เมื่อกลางเดือนที่ผ่านมา บริษัท NTT Communications ประเทศไทยประกาศความสำเร็จในการขอรับรองความปลอดภัยศูนย์ข้อมูลตามมาตรฐาน PCI-DSS เป็นศูนย์ข้อมูลแรกในประเทศไทย นับเป็นก้าวสำคัญของวงการไอทีในไทยที่จะมีศูนย์ข้อมูลความปลอดภัยสูงพร้อมสำหรับการประมวลผลบัตรเครดิตในไทย

มาตรฐาน PCI-DSS นับเป็นมาตรฐานความปลอดภัยที่ตรวจสอบอย่างเข้มงวด มีเงื่อนไขใหญ่น้อยจำนวนมาก ลำพังการปรับทั้งระดับระบบปฎิบัติการและระดับแอปพลิเคชั่นก็มีความซับซ้อนสูง เช่นการอัพเดต PCI-DSS 3.2 บังคับให้แอดมินต้องล็อกอินสองขั้นตอน, หรือ PCI-DSS 3.1 ที่ยกเลิกการเข้ารหัสบางรูปแบบ บังคับให้บริการต่างๆ ต้องอัพเดตตามรอบ แต่สิ่งที่ผู้ให้บริการหลายรายไม่สามารถทำตามมาตรฐาน PCI-DSS ได้ครบคือการปรับปรุงศูนย์ข้อมูลที่ต้องจำกัดการเข้าถึงตัวเซิร์ฟเวอร์อย่างเข้มงวด

ในโอกาสที่ทาง NTT ได้รับรองรับ PCI-DSS 3.2 ทาง Blognone ก็ติดต่อขอสัมภาษณ์คุณสุทธิพัฒน์ ลือประเสริฐ ประธานเจ้าหน้าที่บริหารเทคโนโลยี บริษัท ดิจิทอล พอร์ท เอเชีย จากัด (ในกลุ่มบริษัท เอ็นทีที คอมมิวนิเคชั่นส์ คอร์ปอร์เรชั่น) ถึงประสบการณ์การปรับปรุงศูนย์ข้อมูลจนได้รับรอง PCI-DSS ในครั้งนี้

ทำไม NTT จึงเลือกขอรับรองมาตรฐาน PCI-DSS มีลูกค้าร้องขอมาก่อนหรือไม่

NTT มีแนวทางที่จะปรับปรุงมาตรฐานความปลอดภัยในศูนย์ข้อมูลอย่างต่อเนื่องอยู่แล้ว การปรับปรุงครั้งนี้ก็เป็นส่วนหนึ่งของการสร้างความเชื่อมั่นให้กับลูกค้าปัจจุบันหรือผู้สนใจที่จะมาใช้งานในอนาคตว่าจะได้รับมาตรฐานบริการดีที่สุด

ก่อนหน้านี้ศูนย์ข้อมูลได้รับการรับรองอะไรมาก่อนแล้วบ้าง

ในด้านความปลอดภัยข้อมูลเราได้รับรอง ISO27001 มาก่อนแล้ว ตัวศูนย์ข้อมูลในแบรนด์ Nexcenter ของ NTT เองมีมาตรฐานกลาง Nexcenter standard ของตัวเอง ที่ครอบคลุมทุกด้าน ตั้งแต่การปฎิบัติงาน (operation management), การจัดการเหตุการณ์ (incident management), การจัดการปัญหา (problem management), การจัดการลูกค้า (customer management), รวมถึงการจัดการความมั่นคงปลอดภัย (security management)

มาตรฐาน PCI-DSS แตกต่างจากมาตรฐานที่เคยได้และทำงานกันมาอย่างไร

มาตรฐาน PCI-DSS เน้นเฉพาะการจัดการด้านความมั่นคงปลอดภัยเป็นหลักเมื่อมองโดยภาพรวมแล้วการปฎิบัติงานก็ไม่ได้ต่างจากเดิมมากนัก โดยเฉพาะมาตรฐาน Nexcenter ของเราเองก็รัดกุมอยู่แล้ว

ตอนนี้ศูนย์ข้อมูลของ NTT มีจำนวนเท่าใด และได้รับ PCI-DSS ไปแล้วจำนวนเท่าใด

ศูนย์ข้อมูลของ NTT มีทั้งหมด 140 ศูนย์ ได้รับรอง PCI-DSS ไปแล้ว 42 ศูนย์ และอยู่ระหว่างการขอรับรองอีก 5 ศูนย์ และยังมีแผนการขอรับรองเพิ่มขึ้นเรื่อยๆ ในอนาคต

กระบวนการขอรับรองใช้เวลานานแค่ไหน มีความยุ่งยากอย่างไร

เราใช้เวลาขอรับรองรวม 6 เดือน ที่ใช้เวลาไม่มากเพราะมาตรฐาน Nexcenter ของเราเองก็ค่อนข้างครบถ้วน และทีมงานจากศูนย์ข้อมูลอื่นๆ ที่เคยได้รับรองก็ให้คำแนะนำกันเข้ามา

ลูกค้าที่ต้องการใช้บริการส่วนที่ได้รับรอง PCI-DSS มีค่าใช้จ่ายเพิ่มเติมหรือไม่

การรับรองครั้งนี้เป็นการรับรองทั้งศูนย์ข้อมูล ลูกค้าที่ใช้ในศูนย์ข้อมูล Nexcenter จะได้รับบริการเท่ากันทั้งหมด โดยไม่มีค่าใช้จ่ายเพิ่มเติม

เมื่อศูนย์ข้อมูลได้รับ PCI-DSS ฝั่งลูกค้ามีอะไรต่างไปจากเดิมบ้าง กระบวนการเข้าศูนย์ข้อมูลยุ่งยากขึ้นหรือไม่

โดยตัวมาตรฐาน Nexcenter ของเราเองก็มีกระบวนการเข้าถึงที่รัดกุมอยู่แล้ว โดยตอนนี้มีขั้นตอนถึง 8 ลำดับขั้น แต่หลังจากได้รับ PCI-DSS มีการเพิ่มเรื่องการตรวจสอบยืนยันเอกลักษณ์บุคคล การยืนยันสิทธิ์การเข้าถึงข้อมูลและการเก็บรักษาข้อมูลความลับต่างๆ ที่เข้มงวดมากขึ้น