เตรียมพร้อมเข้าสู่ยุคแห่ง Regulatory compliance ด้วยมาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) สำหรับผู้ให้บริการบัตรเครดิต และ บัตรเติมเงิน วันนี้

 

ปริญญา หอมเอนก

CISSP, CISM, CISA, SANS GIAC GCFW

ACIS Professional Center Co., Ltd.

 

            จากงานสัมมนาความปลอดภัยข้อมูลที่ใหญ่ที่สุดในโลก “RSA Conference” ที่ San Francisco, USA พบว่ากระแสและทิศทางด้านความปลอดภัยข้อมูลนั้นมีการเปลี่ยนแปลงในตลอดสิบปีที่ผ่านมา โดยปัจจุบันปัญหาด้านความปลอดภัยข้อมูลนั้นมีการเปลี่ยนแปลงจากการที่องค์กรเน้นปัญหาเรื่อง ไวรัส และ การโจมตีของแฮกเกอร์จากภายนอกมาเป็นปัญหา เรื่องความปลอดภัยข้อมูลภายในองค์กร ความปลอดภัยข้อมูลส่วนบุคคล (Data Security and Privacy)   และ การโจมตีจากภายในองค์กรเอง (Insider Threat) มากขึ้น องค์กรไม่สามารถแน่ใจเรื่องความปลอดภัยข้อมูลได้เพียงแค่การติดตั้งโปรแกรมกำจัดไวรัส และไฟร์วอลล์เท่านั้น  องค์กรมีความจำเป็นต้องบริหารความเสี่ยง (Risk Management) และประเมินความเสี่ยง (Risk Assessment) โดยเป็นหน้าที่โดยตรงของผู้บริหารระดับสูงด้านความปลอดภัยข้อมูล ได้แก่ CSO (Chief Security Officer) หรือ CISO (Chief Information Security Officer) ซึ่งนอกจากต้องทำให้องค์กรมีความปลอดภัยในระดับที่ยอมรับได้แล้ว ยังต้องผ่านข้อกำหนดกฎเกณฑ์จากหน่วยงานที่ทำหน้าที่ในการควบคุมการปฏิบัติงานขององค์กร เช่น ธนาคารพาณิชย์ถูกควบคุมโดยธนาคารแห่งประเทศไทย เป็นต้น ตลอดจนต้องปฏิบัติตามกฎหมายด้านสารสนเทศที่กำลังมีการการประกาศใช้อย่างต่อเนื่อง เช่น กฎหมาย SOX, GLBA และ HIPAA ในสหรัฐอเมริกาเป็นต้น ขณะที่ประเทศไทย ก็กำลังเน้นการปฏิบัติตามพรบ. ที่เกี่ยวกับระบบสารสนเทศได้แก่ พรบ.  ธุรกรรมอิเล็กโทรนิคส์ และ พรบ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์

 

            เนื่องจากแฮกเกอร์หรืออาชญากรคอมพิวเตอร์ไม่ได้เจาะระบบเพียงเพื่อความสนุกเหมือนในอดีตแต่แฮกเกอร์ในปัจจุบัน มีการเตรียมพร้อม อย่างเป็นระบบ และมีเป้าหมายในการโจมตีที่ชัดเจน (Targeted Attack) แฮกเกอร์ส่วนใหญ่ในปัจจุบันมุ่งเน้นประโยชน์ทางการเงินเป็นหลัก ดังนั้น มาตรฐานอุตสาหกรรม (Best Practices) ต่าง ๆ ไม่ว่าจะเป็น ISO/IEC 27001, CobiT 4.0 และ ITIL (ปัจจุบันคือ ISO/IEC 20000) เป็นเรื่องที่ผู้บริหารระบบความปลอดภัยข้อมูลขององค์กรต่าง ๆ ต้องให้ความสำคัญ เพื่อนำมาประยุกต์ใช้กับองค์กร ให้เกิดความปลอดภัยตามแนวทางปฏิบัติจากมาตรฐานดังกล่าว

 

            จากทิศทางของระบบความปลอดภัยสมัยใหม่ที่กำลังเน้นเรื่องของ ความปลอดภัยข้อมูลภายในองค์กรและความปลอดภัยข้อมูลส่วนบุคคล (Data Security and Privacy) เนื่องจากปัญหาใหญ่ในปัจจุบันพบว่ามีข้อมูลสำคัญจำนวนมากรั่วไหลออกจากองค์กรโดยไม่ได้รับอนุญาต (Unauthorized Data Leakage) ซึ่งส่วนมากแล้วข้อมูลเหล่านั้นเป็นข้อมูลสำคัญขององค์กร เช่น ข้อมูลบัตรเครดิตของลูกค้าธนาคาร เป็นต้น ซึ่งแฮกเกอร์สามารถนำข้อมูลเหล่านี้ไปใช้ประโยชน์อย่างง่ายดาย สร้างความเดือดร้อนให้กับผู้ถือบัตรเครดิตและธนาคารที่ออกบัตรเครดิตเป็นอย่างมาก ในปัจจุบันคาดว่าทุกคนอย่างน้อยต้องมีบัตรเครดิตหนึ่งหรือสองใบ หรือไม่ก็ต้องมีบัตรเติมเงิน หรือ บัตรเอทีเอ็ม ใช้ในชีวิตประจำวัน ดังนั้น ภัยมืดที่เกี่ยวกับ บัตรเครดิต บัตรเติมเงิน หรือ บัตรเอทีเอ็ม จึงไม่ใช่เรื่องเล็กอีกต่อไปเพราะมีผลกระทบทางด้านการเงินของเราอย่างชัดเจน ดังนั้น หน่วยงานที่มีความเกี่ยวข้องกับเรื่องนี้โดยตรง ได้แก่ บริษัท American Express (AMEX), MasterCard, VISA, JCB และ Discover Financial Services จึงรวมตัวกันสร้างมาตรฐานที่เป็น “Best Practices” ในการให้บริการแก่ผู้ถือบัตรเครดิตให้เกิดความปลอดภัยมากขึ้น จึงเป็นที่มาของมาตรฐาน PCI DSS (Payment Card Industry, Data Security Standard) ซึ่งเป็น Framework สำหรับผู้ให้บริการบัตรเครดิตในการดูแลข้อมูลบัตรเครดิตของลูกค้าให้มีความปลอดภัยข้อมูลที่ได้มาตรฐาน ซึ่ง PCI DSS เริ่มประกาศใช้ตั้งแต่ต้นปี คศ. 2005 ในปัจจุบัน PCI DSS  Version 1.1 ได้มีการปรับปรุงแก้ไขเพิ่มเติม และประกาศใช้ตั้งแต่  เดือน  กันยายน  ปี คศ. 2006 เป็นต้นมา

 

            มาตรฐาน PCI ประกอบด้วยโครงสร้างหลักอยู่ 6 วัตถุประสงค์การควบคุมในระดับสูง  (6 High Level Control Objectives) ซึ่งน้อยกว่ามาตรฐาน CobiT  ซึ่งมีทั้งหมดถึง 34 High-Level Control Objectives ซึ่งมาตรฐาน PCI จะเน้นไปที่การป้องกันข้อมูลลูกค้า ยกตัวอย่าง เช่น ข้อมูลผู้ถือบัตรเครดิต ถ้าแฮกเกอร์สามารถเจาะข้อมูล ชื่อ – นามสกุล ผู้ถือบัตร, วันหมดอายุ และเลขที่บัตรเครดิต แฮกเกอร์ก็สามารถนำข้อมูลบัตรเครดิตนั้นไปใช้ได้ทันที ดังนั้น มาตรฐาน PCI จึงมีความจำเป็นอย่างยิ่งยวดในการป้องกันข้อมูลเหล่านี้ ไม่ให้รั่วไหลไปอยู่ในมือของผู้ไม่หวังดี ดังกล่าว

 

            มาตรฐาน PCI ทำให้ผู้ให้บริการบัตรเครดิต ซึ่งส่วนใหญ่ คือ ธนาคารพาณิชย์ ต้องมีการปรับตัวใช้เทคโนโลยีสารสนเทศใหม่ ๆ และนำเทคโนโลยีด้านความปลอดภัยข้อมูลเข้ามาประยุกต์ใช้ในองค์กร ยกตัวอย่าง เช่น เรื่องการเข้าถึงข้อมูลของผู้ปฏิบัติงาน (Access Control and User Authentication) ตลอดจนความปลอดภัยทางกายภาพ (Physical Security) เช่น ระเบียบการเข้า-ออก ศูนย์คอมพิวเตอร์ เป็นต้น

 

 

 

 

 

 

 

 

 

 

โครงสร้างของมาตรฐาน PCI DSS

 

                ประกอบด้วยวัตถุประสงค์การควบคุมในระดับสูง  (High Level Control Objectives) ทั้งหมด 6 วัตถุประสงค์ ซึ่งในแต่ละวัตถุประสงค์มีข้อกำหนด (Requirement) 2 ข้อ จึงรวมเป็นข้อกำหนดทั้งหมด 12 ข้อ

 

  1. Build and Secure Network

หมายถึง ข้อกำหนดที่ผู้ให้บริการบัตรเครดิต ต้องมีการติดตั้งไฟส์วอลล์ในการป้องกันข้อมูลของผู้ถือบัตรและต้องไม่ใช้ชื่อผู้ใช้และรหัสผ่านที่เป็นค่าโดยกำหนด (Default) อย่างเด็ดขาด เพราะค่าโดยกำหนดที่ถูกตั้งมาตั้งแต่ตอนเริ่มติดตั้งระบบนั้น เป็นสาเหตุใหญ่ของการถูกโจมตี โดยแฮกเกอร์ ในปัจจุบัน

 

  1. Protect Card Holder Data

หมายถึง ผู้ให้บริการบัตรเครดิตต้องมีการป้องกันข้อมูลบัตรที่เก็บอยู่ในสื่อที่ใช้การจัดเก็บข้อมูล เช่น Hard disk หรือ SAN โดยต้องมีการเข้ารหัสข้อมูลขณะที่เก็บอยู่ในสื่อที่ใช้การจัดเก็บข้อมูล และ  ต้องมีการเข้ารหัสข้อมูลเมื่อมีการส่งผ่านข้อมูลบัตรเครดิตทางระบบเครือข่าย ไม่ว่าจะเป็น การส่งข้อมูลภายในระบบของผู้ให้บริการเอง หรือ การส่งผ่าน Public Network เช่น ระบบอินเทอร์เน็ต เป็นต้น เพื่อป้องกันการแอบดักจับข้อมูล (Eavesdropping, Tapping และ Sniffing) ซึ่งในปัจจุบันแฮกเกอร์มี Tool หรือ โปรแกรมที่มีความสามารถในการดักจับข้อมูลดังกล่าว แม้ว่าข้อมูลที่ส่งผ่านโปรโตคอล SSL แฮกเกอร์ก็ยังสามารถดักจับได้โดยใช้เทคนิค MIM (Man-In-The-Middle) Attack

 

  1. Maintain a Vulnerability Management Program

หมายถึง ผู้ให้บริการบัตรเครดิต ต้องมีการติดตั้งโปรแกรมในการป้องกัน Malware และ Virus ต่าง ๆ และควร Update Virus Signature อย่างสม่ำเสมอ ตลอดจนต้องติดตั้งระบบ VM (Vulnerability Management)  ในการตรวจสอบช่องโหว่ของระบบอย่างต่อเนื่อง

 

  1. Implement Strong Access Control Measures

หมายถึง ผู้ให้บริการบัตรเครดิต ต้องเข้มงวดในเรื่องการเข้าถึงข้อมูลของผู้ถือบัตร ถึงแม้ว่าจะเป็นพนักงานภายในของผู้ให้บริการเองก็ต้องมีการนำ Concept  “Need to Know“ เข้ามาประยุกต์ใช้ ตลอดจนต้องเน้นเรื่อง “Accountability” หมายถึงต้องมีการกำหนด User ID ให้กับพนักงานที่มีสิทธิในการเข้าถึงข้อมูลของลูกค้าให้ไม่ซ้ากัน (Unique User ID) และมีการเก็บ Log ในการเข้าถึงข้อมูลทุกครั้ง รวมถึงการเข้มงวดในเรื่องการเข้าถึงทางกายภาพด้วย (Physical Security)

 

  1. Regularly Monitor and Test Networks

หมายถึง ผู้ให้บริการบัตรเครดิต ต้องมีการตรวจสอบติดตามและคอยเฝ้าระวังการเข้าถึงข้อมูลในระบบเครือข่ายอยู่ตลอดเวลา และต้องมีการทดสอบระดับความปลอดภัยของระบบอย่างสม่ำเสมอโดยทำการประเมินช่องโหว่ของระบบ (Vulnerability Assessment) และทดสอบความเข็งแกร่งของระบบโดยวิธีการเจาะเข้าระบบในลักษณะคล้ายกับการโจมตีของแฮกเกอร์ (Penetration Testing)

 

  1. Maintain an Information Security Policy

หมายถึง ผู้ให้บริการบัตรเครดิต ต้องมีการกำหนดนโยบายด้านปลอดภัยข้อมูล ตลอดจนกำหนดมาตรฐาน (Standard) แนวทางปฏิบัติ (Guideline) และขั้นตอนในการปฏิบัติ (Procedure) ตลอดจนต้องมีการปรับปรุงให้ทันสมัยอยู่เสมอ

 

            จาก 6 วัตถุประสงค์การควบคุมในระดับสูงดังกล่าวในการนำมาตรฐาน PCI DSS มาใช้ จำเป็นต้องลงรายละเอียดในข้อกำหนดปลีกย่อย กว่า 200 ข้อ เช่น ข้อกำหนดในการติดตั้งระบบ Two-Factor Authentication สำหรับพนักงาน, ผู้บริหารระบบ และ บุคคลที่สามารถเข้าถึงข้อมูล เป็นต้น จะเห็นว่าองค์กรจำเป็นต้องมีการติดตั้งเทคโนโลยีความปลอดภัยข้อมูลขั้นสูง และต้องมีความเข้าใจเกี่ยวกับเรื่องความปลอดภัยข้อมูลในระดับหนึ่ง ตลอดจน องค์กรควรต้องใช้บริการจาก ผู้เชี่ยวชาญความปลอดภัยข้อมูลเฉพาะทาง เช่น CISSP, CISA Certified Professional หรือ จากผู้ตรวจสอบระบบสารสนเทศภายนอกในการทำ Vulnerability Assessment และ Penetration Testing

 

            ในปัจจุบันผู้ให้บริการบัตรเครดิตตลอดจนบัตรต่าง ๆ ที่มีความเกี่ยวข้องกับการชำระเงิน เช่น บัตรเอทีเอ็ม บัตรเติมเงิน เป็นต้น จำเป็นต้องปฏิบัติตามข้อกำหนดในมาตรฐาน PCI DSS ซึ่งเรียกว่า “PCI Compliance”  โดยมีการตรวจสอบจากหน่วยงานกลางในการประเมินว่าได้ผ่านตามมาตรฐาน PCI DSS หรือไม่ เรียกว่า  “PCI Audit” ดังนั้นผู้ให้บริการบัตรเครดิตและบัตรเติมเงินต่าง ๆ ในปัจจุบัน ซึ่งส่วนใหญ่คือธนาคารพาณิชย์จึงต้องมีการปรับองค์กรให้ปฏิบัติตามมาตรฐานดังกล่าวอย่างหลีกเลี่ยงไม่ได้ ทั้งนี้ก็เพื่อให้เกิดความปลอดภัยแก่ผู้ถือบัตรมากขึ้นและให้สอดคล้องกับยุคแห่งการปฏิบัติตามกฎระเบียบมาตรฐานและกฎหมาย ต่าง ๆ (Regulatory Compliance) ในปัจจุบัน