การปฏิบัติตาม PCI: คำจำกัดความ, 12 ข้อกำหนด, ข้อดีและข้อเสีย

บริษัท บัตรเครดิตได้รับคำสั่งการปฏิบัติตามมาตรฐานอุตสาหกรรมบัตรชำระเงิน (PCI) เพื่อให้แน่ใจว่าความปลอดภัยของบัตรเครดิตการทำธุรกรรมในอุตสาหกรรมการชำระเงิน การปฏิบัติตามอุตสาหกรรมบัตรชำระเงินหมายถึงธุรกิจมาตรฐานทางเทคนิคและการดำเนินงานตามมาเพื่อรักษาความปลอดภัยและปกป้องข้อมูลบัตรเครดิตที่จัดทำโดยผู้ถือบัตรและส่งผ่านธุรกรรมการประมวลผลบัตร

มาตรฐาน PCI สำหรับการปฏิบัติตามได้รับการพัฒนาและจัดการโดยสภามาตรฐานความปลอดภัย PCI-

ประเด็นสำคัญ

บริษัท ที่ติดตามและบรรลุมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ได้รับการพิจารณาว่าเป็นไปตามมาตรฐาน PCI
สภามาตรฐานความปลอดภัย PCI มีหน้าที่พัฒนา PCI DSS
PCI DSS มีข้อกำหนดหลัก 12 ข้อข้อกำหนดพื้นฐาน 78 ข้อและขั้นตอนการทดสอบ 400 ขั้นตอนเพื่อให้แน่ใจว่าองค์กรนั้นสอดคล้องกับ PCI
การเป็นไปตามมาตรฐาน PCI ช่วยลดการละเมิดข้อมูลปกป้องข้อมูลของผู้ถือบัตรหลีกเลี่ยงค่าปรับและปรับปรุงชื่อเสียงของแบรนด์
การปฏิบัติตามกฎหมาย PCI ไม่ได้กำหนดไว้โดยกฎหมาย แต่ถือเป็นข้อบังคับผ่านทางศาลก่อนหน้านี้

ทำความเข้าใจกับการปฏิบัติตาม PCI

ที่Federal Trade Commission (FTC)รับผิดชอบในการดูแลการประมวลผลบัตรเครดิตเนื่องจากอยู่ภายใต้ความต้องการการคุ้มครองผู้บริโภคและการกำกับดูแล ในขณะที่การปฏิบัติตาม PCI ไม่จำเป็นต้องเป็นข้อบังคับด้านกฎระเบียบ แต่ก็ถือว่าเป็นข้อบังคับผ่านทางศาล

โดยทั่วไปการปฏิบัติตาม PCI เป็นองค์ประกอบหลักของโปรโตคอลความปลอดภัยของ บริษัท บัตรเครดิต โดยทั่วไปได้รับคำสั่งจาก บริษัท บัตรเครดิตและหารือในข้อตกลงเครือข่ายบัตรเครดิต

สภามาตรฐาน PCI มีหน้าที่พัฒนามาตรฐานสำหรับการปฏิบัติตาม PCI มาตรฐานเหล่านี้ใช้กับการประมวลผลการค้าและยังได้รับการขยายไปสู่ข้อกำหนดสำหรับการทำธุรกรรมทางอินเทอร์เน็ตที่เข้ารหัส หน่วยงานสำคัญอื่น ๆ ที่เกี่ยวข้องกับการตั้งค่ามาตรฐานในอุตสาหกรรมบัตรเครดิต ได้แก่ เครือข่ายสมาคมบัตรและ National Automated Clearing House (NACHA)

ข้อกำหนดสำหรับการปฏิบัติตาม PCI

มาตรฐานการปฏิบัติตาม PCI กำหนดให้พ่อค้าและธุรกิจอื่น ๆ จัดการข้อมูลบัตรเครดิตในลักษณะที่ปลอดภัยซึ่งช่วยลดโอกาสที่ผู้ถือบัตรจะมีข้อมูลบัญชีการเงินที่ละเอียดอ่อนถูกขโมย หากพ่อค้าไม่จัดการข้อมูลบัตรเครดิตตามมาตรฐาน PCI ข้อมูลบัตรอาจถูกแฮ็กและใช้สำหรับการกระทำที่ฉ้อโกงมากมาย นอกจากนี้ยังสามารถใช้ข้อมูลที่ละเอียดอ่อนเกี่ยวกับผู้ถือบัตรการฉ้อโกงตัวตน-

การเป็นไปตามมาตรฐาน PCI หมายถึงการปฏิบัติตามแนวทางที่กำหนดโดยสภามาตรฐาน PCI อย่างต่อเนื่อง การปฏิบัติตาม PCI ถูกควบคุมโดยสภามาตรฐาน PCI ซึ่งเป็นองค์กรที่จัดตั้งขึ้นในปี 2549 เพื่อจัดการความปลอดภัยของบัตรเครดิต

ข้อกำหนดที่พัฒนาโดยสภาเรียกว่ามาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) PCI DSS มีข้อกำหนดหลัก 12 ข้อข้อกำหนดพื้นฐาน 78 ข้อและขั้นตอนการทดสอบมากกว่า 400 ขั้นตอน

วิธีการเป็นไปตาม PCI

เพื่อให้สอดคล้องกับแนวทาง PCI พ่อค้าและธุรกิจจะต้องปฏิบัติตามขั้นตอนการรักษาความปลอดภัย 12 ขั้นตอนหลักรวมถึงสิ่งต่อไปนี้:

ดำเนินการไฟร์วอลล์เพื่อปกป้องข้อมูล
การป้องกันรหัสผ่านที่เหมาะสม (เช่น2FA-
ปกป้องข้อมูลผู้ถือบัตร
การเข้ารหัสของข้อมูลผู้ถือบัตรที่ส่ง
ใช้ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์
อัปเดตซอฟต์แวร์และดูแลระบบรักษาความปลอดภัยเป็นประจำ
จำกัด การเข้าถึงข้อมูลผู้ถือบัตร
รหัสที่ไม่ซ้ำกันที่กำหนดให้กับผู้ที่มีการเข้าถึงข้อมูล
จำกัด การเข้าถึงการจัดเก็บข้อมูลทางกายภาพ
สร้างและตรวจสอบบันทึกการเข้าถึง
ทดสอบระบบรักษาความปลอดภัยเป็นประจำ
สร้างนโยบายที่มีการบันทึกไว้และสามารถติดตามได้

ที่PCI DSS เวอร์ชันล่าสุดเปิดตัวในเดือนมีนาคม 2565 และเรียกว่าเวอร์ชัน 4.0 โดยรวมแล้ววัตถุประสงค์หกประการและข้อกำหนด 12 ข้อร่างชุดของขั้นตอนที่ processorsorsors บัตรเครดิตติดตามอย่างต่อเนื่อง บริษัท จะถูกขอให้ประเมินเครือข่ายและระบบที่เกี่ยวข้องกับโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศกระบวนการทางธุรกิจและขั้นตอนการจัดการบัตรเครดิต

ประโยชน์ของการปฏิบัติตาม PCI

การบำรุงรักษาอย่างต่อเนื่องและการประเมินช่องว่างด้านความปลอดภัยใด ๆ ก็มีความสำคัญอย่างยิ่งสำหรับการหลีกเลี่ยงการขโมยข้อมูลผู้ถือบัตรที่ละเอียดอ่อนเช่นประกันสังคมและหมายเลขใบขับขี่เมื่อใดก็ตามที่เป็นไปได้

บริษัท จะต้องจัดทำรายงานการปฏิบัติตามอย่างสม่ำเสมอซึ่งเป็นส่วนหนึ่งของข้อตกลงการประมวลผลบัตร การติดตามการประเมินและการตรวจสอบของมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงินล้วนเป็นส่วนสำคัญของแผนกความปลอดภัยของ บริษัท

บริษัท ทั้งหมดที่ประมวลผลข้อมูลบัตรเครดิตจะต้องรักษาความสอดคล้องของ PCI ตามที่กำหนดโดยข้อตกลงการประมวลผลบัตรของพวกเขา การปฏิบัติตามข้อกำหนดของ PCI เป็นมาตรฐานอุตสาหกรรมและการดำเนินธุรกิจโดยไม่ต้องส่งผลให้เกิดค่าปรับจำนวนมากสำหรับการละเมิดข้อตกลงและความประมาทเลินเล่อ บริษัท ต่าง ๆ ยังมีความเสี่ยงสูงต่อการโจรกรรมการฉ้อโกงและการละเมิดข้อมูลโดยไม่ปฏิบัติตาม PCI

ประโยชน์ของการปฏิบัติตามรวมถึงความเสี่ยงที่ลดลงของการละเมิดข้อมูลการปกป้องข้อมูลผู้ถือบัตรและหลีกเลี่ยงโอกาสในการขโมยข้อมูลประจำตัว เป็นแนวปฏิบัติที่ดีสำหรับ บริษัท ที่จะปฏิบัติตามลดค่าปรับใด ๆ ที่เกี่ยวข้องกับการละเมิดข้อมูลช่วยแบรนด์ของ บริษัทชื่อเสียงและทำให้ลูกค้ามีความสุขและมั่นใจว่าพวกเขากำลังทำธุรกิจกับ บริษัท ที่รับผิดชอบซึ่งนำไปสู่ความภักดีของแบรนด์

ในช่วงครึ่งแรกของปี 2567 มีบันทึก 7 พันล้านบันทึกผ่านการละเมิดข้อมูล จากการสอบสวนด้านความปลอดภัยในปี 2566 พบว่าร้อยละเก้าสิบเจ็ดของการละเมิดได้รับแรงจูงใจทางการเงิน ด้วยตลาดความปลอดภัยของข้อมูลทั่วโลกที่คาดว่าจะสูงถึง 425 พันล้านดอลลาร์ในปี 2573 ความเสี่ยงทางการเงินจะสูงขึ้น การปกป้องข้อมูลผู้ถือบัตรไม่เพียง แต่ดีสำหรับธุรกิจ แต่ยังเป็นสิ่งที่ถูกต้องที่จะทำเพื่อให้แน่ใจว่าผู้คนไม่ได้รับอันตรายในทางลบหรือประสบกับความสูญเสียทางการเงินใด ๆ

ข้อเสียของการเป็น PCI ไม่สอดคล้อง

การปฏิบัติตาม PCI นั้นจำเป็นหากคุณหรือธุรกิจของคุณเกี่ยวข้องกับข้อมูลการทำธุรกรรมบัตรเครดิต นอกเหนือจากความเสี่ยงที่เพิ่มขึ้นจากการละเมิดข้อมูลคุณยังสามารถถูกปรับการลงโทษและการสูญเสียความสามารถในการประมวลผลข้อมูลบัตรเครดิตในอนาคต ธนาคารและ บริษัท ชำระเงินอาจเลือกที่จะไม่ทำธุรกิจกับคุณเว้นแต่คุณจะเป็นไปตาม PCI ซึ่งอาจส่งผลให้ยอดขายที่หายไปและภาพลักษณ์แบรนด์ที่มัวหมอง

ค่าปรับที่ไม่ปฏิบัติตามอาจมีค่าใช้จ่ายสูงถึง $ 500,000 ต่อเหตุการณ์ความปลอดภัยของข้อมูล PCI หรือการละเมิดนอกจากนี้บุคคลทุกคนที่มีข้อมูลเชื่อว่าจะถูกบุกรุกจะต้องได้รับการแจ้งเตือนเป็นลายลักษณ์อักษรว่าเป็นการแจ้งเตือนสำหรับการฉ้อโกง

ตัวอย่างของการปฏิบัติตาม PCI และการละเมิดข้อมูล

การปฏิบัติตาม PCI ช่วยหลีกเลี่ยงกิจกรรมที่ฉ้อโกงและบรรเทาการละเมิดข้อมูล Verizon ให้การประเมินความปลอดภัยการชำระเงินประจำปีใน“ รายงานความปลอดภัยการชำระเงิน Verizon” รายงาน 2022 อุทิศส่วนทั้งหมดให้กับ PCI DSS เรียกว่า "สถานะของการปฏิบัติตาม PCI DSS การค้นพบที่สำคัญ" PCI DSS บางส่วนไฮไลต์จาก "รายงานความปลอดภัยการชำระเงิน Verizon 2022" รวมถึงสิ่งต่อไปนี้:

43.4% ขององค์กรได้รักษาโปรแกรม PCI DSS ไว้อย่างแข็งขันในปี 2020
การปฏิบัติตามข้อกำหนดของภูมิภาคเอเชียแปซิฟิกเพิ่มขึ้นส่วนหนึ่งเป็นผลมาจากการรายงานข้อมูลที่เพิ่มขึ้น

PCI สอดคล้องกับอะไร?

การปฏิบัติตาม PCI หมายความว่า บริษัท หรือองค์กรใด ๆ ที่ยอมรับส่งหรือจัดเก็บข้อมูลส่วนตัวของผู้ถือบัตรนั้นสอดคล้องกับมาตรการรักษาความปลอดภัยต่างๆที่ระบุโดยสภาความปลอดภัย PCI เพื่อให้แน่ใจว่าข้อมูลนั้นปลอดภัยและเป็นส่วนตัว

การปฏิบัติตามกฎหมาย PCI จำเป็นหรือไม่?

ไม่มีข้อบังคับด้านกฎระเบียบที่ต้องใช้การปฏิบัติตาม PCI แต่ก็ยังได้รับการยกย่องว่าเป็นข้อบังคับผ่านทางศาล

ฉันจะทำให้ PCI เป็นไปตามมาตรฐานได้อย่างไร?

เพื่อให้เป็นไปตามมาตรฐาน PCI คุณต้องพิจารณาแบบสอบถามการประเมินตนเองที่คุณต้องปฏิบัติตามเพื่อให้สอดคล้อง เมื่อคุณทำแบบสอบถามเสร็จแล้วคุณจะต้องทำหลักฐานให้เสร็จสมบูรณ์ของการสแกนช่องโหว่ผ่านด้วยผู้ขายสแกน PCI SSC ที่ได้รับการอนุมัติ การสแกนใช้กับร้านค้าบางรายเท่านั้น จากนั้นคุณจะต้องดำเนินการยืนยันการปฏิบัติตาม ขั้นตอนสุดท้ายคือการส่งข้อมูลทั้งหมดข้างต้น

ใครจะต้องปฏิบัติตาม PCI?

บริษัท หรือองค์กรใด ๆ ที่ยอมรับส่งหรือจัดเก็บข้อมูลส่วนตัวของผู้ถือบัตร

บรรทัดล่าง

การปฏิบัติตาม PCI หมายถึงมาตรฐานทางเทคนิคและการดำเนินงานที่กำหนดโดยสภาความปลอดภัย PCI ที่องค์กรจำเป็นต้องดำเนินการและบำรุงรักษา เป้าหมายของการเป็นไปตามมาตรฐาน PCI คือการปกป้องข้อมูลผู้ถือบัตรซึ่งใช้กับองค์กรใด ๆ ที่ยอมรับส่งหรือเก็บข้อมูลนั้น การปฏิบัติตาม PCI นั้นเป็นวิธีปฏิบัติทางธุรกิจที่ดีซึ่งทำให้ข้อมูลความปลอดภัยของผู้บริโภคเป็นอันดับแรกและยังเป็นประโยชน์ต่อองค์กรผ่านชื่อเสียงของแบรนด์ในเชิงบวก