Communication Plan and Security Breach Notification Law

เรียกได้ว่า Post นี้เกิดจากความสงสัยของผมที่ว่าเวลาที่ผมต้องหาข่าวเกี่ยวกับหน่วยงานหรือบริษัทที่ถูก Hack ในกรณีที่เป็นบริษัทในต่างประเทศเปรียบเทียบกับบริษัทในประเทศไทยแล้วมันมีความแตกต่างกัน สิ่งที่แตกต่างชัดเจนที่สุดคือ

กรณีเว็บในต่างประเทศถูก Hack ส่วนใหญ่ถ้า Search หาข่าวมักจะเจอแหล่งข่าวที่มาจาก Source เดียวกัน ซึ่งโดยส่วนใหญ่ผู้ให้ข่าวก็คือบริษัทหรือหน่วยงานที่ถูก Hack แต่ในทางกลับกันถ้าเป็นของประเทศไทย มักจะมีข่าวมากมายบน Social Network บางอันจริงบางอันก็เกินจริง ซึ่งแหล่งที่มาของข่าวนั้นเรียกได้ว่าแทบไม่มีที่มาจากบริษัทหรือหน่วยงานที่ถูก Hack เลย

ถ้าใครเคยได้ศึกษา BCM (Business Continuity Management) จะพบว่าสิ่งหนึ่งที่มีความสำคัญในการทำให้เกิดความต่อเนื่องทางธุรกิจคือเรื่องการทำ Communication Plan คือในกรณีที่เกิดปัญหาขึ้น บริษัทหรือหน่วยงานจะมีตัวแทนที่ทำหน้าที่สื่อความให้กับผู้เกี่ยวข้อง รับรู้ถึงปัญหาและความเคลื่อนไหวต่างๆที่เกิดขึ้น โดยจะแบ่งออกเป็น 3 ส่วนคือ

  1. การให้ข่าวสารภายใน (ให้ข่าวสารต่อพนักงานในองค์กร)
  2. การให้ข่าวสารภายนอก (ให้ข่าวสารกับลูกค้า, vendors, suppliers)
  3. การให้ข่าวสารกับนักข่าวสื่อมวลชน

โดยทั้ง 3 ส่วนนั้น จะมีการกำหนดข้อความและดำเนินตามแผนซึ่งกำหนดไว้เท่านั้น  ถึงแม้ว่าเป็นบุคคลที่เป็นตัวแทนก็ไม่ใช่ว่าจะสามารถพูดอะไรก็ได้ รวมถึงบุคคลอื่นๆภายในองค์กรก็ไม่สามารถให้ข้อมูลกับ 3rd Party โดยเด็ดขาด ทั้งนี้เพื่อเป็นการ Control Information ที่จะออกสู่สาธารณะ

ซึ่งผมคิดว่าเป็นวิธีที่ดีมาก ถ้าได้นำมาใช้ในไทยอาจจะลดเรื่องกระแสด้านลบบน Social Network กรณีที่หน่วยงานราชการถูก Hack ลงได้บ้าง เพราะปัจจุบันพอไม่มีใครที่เป็นผู้รับผิดชอบออกมาให้ข่าว ก็กลายเป็นต่างคนต่างเขียนข่าว ดีบ้างไม่ดีบ้าง ซึ่งบางครั้งอาจส่งผลให้ภาพลักษณ์ของประเทศเสียก็เป็นได้

นอกจากนี้ผมลอง Search เกี่ยวกับเรื่องข้อกำหนดทางกฎหมายพบว่าในต่างประเทศนั้นมีกฎหมายที่เรียกว่า “Security Breach Notification Law” ใน USA เริ่มมีการใช้กฎหมายนี้ครั้งแรกที่รัฐ California ซึ่งเริ่มตั้งแต่ในช่วงปี 2002-2003 (13 ปีที่แล้ว)

ถ้าเข้า https://oag.ca.gov/ecrime/databreach/reporting ก็จะเจอรายละเอียดตามรูปด้านล่างนะครับ โดยสรุปก็คือถ้ามีข้อมูลของประชาชนถูกเอาไปโดยไม่ได้รับอนุญาตก็ให้แจ้งด้วย โดยมี Link ให้กดเพื่อ Submit ข้อมูลรายละเอียดด้วย รวมไปถึงมี Link ที่สามารถกดเข้าไปดูได้ว่าในอดีตนั้นเกิด Data Security Breach มามากน้อยแค่ไหนแล้ว

 

 

PCI DSS ตอนที่ 1 — Introduction

Payment Card Industry Data Security Standard หรือ PCI DSS เป็นมาตรฐาน Payment Card Security Standard เริ่มขึ้นในปี 2006 โดยกลุ่มบริษัทยักใหญ่ด้าน credit card 5 บริษัทประกอบไปด้วย Visa Inc., MasterCard Worldwide, JCB International, Discover Financial Services และ American Express

ก่อนหน้าที่จะมี PCI DSS บริษัทบัตรเครดิตแต่ละเจ้าต่างก็มีมาตรฐานเป็นของตัวเอง การบังคับใช้ก็แตกต่างกัน บางเจ้าอาจจะบังคับให้ปฏิบัติตาม บางเจ้าอาจจะบอกว่าเป็น best practice จะทำหรือไม่ทำตามก็ได้ ปัญหาเรื่อง data breach ของ card ในแต่ละปีจึงมีมูลค่าความเสียหายค่อนข้างสูง

ในปี 2006 Payment Card Industry Security Standard Council–PCI SSC ถูกก่อตั้งขึ้นโดยกลุ่มบริษัทที่กล่าวถึง เพื่อทำการ set มาตรฐานด้าน Payment Card Security ให้เป็นมาตรฐานเดียวกัน และสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพในชื่อ PCI DSS

เนื้อหาของ PCI DSS

ปัจจุบัน PCI DSS ที่ใช้งานกันอยู่เป็น version 2.0 ประกอบไปด้วย 6 categories, 12 high level requirements

หัวใจสำคัญของ PCI DSS จะ focus ไปที่เรื่องของ Account Data เป็นหลัก ถ้าหากระบบมีการ process, transmit หรือ store ข้อมูล Card Holder Data หรือ Sensitive Authentication Data จะถือว่าเข้าข่ายที่จะต้องบังคับใช้ PCI DSS

Card Holder Data ประกอบไปด้วย
1. PAN(Personal Account Number) เป็นเลข 16-digit
2. Card Holder Name ชื่อเข้าของบัตร
3. Service Code สำหรับควบคุมการทำงานของ Card Machine Response
4. Expiration Date แสดงเวลาที่บัตรจะหมดอายุ

ส่วน Sensitive Authentication Data จะประกอบไปด้วย
1. Full Magnetic Stripe Data ข้อมูลของแถบแม่เหล็กของบัตร หรือข้อมูลที่อยู่ใน chip ประเภท smartcard
2. CVV2/CVC2/CAV2/CID คือ Card Security Code แต่ละเจ้าจะเรียกชื่อต่างกัน โดย Visa เรียก CVV2, MasterCard เรียก CVC2, JCB เรียก CAV2, และ AMEX หรือ American Express เรียก CID เจ้า Card Security Code มีไว้เพื่อใช้ตรวจสอบความเป็นเจ้าของบัตร เนื่องจากการทำธุรกรรม online หรือผ่าน call centre ระบบหรือเจ้าหน้าที่จะทำการถาม code ด้วย ซึ่งต้องดูจากด้านหลังบัตรหรือด้านหน้าบัตร

3. PIN/PIN Block

สำหรับข้อสงสัยที่ว่าบริษัทหรือกิจการของท่านผู้อ่านจำเป็นต้องผ่านหรือได้รับการรับรองมาตรฐาน PCI DSS หรือไม่นั้น ผมจะขอเล่าให้ฟังในบทความตอนต่อไปครับ