interview annITMX

ทางบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) ขอแสดงความยินดีและภูมิใจเป็นอย่างยิ่งที่ได้มีส่วนร่วมในการให้คำปรึกษากับ บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด (“ITMX”) จนได้รับการรับรองมาตรฐานด้านความปลอดภัยของข้อมูลสำหรับการชำระเงินผ่านบัตรอิเล็กทรอนิกส์ (PCI DSS : The Payment Card Industry Data Security Standard version 3.2.1) เป็นผลสำเร็จ

ITMX 200424 0018

ดยเมื่อวันอังคารที่ 21 เมษายน 2563 ที่ผ่านมาทีมที่ปรึกษานำโดย ดร.นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) และทีมที่ปรึกษาได้เป็นผู้มอบใบรับรองมาตรฐานและรายงานผลการการตรวจสอบให้แก่คุณสุรางคนา รัตนพฤกษชาติ Head IT Governance & Security บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด (“ITMX”) ที่ได้การรับมอบมาตรฐาน The Payment Card Industry Data Security Standard (PCI DSS)  ในเวอร์ชั่น 3.2.1  ตั้งแต่วันที่ 7 เมษายน 2563 เป็นต้นไป

นอกจากการรับมอบใบรับรองมาตรฐานในครั้งนี้ ทางทีมงานบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) ได้มีโอกาสสัมภาษณ์พูดคุยกับคุณสุรางคนา รัตนพฤกษชาติ ถึงประเด็นของการจัดทำ PCI DSS ในครั้งนี้ด้วย เพื่อเป็นแนวทางให้กับหลายๆ องค์กรที่ต้องการจะขอใบรับรองมาตรฐาน PCI DSS มาศึกษาแนวทางความสำเร็จจากคุณสุรางคนา รัตนพฤกษชาติ กันได้เลย

ทำไม ITMX ถึงสนใจที่จะทำมารตฐาน PCI

คุณสุรางคนา รัตนพฤกษชาติ : อย่างที่่ทราบกันโดยทั่วไปว่า ITMX ของเราเป็น  National Critical Infrastructure ของประเทศ แล้วเราก็เป็นเหมือนเป็นหน่วยงานกลางในการเชื่อมต่อทั้งกลุ่ม Bank และ Non Bank ดังนั้นเขาก็จะต้องการความเชื่อมั่นในระบบงานว่าต้องมีความมั่นคงปลอดภัยระดับสากล ซึ่ง ITMX ได้ใบรับรองมาตรฐาน PCI DSS นี้มาตั้งแต่ 5 ปีที่แล้ว ตั้งแต่เวอร์ชั่น 2 จนถึงปัจจุบันคือเวอร์ชั่น 3.2.1 และเราจะทำต่อไปเรื่อย ๆ เพื่อให้ธนาคารสมาชิกทราบว่า เรา ITMX มีมาตรฐานทางด้านความปลอดภัยมั่นคงทางสารสนเทศ ทั้ง ISO/IEC 27001:2013 และ PCI DSS

ในมุมของ ITMX คิดว่ามาตรฐานของ PCI ตัวนี้มีจุดไหนที่รู้สึกว่าทำยากมากที่สุด

คุณสุรางคนา รัตนพฤกษชาติ : จริงๆ แล้วการทำมาตรฐานต่าง ๆ โดยทั่วไปก็จะเป็นลักษณะของ Season นะ คือ ถ้าเริ่มต้นปีแรกได้รับใบรับรอง ในปีที่ 2 ก็จะเริ่มเป็นเรื่องที่ยากขึ้น ในเรื่องของการ Continuous Process ก็คือ การเช็คลิสต์ในเรื่องของความถี่ที่เราจะต้องสอบ โดยเฉพาะปีที่ 1 เตรียมขึ้นปีที่ 2 จะเป็นเรื่องที่ยากเป็นพิเศษ เพราะว่าหน่วยงานที่ได้ใบรับรองมาตรฐานในปีแรกมาแล้ว พอปีที่ 2 จะเริ่มมีความประมาท ละเลยบางจุดไป แต่พอขึ้นปีที่ 3 ก็จะเริ่มง่ายขึ้นเพราะทราบปัญหาแล้ว แต่ปัญหาที่ยากที่สุดจริง ๆ จะเป็นประเด็นของความเข้าใจ ในเรื่องของ Security คือด้วยความที่เป็นเรื่องของความมั่นคงปลอดภัย จำเป็นต้องทำตามกฎระเบียบ แต่ว่าพนักงานอาจจจะชอบ Flexibility ดังนั้นเขาก็จะคิดว่าทำไปทำไมนะ ทำไมต้องให้ทำอะไรบ่อย ๆ ถี่ ๆ ก็ไม่เห็นมี Incident อะไรเลย เขาก็จะเริ่มเกิดความประมาท สุดท้ายจะเริ่มไม่ปฏิบัติตามกระบวนการมาตรฐาน ซึ่งก็จะเป็นเรื่องที่ยากดังนั้นหน่วยงานจะต้องมีการทำ Awareness Training กับพนักงานอยู่เป็นประจำสม่ำเสมอ แล้วก็ให้เขารับรู้ข่าวสารเกี่ยวกับ Security มากขึ้น พอเขาเริ่มมีความรู้ทางด้าน Security มากขึ้นการพูดคุยหรือทำความเข้าใจในเรื่องของความมั่นคงปลอดภัย ก็จะเริ่มง่ายขึ้น 

คิดว่า ACIS เข้ามาช่วยตอบโจทย์ เรื่องการทำมาตรฐาน PCI ตรงนี้อย่างไรบ้าง 

คุณสุรางคนา รัตนพฤกษชาติ : ในความเห็นคิดว่าช่วยได้ดีนะแล้วก็ช่วยได้มากด้วย เพราะอย่างที่บอกก็คือเราเคยมีการจ้าง Vendor หรือว่า QSA มาหลายๆ ที่ ACIS เป็น QSA รายที่ 4 ในรอบ 5-6 ปีที่ผ่านมา ดังนั้นเราก็จะเห็นสไตล์การทำงานของแต่ละที่ไม่เหมือนกัน มีความชำนาญแต่ละด้านไม่เท่ากัน ซึ่งตรงจุดนี้ที่ทำให้เราได้ความรู้ความเข้าใจของแต่ละที่มาไม่เหมือนกัน แต่สำหรับของ ACIS เองเนี่ย จะมีความชำนาญในเรื่องของ Technical ที่เป็น Requirement เกี่ยวกับเรื่องของ Business Analyst Process ค่อนข้างมาก ซึ่งก็จะแตกต่างจาก QSA รายอื่นที่จะเน้นในเรื่องของการทำ Process Document มากกว่า

นอกจากมาตรฐาน PCI ตัวนี้ มีแนวทางในอนาคตว่าจะทำมาตรฐานด้านอื่นอีกไหม

คุณสุรางคนา รัตนพฤกษชาติ : มีค่ะ เรากำลังจะดำเนินการขอการรับรองมาตรฐาน ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) เพราะว่าจะเป็นการสร้างความเชื่อมั่น ให้กับธนาคารสมาชิก เพื่อให้เกิดความมั่นใจว่า ITMX จะมีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลตามวัตถุประสงค์ของธนาคารสมาชิก และเจ้าของข้อมูล อันนี้ก็เป็นอีกเรื่องที่เราให้ความสำคัญอยู่ ส่วนอีกเรื่องหนึ่ง เนื่องจากเราเป็น National Critical Infrastructure หลักของประเทศไทยก็จะต้องดำเนินการให้สอดคล้องตามพ.ร.บ การรักษาความั่นคงปลอดภัยไซเบอร์ (Cybersecurity ACT.) ซึ่งเราจำเป็นที่จะต้องศึกษาและอาจจะต้องทำต่อไปในอนาคต

สุดท้ายแล้วอยากฝากอะไรเพิ่มเติมเกี่ยวกับบริการของ ACIS ไหม

ตอนที่ทาง ITMX มีความประสงค์ต้องการขอใบรับรอง ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) เกิดจากการที่เราได้รับ Knowledge กับ Knowhow จากที่ไปอบรม DPO ที่ทาง ACIS จัดขึ้น ซึ่งก็ได้ความรู้มากมาย จากนั้นเราก็ได้เอาความรู้ที่ได้มาประยุกต์ซึ่งสามารถใช้งานได้ค่อนข้างจะมากเลย โดยก่อนหน้านี้ได้มีโอกาสไปอบรมเป็นลักษณะแบบฟรีสัมมนา แล้วก็ได้ความรู้แค่ระดับหนึ่ง แต่พอมีโอกาสได้ไปอบรมในหัวข้อ DPO กับของ ACIS ทำให้เข้าใจในเนื้อหาของการทำ GDPR มากขึ้นแล้วก็เอามาประยุกต์กับ ITMX โดยในตอนแรกยอมรับว่าประมาท คิดว่าบริษัทเราคงมีปัญหาไม่มาก น่าจะมีโอกาสทำให้สอดคล้องตามข้อกำหนดได้ไม่ยาก แต่หลังจากฝึกอบรม ทำให้รู้ว่าเรายังขาดและยังมีอะไรที่ต้องทำอีกมากมาย อย่างไรก็ตามคิดว่า ITMX สามารถได้รับการรับรองมาตรฐานนี้ได้ไม่เกินเดือนพฤษภาคม 2563 นี้ 

ปัจจุบันนี้ PCI DSS : The Payment Card Industry Data Security Standard เวอร์ชั่น 3.2.1 นั้นเป็นเวอร์ชั่นล่าสุดซึ่งเป็นมาตรฐานด้านความปลอดภัยข้อมูลที่ให้บริการการชำระเงินผ่านระบบอิเล็กทรอนิกส์กำหนดโดย PCI Security Standard Council (PCI SSC)เพื่อช่วยควบคุมและลดความเสี่ยงจากการฉ้อโกง รวมถึงป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อน ซึ่งเกิดขึ้นจากการทำธุรกรรมผ่านบัตรเครดิตโดยควบคุมมาตรฐานในการเก็บรักษา ประมวลผล และรับส่งข้อมูลบัตร โดย ณ ปัจจุบัน มาตรฐานนี้ได้รับความนิยมแพร่หลายมากขึ้นในประเทศไทย ซึ่งหากองค์กรใดได้รับรองมาตรฐานนี้ ก็จะเป็นการเพิ่มความมั่นใจให้กับทางลูกค้าและเป็นที่ยอมรับในระดับสากลอีกด้วย

ACIS ซึ่งเป็นบริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศชั้นนำของประเทศ ปัจจุบันได้รับการรับรองให้เป็น Qualified Security Assessors (QSA) และ Qualified PIN Assessors (QPA) จากสถาบัน PCI Security Standard Council (PCI SSC) ดังนั้นจึงเป็นการยืนยันได้ว่า ACIS มีความพร้อมในการตรวจประเมินตามกลุ่มมาตรฐาน PCI DSS

ถ้าสนใจการให้คำปรึกษาหรือตรวจประเมินมาตรฐาน PCI DSS
สามารถติดต่อมาที่ +66 2-253-4736
Website : https://www.acisonline.net

© Copyright 2019. Powered by ACIS Professional Center | Privacy Policy

Our website uses both essential and non-essential cookies to analyze use of our products and services. This agreement applies to non-essential cookies only. By accepting, you are agreeing to third parties receiving information about your usage and activities. If you choose to decline this agreement, we will continue to use essential cookies for the operation of the website. View Policy