนื่อง อัปเดตเพื่อป้องกันอย่างสม่ำเสมอ และมีวัฒนธรรมการตระหนักรู้ด้านความปลอดภัยทั่วทั้งธุรกิจ

วิธีจัดการกับการละเมิด CDE

แม้จะมีการวางแผนและการบํารุงรักษาอย่างระมัดระวังที่สุด แต่ก็แทบจะไม่อาจหลีกเลี่ยงการละเมิดได้ ลักษณะของการฉ้อโกงมีการเปลี่ยนแปลงอยู่ตลอดเวลา และแม้แต่แนวทางจัดการ CDE ที่ดีที่สุดก็มีช่องโหว่ได้ ไม่มีกลยุทธ์ CDE ใดที่สมบูรณ์หากไม่มีแผนที่ดีในการรับมือกับการละเมิดที่เกิดขึ้น

  • การตอบสนองทันทีและการควบคุมเหตุการณ์: ตรวจจับการละเมิดข้อมูลและควบคุมเหตุการณ์ทันที ซึ่งหมายถึงการแยกระบบที่ได้รับผลกระทบออกเพื่อป้องกันความสูญเสียด้านข้อมูลเพิ่มเติม ตัวอย่างเช่น หากการละเมิดอยู่ในเซิร์ฟเวอร์หนึ่ง ก็ควรตัดการเชื่อมต่อเซิร์ฟเวอร์นั้นออกจากเครือข่าย

  • ประเมินและวิเคราะห์การละเมิด: ทําการสืบสวนอย่างละเอียดเพื่อประเมินขอบเขตของการละเมิด โดยหาว่ามีการเข้าถึงข้อมูลใดบ้าง การละเมิดเกิดขึ้นได้อย่างไร และเกิดการละเมิดนานเท่าใด ซึ่งเครื่องมือและเทคนิคในการหาหลักฐานช่วยในการวิเคราะห์นี้ได้

  • แจ้งบุคคลที่เกี่ยวข้องให้ทราบ: ความโปร่งใสคือกุญแจสําคัญในการจัดการการละเมิด CDE ธุรกิจจะต้องแจ้งให้ลูกค้าที่ได้รับผลกระทบทั้งหมดทราบถึงลักษณะของการละเมิด ข้อมูลที่ถูกละเมิด และขั้นตอนที่ธุรกิจกําลังดําเนินการเพื่อแก้ไข นอกจากนี้ข้อกําหนดทางกฎหมายอาจกําหนดให้ธุรกิจแจ้งหน่วยงานกำกับดูแลทราบเกี่ยวกับการละเมิดด้วย

  • ติดต่อผู้เชี่ยวชาญด้านกฎหมายและการปฏิบัติตามข้อกําหนด: ที่ปรึกษาทางกฎหมายควรประเมินผลกระทบจากการละเมิดและดําเนินการตามกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องทั้งหมด การทํางานกับผู้เชี่ยวชาญมีความสําคัญอย่างยิ่งเนื่องจากกฎหมายเกี่ยวกับการละเมิดข้อมูลของแต่ละภูมิภาคและอุตสาหกรรมแตกต่างกัน

  • ยกระดับมาตรการรักษาความปลอดภัย: ธุรกิจควรนำมาตรการด้านความปลอดภัยที่ดีขึ้นเพื่อป้องกันการละเมิดโดยอ้างอิงผลจากการสอบสวน ซึ่งอาจรวมถึงการอัปเดตซอฟต์แวร์ การเพิ่มประสิทธิภาพไฟร์วอลล์ และการยกระดับวิธีการเข้ารหัส

  • การฝึกอบรมและสร้างความตระหนักในกลุ่มพนักงาน: บ่อยครั้งที่การละเมิดเกิดขึ้นจากข้อผิดพลาดของมนุษย์ การให้ความรู้แก่พนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัยของข้อมูลและความสําคัญของการปกป้องข้อมูลลูกค้าเป็นเรื่องสําคัญ

  • การจัดการด้านการประชาสัมพันธ์: ธุรกิจควรสื่อสารอย่างเปิดเผยเกี่ยวกับขั้นตอนการจัดการการละเมิดและป้องกันเหตุการณ์ที่จะเกิดขึ้นเพิ่มเติม

  • การติดตามตรวจสอบอย่างต่อเนื่อง: หลังจากจัดการกับผลกระทบของการละเมิดที่เกิดขึ้นเฉพาะหน้าแล้ว ธุรกิจจะต้องตรวจสอบระบบอย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่ผิดปกติทันที

  • ทบทวนและอัปเดตแผนรับมือเหตุภัยคุกคาม: หลังจากเหตุการณ์ละเมิด ธุรกิจจะต้องทบทวนแผนรับมือเหตุภัยคุกคามและอัปเดตแผนโดยอ้างอิงจากบทเรียนที่ได้ วิธีนี้ช่วยเพิ่มความพร้อมในกรณีที่มีเหตุการณ์เกิดขึ้นอีก

  • การสนับสนุนและให้ความช่วยเหลือลูกค้า: ธุรกิจต้องให้การสนับสนุนแก่ลูกค้าที่ได้รับผลกระทบ ซึ่งอาจรวมถึงการให้บริการตรวจสอบเครดิตหรือเปิดสายด่วนให้สอบถามข้อมูล

ตลอดขั้นตอนนี้ ธุรกิจควรให้ความสําคัญกับความแม่นยําและความรับผิดชอบด้วยการใช้มาตรการเชิงรุกเพื่อเรียกความเชื่อมั่นและทำให้เกิดความปลอดภัยต่อข้อมูลของลูกค้า

เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Payments

Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด

Stripe Docs เกี่ยวกับ Payments

ค้นหาคู่มือเกี่ยวกับการเชื่อมต่อ Payments API ของ Stripe