PCI DSS Thailand

ข้อกำหนดใหม่ของ PCI DSS 4.0

ข้อกำหนดใหม่ของ PCI DSS 4.0 ประกอบไปด้วย 64 ข้อ โดยแบ่งเป็น 13 ข้อ ที่ต้องเริ่มต้นทำทันที (Immediately) และอีก 51 ข้อที่ต้องเริ่มดำเนินการทำ แต่ยังไม่มีผลบังคับใช้จนกว่าจะถึงมีนาคม 2025

13 ข้อ ที่ต้องเริ่มต้นทำทันที ประกอบไปด้วย
สำหรับองค์กร (Entities)
1. 2.1.2 Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
2. 3.1.2 Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
3. 4.1.2 Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
4. 5.1.2 Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
5. 6.1.2 Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
6. 7.1.2 Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
7. 8.1.2 Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
8. 9.1.2 Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
9. 10.1.2 Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
10. 11.1.2 Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
11. 12.3.2 A targeted risk analysis is performed for each PCI DSS requirement that is met with the customized approach.
12. 12.5.2 PCI DSS scope is documented and confirmed at least once every 12 months.

สำหรับผู้ให้บริการ (Service Provider)
13. 12.9.2 TPSPs support customers’ requests to provide PCI DSS compliance status and information about PCI DSS requirements that are the responsibility of the TPSP.

51 ข้อที่ต้องเริ่มดำเนินการทำ แต่ยังไม่มีผลบังคับใช้จนกว่าจะถึงมีนาคม 2025 ประกอบไปด้วย

สำหรับองค์กร (Entities)
1. 3.2.1 Any SAD stored prior to completion of authorization is kept to a minimum through implementation of data retention and disposal policies, procedures, and processes.
2. 3.2.2 SAD stored electronically prior to completion of authorization is encrypted using strong cryptography.
3. 3.4.2 Technical controls to prevent copy and/or relocation of PAN when using remote-access technologies except with explicit authorization.
4. 3.5.1.1 Hashes used to render PAN unreadable (per the first bullet of Requirement 3.5.1) are keyed cryptographic hashes of the entire PAN with associated key- management processes and procedures.
5. 3.5.1.2 Implementation of disk-level or partition- level encryption when used to render PAN unreadable.
6. 4.2.1 Certificates used to safeguard PAN during transmission over open, public networks are confirmed as valid and are not expired or revoked.
7. 4.2.1.1 An inventory of the entity’s trusted keys and certificates is maintained.
8. 5.2.3.1 A targeted risk analysis is performed to determine frequency of periodic evaluations of system components identified as not at risk for malware.
9. 5.3.2.1 A targeted risk analysis is performed to determine frequency of periodic malware scans.
10. 5.3.3 Anti-malware scans are performed when removable electronic media is in use.
11. 5.4.1 Mechanisms are in place to detect and protect personnel against phishing attacks.
12. 6.3.2 Maintain an inventory of bespoke and custom software to facilitate vulnerability and patch management.
13. 6.4.2 Deploy an automated technical solution for public-facing web applications that continually detects and prevents web- based attacks.
14. 6.4.3 Manage all payment page scripts that are loaded and executed in the consumer’s browser.
15. 7.2.4 Review all user accounts and related access privileges appropriately.
16. 7.2.5 Assign and manage all application and system accounts and related access privileges appropriately.
17. 7.2.5.1 Review all access by application and system accounts and related access privileges.
18. 8.3.6 Minimum level of complexity for passwords when used as an authentication factor.
19. 8.4.2 Multi-factor authentication for all access into the CDE.
20. 8.5.1 Multi-factor authentication systems are implemented appropriately.
21. 8.6.1 Manage interactive login for accounts used by systems or applications.
22. 8.6.2 Passwords/passphrases used for interactive login for application and system accounts are protected against misuse.
23. 8.6.3 Passwords/passphrases for any application and system accounts are protected against misuse.
24. 9.5.1.2.1 A targeted risk analysis is performed to determine frequency of periodic POI device inspections.
25. 10.4.1.1 Audit log reviews are automated.
26. 10.4.2.1 A targeted risk analysis is performed to determine frequency of log reviews for all other system components.
27. 10.7.2 Failures of critical security control systems are detected, alerted, and addressed promptly.
28. 10.7.3 Failures of critical security control systems are responded to promptly.
29. 11.3.1.1 Manage all other applicable vulnerabilities (those not ranked as high- risk or critical).
30. 11.3.1.2 Internal vulnerability scans are performed via authenticated scanning.
31. 11.6.1 A change-and-tamper-detection mechanism is deployed for payment pages.
32. 12.3.1 A targeted risk analysis is documented to support each PCI DSS requirement that provides flexibility for how frequently it is performed.
33. 12.3.3 Cryptographic cipher suites and protocols in use are documented and reviewed.
34. 12.3.4 Hardware and software technologies are reviewed.
35. 12.6.2 The security awareness program is reviewed at least once every 12 months and updated as needed.
36. 12.6.3.1 Security awareness training includes awareness of threats that could impact the security of the CDE, to include phishing and related attacks and social engineering.
37. 12.6.3.2 Security awareness training includes awareness about acceptable use of end- user technologies.
38. 12.10.4.1 A targeted risk analysis is performed to determine frequency of periodic training for incident response personnel.
39. 12.10.5 The security incident response plan includes alerts from the change- and tamper-detection mechanism for payment pages.
40. 12.10.7 Incident response procedures are in place and initiated upon detection of PAN.
41. A3.3.1 Failures of the following are detected, alerted, and reported in a timely manner: Automated log review mechanisms Automated code review tools.

สำหรับผู้ให้บริการ (Service Provider)
42. 3.3.3 SAD stored by issuers is encrypted using strong cryptography.
43. 3.6.1.1 A documented description of the cryptographic architecture includes prevention of the use of cryptographic keys in production and test environments.
44. 8.3.10.1 If passwords/passphrases are the only authentication factor for customer user access, passwords/passphrases are changed at least every 90 days or the security posture of accounts is dynamically analyzed to determine real- time access to resources.
45. 11.4.7 Multi-tenant service providers support their customers for external pe*******on
testing.
46. 11.5.1.1 Covert malware communication channels detect, alert and/or prevent, and address via intrusion-detection and/or intrusion-prevention techniques.
47. 12.5.2.1 PCI DSS scope is documented and confirmed at least once every six months and upon significant changes.
48. 12.5.3 The impact of significant organizational changes on PCI DSS scope is documented and reviewed and results are communicated to executive management.
49. A1.1.1 The multi-tenant service provider confirms access to and from customer environment is logically separated to prevent unauthorized access.
50. A1.1.4 The multi-tenant service provider confirms effectiveness of logical separation controls used to separate customer environments at leave once every six months via pe*******on testing.
51. A1.2.3 The multi-tenant service provider implements processes or mechanisms for reporting and addressing suspected or confirmed security incidents and vulnerabilities.

Approved Scanning Vendor (ASV) เป็นบริษัทหรือบุคคลที่ได้รับการรับรองโดย Payment Card Industry Security Standards Council (PCI SSC)

เพื่อดำเนินการตรวจสอบความปลอดภัยของระบบเครือข่ายหรือแอปพลิเคชันที่มีการรับชำระเงินด้วยบัตรเครดิตหรือเดบิต

ASV มีหน้าที่ตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัย PCI DSS (Payment Card Industry Data Security Standard) และทำการสรุปผลการตรวจสอบเป็นรายงานสำหรับผู้ใช้บริการ เพื่อให้ผู้ดูแลระบบปรับปรุงแก้ไขช่องโหว่หรือข้อบกพร่องที่พบได้อย่างทันท่วงที

การใช้ ASV เป็นส่วนหนึ่งของการปฏิบัติตามข้อกำหนดของ PCI DSS เพื่อรักษาความปลอดภัยของข้อมูลบัตรเครดิตและเดบิตให้สูงสุด และป้องกันการละเมิดความปลอดภัยที่อาจจะทำให้เกิดความเสียหายต่อผู้ใช้บริการและธุรกิจ

มาตรฐาน PCI DSS 4.0 ข้อ 1.2 การควบคุมความปลอดภัยเครือข่าย (Network Security Control : NSCs) จะต้องถูกกำหนดค่าและดูแลรักษา

1.2.1 มาตรฐานการกำหนดค่าสำหรับ NSC คือ:
• ต้องถูกกำหนดขึ้นเป็นลายลักษ์อักษร
• ถูกนำไปใช้
• ถูกดูแลรักษา

วัตถุประสงค์
การนำมาตรฐานการกำหนดค่าเหล่านี้มาใช้ จะนำไปสู่การกำหนดค่าและการจัดการ NSC ให้สามารถทำงานด้านความปลอดภัยอย่างถูกต้อง โดยการกำหนดค่ามักจะถูกเรียกว่า ruleset

แนวปฏิบัติที่ดี (Guideline)
มาตรฐานเหล่านี้มักกำหนด ข้อกำหนดเกี่ยวกับโปรโตคอลที่สามารถนำมาใช้ได้ เช่นโปรโตคอลที่มีความปลอดภัย , พอร์ตที่อนุญาตให้ใช้ เช่น Port ที่เป็น Port มาตรฐานที่องค์กรใช้, และข้อกำหนดเฉพาะเกี่ยวกับการกำหนดค่าที่ยอมรับได้

มาตรฐานการกำหนดค่าอาจกำหนดรายการที่องค์กรไม่ยอมรับหรือไม่อนุญาตให้ใช้ในเครือข่ายของตัวเอง

นิยาม
NSCs คือเป็นส่วนประกอบหลักของสถาปัตยกรรมเครือข่าย โดยทั่วไป NSCs ใช้กับขอบเขตของ Cardholder Data (CDE) เพื่อควบคุมการส่งข้อมูลเข้าและออกจาก CDE

มาตรฐานการกำหนดค่ากำหนดข้อกำหนดต่ำสุดขององค์กรเกี่ยวกับการกำหนดค่า NSCs

ตัวอย่างของ NSCs ที่ต้องถูกควบคุมด้วยมาตรฐานการกำหนดค่าดังกล่าว ได้แก่ ไฟร์วอลล์, เราเตอร์ที่กำหนดค่า access control lists หรืออุปกรณ์รักษาความมั่นคงปลอดภัยเครือข่ายประเภทอื่นๆ

การปฏิบัติตามมาตรฐาน PCI-DSS

ต้องปรับปรุงระบบความปลอดภัยให้มีความสมบูรณ์และตรวจสอบการใช้งานอย่างสม่ำเสมอ

ให้การฝึกอบรมและสอนแนวทางปฏิบัติที่ถูกต้องให้กับพนักงานที่มีส่วนเกี่ยวข้องด้วยเพื่อให้ปฏิบัติตามมาตรฐานอย่างถูกต้อง

ซึ่งจะช่วยป้องกันไม่ให้องค์กรเผยแพร่ความรับผิดชอบในการดูแลความปลอดภัยของข้อมูลบัตรเครดิตให้กับลูกค้าและสาธารณชนเป็นประจำ

เพื่อเพิ่มความเชื่อมั่นในการใช้บริการขององค์กร นอกจากนี้ การปฏิบัติตามมาตรฐาน PCI-DSS ยังช่วยให้องค์กรประหยัดค่าใช้จ่ายในการรักษาความปลอดภัยของข้อมูล

ลดความเสี่ยงในการถูกโจมตีและป้องกันการชำระเงินที่ไม่สมบูรณ์หรือเสียหาย ทำให้องค์กรมีความสมบูรณ์และเป็นมาตรฐานในการดำเนินธุรกรรมด้วยบัตรเครดิต

PCI-DSS ย่อมาจาก Payment Card Industry Data Security Standard ซึ่งเป็นมาตรฐานความปลอดภัยของข้อมูลบัตรเครดิตที่ถูกกำหนดขึ้นโดยสมาคม Payment Card Industry Security Standards Council (PCI SSC) เพื่อป้องกันการสูญเสียข้อมูลบัตรเครดิต และการละเมิดความปลอดภัยของข้อมูลผู้ใช้บริการ

มาตรฐาน PCI-DSS ประกอบไปด้วย 12 ข้อกฎระเบียบที่บังคับใช้กับองค์กรที่รับการชำระเงินด้วยบัตรเครดิต เพื่อให้สามารถป้องกันการถูกแฮกของข้อมูลบัตรเครดิต มีความเป็นมาตรฐานและมีความปลอดภัยสูงสุด ดังนั้น องค์กรที่มีการดำเนินธุรกรรมด้วยบัตรเครดิตจำเป็นต้องปฏิบัติตามมาตรฐานนี้เพื่อป้องกันการสูญเสียข้อมูลบัตรเครดิตของลูกค้า และส่งผลให้เสียโอกาสในการทำธุรกรรมกับลูกค้า อีกทั้งยังส่งผลต่อชื่อเสียงและความเชื่อมั่นขององค์กรด้วย

ข้อกำหนด ของ PCI DSS 4.0 ข้อ 1.1
องค์กรของคุณต้องมีการกำหนดและสื่อสารกระบวนการหรือกลไกการติดตั้งและดูแลรักษามาตรการควบคุมความมั่นคงปลอดภัยเครือข่าย โดยจำเป็นต้องมี นโยบาย ขั้นตอนปฏิบัติที่จัดทำเป็นลายลักษณ์อักษร มีความเป็นปัจจุบัน ถูกนำไปใช้งาน และผู้มีส่วนได้ส่วนเสียทั้งหมดต้องรับทราบด้วย