PCI DSS ตอนที่ 1 — Introduction

Payment Card Industry Data Security Standard หรือ PCI DSS เป็นมาตรฐาน Payment Card Security Standard เริ่มขึ้นในปี 2006 โดยกลุ่มบริษัทยักใหญ่ด้าน credit card 5 บริษัทประกอบไปด้วย Visa Inc., MasterCard Worldwide, JCB International, Discover Financial Services และ American Express
ก่อนหน้าที่จะมี PCI DSS บริษัทบัตรเครดิตแต่ละเจ้าต่างก็มีมาตรฐานเป็นของตัวเอง การบังคับใช้ก็แตกต่างกัน บางเจ้าอาจจะบังคับให้ปฏิบัติตาม บางเจ้าอาจจะบอกว่าเป็น best practice จะทำหรือไม่ทำตามก็ได้ ปัญหาเรื่อง data breach ของ card ในแต่ละปีจึงมีมูลค่าความเสียหายค่อนข้างสูง
ในปี 2006 Payment Card Industry Security Standard Council–PCI SSC ถูกก่อตั้งขึ้นโดยกลุ่มบริษัทที่กล่าวถึง เพื่อทำการ set มาตรฐานด้าน Payment Card Security ให้เป็นมาตรฐานเดียวกัน และสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพในชื่อ PCI DSS
เนื้อหาของ PCI DSS
ปัจจุบัน PCI DSS ที่ใช้งานกันอยู่เป็น version 2.0 ประกอบไปด้วย 6 categories, 12 high level requirements

PCI DSS
หัวใจสำคัญของ PCI DSS จะ focus ไปที่เรื่องของ Account Data เป็นหลัก ถ้าหากระบบมีการ process, transmit หรือ store ข้อมูล Card Holder Data หรือ Sensitive Authentication Data จะถือว่าเข้าข่ายที่จะต้องบังคับใช้ PCI DSS
Card Holder Data ประกอบไปด้วย
- PAN(Personal Account Number) เป็นเลข 16-digit
- Card Holder Name ชื่อเข้าของบัตร
- Service Code สำหรับควบคุมการทำงานของ Card Machine Response
- Expiration Date แสดงเวลาที่บัตรจะหมดอายุ
ส่วน Sensitive Authentication Data จะประกอบไปด้วย
- Full Magnetic Stripe Data ข้อมูลของแถบแม่เหล็กของบัตร หรือข้อมูลที่อยู่ใน chip ประเภท smartcard
- CVV2/CVC2/CAV2/CID คือ Card Security Code แต่ละเจ้าจะเรียกชื่อต่างกัน โดย Visa เรียก CVV2, MasterCard เรียก CVC2, JCB เรียก CAV2, และ AMEX หรือ American Express เรียก CID เจ้า Card Security Code มีไว้เพื่อใช้ตรวจสอบความเป็นเจ้าของบัตร เนื่องจากการทำธุรกรรม online หรือผ่าน call centre ระบบหรือเจ้าหน้าที่จะทำการถาม code ด้วย ซึ่งต้องดูจากด้านหลังบัตรหรือด้านหน้าบัตร
- PIN/PIN Block
สำหรับข้อสงสัยที่ว่าบริษัทหรือกิจการของท่านผู้อ่านจำเป็นต้องผ่านหรือได้รับการรับรองมาตรฐาน PCI DSS หรือไม่นั้น ผมจะขอเล่าให้ฟังในบทความตอนต่อไปครับ
OUR SERVICES
Get the help you need
Interested in our services or want to know more? Book a call through the website anytime — our team is happy to advise and answer all your questions.
Up Next

ARTICLES
Jun
26
2026
Security Hardening รากฐานความปลอดภัยของระบบ ที่ทุกคนควรใส่ใจ
ระบบปฏิบัติการ (OS) หรือ Server ที่ถูกติดตั้งมาในตอนแรก มักจะมีฟังก์ชันการทำงาน, Services หรือ Ports ต่าง ๆ เปิดทิ้งไว้เป็นค่าเริ่มต้นเพื่อความสะดวกในการใช้งาน กระบวนการทำ Security Hardening จึงเข้ามาจัดการอุดหรือแก้ไขปัญหาเหล่านี้ผ่านเทคนิคสำคัญ
READ MORE

ARTICLES
May
19
2025
มหาวิทยาลัยทักษิณ มุ่งสู่มหาวิทยาลัยปลอดภัยด้านไซเบอร์ – อินค็อกนิโตแล็บร่วมผลักดันสู่มาตรฐาน ISO/IEC 27001:2022 พร้อมเสริมทัพด้วย Cyber Drill, Pentest และ PDPA
บริษัท อินค็อกนิโตแล็บ จำกัด ขอแสดงความยินดีกับ มหาวิทยาลัยทักษิณ ที่เดินหน้าสู่การเป็นองค์กรต้นแบบด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ด้วยการขับเคลื่อนโครงการ พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 สำหรับศูนย์เทคโนโลยีดิจิทัล
READ MORE

ARTICLES
Mar
29
2025
บทเรียนจากแผ่นดินไหว สู่แผนรับมือด้วย ISO 22301
เหตุการณ์แผ่นดินไหวที่เมียนมาเมื่อวันที่ 28 มีนาคม 2025 ส่งผลกระทบต่อประเทศไทยอย่างชัดเจน ไม่ว่าจะเป็นอาคารสำนักงาน คอนโดที่พักอาศัย รวมถึงพื้นที่ธุรกิจหลายแห่งที่ต้องหยุดชะงักชั่วคราว สะท้อนให้เห็นถึงความสำคัญของการเตรียมความพร้อมเพื่อรับมือกับเหตุการณ์ที่ไม่คาดคิด
READ MORE

