รักษาอนาคตการชำระเงิน: PCI SSC ออกมาตรฐานความปลอดภัยข้อมูล PCI v4.0

— กระแสตอบรับจากอุตสาหกรรมทั่วโลกช่วยสร้างมาตรฐานในการรักษาความปลอดภัยข้อมูลการชำระเงินทั่วโลก —

คณะกรรมการมาตรฐานความปลอดภัย PCI (PCI Security Standards Council หรือ PCI SSC) ซึ่งเป็นฟอรัมรักษาความปลอดภัยในการชำระเงินระดับโลก ได้ออกมาตรฐานความปลอดภัยข้อมูล PCI (PCI Data Security Standard หรือ PCI DSS) เวอร์ชัน 4.0 โดย PCI DSS เป็นมาตรฐานสากลที่กำหนดความต้องการด้านเทคนิคและด้านการปฏิบัติงานขั้นพื้นฐาน ที่ออกแบบมาเพื่อปกป้องข้อมูลในบัญชี โดย PCI DSS v4.0 จะมาแทนที่เวอร์ชัน 3.2.1 เพื่อรับมือกับเทคโนโลยีและภัยคุกคามใหม่ ๆ ที่เกิดขึ้น และใช้วิธีการที่เป็นนวัตกรรมมาสู้กับภัยคุกคามใหม่ ๆ ดูมาตรฐานที่อัปเดตและเอกสารสรุปการเปลี่ยนแปลง (Summary of Changes) ได้ที่ เว็บไซต์ PCI SSC

เพื่อให้องค์กรได้มีเวลาทำความเข้าใจการเปลี่ยนแปลงในเวอร์ชัน 4.0 และทำการอัปเดตที่จำเป็น PCI DSS เวอร์ชันปัจจุบันอย่าง v3.2.1 จะยังคงใช้งานได้เป็นเวลาสองปีจนกว่าจะยุติการใช้งานในวันที่ 31 มีนาคม 2567 โดยทันทีที่ผู้ประเมินได้รับการฝึกอบรมเกี่ยวกับ PCI DSS v4.0 เสร็จสิ้น เมื่อนั้นองค์กรสามารถประเมินได้ว่าจะเลือก PCI DSS v4.0 หรือ PCI DSS v3.2.1 นอกจากนี้ มาตรฐานใหม่จะให้เวลาเพิ่มเติมสำหรับองค์กรต่าง ๆ ในการดำเนินการตามข้อกำหนดใหม่ ๆ อีกด้วย ดูข้อมูลเพิ่มเติมเกี่ยวกับไทม์ไลน์การปรับใช้มาตรฐานใหม่ได้ที่ บล็อก PCI เปอร์สเปคทีฟ

กระแสตอบรับจากอุตสาหกรรมการชำระเงินทั่วโลกผลักดันให้เกิดการเปลี่ยนแปลงมาตรฐานดังกล่าว โดยตลอดระยะเวลาสามปีที่ผ่านมา องค์กรมากกว่า 200 แห่งให้ข้อเสนอแนะมากกว่า 6,000 รายการ เพื่อให้แน่ใจว่ามาตรฐานจะยังคงตอบโจทย์ภูมิทัศน์การรักษาความปลอดภัยในการชำระเงินที่ซับซ้อนและเปลี่ยนแปลงอยู่เสมอ

“อุตสาหกรรมนี้มีโอกาสมองเห็นและมีผลกระทบต่อการพัฒนา PCI DSS v4.0 อย่างที่ไม่เคยเกิดขึ้นมาก่อน” แลนซ์ จอห์นสัน (Lance Johnson) กรรมการบริหารของ PCI SSC กล่าว “ผู้มีส่วนได้ส่วนเสียของเราให้ข้อมูลเชิงลึกที่หลากหลายเป็นชิ้นเป็นอัน ซึ่งช่วยให้ทางคณะกรรมการได้พัฒนามาตรฐานความปลอดภัยข้อมูล PCI เวอร์ชันนี้อย่างได้ผล”

การอัปเดตมาตรฐานดังกล่าวมุ่งเน้นไปที่การตอบสนองความต้องการด้านความปลอดภัยที่เปลี่ยนแปลงไปของอุตสาหกรรมการชำระเงิน ส่งเสริมให้มีการรักษาความปลอดภัยอย่างต่อเนื่อง เพิ่มความยืดหยุ่นสำหรับองค์กรที่ใช้วิธีการต่าง ๆ เพื่อให้บรรลุวัตถุประสงค์ด้านความปลอดภัย และยกระดับวิธีการและขั้นตอนการตรวจสอบความถูกต้อง ดูรายละเอียดการอัปเดตได้ในเอกสารสรุปการเปลี่ยนแปลง PCI DSS v4.0 บน เว็บไซต์ PCI SSC

ตัวอย่างของการเปลี่ยนแปลงใน PCI DSS v4.0 ได้แก่:

  • อัปเดตศัพท์เฉพาะในด้านไฟร์วอลล์ในการควบคุมความปลอดภัยของเครือข่าย เพื่อรองรับเทคโนโลยีที่หลากหลายมากขึ้น ที่ใช้เพื่อบรรลุวัตถุประสงค์ด้านความปลอดภัยที่ไฟร์วอลล์ทำได้มาแต่เดิม
  • ขยายข้อกำหนด 8 เพื่อนำการรับรองความถูกต้องโดยใช้หลายปัจจัย (Multi-Factor Authentication หรือ MFA) มาใช้สำหรับทุกการเข้าถึงในสภาพแวดล้อมข้อมูลของผู้ถือบัตร
  • เพิ่มความยืดหยุ่นสำหรับองค์กรในการแสดงวิธีที่ตนใช้วิธีการต่าง ๆ เพื่อให้บรรลุวัตถุประสงค์ด้านความปลอดภัย
  • เพิ่มการวิเคราะห์ความเสี่ยงแบบกำหนดเป้าหมาย เพื่อให้หน่วยงานมีความยืดหยุ่นในการกำหนดความถี่ที่จะทำกิจกรรมหนึ่ง ๆ ที่เหมาะสมที่สุดสำหรับความต้องการทางธุรกิจและโอกาสเสี่ยง

รับชม: “ดู PCI DSS v4.0 ก่อนใคร”  โดยในวิดีโอมีตัวแทนคณะกรรมการพูดคุยเกี่ยวกับการเปลี่ยนแปลงที่สำคัญในการกำหนดมาตรฐานใหม่นี้

“PCI DSS v4.0 ตอบสนองต่อลักษณะความไดนามิกของการชำระเงินและการคุกคามได้มากขึ้น” เอ็มม่า ซัตคลิฟฟ์ (Emma Sutcliffe) รองประธานอาวุโสฝ่ายเจ้าหน้าที่มาตรฐานของ PCI SSC กล่าว “เวอร์ชัน 4.0 ยังคงตอกย้ำหลักการรักษาความปลอดภัยหลักในขณะที่ให้ความยืดหยุ่นมากขึ้น เพื่อให้สามารถใช้งานเทคโนโลยีที่หลากหลายได้ดียิ่งขึ้น การอัปเดตเหล่านี้ได้รับการสนับสนุนโดยคำแนะนำเพิ่มเติม เพื่อช่วยให้องค์กรรักษาความปลอดภัยของข้อมูลบัญชีทั้งในปัจจุบันและอนาคตได้”

รับฟัง: ดื่มกาแฟกับคณะกรรมการ: ส่อง PCI DSS v4.0 และการฝึกอบรมการเปลี่ยนผ่าน  พอดแคสต์ที่มีตัวแทนคณะกรรมการหารือถึงสิ่งที่คาดหวังได้จาก PCI DSS v4.0 และข้อมูลการฝึกอบรมผู้ประเมิน

นอกเหนือจากมาตรฐานที่ได้รับการปรับปรุงแล้ว เอกสารสนับสนุนที่เผยแพร่ใน คลังเก็บเอกสาร PCI SSC ยังรวมถึงสรุปการเปลี่ยนแปลงจาก PCI DSS v3.2.1 เป็น v4.0, เทมเพลตรายงานการปฏิบัติตามข้อกำหนด (ROC) v4.0, เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) ของ ROC และ คำถามที่ถามบ่อยของ ROC ส่วนแบบสอบถามการประเมินตนเอง (SAQ) จะเผยแพร่ในอีกไม่กี่สัปดาห์ข้างหน้า

เพื่อรองรับการนำ PCI DSS ไปใช้ทั่วโลก มาตรฐานและสรุปการเปลี่ยนแปลงจะได้รับการแปลในหลายภาษา โดยจะเผยแพร่ฉบับแปลภาษาต่าง ๆ ในอีกไม่กี่เดือนข้างหน้า ในระหว่างเดือนมีนาคมถึงมิถุนายน 2565

คณะกรรมการจะให้ข้อมูลเพิ่มเติมตลอดทั้งปี เพื่อช่วยให้ชุมชนเข้าใจการเปลี่ยนแปลงในมาตรฐานใหม่ ซึ่งรวมถึง การประชุมสัมมนา PCI DSS ซึ่งเป็นกิจกรรมให้ความรู้ออนไลน์ที่จะมีขึ้นในวันที่ 21 มิถุนายน 2565 สำหรับสมาชิกชุมชน PCI SSC การฝึกอบรมสำหรับผู้ประเมินจะมีขึ้นในเดือนมิถุนายน สำหรับกำหนดการของเซสชันการฝึกอบรมผู้ประเมิน โปรดดูที่ หน้าทรัพยากรการฝึกอบรม PCI SSC

อ่าน:  PCI DSS v4.0 เบื้องต้น ” เพื่อดูเอกสารภาพรวมเกี่ยวกับการเปลี่ยนแปลงใน PCI DSS v4.0

สมัครรับข้อมูลจากบล็อก PCI Perspectives เพื่อดูข้อมูลเพิ่มเติม รวมทั้งพอดแคสต์ วิดีโอ และบล็อกโพสต์ที่ออกแบบมาเพื่อช่วยให้องค์กรต่าง ๆ มุ่งสู่การเปลี่ยนไปใช้ PCI DSS v4.0

เกี่ยวกับคณะกรรมการมาตรฐานความปลอดภัย PCI

คณะกรรมการมาตรฐานความปลอดภัย PCI (PCI Security Standards Council หรือ PCI SSC) เป็นผู้นำระดับโลกในความพยายามข้ามอุตสาหกรรมเพื่อเพิ่มความปลอดภัยในการชำระเงิน ผ่านมาตรฐานและโปรแกรมการรักษาความปลอดภัยของข้อมูลที่ขับเคลื่อนด้วยอุตสาหกรรม ยืดหยุ่น และมีประสิทธิภาพ ซึ่งช่วยให้ธุรกิจสามารถตรวจจับ ลดผลกระทบ และป้องกันการโจมตีทางไซเบอร์และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ติดตาม PCI SSC ได้ทาง ลิงก์อิน เข้าร่วมการสนทนาบนทวิตเตอร์ @PCISSC สมัครสมาชิก บล็อก PCI Perspectives

รูปภาพ – https://mma.prnewswire.com/media/1777827/PCI_DSS.jpg

ที่มา:  พีอาร์นิวส์ไวร์/อินโฟเควสท์