Shopify ออกมาเตือนถึงความเปลี่ยนแปลงหนึ่งของมาตรฐาน PCI-DSS v4 ที่ออกมาตั้งแต่ปี 2022 แต่จะเริ่มบังคับ 31 มีนาคม 2025 นี้ โดยข้อ 6.4.3 บังคับเรื่องการโหลดสคริปต์บนเบราว์เซอร์ของผู้ใช้ต้องมีการตรวจสอบความถูกต้องเสมอ

ข้อบังคับนี้พยายามแก้ปัญหาการฝังสคริปต์เพื่อดูดหมายเลขบัตรเครดิต (digital skimming) ที่คนร้ายฝังสคริปต์ไว้ในเว็บร้านค้า เมื่อผู้ใชักรอกเลขบัตรลงในฟอร์มแล้วสคริปต์จะดูดหมายเลขส่งไปยังเซิร์ฟเวอร์ของตัวเอง

ข้อบังคับของ PCI-DSS v4 จึงบังคับให้ร้านค้า ต้องทำเอกสารระบุว่าสคริปต์ใดใช้เพื่อเหตุผลใดบ้าง, มีมาตรการบังคับว่าเว็บจะโหลดเฉพาะสคริปต์ที่ได้รับอนุญาตเท่านั้น และสคริปต์ที่โหลดต้องถูกต้อง

มาตรฐาน PCI-DSS ออกเวอร์ชั่น 4.0 เมื่อต้นเดือนกรกฎาคมที่ผ่านมา มีความเปลี่ยนแปลงหลายอย่าง แต่ประเด็นหนึ่งที่สำคัญคือกระบวนการยืนยันตัวตนเข้าระบบที่ตอนนี้มาตรฐานไม่บังคับการเปลี่ยนรหัสผ่านทุก 90 วันแล้ว หากระบบมีการตรวจสอบความปลอดภัยเพิ่มเติม

องค์กรที่ใช้นโยบายบังคับเปลี่ยนรหัสผ่านทุก 90 วันยังคงใช้งานได้ต่อไปในมาตรฐานใหม่นี้ แต่หากมีการวิเคราะห์ความปลอดภัยต่อเนื่อง (dynamically analyzed) ก็สามารถปลดข้อบังคับการเปลี่ยนรหัสผ่านทุก 90 วันไปได้ ตัวมาตรฐานระบุว่าการวิเคราะห์ความปลอดภัยอาจจะใช้ข้อมูลเพิ่มเติม เช่น ตรวจสอบความปลอดภัยของอุปกรณ์ที่ใช้เข้าระบบ, พิกัดของผู้เข้าระบบ, หรือวิเคราะห์จากช่วงเวลา/ข้อมูลที่เข้าถึงว่าผิดปกติหรือไม่ และบล็อคการเข้าถึงหากพบความผิดปกติ

มาตรฐานความปลอดภัยสำหรับการประมวลผลบัตรเครดิต PCI-DSS พยายามบังคับให้เลิกใช้งาน SSL และ TLS รุ่นเก่า มาตั้งแต่ปี 2015 แต่เนื่องจากผู้ประกอบการจำนวนมากยังคงไม่พร้อม ทำให้ทาง PCI SSC ยอมเลื่อนกำหนดการไปสองปี และตอนนี้เส้นตายก็กำลังมาถึงในสัปดาห์นี้แล้ว

สำหรับผู้ใช้ทั่วไปคงไม่มีผลนักเพราะเบราว์เซอร์รุ่นใหม่รองรับการเข้ารหัสรุ่นใหม่ทั้งหมดแล้ว สำหรับเว็บอีคอมเมิร์ชทั้งหลายคงต้องอัพเกรดทั้งหน้าบ้านและหลังบ้าน เพราะตลอดเส้นทางการเชื่อมต่อ จะไม่สามารถใช้การเชื่อมต่อรุ่นเก่าได้ทั้งหมด

PCI Security Standards Council (PCI SSC) หน่วยงานออกมาตรฐานความปลอดภัยสำหรับการประมวลผลบัตรเครดิตออกมาตรฐานใหม่ PCI Software-Based PIN Entry (PCI SPoC - ไม่แน่ใจว่าย่อมาอย่างไร) สำหรับการรับบัตรเครดิตที่และใส่ PIN เพื่อยืนยันการจ่ายเงินด้วยซอฟต์แวร์ ทำให้สามารถรับบัตรเครดิตบนแท็บเล็ตและใส่ PIN เพื่อการจ่ายบนหน้าจอแท็บเล็ตได้เลย จากเดิมที่ต้องมีเครื่องรับ PIN เฉพาะอยู่ภายนอก

PCI SPoC เปิดทางให้ร้านค้าสามารถจัดหาแท็บเล็ตหรือโทรศัพท์มือถือตามท้องตลาด (commercial off-the-shelf - COTS) มารับบัตรเครดิตได้ โดยอาศัยข้อกำหนดเพิ่มเติมอีกหลายอย่าง เช่น

ศูนย์ข้อมูลของบริษัท ฮิตาชิ ซันเวย์ อินฟอร์เมชั่น ซิสเต็มส์ ได้รับการรับรองมาตรฐาน PCI-DSS แล้วอีกแห่ง ทำให้ตอนนี้ในไทยมีศูนย์ข้อมูลที่รองรับการประมวลข้อมูลบัตรเครดิตสองแห่งแล้ว

ศูนย์ข้อมูลในไทยที่แถลงข่าวว่าได้รับรอง PCI-DSS ก่อนหน้านี้คือ ศูนย์ข้อมูล Nexcenter ของ NTT ในแง่เวลาอาจจะไม่แน่ชัดนักว่าจะถือว่าใครได้ก่อนกัน เพราะของทางฮิตาชิ ซันเวย์นั้นได้รับจากรายงานการตรวจสอบตั้งแต่เดือนมกราคมที่ผ่านมา แต่ในแง่ลูกค้าแล้วตอนนี้ถ้าใครต้องการให้บริการประมวลผลข้อมูลบัตรเครดิตก็จะมีทางเลือกสองทางแล้ว

เมื่อกลางเดือนที่ผ่านมา บริษัท NTT Communications ประเทศไทยประกาศความสำเร็จในการขอรับรองความปลอดภัยศูนย์ข้อมูลตามมาตรฐาน PCI-DSS เป็นศูนย์ข้อมูลแรกในประเทศไทย นับเป็นก้าวสำคัญของวงการไอทีในไทยที่จะมีศูนย์ข้อมูลความปลอดภัยสูงพร้อมสำหรับการประมวลผลบัตรเครดิตในไทย

NTT Communications ประเทศไทยได้รับการรับรองมาตรฐาน PCI-DSS 3.2 สำหรับศูนย์ข้อมูล Bangkok 2 Data Center (Nexcenter) ของบริษัทตั้งแต่วันที่ 1 มิถุนายนที่ผ่านมา นับเป็นศูนย์ข้อมูลแรกในประเทศไทยที่ได้รับมาตรฐานนี้

ศูนย์ข้อมูล Nexcenter เป็นศูนย์ข้อมูลขนาด 10,000 ตารางเมตร ความจุ 1,500 ตู้ ระบบไฟฟ้า dual-path พร้อมไฟสำรอง 100% และระบบปรับอากาศสำรอง N+1

Omise บริการ payment gateway ที่ ผ่านการรับรอง PCI-DSS 3.0 มาตั้งแต่ปี 2014 ผ่านมาสองปีทางบริษัทก็ระบุว่าผ่านการรับรอง PCI-DSS 3.2 เรียบร้อยแล้ว พร้อมระบุว่าเป็นบริษัทแรกในไทยที่ผ่านการรับรองมาตรฐานรุ่นล่าสุดนี้ ทั้งการจัดเก็บ, การประมวลผล, และการส่งข้อมูลบัตร

มาตรฐานความปลอดภัย PCI-DSS 3.2 เพิ่มความเข้มงวดในการเข้าถึงระบบเพิ่มเติม และต้องรายงานกระบวนการย้ายออกจาก SSL และ TLS รุ่นเก่าหากยังมีการใช้งานอยู่

ที่มา - Omise

มาตรฐาน PCI-DSS ที่ระบุมาตรการความปลอดภัยของผู้ให้บริการรับจ่ายเงินออกรุ่น 3.2 มา ตั้งแต่เดือนเมษายน ตอนนี้มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์ (software vendor) ก็ถูกปรับขึ้นมาแล้วโดยปรับมาตรฐานหลายส่วนให้ตรงกับ PCI-DSS รุ่นล่าสุด

ความเปลี่ยนแปลงสำคัญ คือ การเข้าถึงสิทธิ์ผู้ดูแลระบบของตัวแอปพลิเคชั่นจากระยะไกลต้องรองรับการยืนยันตัวตนหลายขั้นตอนเช่นเดียวกับ PCI-DSS และผู้ผลิตซอฟต์แวร์จะต้องมอบขั้นตอนการอัพเดตซอฟต์แวร์ โดยระบุถึงขั้นตอนการแจ้งเตือนอัพเดตใหม่, การส่งมอบอัพเดตให้กับลูกค้าอย่างมั่นคงปลอดภัย, และการติดตั้งอัพเดตอย่างมั่นคงปลอดภัยว่าแพตช์และโค้ดที่ถูกแพตช์แล้วยังถูกต้องอยู่

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

PCI SSC หน่วยงานผู้ออกมาตรฐานความปลอดภัย PCI DSS ประกาศเลื่อนการบังคับให้หน่วยงานที่ได้รับรองเลิกใช้ SSL ทุกรุ่น และ TLS 1.0 แล้วหันไปใช้ TLS 1.1 ไปอีกสองปี จากเดิมกำหนดเส้นตายไว้เดือนมิถุนายน 2016 เป็นเดือนมิถุนายน 2018

ทาง PCI SSC ระบุว่าได้รับเสียงแสดงความเห็นจากอุตสาหกรรม ระบุว่าระยะเวลาเปลี่ยนเทคโนโลยีน้อยเกินไปเพราะบริการบางรายเชื่อมต่อกับลูกค้านับพันราย และยังมีประเด็นการปรับเปลี่ยนใบรับรองให้เลิกใช้ใบรับรอง SHA-1 ภาระของผู้ให้บริการรับจ่ายเงินจึงมากอยู่แล้ว

Payment Card Industry Security Standards Council หรือที่เราเรียกกันว่า PCI หน่วยงานวางมาตรฐานความปลอดภัยสำหรับหน่วยงานที่รับจ่ายเงินผ่านบัตรเครดิตเตรียมหาทางให้ธุรกิจขนาดเล็กปรับมาตรฐาน PCI-DSS ให้หน่วยงานเหล่านี้เข้าถึงได้ง่ายขึ้น

ทุกวันนี้มีเว็บจำนวนมากที่ไม่ได้อยู่ภายใต้มาตรฐาน PCI-DSS แต่ยังสามารถให้บริการรับจ่ายเงินผ่านบัตรเครดิตได้ แต่อยู่ในกลุ่ม non-compliance ที่อาจจะถูกปรับรายเดือน หรือเสี่ยงต่อการถูกยกเลิกการให้บริการ

ตอนนี้ยังไม่มีความชัดเจนว่ากลุ่มทำงานนี้จะออกมาตรการอะไรออกมา แต่ก็เป็นสัญญาณแรกว่าทาง PCI พยายามทำให้ธุรกิจขนาดเล็กที่มีบุคลากรไม่มากนักสามารถปรับตัวให้มีความปลอดภัยได้

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้ มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง