มาตรฐานนี้ดูแลรักษาโดยคณะกรรมการ Payment Card Industry Security Standards Council ซึ่งดูแลทั้งมาตรฐาน PCI DSS และมาตรฐานอื่น ๆ อาทิเช่น Payment Card Industry PIN Entry Device security requirements (PCI PED) และ Payment Application Data Security Standard (PA-DSS)
การตรวจสอบการปฏิบัติตามมาตรฐานอาจทำได้จากทั้งจากภายในหรือภายนอก ขึ้นอยู่กับปริมาณของการทำธุรกรรมของบัตรที่องค์กรนั้นจัดการ ถึงแม้ว่าองค์กรจะมีขนาดใหญ่เพียงใดก็ตาม การประเมินการปฏิบัติตามมาตรฐานจะต้องทำเป็นรายปี องค์กรที่จัดการกับการทำธุรกรรมที่มีปริมาณมากจะต้องมีการประเมินการทำตาม มาตรฐานโดยผู้ประเมินอิสระที่เรียกว่า Qualified Security Assessor (QSA) ส่วนบริษัทที่จัดการกับการทำธุรกรรมที่มีจำนวนน้อยกว่าสามารถเลือกที่จะ ทำการประเมินได้ด้วยตัวเองที่เรียกว่า Self-Assessment Questionnaire (SAQ)
ข้อกำหนด
มาตรฐานนี้ในเวอร์ชั่นปัจจุบัน (1.2) ระบุถึงข้อกำหนด 12 ข้อในการปฏิบัติตามมาตรฐาน แบ่งเป็นหกกลุ่มที่เกี่ยวข้องกัน เรียกว่า “control objectives”
| Control Objectives | ข้อกำหนด PCI DSS |
|---|---|
| สร้างและดูแลรักษาเครือข่ายที่ปลอดภัย | 1. ติดตั้งและดูแลรักษาค่าที่ตั้งไว้ของไฟร์วอลล์เพื่อป้องกันข้อมูลของผู้ถือบัตร |
| 2. ไม่ใช้ค่าที่ตั้งมาพร้อมกับผลิตภัณฑ์สำหรับรหัสผ่านและการรักษาความปลอดภัยอื่น ๆ ของระบบ | |
| การป้องกันข้อมูลผู้ถือบัตร | 3. ป้องกันข้อมูลผู้ถือบัตรที่เก็บรักษาอยู่ |
| 4. เข้ารหัสธุรกรรมที่ส่งผ่านเครือข่ายสาธารณะแบบเปิด | |
| ดูแลรักษาโปรแกรมที่จัดการกับช่องโหว่ | 5. ใช้และอัพเดทซอฟท์แวร์แอนตี้ไวรัสในทุกระบบที่มักจะได้รับผลกระทบจากมัลแวร์ |
| 6. พัฒนาและดูแลรักษาระบบและแอพพลิเคชั่นต่าง ๆ ให้ปลอดภัย | |
| ใช้มาตรการควบคุมการเข้าถึงที่เข้มแข็ง | 7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตร สำหรับผู้ที่ได้รับอนุญาตให้สามารถเข้าถึงได้เท่านั้น |
| 8. กำหนดหมายเลขประจำตัวเฉพาะสำหรับผู้ที่สามารถเข้าถึงคอมพิวเตอร์ได้ | |
| 9. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ | |
| เฝ้าดูและทดสอบเครือข่ายต่าง ๆ อย่างสม่ำเสมอ | 10. ติดตามและเฝ้าดูการเข้าถึงทรัพยากรทางเครือข่ายและข้อมูลผู้ถือบัตร |
| 11. ทดสอบระบบและขั้นตอนต่าง ๆ ในการรักษาความปลอดภัยอย่างสม่ำเสมอ | |
| ดูแลรักษานโยบายความปลอดภัยสารสนเทศ | 12. ดูแลรักษานโยบายที่กล่าวถึงความปลอดภัยสารสนเทศ |
มาตรฐาน PCI DSS ที่มีใน SRAN Data Safehouse
ระบบของ Data Safehouse ในส่วนของการประเมินการปฏิบัติตามมาตรฐานของ PCI DSS จะเน้นที่การตรวจสอบปัญหาต่าง ๆ ที่พบใน web server เป็นหลัก
หน้ารายงานในส่วนของ PCI DSS สามารถเปิดดูได้จากเมนู Status > Security scan เมื่อเข้ามาที่หน้า Security scan แล้วให้คลิกที่ลิงค์ PCI DSS Compliance check
จากนั้นจึงเลือกเปิดดูรายงานตามวันที่ที่ต้องการโดยคลิกที่ลิงค์ view report
จะปรากฏหน้าที่บอกรายละเอียดการประเมินผล พร้อมทั้งผลที่บอกว่า web server ของคุณผ่านมาตรฐาน PCI DSS หรือไม่ ซึ่งคุณสามารถอ่านรายละเอียดได้จากรายงานที่บอกถึงรายละเอียดที่อยู่ข้าง ล่าง
ตัวอย่างรายงานที่บอกรายละเอียดว่าเหตุใด server ที่ตรวจสอบถึงไม่ผ่านตามมาตรฐาน PCI DSS
ไม่มีความคิดเห็น:
แสดงความคิดเห็น