ก่อนศึกษาวิธีการตรวจสอบเว็บไซต์ให้ปลอดภัยสอดคล้องกับมาตรฐาน PCI DSS นั้น ขออธิบายให้ทราบถึงความเป็นมาของมาตรฐาน PCI DSS กันก่อนครับ
มาตรฐาน PCI DSS ย่อมาจาก “Payment Card Industry Data Security Standard” เป็นมาตรฐานความปลอดภัยสารสนเทศที่แพร่หลายทั่วโลก รวบรวมโดยคณะกรรมการ Payment Card Industry Security Standards Council (PCI SSC) มาตรฐานนี้ถูกกำหนดขึ้นเพื่อช่วยให้องค์กรต่างๆ ที่มีการรับชำระเงินด้วยบัตรเครดิต สามารถป้องกันการฉ้อโกงบัตรเครดิต โดยการควบคุมข้อมูลและช่องโหว่ต่างๆ ให้เข้มงวดมากยิ่งขึ้น และได้นำไปใช้กับทุกองค์กรที่เก็บรักษา ประมวลผล หรือรับส่งข้อมูลของผู้ถือบัตรเครดิต ไม่ว่าจะเป็นบัตรของค่ายใดก็ตาม
มาตรฐาน PCI DSS ได้เริ่มใช้ในโครงการรักษาความปลอดภัยข้อมูลของบัตรเครดิต 5 ค่ายยักษ์ คือ Visa, MasterCard, American Express, Discover และ JCB ซึ่งมีจุดหมายร่วมกันเพื่อยกระดับการคุ้มครองลูกค้า โดยสร้างความมั่นใจว่าผู้ขาย (ผู้รับชำระเงินด้วยบัตรเครดิต) มีมาตรการรักษาความปลอดภัยที่เหมาะสมในการเก็บรักษา การประมวลผล และการรับส่งข้อมูลของผู้ถือบัตรเครดิต
การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้โดยตรวจสอบเองด้วยบุคลากรภายในองค์กรหรือให้หน่วยงานภายนอกเป็นผู้ตรวจสอบก็ได้ ซึ่งจะใช้วิธีใดไม่เกี่ยวกับขนาดองค์กร แต่ขึ้นกับปริมาณการทำธุรกรรมผ่านบัตรเครดิตขององค์กรนั้นๆ การประเมินการปฏิบัติตามมาตรฐาน PCI DSS จะต้องทำเป็นประจำทุกปี โดยองค์กรที่มีปริมาณธุรกรรมผ่านบัตรเครดิตมาก จะต้องได้รับการตรวจประเมินจากผู้ตรวจประเมินอิสระ (Qualified Security Assessor : QSA) ส่วนบริษัทที่มีปริมาณธุรกรรมไม่มากนัก สามารถเลือกที่จะตรวจประเมินได้ด้วยตนเองผ่านแบบสำรวจประเมินตนเอง (Self-Assessment Questionnaire : SAQ)
ในประเทศสหรัฐอเมริกา องค์กรที่มีธุรกรรมทางการเงินผ่านบัตรเครดิตตั้งแต่หนึ่งค่ายขึ้นไป แต่ไม่ดำเนินการให้สอดคล้องกับข้อกำหนด PCI DSS จะไม่สามารถรับชำระเงินผ่านบัตรเครดิตได้ ทั้งยังต้องถูกตรวจสอบ และอาจถึงขั้นเสียเงินค่าปรับอีกด้วย
ข้อกำหนด PCI DSS
ปัจจุบันมาตรฐาน PCI DSS เป็นเวอร์ชั่น 1.2 ระบุข้อกำหนดไว้ 12 ข้อ จำแนกตามวัตถุประสงค์ได้เป็น 6 กลุ่ม คือ
| วัตถุประสงค์ที่ควบคุม | ข้อกำหนด PCI DSS |
|---|---|
สร้างเครือข่ายที่ปลอดภัยและบำรุงรักษาไว้ |
1. ติดตั้งและดูแลรักษาค่าที่ตั้งไว้ของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร |
|
|
2. ไม่ใช้ค่าที่ตั้งมาพร้อมกับผลิตภัณฑ์สำหรับรหัสผ่านและการรักษาความปลอดภัยอื่นๆ ของระบบ |
|
|
|
ปกป้องข้อมูลผู้ถือบัตร |
3. ปกป้องข้อมูลของผู้ถือบัตรที่ได้เก็บรักษาไว้ |
|
|
4. เข้ารหัสข้อมูลผู้ถือบัตรก่อนส่งผ่านเครือข่ายสาธารณะแบบเปิด |
|
|
|
บำรุงรักษาโปรแกรมที่ใช้จัดการกับช่องโหว่ |
5. ใช้โปรแกรมแอนตี้ไวรัสและอัพเดตสม่ำเสมอ สำหรับทุกระบบที่มักได้รับผลกระทบจากมัลแวร์ |
|
|
6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้ปลอดภัย |
|
|
|
ใช้มาตรการที่รัดกุมในการควบคุมการเข้าถึง |
7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น |
|
|
8. กำหนดหมายเลขประจำตัวเฉพาะ (unique ID) ให้กับผู้ที่สามารถเข้าถึงคอมพิวเตอร์ได้ |
|
|
9. จำกัดการเข้าถึงทางกายภาพ สำหรับข้อมูลผู้ถือบัตร |
|
|
|
ตรวจตราและทดสอบเครือข่ายต่างๆ อย่างสม่ำเสมอ |
10. ติดตามและเฝ้าดูการเข้าถึงทรัพยากรทางเครือข่ายและข้อมูลผู้ถือบัตร |
|
|
11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความปลอดภัยอย่างสม่ำเสมอ |
|
|
|
คงไว้ซึ่งนโยบายความปลอดภัยสารสนเทศ |
12. คงไว้ซึ่งนโยบายด้านการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ |
ในประเทศไทยมี พ.ร.ฎ. ว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 ซึ่งตราขึ้นเพื่อยกระดับความเชื่อมั่นในการทำธุรกรรมทางการเงินออนไลน์ อ่านรายละเอียดเพิ่มเติม
มาตรฐาน PCI DSS ที่มีใน SRAN Data Safehouse
การรับประกันความมั่นคงปลอดภัยให้กับเว็บไซต์ โดยเสริมเทคโนโลยี Vulnerability Assessment เข้าไปในระบบ ช่วยให้ผู้ให้บริการเว็บไซต์ที่ติดตั้ง SRAN Data Safehouse ทราบถึงช่องโหว่ที่เกิดขึ้น และรายละเอียดในการแก้ไข ซึ่งสอดคล้องกับกฎเกณฑ์มาตรฐาน เช่น PCI/DSS Compliance ซึ่งกำหนดให้เว็บไซต์ที่ให้บริการธุรกรรมออนไลน์ ต้องมีการประเมินความเสี่ยงเป็นประจำ โดย SRAN Data Safehouse จะประเมินความเสี่ยงของเว็บไซต์เป็นประจำ สัปดาห์ละ 1 ครั้ง พร้อมออกรายงานผล
รายงานแสดงผลการประเมินความเสี่ยงเพื่อหาช่องโหว่ที่ค้นพบในเว็บไซด์ (Vulnerability Assessment Web Application)
ระบบของ Data Safehouse ในส่วนของการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS จะเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก
หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check
จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report
จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server ของคุณผ่านมาตรฐาน PCI DSS หรือไม่ ซึ่งคุณสามารถอ่านรายละเอียดได้จากรายงานที่บอกถึงรายละเอียดที่อยู่ข้าง ล่าง
ตัวอย่างรายงานที่บอกรายละเอียดว่าเหตุใด server ที่ตรวจสอบถึงไม่ผ่านตามมาตรฐาน PCI DSS
สามารถดูรายละเอียดทั้งหมดได้ที่ http://www.datasafehouse.net/man/manual.html
