ในวันที่ 31 มีนาคม ที่ผ่านมา ทางคณะกรรมการ PCI SSC ได้ประกาศยุติการใช้งานมาตรฐานความปลอดภัย PCI DSS เวอร์ชัน 3.2.1 และให้เวอร์ชัน 4.0 เข้ามามีผลบังคับใช้แทน ในโอกาสนี้ เราจึงได้เชิญคุณ Hardy M. ผู้จัดการฝ่ายรักษาความปลอดภัยอาวุโส (Senior Security Manager) มาพูดคุยเรื่องมาตรการด้านความปลอดภัยของ Opn Payments ที่ได้มาตรฐาน PCI DSS ระดับ 1 (ระดับสูงสุด) รวมถึงการเตรียมพร้อมรับมาตรฐานเวอร์ชันใหม่ล่วงหน้าตั้งแต่ปี 2566
คุณ Hardy เข้ามาทำงานด้านการรักษาความปลอดภัยทางไซเบอร์ที่ Opn Payments ตั้งแต่ปี 2561 โดยได้รับใบรับรอง CISSP จากสมาคม International Information System Security Certification Consortium (ISC2) ซึ่งเป็นที่ยอมรับในระดับสากล ก่อนหน้านี้ คุณ Hardy มีประสบการณ์ในวงการไอทีมานานถึง 27 ปี โดยมีความสนใจในเทคโนโลยีการชำระเงินในเอเชียมากเป็นพิเศษ
ต่อไปนี้เป็นคำถามสัมภาษณ์และคำตอบของคุณ Hardy โดยแบ่งเป็น 3 หัวข้อ ได้แก่ มาตรการด้านความปลอดภัยของ Opn Payments มาตรฐาน PCI DSS เวอร์ชันใหม่ และคำแนะนำในการรักษาความปลอดภัยที่ร้านค้าสามารถนำไปใช้ได้
มาตรการในการรักษาความปลอดภัยของ Opn Payments
ผู้สัมภาษณ์: Opn Payments มีมาตรการในการรักษาความปลอดภัยของข้อมูลของลูกค้าอย่างไรบ้าง
Hardy: การรักษาความปลอดภัยที่ Opn Payments มีมาตรการหลากหลายรูปแบบ แต่ผมคิดว่าสิ่งสำคัญที่สุดในการทำให้ลูกค้าเชื่อมั่นในความปลอดภัยคือต้องมีความโปร่งใสและแสดงให้เห็นถึงความตั้งใจด้วยการกระทำมากกว่าคำพูด
เรามักจะเห็นหลายองค์กรใช้คำว่า “เราให้ความสำคัญความปลอดภัยมากที่สุด” ผมเข้าใจว่าทำไมหลายที่ถึงพูดแบบนั้นและเข้าใจว่าพวกเขาอาจจะให้ความสำคัญกับความปลอดภัยจริงๆ ก็ได้ แต่ลูกค้าจะเชื่อมั่นในความปลอดภัยก็ต่อเมื่อเราแสดงให้เขาเห็นจริงๆ เท่านั้น การพูดว่าเราให้ความสำคัญกับความปลอดภัยไม่ได้เป็นเครื่องพิสูจน์ว่าจะทำอย่างนั้นได้จริง
ดังนั้น ทาง Opn Payments จึงปฏิบัติตามมาตรการด้านความปลอดภัยที่อธิบายไว้อย่างละเอียดบนเว็บไซต์ โดยครอบคลุมทั้งมาตรฐานความปลอดภัย ข้อบังคับในการออกแบบผลิตภัณฑ์และโครงสร้างระบบ รวมถึงกระบวนการรักษาความปลอดภัยต่างๆ และทีมรักษาความปลอดภัยทางไซเบอร์ยังพร้อมตอบข้อสงสัยเกี่ยวกับมาตรการด้านความปลอดภัยเสมอ
เกี่ยวกับมาตรฐาน PCI DSS 4.0
ผู้สัมภาษณ์: ช่วยอธิบายเรื่องมาตรฐาน PCI DSS 4.0 และความสำคัญของมาตรฐานนี้คร่าวๆ ได้ไหม
Hardy: มาตรฐาน PCI DSS เป็นมาตรฐานความปลอดภัยที่จัดทำขึ้นโดยคณะกรรมการ PCI Security Standards Council (PCI SSC) ซึ่งเป็นคณะกรรมการที่ประกอบด้วยเครือข่ายบัตรชั้นนำของโลก จัดทำขึ้นเพื่อเป็นมาตรฐานในการรักษาความปลอดภัยด้านการชำระเงินสำหรับองค์กรทั่วโลก ซึ่งครอบคลุมทั้งด้านบุคคล กระบวนการ และเทคโนโลยี มาตรฐาน PCI DSS มีหลายระดับ โดยแบ่งตามจำนวนธุรกรรมบัตรเครดิตและบัตรเดบิตในแต่ละปี ซึ่งแต่ระดับจะมีข้อหนดที่ต้องปฏิบัติตามแตกต่างกันไป
องค์กรจำเป็นต้องปฏิบัติตามมาตรฐานนี้จึงจะสามารถรับชำระเงินด้วยบัตรได้ และส่วนตัวผมคิดว่าเป็นมาตรฐานที่ควรปฏิบัติตามเป็นอย่างยิ่ง ถึงแม้ว่าจะไม่สมบูรณ์แบบ แต่ก็ถือเป็นหนึ่งในมาตรฐานความปลอดภัยที่ดีที่สุดในด้านการจัดการองค์กรและด้านเทคนิค และสามารถนำไปใช้ได้กับกับทุกองค์กร ไม่ใช่แค่ในวงการเพย์เมนต์เท่านั้น ผมอยากแนะนำให้ทุกบริษัทใช้มาตรฐานนี้หรือลองศึกษารายละเอียดดู
ผู้สัมภาษณ์: มาตรฐาน PCI DSS เวอร์ชัน 4.0 มีอะไรแตกต่างไปจากเดิมบ้าง และการเปลี่ยนแปลงดังกล่าวส่งผลต่อการรักษาความปลอดภัยของ Opn Payments อย่างไร
Hardy: มีความแตกต่างอยู่หลายจุด แต่เรื่องหนึ่งที่ผมอยากเน้นคือข้อกำหนดที่จัดทำขึ้นเพื่อรับมือกับการสกิมมิงข้อมูลบัตร (Card Skimming) บนหน้าเว็บไซต์ของร้านค้าที่เกิดขึ้นบ่อยในช่วง 2-3 ปีที่ผ่านมา สกิมมิงคือการแฮ็กเว็บไซต์ของร้านค้าโดยอาศัยช่องโหว่ต่างๆ เช่น ฟิชชิง รหัสผ่านที่ไม่รัดกุม หรือเซิร์ฟเวอร์ที่ไม่ได้รับการอัปเดตมาเป็นเวลานาน หลังจากเข้าควบคุมเว็บไซต์ได้แล้ว ผู้ไม่หวังดีก็จะสามารถติดตั้งโปรแกรมให้หน้าชำระเงินดูดเอาข้อมูลบัตรของลูกค้าไปได้
PCI DSS 4.0 เพิ่มข้อกำหนดหลายข้อเพื่อปกป้องหน้าชำระเงินจากการโจมตีในรูปแบบนี้
ผู้สัมภาษณ์: PCI DSS 4.0 จะกลายเป็นมาตรฐานความปลอดภัยหลักในวันที่ 31 มีนาคม 2567 ช่วยเล่าให้ฟังหน่อยว่าทาง Opn เตรียมตัวอย่างไรเพื่อให้พร้อมรับมาตรฐานเวอร์ชันใหม่นี้
Hardy: เราผ่านการรับรอง PCI DSS เวอร์ชัน 4.0 ตั้งแต่ปี 2566 โดยไม่ได้ต้องเปลี่ยนมาตรการรักษาความปลอดภัยที่มีอยู่มากนัก เพราะในแต่ละปี ทางทีมได้พยายามปรับปรุงการรักษาความปลอดภัยมาโดยตลอด และมีแผนที่จะปรับปรุงเพิ่มเติมสำหรับปี 2568 แล้วด้วย
คำแนะนำด้านความปลอดภัยสำหรับร้านค้า
ผู้สัมภาษณ์: สำหรับคำถามสุดท้าย มีคำแนะนำด้านความปลอดภัยให้ร้านค้าสัก 5 ข้อไหม
Hardy: การรักษาความปลอดภัยเป็นเรื่องที่ไม่ตายตัวและจำเป็นต้องมีการประเมินความเสี่ยงอย่างต่อเนื่อง ดังนั้น การให้คำแนะนำที่เหมาะกับทุกคนอาจจะยาก เพราะบริษัทแต่ละแห่งไม่เหมือนกันและมีภัยคุกคามที่แตกต่างกันด้วย อย่างไรก็ตาม ผมคิดว่าคำแนะนำ 5 นี้น่าจะเป็นคำแนะนำที่ปฏิบัติตามได้ง่าย
อัปเดตซอฟต์แวร์ที่ใช้งานและซอฟแวร์ที่เชื่อมต่อกัน (Software Dependency) ให้เป็นกิจวัตร ทาง Opn จะทำการอัปเดตโดยอัตโนมัติอยู่เกือบทุกวัน แต่ถ้าไม่สามารถทำอย่างนั้นได้ ก็ควรตั้งเวลาอัปเดตไว้เป็นรายเดือน นอกจากนี้ ควรติดตามข่าวสารด้านความปลอดภัยของซอฟแวร์ที่ใช้อยู่เสมอเพื่อให้ไม่พลาดข่าวสำคัญ
เปิดใช้งานการยืนยันตัวตน 2 ขั้นตอน (2FA) และป้องกันไม่ให้มีการใช้รหัสผ่านซ้ำหลายที่ รวมถึงป้องกันไม่ให้พนักงานเก่าทำรหัสผ่านรั่วไหล
ห้ามเก็บหรือประมวลผลข้อมูลบัตร เช่น เลข PAN ฉบับเต็ม ด้วยตนเองเป็นอันขาด โดยควรใช้ผู้ให้บริการด้านการชำระเงินที่ได้รับอนุญาตแทน
อย่าใช้บัญชีรวมกันหลายคน และจำกัดจำนวนผู้ที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบ (Admin) ให้น้อยที่สุด รวมถึงนำบัญชีผู้ใช้ออกให้เรียบร้อยเมื่อพนักงานลาออก
ระวังการฟิชชิงทางอีเมล โทรศัพท์ ข้อความ SMS โซเชียลมีเดีย และอื่นๆ เพราะเป็นวิธีที่ผู้ไม่หวังดีสามารถหลอกเอาข้อมูลส่วนตัวไปได้ง่ายๆ
สรุป
Opn Payments มุ่งมั่นที่จะรักษาความปลอดภัยของข้อมูลของคุณให้ดีที่สุด โดยมีหลักการคือการยึดมั่นในความโปร่งใสและการพิสูจน์ด้วยการกระทำ เพราะเราเชื่อว่าลูกค้าจะเชื่อมั่นในความปลอดภัยขององค์กรก็ต่อเมื่อมีการกระทำให้เห็นอย่างชัดเจนและต่อเนื่อง โดยตัวอย่างหนึ่งก็คือการเตรียมพร้อมรับมาตรฐาน PCI DSS 4.0 ตั้งแต่ยังไม่มีผลบังคับใช้อย่างเต็มรูปแบบ และแผนการปรับปรุงมาตรการรักษาความปลอดภัยในทุกๆ ปี เพื่อให้พร้อมรับมือกับภัยทางไซเบอร์ในอนาคตต่อไป
More from Opn
6 ตุลาคม 2567
เปรียบเทียบ Online Direct Debit vs โมบายแบงก์กิ้ง วิธีการชำระเงินแบบใดที่เหมาะกับธุรกิจของคุณ
29 สิงหาคม 2567
แนะนำ Payment Links+ โซลูชันใหม่จาก Opn Payments
30 กรกฎาคม 2567
เจาะลึกเบื้องหลังระบบเสถียรแม้ช่วงพีกกับ Director of Infrastructure ของ Opn Payments
Subscribe to receive the latest updates from Opn
เว็บไซต์นี้มีการใช้คุกกี้เพื่อวิเคราะห์การใช้และปรับการใช้งานให้เหมาะกับท่าน เมื่อกดยอมรับหรือเข้าชมเว็บไซต์ต่อ เราถือว่าท่านยินยอมในการใช้งานคุกกี้ของเว็บไซต์ อ่านนโยบายความเป็นส่วนตัว