ACIS Article

เตรียมพร้อมเข้าสู่ยุคแห่ง Regulatory compliance ด้วยมาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) สำหรับผู้ให้บริการบัตรเครดิต และ บัตรเติมเงิน วันนี้
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

จากงานสัมมนาความปลอดภัยข้อมูลที่ใหญ่ที่สุดในโลก "RSA Conference" ที่ San Francisco, USA พบว่ากระแสและทิศทางด้านความปลอดภัยข้อมูลนั้นมีการเปลี่ยนแปลงในตลอดสิบปีที่ผ่านมา โดยปัจจุบันปัญหาด้านความปลอดภัยข้อมูลนั้นมีการเปลี่ยนแปลงจากการที่องค์กรเน้นปัญหาเรื่อง ไวรัส และ การโจมตีของแฮกเกอร์จากภายนอกมาเป็นปัญหา เรื่องความปลอดภัยข้อมูลภายในองค์กร ความปลอดภัยข้อมูลส่วนบุคคล (Data Security and Privacy) และ การโจมตีจากภายในองค์กรเอง (Insider Threat) มากขึ้น องค์กรไม่สามารถแน่ใจเรื่องความปลอดภัยข้อมูลได้เพียงแค่การติดตั้งโปรแกรมกำจัดไวรัส และไฟร์วอลล์เท่านั้น องค์กรมีความจำเป็นต้องบริหารความเสี่ยง (Risk Management) และประเมินความเสี่ยง (Risk Assessment) โดยเป็นหน้าที่โดยตรงของผู้บริหารระดับสูงด้านความปลอดภัยข้อมูล ได้แก่ CSO (Chief Security Officer) หรือ CISO (Chief Information Security Officer) ซึ่งนอกจากต้องทำให้องค์กรมีความปลอดภัยในระดับที่ยอมรับได้แล้ว ยังต้องผ่านข้อกำหนดกฎเกณฑ์จากหน่วยงานที่ทำหน้าที่ในการควบคุมการปฏิบัติงานขององค์กร เช่น ธนาคารพาณิชย์ถูกควบคุมโดยธนาคารแห่งประเทศไทย เป็นต้น ตลอดจนต้องปฏิบัติตามกฎหมายด้านสารสนเทศที่กำลังมีการการประกาศใช้อย่างต่อเนื่อง เช่น กฎหมาย SOX, GLBA และ HIPAA ในสหรัฐอเมริกาเป็นต้น ขณะที่ประเทศไทย ก็กำลังเน้นการปฏิบัติตามพรบ. ที่เกี่ยวกับระบบสารสนเทศได้แก่ พรบ. ธุรกรรมอิเล็กโทรนิคส์ และ พรบ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์

เนื่องจากแฮกเกอร์หรืออาชญากรคอมพิวเตอร์ไม่ได้เจาะระบบเพียงเพื่อความสนุกเหมือนในอดีตแต่แฮกเกอร์ในปัจจุบัน มีการเตรียมพร้อม อย่างเป็นระบบ และมีเป้าหมายในการโจมตีที่ชัดเจน (Targeted Attack) แฮกเกอร์ส่วนใหญ่ในปัจจุบันมุ่งเน้นประโยชน์ทางการเงินเป็นหลัก ดังนั้น มาตรฐานอุตสาหกรรม (Best Practices) ต่าง ๆ ไม่ว่าจะเป็น ISO/IEC 27001, CobiT 4.0 และ ITIL (ปัจจุบันคือ ISO/IEC 20000) เป็นเรื่องที่ผู้บริหารระบบความปลอดภัยข้อมูลขององค์กรต่าง ๆ ต้องให้ความสำคัญ เพื่อนำมาประยุกต์ใช้กับองค์กร ให้เกิดความปลอดภัยตามแนวทางปฏิบัติจากมาตรฐานดังกล่าว

จากทิศทางของระบบความปลอดภัยสมัยใหม่ที่กำลังเน้นเรื่องของ ความปลอดภัยข้อมูลภายในองค์กรและความปลอดภัยข้อมูลส่วนบุคคล (Data Security and Privacy) เนื่องจากปัญหาใหญ่ในปัจจุบันพบว่ามีข้อมูลสำคัญจำนวนมากรั่วไหลออกจากองค์กรโดยไม่ได้รับอนุญาต (Unauthorized Data Leakage) ซึ่งส่วนมากแล้วข้อมูลเหล่านั้นเป็นข้อมูลสำคัญขององค์กร เช่น ข้อมูลบัตรเครดิตของลูกค้าธนาคาร เป็นต้น ซึ่งแฮกเกอร์สามารถนำข้อมูลเหล่านี้ไปใช้ประโยชน์อย่างง่ายดาย สร้างความเดือดร้อนให้กับผู้ถือบัตรเครดิตและธนาคารที่ออกบัตรเครดิตเป็นอย่างมาก ในปัจจุบันคาดว่าทุกคนอย่างน้อยต้องมีบัตรเครดิตหนึ่งหรือสองใบ หรือไม่ก็ต้องมีบัตรเติมเงิน หรือ บัตรเอทีเอ็ม ใช้ในชีวิตประจำวัน ดังนั้น ภัยมืดที่เกี่ยวกับ บัตรเครดิต บัตรเติมเงิน หรือ บัตรเอทีเอ็ม จึงไม่ใช่เรื่องเล็กอีกต่อไปเพราะมีผลกระทบทางด้านการเงินของเราอย่างชัดเจน ดังนั้น หน่วยงานที่มีความเกี่ยวข้องกับเรื่องนี้โดยตรง ได้แก่ บริษัท American Express (AMEX), MasterCard, VISA, JCB และ Discover Financial Services จึงรวมตัวกันสร้างมาตรฐานที่เป็น "Best Practices" ในการให้บริการแก่ผู้ถือบัตรเครดิตให้เกิดความปลอดภัยมากขึ้น จึงเป็นที่มาของมาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) ซึ่งเป็น Framework สำหรับผู้ให้บริการบัตรเครดิตในการดูแลข้อมูลบัตรเครดิตของลูกค้าให้มีความปลอดภัยข้อมูลที่ได้มาตรฐาน ซึ่ง PCI DSS เริ่มประกาศใช้ตั้งแต่ต้นปี คศ. 2005 ในปัจจุบัน PCI DSS Version 1.1 ได้มีการปรับปรุงแก้ไขเพิ่มเติม และประกาศใช้ตั้งแต่ เดือน กันยายน ปี คศ. 2006 เป็นต้นมา

มาตรฐาน PCI ประกอบด้วยโครงสร้างหลักอยู่ 6 วัตถุประสงค์การควบคุมในระดับสูง (6 High Level Control Objectives) ซึ่งน้อยกว่ามาตรฐาน CobiT ซึ่งมีทั้งหมดถึง 34 High-Level Control Objectives ซึ่งมาตรฐาน PCI จะเน้นไปที่การป้องกันข้อมูลลูกค้า ยกตัวอย่าง เช่น ข้อมูลผู้ถือบัตรเครดิต ถ้าแฮกเกอร์สามารถเจาะข้อมูล ชื่อ - นามสกุล ผู้ถือบัตร, วันหมดอายุ และเลขที่บัตรเครดิต แฮกเกอร์ก็สามารถนำข้อมูลบัตรเครดิตนั้นไปใช้ได้ทันที ดังนั้น มาตรฐาน PCI จึงมีความจำเป็นอย่างยิ่งยวดในการป้องกันข้อมูลเหล่านี้ ไม่ให้รั่วไหลไปอยู่ในมือของผู้ไม่หวังดี ดังกล่าว

มาตรฐาน PCI ทำให้ผู้ให้บริการบัตรเครดิต ซึ่งส่วนใหญ่ คือ ธนาคารพาณิชย์ ต้องมีการปรับตัวใช้เทคโนโลยีสารสนเทศใหม่ ๆ และนำเทคโนโลยีด้านความปลอดภัยข้อมูลเข้ามาประยุกต์ใช้ในองค์กร ยกตัวอย่าง เช่น เรื่องการเข้าถึงข้อมูลของผู้ปฏิบัติงาน (Access Control and User Authentication) ตลอดจนความปลอดภัยทางกายภาพ (Physical Security) เช่น ระเบียบการเข้า-ออก ศูนย์คอมพิวเตอร์ เป็นต้น

โครงสร้างของมาตรฐาน PCI DSS

ประกอบด้วยวัตถุประสงค์การควบคุมในระดับสูง (High Level Control Objectives) ทั้งหมด 6 วัตถุประสงค์ ซึ่งในแต่ละวัตถุประสงค์มีข้อกำหนด (Requirement) 2 ข้อ จึงรวมเป็นข้อกำหนดทั้งหมด 12 ข้อ

1. Build and Secure Network
หมายถึง ข้อกำหนดที่ผู้ให้บริการบัตรเครดิต ต้องมีการติดตั้งไฟส์วอลล์ในการป้องกันข้อมูลของผู้ถือบัตรและต้องไม่ใช้ชื่อผู้ใช้และรหัสผ่านที่เป็นค่าโดยกำหนด (Default) อย่างเด็ดขาด เพราะค่าโดยกำหนดที่ถูกตั้งมาตั้งแต่ตอนเริ่มติดตั้งระบบนั้น เป็นสาเหตุใหญ่ของการถูกโจมตี โดยแฮกเกอร์ ในปัจจุบัน

2. Protect Card Holder Data
หมายถึง ผู้ให้บริการบัตรเครดิตต้องมีการป้องกันข้อมูลบัตรที่เก็บอยู่ในสื่อที่ใช้การจัดเก็บข้อมูล เช่น Hard disk หรือ SAN โดยต้องมีการเข้ารหัสข้อมูลขณะที่เก็บอยู่ในสื่อที่ใช้การจัดเก็บข้อมูล และ ต้องมีการเข้ารหัสข้อมูลเมื่อมีการส่งผ่านข้อมูลบัตรเครดิตทางระบบเครือข่าย ไม่ว่าจะเป็น การส่งข้อมูลภายในระบบของผู้ให้บริการเอง หรือ การส่งผ่าน Public Network เช่น ระบบอินเทอร์เน็ต เป็นต้น เพื่อป้องกันการแอบดักจับข้อมูล (Eavesdropping, Tapping และ Sniffing) ซึ่งในปัจจุบันแฮกเกอร์มี Tool หรือ โปรแกรมที่มีความสามารถในการดักจับข้อมูลดังกล่าว แม้ว่าข้อมูลที่ส่งผ่านโปรโตคอล SSL แฮกเกอร์ก็ยังสามารถดักจับได้โดยใช้เทคนิค MIM (Man-In-The-Middle) Attack

3. Maintain a Vulnerability Management Program
หมายถึง ผู้ให้บริการบัตรเครดิต ต้องมีการติดตั้งโปรแกรมในการป้องกัน Malware และ Virus ต่าง ๆ และควร Update Virus Signature อย่างสม่ำเสมอ ตลอดจนต้องติดตั้งระบบ VM (Vulnerability Management) ในการตรวจสอบช่องโหว่ของระบบอย่างต่อเนื่อง

4. Implement Strong Access Control Measures
หมายถึง ผู้ให้บริการบัตรเครดิต ต้องเข้มงวดในเรื่องการเข้าถึงข้อมูลของผู้ถือบัตร ถึงแม้ว่าจะเป็นพนักงานภายในของผู้ให้บริการเองก็ต้องมีการนำ Concept "Need to Know" เข้ามาประยุกต์ใช้ ตลอดจนต้องเน้นเรื่อง "Accountability" หมายถึงต้องมีการกำหนด User ID ให้กับพนักงานที่มีสิทธิในการเข้าถึงข้อมูลของลูกค้าให้ไม่ซ้ากัน (Unique User ID) และมีการเก็บ Log ในการเข้าถึงข้อมูลทุกครั้ง รวมถึงการเข้มงวดในเรื่องการเข้าถึงทางกายภาพด้วย (Physical Security)

5. Regularly Monitor and Test Networks
หมายถึง ผู้ให้บริการบัตรเครดิต ต้องมีการตรวจสอบติดตามและคอยเฝ้าระวังการเข้าถึงข้อมูลในระบบเครือข่ายอยู่ตลอดเวลา และต้องมีการทดสอบระดับความปลอดภัยของระบบอย่างสม่ำเสมอโดยทำการประเมินช่องโหว่ของระบบ (Vulnerability Assessment) และทดสอบความเข็งแกร่งของระบบโดยวิธีการเจาะเข้าระบบในลักษณะคล้ายกับการโจมตีของแฮกเกอร์ (Penetration Testing)

6. Maintain an Information Security Policy
หมายถึง ผู้ให้บริการบัตรเครดิต ต้องมีการกำหนดนโยบายด้านปลอดภัยข้อมูล ตลอดจนกำหนดมาตรฐาน (Standard) แนวทางปฏิบัติ (Guideline) และขั้นตอนในการปฏิบัติ (Procedure) ตลอดจนต้องมีการปรับปรุงให้ทันสมัยอยู่เสมอ

จาก 6 วัตถุประสงค์การควบคุมในระดับสูงดังกล่าวในการนำมาตรฐาน PCI DSS มาใช้ จำเป็นต้องลงรายละเอียดในข้อกำหนดปลีกย่อย กว่า 200 ข้อ เช่น ข้อกำหนดในการติดตั้งระบบ Two-Factor Authentication สำหรับพนักงาน, ผู้บริหารระบบ และ บุคคลที่สามารถเข้าถึงข้อมูล เป็นต้น จะเห็นว่าองค์กรจำเป็นต้องมีการติดตั้งเทคโนโลยีความปลอดภัยข้อมูลขั้นสูง และต้องมีความเข้าใจเกี่ยวกับเรื่องความปลอดภัยข้อมูลในระดับหนึ่ง ตลอดจน องค์กรควรต้องใช้บริการจาก ผู้เชี่ยวชาญความปลอดภัยข้อมูลเฉพาะทาง เช่น CISSP, CISA Certified Professional หรือ จากผู้ตรวจสอบระบบสารสนเทศภายนอกในการทำ Vulnerability Assessment และ Penetration Testing

ในปัจจุบันผู้ให้บริการบัตรเครดิตตลอดจนบัตรต่าง ๆ ที่มีความเกี่ยวข้องกับการชำระเงิน เช่น บัตรเอทีเอ็ม บัตรเติมเงิน เป็นต้น จำเป็นต้องปฏิบัติตามข้อกำหนดในมาตรฐาน PCI DSS ซึ่งเรียกว่า "PCI Compliance" โดยมีการตรวจสอบจากหน่วยงานกลางในการประเมินว่าได้ผ่านตามมาตรฐาน PCI DSS หรือไม่ เรียกว่า "PCI Audit" ดังนั้นผู้ให้บริการบัตรเครดิตและบัตรเติมเงินต่าง ๆ ในปัจจุบัน ซึ่งส่วนใหญ่คือธนาคารพาณิชย์จึงต้องมีการปรับองค์กรให้ปฏิบัติตามมาตรฐานดังกล่าวอย่างหลีกเลี่ยงไม่ได้ ทั้งนี้ก็เพื่อให้เกิดความปลอดภัยแก่ผู้ถือบัตรมากขึ้นและให้สอดคล้องกับยุคแห่งการปฏิบัติตามกฎระเบียบมาตรฐานและกฎหมาย ต่าง ๆ (Regulatory Compliance) ในปัจจุบัน

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนกุมภาพันธ์ 2550
Update Information : 20 กุมภาพันธ์ 2550