• โฮมเพจ
  • บทความ
  • Affiliate
  • รายการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI: สิ่งที่ทุกธุรกิจอีคอมเมิร์ซจำเป็นต้องรู้

รายการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI: สิ่งที่ทุกธุรกิจอีคอมเมิร์ซจำเป็นต้องรู้

เผยแพร่แล้ว: 2022-10-03

ดูเหมือนว่าทุกวันเราได้ยินเกี่ยวกับการละเมิดข้อมูลใหม่ ในปี 2020 เพียงปีเดียว บริษัทใหญ่ๆ อย่าง J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon และ Staples ล้วนประสบปัญหาการละเมิดข้อมูล ซึ่งทำให้ต้องเสียเงินจำนวนมาก และสร้างความเสียหายต่อความไว้วางใจของลูกค้า

คิดง่าย ๆ ว่า “เกิดขึ้นได้เฉพาะกับคนตัวใหญ่เท่านั้น” แต่ความจริงก็คือ 90% ของการละเมิดส่งผลกระทบต่อธุรกิจขนาดเล็ก ด้วยเหตุนี้ ผู้ค้าปลีกอีคอมเมิร์ซที่ดำเนินการชำระเงินด้วยบัตรเครดิตหรือบัตรเดบิตออนไลน์ - เกือบทั้งหมด! - ควรเป็นไปตามมาตรฐาน PCI การปฏิบัติตามข้อกำหนดของ PCI คืออะไร และสามารถช่วยธุรกิจของคุณได้อย่างไร มาดำน้ำกันเถอะ!

การปฏิบัติตาม PCI คืออะไร?

PCI เป็นตัวย่อสำหรับ "อุตสาหกรรมบัตรชำระเงิน" คุณอาจมองว่าเป็น PCI DSS ซึ่งย่อมาจาก “Payment Card Industry Data Security Standard” ไม่ว่าจะด้วยวิธีใด คำจำกัดความการปฏิบัติตามมาตรฐาน PCI คือ "ชุดข้อกำหนดที่มีจุดประสงค์เพื่อให้แน่ใจว่าทุกบริษัทที่ประมวลผล จัดเก็บ หรือส่งข้อมูลบัตรเครดิตมีสภาพแวดล้อมที่ปลอดภัย"

การปฏิบัติตาม PCI ได้รับการพัฒนาในปี 2549 โดย PCI Security Standards Council (PCI SSC) ซึ่งเป็นหน่วยงานอิสระที่ประกอบด้วยผู้นำในอุตสาหกรรมบัตรชำระเงินจาก Visa, MasterCard, American Express, Discover และ JCB (ซึ่งบางครั้งเรียกว่า “เครดิต การปฏิบัติตามบัตร”) เป้าหมายของพวกเขาคือปกป้องทุกฝ่ายที่เกี่ยวข้องกับธุรกรรมการชำระเงิน รวมถึงเครือข่ายการชำระเงิน ผู้ประมวลผล สถาบันการเงิน ลูกค้า และธุรกิจ

เหตุใดการปฏิบัติตาม PCI จึงมีความสำคัญ

การปฏิบัติตาม PCI ไม่ใช่ข้อกำหนดทางกฎหมาย อย่างไรก็ตาม การไม่ปฏิบัติตามโปรโตคอล PCI อาจทำให้ผู้ค้าปลีกอีคอมเมิร์ซประสบปัญหาทางกฎหมายได้ ยังไง? หากธุรกิจของคุณประสบกับการละเมิดข้อมูล และผลการตรวจสอบพบว่ากระบวนการของคุณไม่เป็นไปตามมาตรฐาน PCI คุณอาจถูกปรับและค่าธรรมเนียมจากรัฐบาลและผู้ออกบัตรหลายพันดอลลาร์ และอาจมีการฟ้องร้องและการเรียกร้องค่าสินไหมทดแทนจากคุณเนื่องจากความล้มเหลว เพื่อให้เป็นไปตามมาตรฐาน PCI นอกจากนี้ คุณอาจสูญเสียความมั่นใจของลูกค้า พนักงานที่มีค่า ความสามารถในการรับบัตรชำระเงิน (ความตายสำหรับผู้ค้าปลีกออนไลน์) และต้องเสียค่าใช้จ่ายในการปฏิบัติตามกฎระเบียบที่สูงขึ้น

ดังนั้น แม้ว่าคุณจะไม่สามารถถูกลงโทษเพียงเพราะไม่ปฏิบัติตามข้อกำหนดของ PCI ได้ แต่คุณสามารถรับผิดชอบต่อการละเมิดใดๆ ที่เกิดขึ้นได้หากคุณไม่ปฏิบัติตามข้อกำหนด และดังที่กล่าวไว้ก่อนหน้านี้ 90% ของการละเมิดส่งผลกระทบต่อธุรกิจขนาดเล็ก ดังนั้นจึงควรปลอดภัยดีกว่าเสียใจ

คุณอาจสงสัยว่าทำไมอาชญากรไซเบอร์ถึงต้องการไล่ตามธุรกิจขนาดเล็ก ท้ายที่สุดมีปลาที่ใหญ่กว่ามากให้ทอด! อาชญากรไซเบอร์มองว่าธุรกิจขนาดเล็กเป็นเหยื่อที่ง่าย พวกเขารู้ว่าผู้ค้าปลีกรายใหญ่ส่วนใหญ่จะปฏิบัติตามมาตรฐาน PCI และทำให้มีความเสี่ยงน้อยลง อย่างไรก็ตาม พวกเขากำลังเดิมพันว่าธุรกิจขนาดเล็กจำนวนมากไม่ได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนดของ PCI ทำให้เป็นเครื่องหมายที่ง่าย

การละเมิดความปลอดภัย 6 ประเภท การปฏิบัติตามข้อกำหนด PCI ป้องกัน

แม้ว่าอาชญากรไซเบอร์จะมองหาวิธีการอยู่เสมอแม้ว่าจะมีการป้องกัน (นั่นคือสิ่งที่พวกเขาทำ) การปฏิบัติตามข้อกำหนด PCI สามารถช่วยได้มากในการป้องกัน ภัยพิบัติด้านความปลอดภัย 6 ประเภทต่อไปนี้

  1. มัลแวร์ อาชญากรใช้ซอฟต์แวร์ที่เป็นอันตรายเพื่อแทรกซึมระบบคอมพิวเตอร์และขโมยข้อมูลการชำระเงิน Ransomware ซึ่งแฮ็กเกอร์เก็บข้อมูล "ตัวประกัน" เพื่อแลกกับเงินใน Bitcoin เป็นหนึ่งในมัลแวร์รูปแบบที่เติบโตเร็วที่สุด
  2. ฟิชชิ่ง เครื่องมือในการจัดส่งมัลแวร์ อีเมลฟิชชิ่งทั่วไป (เช่น ใบแจ้งหนี้หรือคำขอข้อมูลจาก C-suite) ดูถูกกฎหมายที่จะโน้มน้าวให้ผู้คนเปิด อย่างไรก็ตาม มีลิงก์หรือไฟล์แนบที่เป็นอันตรายซึ่งสามารถติดคอมพิวเตอร์และทั้งระบบได้
  3. การเข้าถึงระยะไกล การควบคุมการเข้าถึงระยะไกลที่อ่อนแอ เช่น การควบคุมที่ใช้โดยผู้ให้บริการระบบชำระเงินของคุณ อนุญาตให้อาชญากรไซเบอร์เข้าถึงระบบของคุณที่จัดเก็บ ประมวลผล หรือส่งข้อมูลการชำระเงิน
  4. รหัสผ่านที่อ่อนแอ มีเหตุผลว่าทำไมรหัสผ่านในปัจจุบันจึงขออักษรตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษที่แตกต่างกัน: มากกว่า 80% ของการละเมิดข้อมูลเกี่ยวข้องกับรหัสผ่านที่ถูกขโมย/หรือรหัสผ่านที่ไม่รัดกุม
  5. ซอฟต์แวร์ที่ล้าสมัย ข้อบกพร่องในซอฟต์แวร์ที่ล้าสมัยมักจะ "ไม่ได้รับการแก้ไข" ซึ่งทำให้อาชญากรไซเบอร์สามารถแทรกซึมได้ง่าย
  6. หางเสือ แม้ว่าจะใช้ได้เฉพาะกับสถานที่ตั้งของร้านค้าจริง แต่การ skimming คือเมื่ออาชญากรแนบฮาร์ดแวร์ขนาดเล็ก "อุปกรณ์ skimming" เข้ากับเครื่องอ่านบัตรที่ขโมยข้อมูลการชำระเงินของลูกค้าเมื่อใช้บัตรชำระเงิน จากนั้นสามารถสร้างบัตรปลอมเพื่อซื้อสินค้าที่ผิดกฎหมายได้

การปฏิบัติตามมาตรฐาน PCI 4 ระดับ

คิดว่าไม่ยุติธรรมที่ธุรกิจขนาดเล็กของคุณมีมาตรฐาน PCI เหมือนกับบริษัทที่มีมูลค่าหลายพันล้านดอลลาร์อย่าง Amazon? ข่าวดีก็คือมันไม่ใช่! มีระดับการปฏิบัติตาม PCI สี่ระดับ ซึ่งกำหนดโดยจำนวนธุรกรรมที่ธุรกิจจัดการในแต่ละปี

  • ระดับ 1: ร้านค้าที่ทำธุรกรรมผ่านบัตรมากกว่า 6 ล้านครั้งต่อปี
  • ระดับ 2: ร้านค้าที่ดำเนินการ 1 ถึง 6 ล้านธุรกรรมต่อปี
  • ระดับ 3: ร้านค้าที่ดำเนินการ 20,000 ถึง 1 ล้านธุรกรรมต่อปี
  • ระดับ 4: ร้านค้าที่ดำเนินการธุรกรรมน้อยกว่า 20,000 รายการต่อปี

PCI SSC ยังมีแบบสอบถาม การประเมินตนเอง อย่างง่ายบนเว็บไซต์ของพวกเขา ซึ่งจะช่วยให้คุณกำหนดว่าข้อกำหนด PCI Data Security Standard ใดที่มีผลบังคับใช้กับธุรกิจของคุณ

วิธีที่สตาร์ทอัพและธุรกิจอีคอมเมิร์ซขนาดเล็กสามารถจัดเตรียมโดยใช้รายการตรวจสอบการปฏิบัติตามข้อกำหนด PCI นี้

ด้านล่างนี้คือวิธีที่คุณสามารถเพิ่มระดับการปฏิบัติตามมาตรฐาน PCI เพื่อปกป้องธุรกิจและลูกค้าของคุณ คิดว่านี่เป็น "รายการตรวจสอบการปฏิบัติตามข้อกำหนดของ PCI" ของคุณ ข้อกำหนดการปฏิบัติตาม PCI ทั้ง 12 ข้อเกี่ยวข้องกับหลักการ และหลักการเหล่านี้คือ:

  • สร้างและดูแลเครือข่ายที่ปลอดภัย
  • ปกป้องข้อมูลผู้ถือบัตร
  • รักษาโปรแกรมการจัดการช่องโหว่
  • ใช้มาตรการควบคุมการเข้าออกที่เข้มงวด
  • ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ
  • รักษานโยบายการรักษาความปลอดภัยของข้อมูล

1. ใช้และบำรุงรักษาไฟร์วอลล์

เมื่ออาชญากรไซเบอร์หรือผู้กระทำการอื่นที่ไม่รู้จัก ประสงค์ร้ายหรืออย่างอื่น พยายามเข้าถึงข้อมูลส่วนตัวในระบบของคุณ ไฟร์วอลล์จะบล็อกพวกเขาจากการเข้าสู่ระบบ แน่นอน ไฟร์วอลล์ไม่สามารถผ่านเข้าไปได้ และสามารถพบช่องโหว่ต่างๆ ได้ (ซึ่งเป็นสาเหตุสำคัญที่ต้องดูแลรักษาผ่านการอัปเดต) แต่ก็เป็นแนวป้องกันแรกที่ดี

2. ใช้การป้องกันด้วยรหัสผ่านที่เหมาะสม

ซอฟต์แวร์และฮาร์ดแวร์ของบริษัทอื่นมักมาพร้อมกับรหัสผ่านทั่วไปและมาตรการรักษาความปลอดภัยเริ่มต้นที่อาชญากรไซเบอร์สามารถเข้าถึงได้ง่าย เพื่อให้เป็นไปตามมาตรฐาน PCI คุณต้องเปลี่ยนรหัสผ่านเหล่านี้และปรับการกำหนดค่าพื้นฐาน รวมทั้งเก็บรายการอุปกรณ์ทั้งหมดที่ต้องใช้รหัสผ่านหรือวิธีการเข้าถึงอื่นๆ

3. ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้

ข้อมูลผู้ถือบัตรไม่ควรถูกจัดเก็บไว้เกินเวลาที่ใช้ในการทำธุรกรรมให้เสร็จสิ้น เว้นแต่จำเป็นสำหรับความต้องการทางกฎหมาย ข้อบังคับ หรือทางธุรกิจ หากจำเป็นต้องใช้พื้นที่เก็บข้อมูล ธุรกิจต้องจำกัดเวลาการจัดเก็บและเก็บรักษาให้น้อยที่สุด โดยล้างข้อมูลอย่างน้อยทุกไตรมาส การปฏิบัติตาม PCI ยังระบุถึงวิธีแสดงหมายเลขบัญชีหลัก (PAN) เช่น การเปิดเผยเฉพาะหกหลักแรกและสี่หลักสุดท้าย

4. เข้ารหัสข้อมูลที่ส่ง

เมื่อข้อมูลผู้ถือบัตรถูกส่งผ่านเครือข่ายสาธารณะ นี่เป็นโอกาสสำคัญสำหรับอาชญากรไซเบอร์ในการสกัดกั้น ข้อกำหนด PCI นี้ระบุว่าข้อมูลผู้ถือบัตรต้องได้รับการเข้ารหัสทุกครั้งที่ถูกส่งไปยังตำแหน่งที่รู้จักเหล่านี้ และไม่ควรส่งข้อมูลไปยังตำแหน่งที่ไม่รู้จัก

5. ใช้และบำรุงรักษาซอฟต์แวร์ป้องกันไวรัส

ซอฟต์แวร์ป้องกันไวรัส เช่น McAfee หรือ Norton จำเป็นสำหรับอุปกรณ์ใดๆ ที่โต้ตอบหรือจัดเก็บ PAN เช่นเดียวกับไฟร์วอลล์ของคุณ ซอฟต์แวร์นี้จำเป็นต้องได้รับการอัปเดตเป็นประจำเพื่อให้สามารถแก้ไขช่องโหว่ได้ ตรวจสอบรายชื่อซอฟต์แวร์ป้องกันไวรัสที่ดีที่สุด ของพีซี สำหรับปี 2021

6. รักษาระบบและแอปพลิเคชันที่ปลอดภัย

ธุรกิจอีคอมเมิร์ซต้องรักษาซอฟต์แวร์ให้ปลอดภัย โดยทำงานร่วมกับผู้จำหน่ายซอฟต์แวร์ของตนเพื่อให้แน่ใจว่าแพตช์ความปลอดภัยเป็นเวอร์ชันล่าสุด เข้าถึงและดำเนินการได้ง่าย นอกเหนือจากการปรับใช้แพตช์ที่สำคัญอย่างทันท่วงทีแล้ว ธุรกิจจำเป็นต้องสร้างกระบวนการเพื่อค้นหาช่องโหว่ใหม่ๆ และจัดอันดับช่องโหว่ การอัปเดตเหล่านี้มีความสำคัญอย่างยิ่งสำหรับซอฟต์แวร์ทั้งหมดบนอุปกรณ์ที่โต้ตอบหรือจัดเก็บข้อมูลผู้ถือบัตร

7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตร

ข้อมูลผู้ถือบัตรเป็นข้อมูลที่ละเอียดอ่อนมากและควรได้รับการดูโดยตัวแทนที่จำเป็นต้องรู้เท่านั้น พนักงานส่วนใหญ่ของคุณและบุคคลที่สามไม่จำเป็นต้องเข้าถึงข้อมูลนี้ ดังนั้นจึงควรจำกัดไว้ บทบาทที่จำเป็นต้องเข้าถึงข้อมูลนี้ควรได้รับการจัดทำเป็นเอกสารและอัปเดตอย่างสม่ำเสมอ

8. กำหนดรหัสเฉพาะสำหรับการเข้าถึง

แทนที่จะมีชื่อผู้ใช้และรหัสผ่านสำหรับเข้าสู่ระบบเดียวสำหรับข้อมูลผู้ถือบัตร บุคคลที่ต้องการเข้าถึงจะต้องมีข้อมูลประจำตัวและบัตรประจำตัวส่วนบุคคล สิ่งนี้ทำให้มั่นใจได้ว่าเมื่อใดก็ตามที่มีคนเข้าถึงข้อมูลผู้ถือบัตร กิจกรรมนั้นสามารถติดตามไปยังผู้ใช้ที่รู้จักหรืออย่างน้อยก็รับรู้ทันทีว่าเป็นการเข้าถึงโดยไม่ได้รับอนุญาต สำหรับการเข้าถึงระยะไกล จำเป็นต้องมีการ อนุญาตแบบสองปัจจัย ซึ่งมีการรักษาความปลอดภัยอีกชั้นหนึ่ง

9. จำกัดการเข้าถึงข้อมูลทางกายภาพ

ข้อมูลผู้ถือบัตรในสถานที่ทั้งหมดต้องถูกเก็บไว้ในสถานที่ที่ปลอดภัย ตรวจสอบ และต้องมีการบันทึก ขั้นตอนในการระบุบุคคลที่ไม่เกี่ยวข้องอย่างรวดเร็วต้องถูกนำมาใช้ การสำรองข้อมูลจะต้องได้รับการบำรุงรักษาที่ไซต์สำรองที่ปลอดภัย สุดท้ายเมื่อธุรกิจไม่ต้องการข้อมูลอีกต่อไป ก็ต้องถูกทำลาย

10. ตรวจสอบเครือข่ายอย่างสม่ำเสมอ

การปฏิบัติตาม PCI กำหนดให้ธุรกิจอีคอมเมิร์ซต้องตรวจสอบและทดสอบเครือข่ายของตนเป็นประจำเพื่อให้แน่ใจว่าไม่มีช่องโหว่ทางกายภาพหรือไร้สาย จำเป็นต้องมีเส้นทางการตรวจสอบอัตโนมัติ ควบคู่ไปกับความสามารถในการสร้างเหตุการณ์ใหม่ หากเกิดการละเมิดขึ้น ข้อมูลการตรวจสอบต้องได้รับการรักษาความปลอดภัยและบำรุงรักษาเป็นเวลาอย่างน้อยหนึ่งปี

11. สแกนและทดสอบช่องโหว่

ช่องโหว่เกิดขึ้นจากกิจกรรมของอาชญากรไซเบอร์ การทำงานผิดพลาด ความผิดพลาดของมนุษย์ และการแนะนำโค้ดใหม่ ซึ่งหมายความว่าระบบและกระบวนการภายในและภายนอกทั้งหมดต้องได้รับการทดสอบทุกไตรมาสเพื่อให้แน่ใจว่ามีการรักษาความปลอดภัย ข้อกำหนด PCI DSS ต่อเนื่องอื่นๆ รวมถึงการทดสอบการเจาะระบบ เช่นเดียวกับการใช้ระบบตรวจจับและป้องกันการบุกรุก นอกจากนี้ จำเป็นต้องมีการตรวจสอบไฟล์เพื่อให้สอดคล้องกับ PCI เพื่อให้มีการแจ้งเตือนทุกครั้งที่ผู้ใช้แก้ไขเนื้อหา การกำหนดค่า หรือไฟล์ระบบในลักษณะที่ไม่ได้รับอนุญาต

12. นโยบายการรักษาความปลอดภัยของเอกสาร

สินค้าคงคลังของอุปกรณ์ ซอฟต์แวร์ และพนักงานที่มีสิทธิ์เข้าถึงข้อมูลจะต้องได้รับการจัดทำเป็นเอกสารเพื่อให้เป็นไปตามข้อกำหนด บันทึกของการเข้าถึงข้อมูลผู้ถือบัตรและวิธีการที่ข้อมูลไหลเข้าสู่บริษัทของคุณ ที่จัดเก็บ และวิธีการใช้งานหลังการขายจะต้องมีการจัดทำเป็นเอกสารด้วย นอกจากนี้ จำเป็นต้องแต่งตั้งบุคคลหรือทีมเพื่อสร้างความคิดริเริ่มด้านการรักษาความปลอดภัยและเพื่อคัดกรองผู้ที่มีแนวโน้มจะเป็นพนักงาน ผู้รับเหมา ฯลฯ ซึ่งเป็นส่วนหนึ่งของกระบวนการจ้างงานเพื่อหลีกเลี่ยงการละเมิดข้อมูลภายใน

งบประมาณสำหรับการปฏิบัติตาม PCI

การบรรลุและรักษา 12 ขั้นตอนของการปฏิบัติตาม PCI จะต้องเสียค่าใช้จ่ายอย่างไม่ต้องสงสัย แน่นอน จำนวนเงินจะขึ้นอยู่กับระดับของการปฏิบัติตามข้อกำหนดของธุรกิจของคุณ ขนาดขององค์กร วัฒนธรรมการรักษาความปลอดภัยของบริษัท ประเภทของเทคโนโลยีที่คุณใช้ และความสามารถในการซื้อผู้เชี่ยวชาญด้าน IT/PCI โดยเฉพาะหรือไม่

อย่างไรก็ตาม เนื่องจากค่าใช้จ่ายของการไม่ปฏิบัติตามข้อกำหนดอาจสูงมากหากเกิดการรั่วไหลของข้อมูล (และจริง ๆ แล้วไม่ใช่ว่าจะเกิดขึ้นหรือไม่ แต่เมื่อไร) จึงคุ้มค่าที่จะหางบประมาณสำหรับมัน แม้ว่าจะหมายถึงการตัดค่าใช้จ่ายที่อื่นหรือเพิ่มขึ้นก็ตาม การตั้งราคาสินค้าบางประเภทเป็นการชั่วคราวเพื่อระดมเงิน ในท้ายที่สุด คุณจะมีธุรกิจอีคอมเมิร์ซที่ปลอดภัยและความอุ่นใจสำหรับคุณและลูกค้าของคุณ

ลดความกังวลด้านความปลอดภัยของข้อมูลด้วย Fulfillment Lab

เทคโนโลยีช่วยให้ผู้ค้าปลีกอีคอมเมิร์ซได้รับประโยชน์มากมาย ตั้งแต่การตรวจสอบสินค้าคงคลังไปจนถึงการติดตามการจัดส่ง การประมวลผลการชำระเงิน ไปจนถึงการรักษาความปลอดภัยของข้อมูลลูกค้า แน่นอนว่าการได้มาซึ่งระบบเหล่านี้ต้องใช้เงินลงทุนจำนวนมาก และมีช่วงการเรียนรู้อยู่เสมอ!

เมื่อคุณลดการปฏิบัติตามคำสั่งซื้อไปที่ The Fulfillment Lab ผู้นำด้านการตลาดอีคอมเมิร์ซที่มีสิ่งอำนวยความสะดวกระดับนานาชาติ 14 แห่ง หมดภาระในการจัดส่งจากมือคุณ คุณจะลดข้อกังวลด้านการปฏิบัติตามมาตรฐาน PCI ของคุณลงได้มาก เนื่องจากคุณจะสามารถเข้าถึงซอฟต์แวร์ Global Fulfillment System (GFS) ที่ทันสมัยของเราได้ ระบบที่ปลอดภัยนี้ช่วยให้คุณตรวจสอบสินค้าคงคลัง ติดตามการจัดส่ง ปรับแต่งบรรจุภัณฑ์ และดำเนินการชำระเงิน อย่าลืมดูบล็อกของเรา 10 เหตุผลในการใช้ Fulfillment Center สำหรับการจัดส่งอีคอมเมิร์ซของคุณ สำหรับข้อมูลเพิ่มเติม และอย่าลังเลที่จะติดต่อเราเพื่อเรียนรู้เพิ่มเติม

คำกระตุ้นการตัดสินใจใหม่