PCI DSS v4.0.1

การทดสอบเจาะระบบตาม PCI DSS และการปฏิบัติตามมาตรฐานความปลอดภัยบัตรชำระเงิน

PCI DSS v4.0.1 ข้อกำหนด 11.4 กำหนดให้ทำ Penetration Testing ประจำปีสำหรับสภาพแวดล้อมข้อมูลผู้ถือบัตร และข้อกำหนด 11.3 กำหนดให้สแกนช่องโหว่รายไตรมาสรวมถึงการสแกนภายนอกโดย ASV มั่นใจว่าระบบชำระเงินของคุณเป็นไปตามมาตรฐาน PCI DSS

Req 11.4

Penetration Testing

ประจำปี + หลังเปลี่ยนแปลง

Req 11.3

Vulnerability Scanning

สแกนรายไตรมาส ภายใน & ASV

v4.0.1

เวอร์ชันปัจจุบัน

เผยแพร่ มิถุนายน 2024

ข้อกำหนด

6 เป้าหมาย 12 ข้อกำหนด

รับการประเมิน PCI DSS

PCI DSS คืออะไร?

Payment Card Industry Data Security Standard (PCI DSS) เป็นมาตรฐานความปลอดภัยระดับโลกที่กำหนดโดย PCI Security Standards Council (PCI SSC) ซึ่งก่อตั้งโดย Visa, Mastercard, American Express, Discover และ JCB เพื่อกำหนดข้อกำหนดด้านความปลอดภัยสำหรับทุกองค์กรที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลผู้ถือบัตร

บริหารจัดการโดย PCI Security Standards Council (PCI SSC) ก่อตั้งโดย 5 แบรนด์บัตรชำระเงินหลัก
เวอร์ชันปัจจุบันคือ PCI DSS v4.0.1 เผยแพร่เดือนมิถุนายน 2024 บังคับปฏิบัติตามภายใน 31 มีนาคม 2025
กำหนด 12 ข้อกำหนดภายใต้ 6 เป้าหมายด้านความปลอดภัย
ใช้บังคับทั่วโลกกับทุกหน่วยงานที่จัดการข้อมูลผู้ถือบัตร โดยไม่จำกัดขนาดหรือปริมาณธุรกรรม
ตรวจสอบการปฏิบัติตามผ่าน Self-Assessment Questionnaires (SAQs) หรือการตรวจสอบโดย Qualified Security Assessors (QSAs)

อ้างอิง: PCI SSC - https://www.pcisecuritystandards.org/standards/pci-dss/

ใครต้องปฏิบัติตาม PCI DSS?

ทุกองค์กรที่จัดเก็บ ประมวลผล หรือส่งต่อข้อมูลผู้ถือบัตรต้องปฏิบัติตาม PCI DSS โดยแบ่งเป็น 4 ระดับตามปริมาณธุรกรรม

ร้านค้า (Merchants)

ร้านค้าปลีก ร้านอาหาร โรงแรม และทุกธุรกิจที่รับชำระเงินด้วยบัตรทั้งหน้าร้านและออนไลน์

ธุรกิจอีคอมเมิร์ซ

ร้านค้าออนไลน์และแพลตฟอร์มที่ประมวลผลธุรกรรมบัตรผ่าน Payment Gateway

สถาบันการเงิน

ธนาคาร Acquiring Bank และผู้ออกบัตรที่ประมวลผล จัดเก็บ หรือส่งต่อข้อมูลผู้ถือบัตร

ผู้ให้บริการชำระเงิน

ผู้ประมวลผลบุคคลที่สาม Payment Gateway และผู้ให้บริการชำระเงินที่จัดการธุรกรรมบัตร

ผู้ให้บริการ (Service Providers)

ผู้ให้บริการ Hosting, Managed Security และทุกหน่วยงานที่เข้าถึงสภาพแวดล้อมข้อมูลผู้ถือบัตร

ทุกองค์กรที่จัดการข้อมูลบัตร

ทุกองค์กรที่จัดเก็บ ประมวลผล หรือส่งต่อหมายเลขบัตร (PAN) หรือข้อมูลยืนยันตัวตนที่สำคัญ

การทดสอบความปลอดภัย

ข้อกำหนดการทดสอบความปลอดภัยหลักของ PCI DSS

PCI DSS v4.0.1 มีข้อกำหนดเฉพาะสำหรับ Penetration Testing, Vulnerability Scanning และ Secure Development ที่แมปตรงกับบริการประเมินความปลอดภัย

Req 11.4

Penetration Testing

ต้องทำ Penetration Testing ทั้งภายนอกและภายในอย่างน้อยปีละครั้งและหลังการเปลี่ยนแปลงที่สำคัญ ครอบคลุมขอบเขต CDE ทั้งหมดรวมถึงการตรวจสอบ Network Segmentation ต้องใช้วิธีการที่เป็นมาตรฐานอุตสาหกรรม เช่น NIST SP 800-115 หรือ OWASP

Req 11.3

Vulnerability Scanning

ต้องทำการสแกนช่องโหว่ภายนอกโดย PCI SSC Approved Scanning Vendor (ASV) อย่างน้อยทุกไตรมาส และสแกนภายในทุกไตรมาส PCI DSS v4.0 กำหนดให้สแกนภายในแบบ Authenticated เพื่อตรวจจับช่องโหว่และ Misconfiguration ในเชิงลึก

Req 6.2

การพัฒนาซอฟต์แวร์ที่ปลอดภัย

ซอฟต์แวร์ที่พัฒนาขึ้นเองต้องพัฒนาอย่างปลอดภัยตามมาตรฐานอุตสาหกรรม ต้องทำ Code Review ก่อนนำขึ้น Production เพื่อตรวจสอบช่องโหว่ OWASP Top 10 นักพัฒนาต้องได้รับการฝึกอบรม Secure Coding อย่างน้อยปีละครั้ง

Req 5

การป้องกันมัลแวร์

ปกป้องทุกระบบและเครือข่ายจากมัลแวร์ ติดตั้ง บำรุงรักษา และเฝ้าระวังโซลูชันป้องกันมัลแวร์บนทุกระบบที่มีความเสี่ยง

Req 1

การควบคุมความปลอดภัยเครือข่าย

ติดตั้งและบำรุงรักษาการควบคุมความปลอดภัยเครือข่าย รวมถึง Firewall และ Network Segmentation เพื่อปกป้องสภาพแวดล้อมข้อมูลผู้ถือบัตร

Req 8

การควบคุมสิทธิ์และการยืนยันตัวตน

ระบุตัวตนผู้ใช้และยืนยันการเข้าถึงส่วนประกอบระบบ ใช้ Multi-Factor Authentication (MFA) สำหรับทุกการเข้าถึงสภาพแวดล้อมข้อมูลผู้ถือบัตร

ผลกระทบจากการไม่ปฏิบัติตาม PCI DSS

การไม่ปฏิบัติตาม PCI DSS มีผลกระทบทางการเงินและการดำเนินงานที่รุนแรง บังคับใช้ผ่านแบรนด์บัตรชำระเงินและ Acquiring Bank

ค่าปรับรายเดือน

บทลงโทษจาก Card Brand

แบรนด์บัตรชำระเงินสามารถเรียกเก็บค่าปรับ $5,000 ถึง $100,000 ต่อเดือนจาก Acquiring Bank ซึ่งจะส่งต่อค่าปรับไปยังร้านค้าที่ไม่ปฏิบัติตาม ค่าปรับจะเพิ่มขึ้นตามระยะเวลาที่ไม่ปฏิบัติตาม

ยกเลิกสิทธิ์ประมวลผล

ผลกระทบทางธุรกิจ

ร้านค้าอาจสูญเสียความสามารถในการรับชำระเงินด้วยบัตรทั้งหมด สำหรับธุรกิจที่พึ่งพาธุรกรรมบัตร นี่หมายถึงไม่สามารถดำเนินธุรกิจได้ การคืนสิทธิ์ต้องผ่านการตรวจสอบการปฏิบัติตามอย่างสมบูรณ์

ความรับผิดจากการละเมิด

ความเสี่ยงทางการเงิน

องค์กรที่ไม่ปฏิบัติตามและถูกละเมิดข้อมูลต้องรับภาระค่าใช้จ่ายการสอบสวนทางนิติวิทยาศาสตร์ ค่าออกบัตรใหม่ ความรับผิดจากการฉ้อโกง และคดีฟ้องร้องจากผู้ถือบัตรและธนาคาร

การทดสอบเจาะระบบช่วย PCI DSS ได้อย่างไร

การทดสอบเจาะระบบแมปตรงกับข้อกำหนด PCI DSS โดยตรวจสอบมาตรการรักษาความปลอดภัยที่ปกป้องข้อมูลผู้ถือบัตรทั่วทั้งสภาพแวดล้อมบัตรชำระเงิน

การทดสอบเจาะระบบเครือข่าย

ตรวจสอบ Network Segmentation และ Firewall Controls ที่ปกป้องสภาพแวดล้อมข้อมูลผู้ถือบัตร (Req 1, 11.4)

การทดสอบเจาะระบบเว็บแอปพลิเคชัน

ทดสอบ Payment Portal, แพลตฟอร์มอีคอมเมิร์ซ และเว็บแอปที่จัดการข้อมูลบัตร (Req 6.2, 11.4)

การประเมินช่องโหว่

การสแกนอย่างเป็นระบบเพื่อระบุช่องโหว่ที่ทราบทั่วทั้งสภาพแวดล้อมข้อมูลผู้ถือบัตร (Req 11.3)

การทดสอบเจาะระบบคลาวด์

ประเมินโครงสร้างพื้นฐานการชำระเงินบนคลาวด์ ตรวจสอบ Segmentation และ Access Controls (Req 1, 11.4)

รายการตรวจสอบ

รายการตรวจสอบการปฏิบัติตาม PCI DSS

การดำเนินการหลักด้านการทดสอบและประเมินความปลอดภัยเพื่อแสดงการปฏิบัติตาม PCI DSS

ทำ Penetration Testing ประจำปีสำหรับสภาพแวดล้อมข้อมูลผู้ถือบัตร (Req 11.4)

ทำ Penetration Testing หลังการเปลี่ยนแปลงโครงสร้างพื้นฐานหรือแอปพลิเคชันที่สำคัญ

สแกนช่องโหว่ภายนอกรายไตรมาสโดย Approved Scanning Vendor (Req 11.3)

สแกนช่องโหว่ภายในรายไตรมาสแบบ Authenticated และแก้ไขช่องโหว่ที่มีความเสี่ยงสูง

ทดสอบ Network Segmentation Controls เพื่อยืนยันการแยก CDE (ร้านค้าทำประจำปี Service Provider ทำทุก 6 เดือน)

ตรวจสอบว่าแอปพลิเคชันการชำระเงินที่พัฒนาขึ้นเองใช้แนวทาง Secure Development (Req 6.2)

ยืนยัน Multi-Factor Authentication สำหรับทุกการเข้าถึง CDE (Req 8)

ทดสอบ Firewall และ Network Security Controls ที่ปกป้อง CDE (Req 1)

จัดทำเอกสารผลการทดสอบทั้งหมดพร้อมหลักฐานการแก้ไขสำหรับ QSA

มีโปรแกรมจัดการช่องโหว่พร้อมกำหนดเวลาแก้ไข

ทดสอบขั้นตอนตอบสนองเหตุการณ์สำหรับสถานการณ์การละเมิดข้อมูลผู้ถือบัตร

ทบทวนและปรับปรุงนโยบายและขั้นตอนด้านความปลอดภัยอย่างน้อยปีละครั้ง

เอกสารอ้างอิงอย่างเป็นทางการ

ศึกษาเอกสารมาตรฐาน PCI DSS ฉบับเต็มจากแหล่งข้อมูลอย่างเป็นทางการ

ภาพรวมมาตรฐาน PCI DSS v4.0.1 PCI DSS v4.0.1 Quick Reference Guide (PDF)PCI DSS v4.0.1 Document Library Approved Scanning Vendors (ASV) รายชื่อ

บริการรักษาความปลอดภัยที่เกี่ยวข้อง

การทดสอบแบบครบวงจรเพื่อครอบคลุมทุกด้านของการปฏิบัติตาม PCI DSS สำหรับสภาพแวดล้อมข้อมูลผู้ถือบัตร

การทดสอบเจาะระบบเครือข่าย

ทดสอบขอบเขตเครือข่ายและ Segmentation Controls ที่ปกป้องสภาพแวดล้อมข้อมูลผู้ถือบัตร

เรียนรู้เพิ่มเติม

การทดสอบเจาะระบบเว็บแอปพลิเคชัน

ระบุช่องโหว่ใน Payment Portal และแอปพลิเคชันอีคอมเมิร์ซที่จัดการข้อมูลบัตร

เรียนรู้เพิ่มเติม

การประเมินช่องโหว่

การสแกนอย่างเป็นระบบที่สอดคล้องกับข้อกำหนดการสแกนรายไตรมาสของ PCI DSS

เรียนรู้เพิ่มเติม

กลับไปหน้า Compliance ทั้งหมด

คำถามที่พบบ่อยเกี่ยวกับ PCI DSS

คำถามทั่วไปเกี่ยวกับการทดสอบเจาะระบบและข้อกำหนดความปลอดภัยสำหรับการปฏิบัติตาม PCI DSS

ปฏิบัติตาม PCI DSS ได้วันนี้

รับบริการทดสอบเจาะระบบที่สอดคล้องกับ PCI DSS v4.0.1 รายงานพร้อมตรวจสอบของเราจัดเตรียมหลักฐานที่ QSA ต้องการสำหรับการตรวจสอบการปฏิบัติตาม

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด

การทดสอบเจาะระบบตาม PCI DSS และการปฏิบัติตามมาตรฐานความปลอดภัยบัตรชำระเงิน

PCI DSS คืออะไร?

ใครต้องปฏิบัติตาม PCI DSS?

ร้านค้า (Merchants)

ธุรกิจอีคอมเมิร์ซ

สถาบันการเงิน

ผู้ให้บริการชำระเงิน

ผู้ให้บริการ (Service Providers)

ทุกองค์กรที่จัดการข้อมูลบัตร

ข้อกำหนดการทดสอบความปลอดภัยหลักของ PCI DSS

Penetration Testing

Vulnerability Scanning

การพัฒนาซอฟต์แวร์ที่ปลอดภัย

การป้องกันมัลแวร์

การควบคุมความปลอดภัยเครือข่าย

การควบคุมสิทธิ์และการยืนยันตัวตน

ผลกระทบจากการไม่ปฏิบัติตาม PCI DSS

การทดสอบเจาะระบบช่วย PCI DSS ได้อย่างไร

การทดสอบเจาะระบบเครือข่าย

การทดสอบเจาะระบบเว็บแอปพลิเคชัน

การประเมินช่องโหว่

การทดสอบเจาะระบบคลาวด์

รายการตรวจสอบการปฏิบัติตาม PCI DSS

เอกสารอ้างอิงอย่างเป็นทางการ

บริการรักษาความปลอดภัยที่เกี่ยวข้อง

การทดสอบเจาะระบบเครือข่าย

การทดสอบเจาะระบบเว็บแอปพลิเคชัน

การประเมินช่องโหว่

คำถามที่พบบ่อยเกี่ยวกับ PCI DSS

ข้อกำหนด PCI DSS ใดที่เกี่ยวข้องกับ Penetration Testing?

PCI DSS กำหนดให้ทำ Penetration Testing บ่อยแค่ไหน?

Approved Scanning Vendor (ASV) คืออะไร และจำเป็นต้องใช้หรือไม่?

บทลงโทษกรณีไม่ปฏิบัติตาม PCI DSS มีอะไรบ้าง?

PCI DSS ใช้บังคับกับธุรกิจในประเทศไทยหรือไม่?

ปฏิบัติตาม PCI DSS ได้วันนี้