คู่มือสำหรับการปฏิบัติตามข้อกำหนดของ PCI

มาตรฐานการรักษาความปลอดภัยข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูล ต่อไปนี้คือคำแนะนำแบบอธิบายทีละขั้นตอนเกี่ยวกับการรักษาความต่อเนื่องในการปฏิบัติตามมาตรฐานดังกล่าวและวิธีที่ Stripe จะช่วยเหลือคุณได้

Avatar Photo of Mike Dahn
Mike Dahn

Mike Dahn เป็นหัวหน้าฝ่ายความสัมพันธ์ด้านนโยบายความปลอดภัยที่ Stripe โดยทำหน้าที่เป็นผู้ฝึกสอน PCI เพื่อการปรับปรุงการปฏิบัติตามข้อกำหนด ผู้ตรวจสอบ และผู้ดำเนินการ

  1. Introduction
  2. ภาพรวมของมาตรฐานความปลอดภัยของข้อมูล PCI (PCI DSS)
    1. การจัดการข้อมูลบัตร
    2. การจัดเก็บข้อมูลอย่างปลอดภัย
    3. การตรวจสอบประจำปี
  3. คำแนะนำแบบอธิบายทีละขั้นตอนเพื่อการปฏิบัติตามข้อกำหนดของ PCI DSS v3.2.1
    1. 1. ทราบถึงข้อกำหนดของคุณ
    2. 2. จัดทำแผนกระแสข้อมูลของคุณ
    3. 3. ตรวจสอบการควบคุมความปลอดภัยและโปรโตคอล
    4. 4. การเฝ้าสังเกตและรักษาความต่อเนื่อง
  4. วิธีที่ Stripe ช่วยเหลือองค์กรให้บรรลุและรักษาการปฏิบัติตามข้อกำหนดของ PCI อย่างต่อเนื่อง
  5. สรุป
    1. การปฏิบัติตามข้อกำหนดของ PCI ช่วยได้ แต่ยังไม่เพียงพอ

ตั้งแต่ปี 2005 มีการนำข้อมูลผู้บริโภคกว่า 11,000 ล้านรายไปใช้โดยไม่ได้รับอนุญาตซึ่งเกิดจากการละเมิดข้อมูลกว่า 8,500 ครั้ง สถิติเหล่านี้เป็นข้อมูลล่าสุดจาก Privacy Rights Clearinghouse ซึ่งเป็นองค์กรที่รายงานเกี่ยวกับการละเมิดข้อมูลและการละเมิดด้านความปลอดภัยที่ส่งผลกระทบต่อผู้บริโภคย้อนหลังไปถึงปี 2005

เพื่อเพิ่มความปลอดภัยของข้อมูลผู้บริโภคและความน่าเชื่อถือในระบบนิเวศการชำระเงิน จึงมีการสร้างมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูลขึ้น โดย Visa, Mastercard, American Express, Discover และ JCB ได้จัดตั้งสภามาตรฐานความปลอดภัยในอุตสาหกรรมบัตรการชำระเงิน (PCI SSC) ขึ้นในปี 2006 เพื่อดูแลและจัดการมาตรฐานด้านการรักษาความปลอดภัยสำหรับบริษัทที่จัดการข้อมูลบัตรเครดิต ก่อนที่จะมีการจัดตั้ง PCI SSC บริษัทบัตรเครดิตทั้ง 5 รายนี้ต่างมีโปรแกรมมาตรฐานความปลอดภัยของตนเอง ซึ่งแต่ละรายมีข้อกำหนดและเป้าหมายที่ใกล้เคียงกันพอประมาณ โดยได้รวมตัวกันผ่าน PCI SSC เพื่อดำเนินงานให้สอดคล้องกับนโยบายมาตรฐานเดียว นั่นคือมาตรฐานความปลอดภัยของข้อมูล PCI (หรือรู้จักกันในชื่อ PCI DSS) เพื่อให้มั่นใจว่ามีการป้องกันในระดับมาตรฐานสำหรับผู้บริโภคและธนาคารในยุคอินเทอร์เน็ต

การทำความเข้าใจ PCI DSS อาจมีความซับซ้อนและท้าทาย

หากโมเดลธุรกิจของคุณกำหนดให้ต้องจัดการข้อมูลบัตร คุณอาจจำเป็นต้องปฏิบัติตามการควบคุมด้านความปลอดภัยกว่า 300 ข้อที่ระบุไว้ใน PCI DSS ซึ่งมีเอกสารประกอบอย่างเป็นทางการที่มีมากกว่า 1,800 หน้าที่เผยแพร่โดยสภา PCI เกี่ยวกับ PCI DSS และมากกว่า 300 หน้าในเอกสารดังกล่าวอธิบายเพียงเพื่อให้เข้าใจว่าควรใช้แบบฟอร์มใดในการตรวจสอบการปฏิบัติตามข้อกำหนด ซึ่งอาจใช้เวลานานกว่า 72 ชั่วโมงเพียงเพื่ออ่านเอกสารเหล่านั้น

ต่อไปนี้คือคำแนะนำแบบอธิบายทีละขั้นตอนสำหรับการตรวจสอบและรักษาความต่อเนื่องของการปฏิบัติตามข้อกำหนดของ PCI เพื่อช่วยลดภาระในการอ่านเอกสารดังกล่าว

ภาพรวมของมาตรฐานความปลอดภัยของข้อมูล PCI (PCI DSS)

PCI DSS เป็นมาตรฐานความปลอดภัยระดับโลกสำหรับนิติบุคคลทุกรายที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลของเจ้าของบัตรและ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน โดย PCI DSS ได้กำหนดระดับการปกป้องพื้นฐานสำหรับผู้บริโภคและช่วยลดการฉ้อโกงรวมถึงการละเมิดข้อมูลในทั่วทั้งระบบนิเวศการชำระเงิน ซึ่งมาตรฐานนี้ใช้ได้กับทุกองค์กรที่ยอมรับหรือดำเนินการกับบัตรการชำระเงิน

การปฏิบัติตามข้อกำหนดของ PCI DSS เกี่ยวข้องกับองค์ประกอบสำคัญ 3 ข้อดังนี้

  1. การจัดการการรับข้อมูลบัตรเครดิตจากลูกค้า กล่าวคือมีการเก็บรวบรวมและส่งรายละเอียดของบัตรที่ละเอียดอ่อนอย่างปลอดภัย
  2. การจัดเก็บข้อมูลอย่างปลอดภัย ซึ่งกำหนดไว้ในขอบเขตความปลอดภัยของมาตรฐาน PCI จำนวน 12 รายการ เช่น การเข้ารหัส การเฝ้าสังเกตอย่างต่อเนื่อง และการทดสอบความปลอดภัยในการเข้าถึงข้อมูลบัตร
  3. การตรวจสอบประจำปีว่ามีการควบคุมด้านความปลอดภัยที่กำหนดหรือไม่ ซึ่งอาจรวมถึงแบบฟอร์ม แบบสอบถาม บริการตรวจหาช่องโหว่จากหน่วยงานภายนอก และการตรวจสอบบัญชีจากบริษัทอื่น (โปรดดูคำแนะนำแบบอธิบายทีละขั้นตอนด้านล่าง หากต้องการดูตารางพร้อมระดับของข้อกำหนดทั้ง 4 ระดับ)

การจัดการข้อมูลบัตร

โมเดลธุรกิจบางรูปแบบต้องมีการจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อนโดยตรงขณะรับชำระเงิน ขณะที่โมเดลธุรกิจอื่นๆ ไม่จำเป็นต้องมีการจัดการ บริษัทที่จำเป็นต้องจัดการข้อมูลบัตร (เช่น การยอมรับ PAN ที่ไม่ได้แปลงเป็นโทเค็นในหน้าการชำระเงิน) อาจจำเป็นต้องปฏิบัติตามการควบคุมด้านความปลอดภัยมากกว่า 300 รายการที่ระบุไว้ใน PCI DSS แม้ว่าข้อมูลบัตรจะผ่านเซิร์ฟเวอร์เพียงชั่วครู่ แต่บริษัทจำเป็นต้องซื้อ ใช้งาน และรักษาไว้ซึ่งซอฟต์แวร์และฮาร์ดแวร์ด้านการรักษาความปลอดภัย

หากบริษัทไม่จำเป็นต้องจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อน ก็ไม่ควรดำเนินการในขั้นตอนนี้ โซลูชันจากบริษัทอื่น (เช่น Stripe Elements) จะช่วยรับและจัดเก็บข้อมูลอย่างปลอดภัย พร้อมขจัดความซับซ้อน ต้นทุน และความเสี่ยงจำนวนมาก เนื่องจากข้อมูลบัตรจะไม่ผ่านเซิร์ฟเวอร์เลย บริษัทจึงต้องยืนยันการควบคุมด้านความปลอดภัยเพียง 22 รายการเท่านั้น ซึ่งส่วนใหญ่แล้วเป็นข้อกำหนดที่ไม่ซับซ้อน เช่น การใช้รหัสผ่านที่คาดเดาได้ยาก

การจัดเก็บข้อมูลอย่างปลอดภัย

หากองค์กรจัดการหรือจัดเก็บข้อมูลบัตรเครดิต จำเป็นต้องกำหนดขอบเขตของระบบข้อมูลของเจ้าของบัตร (CDE) ซึ่ง PCI DSS จำกัดความว่า CDE เป็นบุคคล กระบวนการ และเทคโนโลยีที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลบัตรเครดิต หรือระบบใดๆ ที่เกี่ยวข้องกับที่ระบุไว้ข้างต้น เนื่องจากมีการใช้ข้อกำหนดด้านความปลอดภัยทั้งหมดกว่า 300 รายการใน PCI DSS กับ CDE ดังนั้นจึงควรจะมีการแบ่งส่วนระบบการชำระเงินออกจากส่วนที่เหลือของธุรกิจอย่างเหมาะสมเพื่อจำกัดขอบเขตการตรวจสอบ PCI หากองค์กรไม่อาจรวมขอบเขต CDE กับการแยกส่วนแบบละเอียดได้ ก็ต้องนำการควบคุมความปลอดภัย PCI ไปใช้กับทุกระบบ แล็ปท็อปทุกเครื่อง และอุปกรณ์ทุกชิ้นในเครือข่ายขององค์กร ซึ่งฟังดูยุ่งยากเหลือเกิน

การตรวจสอบประจำปี

ไม่ว่าจะมีวิธีการยอมรับข้อมูลบัตรอย่างไร องค์กรจำเป็นต้องกรอกแบบฟอร์มการตรวจสอบ PCI เป็นประจำทุกปี วิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI นั้นขึ้นอยู่กับปัจจัยหลายประการซึ่งระบุไว้แล้วด้านล่างนี้ ต่อไปนี้คือตัวอย่าง 3 สถานการณ์ที่อาจขอให้องค์กรแสดงให้เห็นว่าได้ปฏิบัติตามข้อกำหนดของ PCI

  • ผู้ประมวลผลการชำระเงินอาจขอให้แสดงถึงการปฏิบัติตามข้อกำหนดผ่านการรายงานที่กำหนดสำหรับแบรนด์บัตรการชำระเงิน
  • พาร์ทเนอร์ทางธุรกิจอาจขอให้แสดงถึงการปฏิบัติตามข้อกำหนดเป็นเงื่อนไขเบื้องต้นที่ต้องดำเนินการก่อนทำข้อตกลงทางธุรกิจ
  • สำหรับธุรกิจแพลตฟอร์ม (ผู้ที่มีเทคโนโลยีอำนวยความสะดวกในการทำธุรกรรมทางออนไลน์สำหรับกลุ่มผู้ใช้ที่แตกต่างกันหลายกลุ่ม) ลูกค้าอาจขอให้แสดงถึงการจัดการข้อมูลอย่างปลอดภัย

มาตรฐานด้านความปลอดภัยชุดล่าสุด PCI DSS เวอร์ชัน 3.2.1 ประกอบด้วยข้อกำหนดหลัก 12 ข้อพร้อมข้อกำหนดย่อยมากกว่า 300 ข้อที่สะท้อนให้เห็นถึงแนวทางปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัย

สร้างและดูแลจัดการเครือข่ายและระบบที่ปลอดภัย

  • 1. ติดตั้งและใช้การกำหนดค่าไฟร์วอลล์ทุกครั้งเพื่อปกป้องข้อมูลของเจ้าของบัตร
  • 2. อย่าใช้ค่าเริ่มต้นที่ผู้ให้บริการกำหนดกับรหัสผ่านของระบบและพารามิเตอร์ความปลอดภัยอื่นๆ

ปกป้องข้อมูลของเจ้าของบัตร

  • 3. ปกป้องข้อมูลของเจ้าของบัตรที่จัดเก็บไว้
  • 4. เข้ารหัสเมื่อมีการส่งข้อมูลของเจ้าของบัตรผ่านเครือข่ายเปิดหรือสาธารณะ

ดูแลจัดการโปรแกรมการจัดการช่องโหว่

  • 5. ปกป้องระบบทั้งหมดจากมัลแวร์และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจำ
  • 6. พัฒนาและบำรุงรักษาระบบและแอปพลิเคชันที่ปลอดภัย

ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด

  • 7. จำกัดการเข้าถึงข้อมูลของเจ้าของบัตรตามความจำเป็นทางด้านธุรกิจ
  • 8. ระบุและตรวจสอบสิทธิ์การเข้าถึงองค์ประกอบของระบบ
  • 9. จำกัดการเข้าถึงข้อมูลของเจ้าของบัตรในทางกายภาพ

เฝ้าสังเกตและทดสอบเครือข่ายเป็นประจำ

  • 10. ติดตามและเฝ้าสังเกตการเข้าถึงทรัพยากรในเครือข่ายและข้อมูลของเจ้าของบัตรทั้งหมด
  • 11. ทดสอบระบบและขั้นตอนรักษาความปลอดภัยอยู่เป็นประจำ

ดูแลนโยบายรักษาความปลอดภัยของข้อมูลอยู่เสมอ

  • 12. ใช้นโยบายที่เน้นเรื่องการรักษาความปลอดภัยของข้อมูลสำหรับบุคลากรทุกคน

เพื่อให้ธุรกิจใหม่ๆ สามารถตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ได้ "ง่ายขึ้น" ทางสภา PCI จึงได้จัดทำแบบฟอร์มต่างๆ ขึ้นมาถึง 9 แบบหรือที่เรียกว่าแบบสอบถามเพื่อการประเมินตนเอง (SAQ) ซึ่งเป็นชุดย่อยของข้อกำหนด PCI DSS ทั้งหมด เคล็ดลับคือการทำความเข้าใจว่าแบบฟอร์มใดที่ใช้ได้ หรือพิจารณาความจำเป็นในการว่าจ้างผู้ตรวจสอบที่ได้รับการอนุมัติโดยสภา PCI เพื่อยืนยันว่ามีการปฏิบัติตามข้อกำหนดด้านความปลอดภัย PCI DSS แต่ละข้อ นอกจากนี้ สภา PCI ยังแก้ไขกฎต่างๆ ทุก 3 ปี และเผยแพร่กฎฉบับปรับปรุงเพิ่มเติมตลอดทั้งปี ซึ่งยิ่งเพิ่มความซับซ้อนขึ้นตามไปด้วย

คำแนะนำแบบอธิบายทีละขั้นตอนเพื่อการปฏิบัติตามข้อกำหนดของ PCI DSS v3.2.1

1. ทราบถึงข้อกำหนดของคุณ

ขั้นตอนแรกในการปฏิบัติตามข้อกำหนดของ PCI คือการทราบถึงข้อกำหนดต่างๆ ที่ใช้ในองค์กร ซึ่งการปฏิบัติตามข้อกำหนดของ PCI นั้นมีอยู่ด้วยกัน 4 ระดับ โดยทั่วไปแล้วจะขึ้นอยู่กับจำนวนธุรกรรมจากบัตรเครดิตที่ธุรกิจของคุณประมวลผลในช่วงเวลา 12 เดือน

ระดับการปฏิบัติตามข้อกำหนด
ใช้กับ
ข้อกำหนด
ระดับ 1
  1. องค์กรที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปีผ่านบัตร Visa หรือ MasterCard หรือมากกว่า 2.5 ล้านรายการต่อปีผ่านบัตร American Express หรือ
  2. ประสบปัญหาการละเมิดข้อมูล หรือ
  3. สมาคมบัตรใดก็ตาม (Visa, Mastercard เป็นต้น) ถือว่าเป็น "ระดับ 1"
  1. รายงานประจำปีด้านการปฏิบัติตามข้อกำหนด (ROC) โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) หรือรู้จักกันในชื่อการประเมินในบริษัทระดับ 1 โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA) หรือผู้ตรวจสอบภายในหากลงนามโดยเจ้าหน้าที่ของบริษัท
  2. การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาสโดยผู้ให้บริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
  3. เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) สำหรับการประเมินในบริษัท โดยจะมีแบบฟอร์มเฉพาะสำหรับ merchants และผู้ให้บริการ
ระดับ 2
องค์กรที่ประมวลผลธุรกรรมระหว่าง 1-6 ล้านรายการต่อปี
  1. แบบสอบถามเพื่อประเมินตนเอง (SAQ) เกี่ยวกับข้อกำหนดของ PCI DSS ประจำปีโดยมี SAQ อยู่ 9 ประเภทซึ่งแสดงโดยสรุปในตารางด้านล่าง
  2. การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาสโดยผู้ให้บริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV) เอกสารรับรองการปฏิบัติตามข้อกำหนด
  3. เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) ซึ่ง SAQ ทั้ง 9 ฉบับมีแบบฟอร์ม AOC โดยเฉพาะ
ระดับ 3
  1. องค์กรที่ประมวลผลธุรกรรมออนไลน์ระหว่าง 20,000 - 1 ล้านรายการต่อปี
  2. องค์กรที่ประมวลผลธุรกรรมรวมน้อยกว่า 1 ล้านรายการต่อปี
เช่นเดียวกับข้อมูลด้านบน
ระดับ 4
  1. องค์กรที่ประมวลผลธุรกรรมออนไลน์น้อยกว่า 20,000 รายการต่อปี หรือ
  2. องค์กรที่ประมวลผลธุรกรรมรวมไม่เกิน 1 ล้านรายการต่อปี
เช่นเดียวกับข้อมูลด้านบน

สำหรับระดับ 2-4 มี SAQ ประเภทที่แตกต่างกันขึ้นอยู่กับวิธีผสานการทำงานการชำระเงินของคุณ ต่อไปนี้คือตารางสรุปสั้นๆ

SAQ
คำอธิบาย
A
ผู้ค้าที่ไม่ต้องแสดงบัตรจริง (อีคอมเมิร์ซหรือคำสั่งซื้อทางอีเมล/โทรศัพท์) ที่ใช้บริการฟังก์ชันข้อมูลเจ้าของบัตรทั้งหมดจากบุคคลที่สามที่ปฏิบัติตามข้อกำหนดของ PCI DSS โดยไม่มีการจัดเก็บข้อมูลทางอิเล็กทรอนิกส์ ดำเนินการ หรือส่งต่อข้อมูลของเจ้าของบัตรรายใดผ่านระบบหรือสถานที่ให้บริการของผู้ค้า

ยกเว้นช่องทางการชำระเงินที่จุดขาย
A-EP
ผู้ค้าอีคอมเมิร์ซที่ใช้บริการประมวลผลการชำระเงินทั้งหมดจากบริษัทอื่นที่ผ่านการตรวจสอบตามข้อกำหนดของ PCI DSS และผู้ที่มีเว็บไซต์ที่ไม่ได้รับข้อมูลของเจ้าของบัตรโดยตรง แต่อาจส่งผลกระทบต่อการรักษาความปลอดภัยของธุรกรรมการชำระเงิน โดยไม่มีการจัดเก็บทางอิเล็กทรอนิกส์ ประมวลผล หรือส่งต่อข้อมูลของเจ้าของบัตรรายใดผ่านระบบหรือสถานที่ของผู้ค้า

สำหรับช่องทางอีคอมเมิร์ซเท่านั้น
B
ผู้ค้าที่ใช้เฉพาะ
  • เครื่องพิมพ์ที่ไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์ และ/หรือ
  • เทอร์มินัลแบบสแตนด์อโลนที่เชื่อมต่อกับสายโทรศัพท์และไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์
ยกเว้นช่องทางอีคอมเมิร์ซ
B-IP
ผู้ค้าที่ใช้เทอร์มินัลการชำระเงินแบบสแตนด์โลนที่ได้รับการอนุมัติจาก PTS พร้อมการเชื่อมต่อ IP ไปยังผู้ประมวลผลการชำระเงินโดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ยกเว้นช่องทางอีคอมเมิร์ซ
C-VT
ผู้ค้าที่ป้อนธุรกรรมแต่ละรายการเองทีละรายการผ่านคีย์บอร์ดลงในโซลูชันเทอร์มินัลการชำระเงินเสมือนจริงที่ใช้อินเทอร์เน็ต ซึ่งโซลูชันดังกล่าวให้บริการและอยู่ในระบบของผู้ให้บริการที่เป็นบริษัทอื่นที่ผ่านการตรวจสอบตามข้อกำหนดของ PCI DSS โดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ยกเว้นช่องทางอีคอมเมิร์ซ
C
ผู้ค้าที่มีระบบแอปพลิเคชันการชำระเงินเชื่อมต่อกับอินเทอร์เน็ต โดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ยกเว้นช่องทางอีคอมเมิร์ซ
P2PE
ผู้ค้าใช้เฉพาะเทอร์มินัลการชำระเงินแบบฮาร์ดแวร์ที่รวมอยู่หรือที่จัดการผ่านโซลูชันการเข้ารหัสแบบจุดต่อจุด (P2PE) ที่ระบุใน PCI SSC และได้รับการตรวจสอบแล้ว โดยไม่มีการจัดเก็บข้อมูลของเจ้าของบัตรทางอิเล็กทรอนิกส์

ยกเว้นช่องทางอีคอมเมิร์ซ
D
SAQ D สำหรับผู้ค้า: ผู้ค้าทั้งหมดไม่รวมอยู่ในคำอธิบายสำหรับประเภท SAQ ข้างต้น

SAQ D สำหรับผู้ให้บริการ: ผู้ให้บริการทั้งหมดที่แบรนด์การชำระเงินระบุว่ามีสิทธิ์ทำ SAQ ได้

2. จัดทำแผนกระแสข้อมูลของคุณ

ก่อนที่จะปกป้องข้อมูลบัตรเครดิตที่ละเอียดอ่อนได้นั้น คุณจำเป็นต้องทราบก่อนว่าข้อมูลอยู่ที่ใดและส่งไปที่นั่นได้อย่างไร ซึ่งคุณจะต้องสร้างแผนผังที่ครอบคลุมของระบบ การเชื่อมต่อเครือข่าย และแอปพลิเคชันต่างๆ ที่โต้ตอบกับข้อมูลบัตรเครดิตทั่วทั้งองค์กร และอาจจะต้องทำงานร่วมกับทีม IT และทีมรักษาความปลอดภัยเพื่อดำเนินการดังกล่าว ทั้งนี้ขึ้นอยู่กับบทบาทของคุณ

  • อันดับแรก ให้ระบุจุดให้บริการผู้บริโภคทุกจุดของธุรกิจที่เกี่ยวข้องกับธุรกรรมการชำระเงิน ตัวอย่างเช่น คุณอาจรับชำระเงินผ่านรถเข็นซื้อของออนไลน์ จุดชำระเงินในร้านค้า หรือคำสั่งซื้อที่สั่งผ่านโทรศัพท์
  • ถัดไปคือระบุวิธีต่างๆ ที่ธุรกิจใช้จัดการกับข้อมูลของเจ้าของบัตร สิ่งสำคัญคือควรทราบแน่ชัดว่ามีการจัดเก็บข้อมูลไว้ที่ใดและใครเข้าถึงได้บ้าง
  • จากนั้นระบุระบบภายในหรือเทคโนโลยีพื้นฐานที่เกี่ยวข้องกับธุรกรรมการชำระเงิน ซึ่งรวมถึงระบบเครือข่าย ศูนย์ข้อมูล และระบบคลาวด์

3. ตรวจสอบการควบคุมความปลอดภัยและโปรโตคอล

เมื่อกำหนดช่องทางการติดต่อลูกค้าที่อาจเป็นไปได้ทั้งหมดเกี่ยวกับข้อมูลบัตรเครดิตในองค์กรของคุณแล้ว ให้ทำงานร่วมกับทีม IT และทีมรักษาความปลอดภัยเพื่อตรวจสอบให้มั่นใจว่ามีการใช้การกำหนดค่าและโปรโตคอลการรักษาความปลอดภัยที่ถูกต้อง (ดูรายการข้อกำหนดความปลอดภัย 12 ข้อสำหรับ PCI DSS ด้านบน) ซึ่งโปรโตคอลเหล่านี้ออกแบบมาเพื่อช่วยรักษาการส่งข้อมูลให้ปลอดภัย เช่น Transport Layer Security (TLS)

ข้อกำหนดความปลอดภัย 12 ข้อสำหรับ PCI DSS v3.2.1 มาจากแนวทางปฏิบัติที่ดีที่สุดเพื่อการปกป้องข้อมูลที่ละเอียดอ่อนสำหรับธุรกิจทุกประเภท มีหลายๆ ข้อที่คาบเกี่ยวกับข้อกำหนด GDPR, HIPAA และความเป็นส่วนตัวอื่นๆ ที่ต้องปฏิบัติตาม ดังนั้นบางข้ออาจมีอยู่แล้วในองค์กรของคุณ

4. การเฝ้าสังเกตและรักษาความต่อเนื่อง

สิ่งสำคัญที่ควรทราบคือการปฏิบัติตามข้อกำหนดของ PCI นั้นไม่ใช่เหตุการณ์ที่เกิดขึ้นเพียงครั้งเดียว หากแต่เป็นขั้นตอนที่ต้องทำอย่างต่อเนื่องเพื่อทำให้มั่นใจว่าธุรกิจของคุณจะยังคงเป็นไปตามข้อกำหนดอยู่เสมอ แม้ว่ากระแสข้อมูลและจุดบริการลูกค้าจะเปลี่ยนแปลงไป บัตรเครดิตบางแบรนด์อาจกำหนดให้คุณส่งรายงานประจำไตรมาสหรือประจำปี หรือดำเนินการประเมินประจำปีในบริษัทเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งหากคุณประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปี

การจัดการการปฏิบัติตามข้อกำหนดของ PCI ตลอดทั้งปี (และอีกหลายๆ ปี) นั้นมักต้องใช้การสนับสนุนและความร่วมมือแบบข้ามแผนก หากยังไม่มีความร่วมมือดังกล่าว การสร้างทีมงานเฉพาะทางเป็นการภายในเพื่อดูแลเรื่องการปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสมอาจเป็นวิธีการดำเนินงานที่คุ้มค่า แม้ว่าบริษัทต่างๆ จะไม่เหมือนกัน แต่จุดเริ่มต้นที่ดีสำหรับ "ทีม PCI" จะประกอบด้วยตัวแทนจากฝ่ายต่างๆ ดังนี้

  • ฝ่ายรักษาความปลอดภัย: ประธานเจ้าหน้าที่บริหารฝ่ายรักษาความปลอดภัย (CSO) ประธานเจ้าหน้าที่บริหารฝ่ายรักษาความปลอดภัยของข้อมูล (CISO) และทีมงานที่ตรวจสอบว่าองค์กรได้ลงทุนอย่างเหมาะสมในการรักษาความปลอดภัยของข้อมูลที่จำเป็นรวมถึงแหล่งข้อมูลและนโยบายด้านความเป็นส่วนตัว
  • ฝ่ายเทคโนโลยี/การชำระเงิน: ประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยี (CTO) รองประธานกรรมการฝ่ายการชำระเงิน และทีมงานของประธานทั้งสองฝ่ายข้างต้นทำให้มั่นใจว่าเครื่องมือ การผสานการทำงาน และโครงสร้างพื้นฐานหลักๆ ยังคงเป็นไปตามข้อกำหนดขณะที่ระบบขององค์กรพัฒนาขึ้น
  • ฝ่ายการเงิน: หากเป็นเรื่องของระบบการชำระเงินและพาร์ทเนอร์ ประธานเจ้าหน้าที่บริหารฝ่ายการเงิน (CFO) และทีมงานจะต้องยืนยันว่ามีการพิจารณาถึงกระแสข้อมูลการชำระเงินทั้งหมด
  • ฝ่ายกฎหมาย: ทีมนี้จะช่วยอธิบายรายละเอียดความแตกต่างด้านกฎหมายเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI ที่ซับซ้อนขึ้น โปรดไปที่เว็บไซต์สภามาตรฐานความปลอดภัย PCI หากคุณได้อ่านเพียงคู่มือนี้และเอกสาร PCI อื่นๆ อีกเล็กน้อย เราแนะนำให้เริ่มต้นด้วยการอ่านแนวทางที่สำคัญ สำหรับ PCI DSS SAQ instructions and guidelines คำถามที่พบบ่อยเกี่ยวกับการใช้เกณฑ์คุณสมบัติ SAQ ในการกำหนดข้อกำหนดการประเมินในบริษัท และคำถามที่พบบ่อยเกี่ยวกับภาระหน้าที่สำหรับผู้ค้าที่พัฒนาแอปสำหรับอุปกรณ์ของผู้บริโภคที่ยอมรับข้อมูลบัตรการชำระเงิน

วิธีที่ Stripe ช่วยเหลือองค์กรให้บรรลุและรักษาการปฏิบัติตามข้อกำหนดของ PCI อย่างต่อเนื่อง

Stripe ช่วยลดความยุ่งยากเรื่องภาระด้านการปฏิบัติตามข้อกำหนดของ PCI ได้อย่างมากสำหรับบริษัทต่างๆ ที่ผสานการทำงานกับ Checkout, Elements, SDK สำหรับอุปกรณ์เคลื่อนที่ และ Terminal SDK โดย Stripe Checkout และ Stripe Elements ใช้ช่องการชำระเงินในระบบของเราเพื่อจัดการข้อมูลบัตรการชำระเงินทั้งหมด เพื่อให้เจ้าของบัตรป้อนข้อมูลการชำระเงินที่ละเอียดอ่อนทั้งหมดในช่องการชำระเงินที่สร้างจากเซิร์ฟเวอร์ที่ผ่านการตรวจสอบ PCI DSS โดยตรง นอกจากนี้ SDK สำหรับอุปกรณ์เคลื่อนที่และ Terminal SDK ของ Stripe ยังเปิดให้เจ้าของบัตรส่งข้อมูลการชำระเงินที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่ผ่านการตรวจสอบ PCI DSS โดยตรงได้อีกด้วย

เราจะแสดงแบบฟอร์ม PCI (SAQ) ในแดชบอร์ด Stripe โดยใช้วิธีการยอมรับบัตรที่ปลอดภัยมากขึ้น เพื่อทำให้การตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ทำได้ง่ายดายเพียงคลิกปุ่มเดียว วิธีนี้จะช่วยประหยัดเวลาได้หลายร้อยชั่วโมงสำหรับองค์กรขนาดเล็ก และประหยัดเวลาได้นับพันชั่วโมงสำหรับองค์กรขนาดใหญ่

Stripe จะทำหน้าที่เป็นผู้สนับสนุนด้านการปฏิบัติตามข้อกำหนดของ PCI ให้กับผู้ใช้ทั้งหมดของเรา และช่วยเหลือคุณได้หลายวิธี ไม่ว่าคุณจะใช้การผสานการทำงานประเภทใดก็ตาม

  • เราจะวิเคราะห์วิธีการผสานการทำงานและแนะนำว่าคุณควรใช้แบบฟอร์มการปฏิบัติตามข้อกำหนดของ PCI แบบไหนรวมถึงวิธีลดภาระด้านการปฏิบัติตามข้อกำหนด
  • เราจะแจ้งให้คุณทราบล่วงหน้าหากต้องเปลี่ยนแปลงวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดเนื่องจากจำนวนธุรกรรมที่เพิ่มขึ้น
  • สำหรับผู้ค้ารายใหญ่ (ระดับ 1) เรามีชุด PCI ที่จะช่วยลดเวลาการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI จากหลายเดือนให้เหลือแค่ไม่กี่วัน และหากต้องการใช้ PCI QSA (เพราะคุณจัดเก็บข้อมูลบัตรเครดิตไว้หรือมีขั้นตอนการชำระเงินที่ซับซ้อนมากขึ้น) เรามีบริษัท QSA ดังกล่าวมากกว่า 350 แห่งทั่วโลกและสามารถช่วยคุณติดต่อกับผู้ตรวจสอบหลายรายที่เข้าใจวิธีการผสานการทำงาน Stripe แบบต่างๆ

สรุป

การประเมินและการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI โดยปกติแล้วจะมีขึ้นปีละครั้ง แต่การปฏิบัติตามข้อกำหนดของ PCI นั้นไม่ใช่สิ่งที่จะดำเนินการเพียงครั้งเดียว หากแต่เป็นการประเมินและแก้ไขที่ต้องดำเนินการบ่อยครั้งอย่างต่อเนื่อง ขณะที่บริษัทเติบโตขึ้น ตรรกะและกระบวนการทางธุรกิจที่สำคัญๆ ย่อมเติบโตขึ้นด้วย ซึ่งหมายความว่าข้อกำหนดในการปฏิบัติตามนั้นจะพัฒนาไปเช่นกัน ตัวอย่างเช่น ธุรกิจออนไลน์อาจตัดสินใจเปิดหน้าร้าน เข้าสู่ตลาดใหม่ๆ หรือเปิดตัวศูนย์สนับสนุนลูกค้า หากสิ่งใหม่ๆ นั้นเกี่ยวข้องกับข้อมูลบัตรการชำระเงิน เราแนะนำให้ตรวจสอบอย่างเข้มงวดว่าการดำเนินการดังกล่าวส่งผลกระทบต่อวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ของคุณหรือไม่ และตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI อีกครั้งตามความจำเป็น

การปฏิบัติตามข้อกำหนดของ PCI ช่วยได้ แต่ยังไม่เพียงพอ

การปฏิบัติตามแนวทาง PCI DSS นั้นเป็นการป้องกันอีกหนึ่งชั้นที่จำเป็นสำหรับธุรกิจของคุณ แต่ก็ยังไม่เพียงพอ PCI DSS กำหนดมาตรฐานที่สำคัญสำหรับการจัดการและจัดเก็บข้อมูลของเจ้าของบัตร แต่ตัวมาตรฐานเองไม่ได้ให้การป้องกันที่เพียงพอสำหรับทุกระบบการชำระเงิน ดังนั้นการเปลี่ยนไปใช้วิธีการยอมรับบัตรที่ปลอดภัยกว่า (เช่น Stripe Checkout, Elements และ SDK สำหรับอุปกรณ์เคลื่อนที่) จึงเป็นวิธีในการปกป้ององค์กรของคุณที่มีประสิทธิภาพมากกว่า ข้อดีในระยะยาวของวิธีนี้คือ คุณไม่จำเป็นต้องพึ่งพามาตรฐานพื้นฐานของอุตสาหกรรมหรือกังวลว่าอาจเกิดความล้มเหลวด้านการควบคุมความปลอดภัย ซึ่งวิธีนี้จะช่วยให้ธุรกิจที่มีความคล่องตัวในการลดการละเมิดข้อมูลที่อาจเกิดขึ้นได้ และหลีกเลี่ยงวิธีการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI ในอดีตที่สร้างความตึงเครียด เสียเวลา และมีค่าใช้จ่ายสูง อีกทั้งยังมีวิธีการผสานการทำงานที่ปลอดภัยกว่าและน่าเชื่อถืออยู่เสมอ

ระดับผู้ค้าของ Visa
เวลาตรวจสอบบัญชีโดยเฉลี่ย

(การประมาณรายปี)

เวลาตรวจสอบบัญชีโดยเฉลี่ยด้วย Stripe Elements, Checkout หรือ SDK สำหรับอุปกรณ์เคลื่อนที่

(การประมาณรายปี)

ระดับ 1
3-5 เดือน 2-5 วัน
ระดับ 2
1-3 เดือน 0 วัน
ระดับ 3
1-3 เดือน 0 วัน
ระดับ 4
1-3 เดือน 0 วัน

หากพร้อมใช้งานแล้ว โปรดติดต่อเราหรือสร้างบัญชี

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดการธนาคาร หรือจะติดต่อเราเพื่อออกแบบแพ็กเกจที่กำหนดเองสำหรับธุรกิจของคุณโดยเฉพาะก็ได้เช่นกัน