content-image
ARTICLES | 01 March 2021

PCI DSS ตอนที่ 1 — Introduction

author-image

Incognito Lab

Payment Card Industry Data Security Standard หรือ PCI DSS เป็นมาตรฐาน Payment Card Security Standard เริ่มขึ้นในปี 2006 โดยกลุ่มบริษัทยักใหญ่ด้าน credit card 5 บริษัทประกอบไปด้วย Visa Inc., MasterCard Worldwide, JCB International, Discover Financial Services และ American Express

ก่อนหน้าที่จะมี PCI DSS บริษัทบัตรเครดิตแต่ละเจ้าต่างก็มีมาตรฐานเป็นของตัวเอง การบังคับใช้ก็แตกต่างกัน บางเจ้าอาจจะบังคับให้ปฏิบัติตาม บางเจ้าอาจจะบอกว่าเป็น best practice จะทำหรือไม่ทำตามก็ได้ ปัญหาเรื่อง data breach ของ card ในแต่ละปีจึงมีมูลค่าความเสียหายค่อนข้างสูง

ในปี 2006 Payment Card Industry Security Standard Council–PCI SSC ถูกก่อตั้งขึ้นโดยกลุ่มบริษัทที่กล่าวถึง เพื่อทำการ set มาตรฐานด้าน Payment Card Security ให้เป็นมาตรฐานเดียวกัน และสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพในชื่อ PCI DSS

เนื้อหาของ PCI DSS

ปัจจุบัน PCI DSS ที่ใช้งานกันอยู่เป็น version 2.0 ประกอบไปด้วย 6 categories, 12 high level requirements

PCI DSS

PCI DSS

หัวใจสำคัญของ PCI DSS จะ focus ไปที่เรื่องของ Account Data เป็นหลัก ถ้าหากระบบมีการ process, transmit หรือ store ข้อมูล Card Holder Data หรือ Sensitive Authentication Data จะถือว่าเข้าข่ายที่จะต้องบังคับใช้ PCI DSS

Card Holder Data ประกอบไปด้วย

  1. PAN(Personal Account Number) เป็นเลข 16-digit
  2. Card Holder Name ชื่อเข้าของบัตร
  3. Service Code สำหรับควบคุมการทำงานของ Card Machine Response
  4. Expiration Date แสดงเวลาที่บัตรจะหมดอายุ

ส่วน Sensitive Authentication Data จะประกอบไปด้วย

  1. Full Magnetic Stripe Data ข้อมูลของแถบแม่เหล็กของบัตร หรือข้อมูลที่อยู่ใน chip ประเภท smartcard
  2. CVV2/CVC2/CAV2/CID คือ Card Security Code แต่ละเจ้าจะเรียกชื่อต่างกัน โดย Visa เรียก CVV2, MasterCard เรียก CVC2, JCB เรียก CAV2, และ AMEX หรือ American Express เรียก CID เจ้า Card Security Code มีไว้เพื่อใช้ตรวจสอบความเป็นเจ้าของบัตร เนื่องจากการทำธุรกรรม online หรือผ่าน call centre ระบบหรือเจ้าหน้าที่จะทำการถาม code ด้วย ซึ่งต้องดูจากด้านหลังบัตรหรือด้านหน้าบัตร
  3. PIN/PIN Block

สำหรับข้อสงสัยที่ว่าบริษัทหรือกิจการของท่านผู้อ่านจำเป็นต้องผ่านหรือได้รับการรับรองมาตรฐาน PCI DSS หรือไม่นั้น ผมจะขอเล่าให้ฟังในบทความตอนต่อไปครับ

logologo

INCOGNITO LAB CO., LTD.

38 Soi Petchakasem 30, Petchakasem Road, Pak Khlong Phasi Charoen, Phasi Charoen, Bangkok 10160

©2025 Incognito Lab Co., Ltd. All rights reserved

Terms & Conditions Privacy Policy