16 การตั้งค่าพื้นฐาน สำหรับองค์กรที่ต้องการมาตรฐาน PCI DSS v.3.0

16 การตั้งค่าพื้นฐาน สำหรับองค์กรที่ต้องการมาตรฐาน PCI DSS v.3.0

PCI DSS (Payment Card Industrial Data Security Standard) เป็นมาตรฐานที่กำหนดกรอบขั้นพื้นฐานของความต้องการด้านเทคนิค และการปฏิบัติงานด้านความมั่นคงปลอดภัยเพื่อการปกป้องข้อมูลบัตรเครดิต ป้องกันการฉ้อโกง รวมถึงปิดช่องโหว่ต่างๆ ซึ่งค่ายบัตรเครดิตชั้นนำ อาทิ Visa, MasterCard, American Express, Discover และ JCB ก็ล้วนใช้งานมาตรฐานดังกล่าว โดยข้อกำหนดของมาตรฐาน PCI DSS นี้ จะถูกนำไปประยุกต์ใช้ในทุกกระบวนการ และทุกองค์ประกอบที่เกี่ยวข้องกับการชำระเงินด้วยระบบบัตรเครดิต ยกตัวอย่างเช่น ผู้ออกบัตร, เครื่องรูดบัตร, ผู้ให้บริการ, สถาบันการเงิน เป็นต้น

ในบทความครั้งนี้ ทีมงาน Destination One จึงได้ทำการสรุปข้อมูลทางเทคนิค ที่เป็นพื้นฐานในการปฏิบัติงานอย่างสอดคล้องตามข้อกำหนดของมาตรฐาน PCI DSS v.3.0 มาให้คุณผู้อ่านได้ทำความเข้าใจง่ายยิ่งขึ้น ดังต่อไปนี้

         1. ต้องดำเนินการทบทวน Firewall และ Router Rule อย่างน้อยทุก 6 เดือน

         2. ต้องลบหรือย้ายฟังก์ชั่นต่างๆ ที่ไม่จำเป็นออกจากระบบ เช่น Scripts, Drivers, Features เป็นต้น

         3. ต้องติดตั้งโปรแกรมป้องกันไวรัสบนระบบสารสนเทศ

         4. ต้องทบทวนการพัฒนาระบบหรือชุดคำสั่งให้มีความมั่นคงปลอดภัย

         5. ต้องปฏิบัติตามกระบวนการบริหารจัดการการเปลี่ยนแปลงระบบสารสนเทศ

         6. ต้องลบหรือห้ามใช้งาน Inactive User Accounts ทุก 90 วัน

         7. ต้องจำกัดการเข้าถึงระบบไม่เกิน 6 ครั้ง

         8. ต้องตั้งค่า Log out Time น้อยกว่า 30 นาที และค่า Session Idle Time น้อยกว่า 15 นาที

         9. ต้องเปลี่ยนรหัสผ่าน ทุก 90 วัน

         10. ต้องจัดเก็บบันทึกของ Video Camera และ Access Control ไว้อย่างน้อย 3 เดือน หรือตามกฏหมายกำหนด

         11. ต้องจัดเก็บ Physical Access Control Log ไว้อย่างน้อย 3 เดือน หรือตามกฏหมายกำหนด

         12. ต้องทบทวน Security Event ทั้งหมด และ Log ของ Critical System ทุกวัน และต้องจัดเก็บประวัติ Audit Trail ไว้อย่างน้อย 1 ปี 

         13. ต้องดำเนินการสแกนหาจุดอ่อนและช่องโหว่ของระบบสารสนเทศทั้งภายในและภายนอกทุกไตรมาส หรือเมื่อมีการเปลี่ยนแปลงสำคัญ ด้วยเครื่องมือที่ได้รับการอนุมัติตามมาตรฐาน PCI DSS

         14. ต้องดำเนินการทดสอบเจาะระบบสารสนเทศทั้งภายในและภายนอกอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงสำคัญ

         15. ต้องทบทวนนโยบายความมั่นคงปลอดภัยอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงสำคัญ

         16. ต้องประเมินความเสี่ยงอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงสำคัญ

ทั้งนี้ หากองค์กรมีความประสงค์ในการให้บริการระบบบัตรเครดิตอย่างความมั่นคงปลอดภัยตลอดกระบวนการตามมาตรฐาน PCI DSS ผู้บริหารระดับสูงและทีมงานที่เกี่ยวข้องจำเป็นที่จะต้องดำเนินการตั้งค่าระบบสารสนเทศอย่างมั่นคงปลอดภัย ตามข้อมูลที่ได้ระบุข้างต้น และจะต้องผลักดันให้กลายเป็นพื้นฐานของระบบสารสนเทศทั้งหมดขององค์กรต่อไป

Content Cr : DestinationOne Counselor

Photo Cr : Paymetric.com