PCI DSS ตอนที่ 1 — Introduction
Incognito Lab
Payment Card Industry Data Security Standard หรือ PCI DSS เป็นมาตรฐาน Payment Card Security Standard เริ่มขึ้นในปี 2006 โดยกลุ่มบริษัทยักใหญ่ด้าน credit card 5 บริษัทประกอบไปด้วย Visa Inc., MasterCard Worldwide, JCB International, Discover Financial Services และ American Express
ก่อนหน้าที่จะมี PCI DSS บริษัทบัตรเครดิตแต่ละเจ้าต่างก็มีมาตรฐานเป็นของตัวเอง การบังคับใช้ก็แตกต่างกัน บางเจ้าอาจจะบังคับให้ปฏิบัติตาม บางเจ้าอาจจะบอกว่าเป็น best practice จะทำหรือไม่ทำตามก็ได้ ปัญหาเรื่อง data breach ของ card ในแต่ละปีจึงมีมูลค่าความเสียหายค่อนข้างสูง
ในปี 2006 Payment Card Industry Security Standard Council–PCI SSC ถูกก่อตั้งขึ้นโดยกลุ่มบริษัทที่กล่าวถึง เพื่อทำการ set มาตรฐานด้าน Payment Card Security ให้เป็นมาตรฐานเดียวกัน และสามารถนำไปใช้งานได้อย่างมีประสิทธิภาพในชื่อ PCI DSS
เนื้อหาของ PCI DSS
ปัจจุบัน PCI DSS ที่ใช้งานกันอยู่เป็น version 2.0 ประกอบไปด้วย 6 categories, 12 high level requirements
PCI DSS
หัวใจสำคัญของ PCI DSS จะ focus ไปที่เรื่องของ Account Data เป็นหลัก ถ้าหากระบบมีการ process, transmit หรือ store ข้อมูล Card Holder Data หรือ Sensitive Authentication Data จะถือว่าเข้าข่ายที่จะต้องบังคับใช้ PCI DSS
Card Holder Data ประกอบไปด้วย
- PAN(Personal Account Number) เป็นเลข 16-digit
- Card Holder Name ชื่อเข้าของบัตร
- Service Code สำหรับควบคุมการทำงานของ Card Machine Response
- Expiration Date แสดงเวลาที่บัตรจะหมดอายุ
ส่วน Sensitive Authentication Data จะประกอบไปด้วย
- Full Magnetic Stripe Data ข้อมูลของแถบแม่เหล็กของบัตร หรือข้อมูลที่อยู่ใน chip ประเภท smartcard
- CVV2/CVC2/CAV2/CID คือ Card Security Code แต่ละเจ้าจะเรียกชื่อต่างกัน โดย Visa เรียก CVV2, MasterCard เรียก CVC2, JCB เรียก CAV2, และ AMEX หรือ American Express เรียก CID เจ้า Card Security Code มีไว้เพื่อใช้ตรวจสอบความเป็นเจ้าของบัตร เนื่องจากการทำธุรกรรม online หรือผ่าน call centre ระบบหรือเจ้าหน้าที่จะทำการถาม code ด้วย ซึ่งต้องดูจากด้านหลังบัตรหรือด้านหน้าบัตร
- PIN/PIN Block
สำหรับข้อสงสัยที่ว่าบริษัทหรือกิจการของท่านผู้อ่านจำเป็นต้องผ่านหรือได้รับการรับรองมาตรฐาน PCI DSS หรือไม่นั้น ผมจะขอเล่าให้ฟังในบทความตอนต่อไปครับ
Up Next
ARTICLES
Feb
25
2021
Incognito Mode EP1
สำหรับใน EP 1 นี้ได้คุณพรสุข มาบรรยายในหัวข้อ Thailand's Cyber
READ MORE
ARTICLES
Jan
27
2021
Difference between Single-stage Ransomware and Multi-stage Ransomware
องค์กรที่มีแผนรับมือ(Incident Response) กรณีการโจมตีของ Ransomware Attack ต้องเริ่มมาทบทวนแผนกันใหม่นะครับเนื่องจากรูปแบบการโจมตีของ attackers มีชั้นเชิงที่จะบีบบริษัทหรือองค์กรที่ตกเป็นเหยื่อมากยิ่งขึ้น
READ MORE
ARTICLES
Jan
27
2021
VA/Pentest Service FAQs
บทความนี้อยากทำให้ผู้อ่านได้เข้าใจถึง VA/Pentest Service ซึ่งเป็น Service หลักของ Incognito Lab
READ MORE
