By lew Founder on Tag: Shopify, PCI-DSS, Security
Shopify

Shopify ออกมาเตือนถึงความเปลี่ยนแปลงหนึ่งของมาตรฐาน PCI-DSS v4 ที่ออกมาตั้งแต่ปี 2022 แต่จะเริ่มบังคับ 31 มีนาคม 2025 นี้ โดยข้อ 6.4.3 บังคับเรื่องการโหลดสคริปต์บนเบราว์เซอร์ของผู้ใช้ต้องมีการตรวจสอบความถูกต้องเสมอ

ข้อบังคับนี้พยายามแก้ปัญหาการฝังสคริปต์เพื่อดูดหมายเลขบัตรเครดิต (digital skimming) ที่คนร้ายฝังสคริปต์ไว้ในเว็บร้านค้า เมื่อผู้ใชักรอกเลขบัตรลงในฟอร์มแล้วสคริปต์จะดูดหมายเลขส่งไปยังเซิร์ฟเวอร์ของตัวเอง

By lew Founder on Tag: PCI-DSS, Password, Security
PCI-DSS

มาตรฐาน PCI-DSS ออกเวอร์ชั่น 4.0 เมื่อต้นเดือนกรกฎาคมที่ผ่านมา มีความเปลี่ยนแปลงหลายอย่าง แต่ประเด็นหนึ่งที่สำคัญคือกระบวนการยืนยันตัวตนเข้าระบบที่ตอนนี้มาตรฐานไม่บังคับการเปลี่ยนรหัสผ่านทุก 90 วันแล้ว หากระบบมีการตรวจสอบความปลอดภัยเพิ่มเติม

By lew Founder on Tag: PCI-DSS, PayPal, Security
PCI-DSS

มาตรฐานความปลอดภัยสำหรับการประมวลผลบัตรเครดิต PCI-DSS พยายามบังคับให้เลิกใช้งาน SSL และ TLS รุ่นเก่ามาตั้งแต่ปี 2015 แต่เนื่องจากผู้ประกอบการจำนวนมากยังคงไม่พร้อม ทำให้ทาง PCI SSC ยอมเลื่อนกำหนดการไปสองปี และตอนนี้เส้นตายก็กำลังมาถึงในสัปดาห์นี้แล้ว

สำหรับผู้ใช้ทั่วไปคงไม่มีผลนักเพราะเบราว์เซอร์รุ่นใหม่รองรับการเข้ารหัสรุ่นใหม่ทั้งหมดแล้ว สำหรับเว็บอีคอมเมิร์ชทั้งหลายคงต้องอัพเกรดทั้งหน้าบ้านและหลังบ้าน เพราะตลอดเส้นทางการเชื่อมต่อ จะไม่สามารถใช้การเชื่อมต่อรุ่นเก่าได้ทั้งหมด

By lew Founder on Tag: PCI-DSS, Mobile Payment
PCI-DSS

PCI Security Standards Council (PCI SSC) หน่วยงานออกมาตรฐานความปลอดภัยสำหรับการประมวลผลบัตรเครดิตออกมาตรฐานใหม่ PCI Software-Based PIN Entry (PCI SPoC - ไม่แน่ใจว่าย่อมาอย่างไร) สำหรับการรับบัตรเครดิตที่และใส่ PIN เพื่อยืนยันการจ่ายเงินด้วยซอฟต์แวร์ ทำให้สามารถรับบัตรเครดิตบนแท็บเล็ตและใส่ PIN เพื่อการจ่ายบนหน้าจอแท็บเล็ตได้เลย จากเดิมที่ต้องมีเครื่องรับ PIN เฉพาะอยู่ภายนอก

PCI SPoC เปิดทางให้ร้านค้าสามารถจัดหาแท็บเล็ตหรือโทรศัพท์มือถือตามท้องตลาด (commercial off-the-shelf - COTS) มารับบัตรเครดิตได้ โดยอาศัยข้อกำหนดเพิ่มเติมอีกหลายอย่าง เช่น

By lew Founder on Tag: Hitachi, Thailand, PCI-DSS, Data Center
Hitachi

ศูนย์ข้อมูลของบริษัท ฮิตาชิ ซันเวย์ อินฟอร์เมชั่น ซิสเต็มส์ ได้รับการรับรองมาตรฐาน PCI-DSS แล้วอีกแห่ง ทำให้ตอนนี้ในไทยมีศูนย์ข้อมูลที่รองรับการประมวลข้อมูลบัตรเครดิตสองแห่งแล้ว

ศูนย์ข้อมูลในไทยที่แถลงข่าวว่าได้รับรอง PCI-DSS ก่อนหน้านี้คือศูนย์ข้อมูล Nexcenter ของ NTT ในแง่เวลาอาจจะไม่แน่ชัดนักว่าจะถือว่าใครได้ก่อนกัน เพราะของทางฮิตาชิ ซันเวย์นั้นได้รับจากรายงานการตรวจสอบตั้งแต่เดือนมกราคมที่ผ่านมา แต่ในแง่ลูกค้าแล้วตอนนี้ถ้าใครต้องการให้บริการประมวลผลข้อมูลบัตรเครดิตก็จะมีทางเลือกสองทางแล้ว

By lew Founder on Tag: NTT, Data Center, PCI-DSS
NTT

เมื่อกลางเดือนที่ผ่านมา บริษัท NTT Communications ประเทศไทยประกาศความสำเร็จในการขอรับรองความปลอดภัยศูนย์ข้อมูลตามมาตรฐาน PCI-DSS เป็นศูนย์ข้อมูลแรกในประเทศไทย นับเป็นก้าวสำคัญของวงการไอทีในไทยที่จะมีศูนย์ข้อมูลความปลอดภัยสูงพร้อมสำหรับการประมวลผลบัตรเครดิตในไทย

By lew Founder on Tag: NTT, PCI-DSS, Security
NTT

NTT Communications ประเทศไทยได้รับการรับรองมาตรฐาน PCI-DSS 3.2 สำหรับศูนย์ข้อมูล Bangkok 2 Data Center (Nexcenter) ของบริษัทตั้งแต่วันที่ 1 มิถุนายนที่ผ่านมา นับเป็นศูนย์ข้อมูลแรกในประเทศไทยที่ได้รับมาตรฐานนี้

ศูนย์ข้อมูล Nexcenter เป็นศูนย์ข้อมูลขนาด 10,000 ตารางเมตร ความจุ 1,500 ตู้ ระบบไฟฟ้า dual-path พร้อมไฟสำรอง 100% และระบบปรับอากาศสำรอง N+1

By lew Founder on Tag: Omise, Thailand, FinTech, PCI-DSS, Security
Omise

Omise บริการ payment gateway ที่ผ่านการรับรอง PCI-DSS 3.0 มาตั้งแต่ปี 2014 ผ่านมาสองปีทางบริษัทก็ระบุว่าผ่านการรับรอง PCI-DSS 3.2 เรียบร้อยแล้ว พร้อมระบุว่าเป็นบริษัทแรกในไทยที่ผ่านการรับรองมาตรฐานรุ่นล่าสุดนี้ ทั้งการจัดเก็บ, การประมวลผล, และการส่งข้อมูลบัตร

มาตรฐานความปลอดภัย PCI-DSS 3.2 เพิ่มความเข้มงวดในการเข้าถึงระบบเพิ่มเติม และต้องรายงานกระบวนการย้ายออกจาก SSL และ TLS รุ่นเก่าหากยังมีการใช้งานอยู่

By lew Founder on Tag: PCI-DSS, Security, Information Security
PCI-DSS

มาตรฐาน PCI-DSS ที่ระบุมาตรการความปลอดภัยของผู้ให้บริการรับจ่ายเงินออกรุ่น 3.2 มาตั้งแต่เดือนเมษายน ตอนนี้มาตรฐาน PA-DSS สำหรับผู้พัฒนาซอฟต์แวร์ (software vendor) ก็ถูกปรับขึ้นมาแล้วโดยปรับมาตรฐานหลายส่วนให้ตรงกับ PCI-DSS รุ่นล่าสุด

By lew Founder on Tag: Open Standard, Security, PCI-DSS, Information Security
Open Standard

มาตรฐานความปลอดภัย PCI DSS ออกเวอร์ชั่น 3.2 โดยความเปลี่ยนแปลงสำคัญคือการเพิ่มเงื่อนไขการล็อกอินด้วยการยืนยันตัวตนสองขั้นตอน

ก่อนหน้านี้เงื่อนไขการยืนยันตัวตนสองขั้นตอนจะจำเป็นต่อเมื่อผู้ดูแลระบบจะล็อกอินเข้าจากภายนอกที่อยู่นอกพื้นที่ที่เชื่อถือได้เท่านั้น แต่หลังจากนี้แม้จะเป็นการล็อกอินจากในเน็ตเวิร์คบริษัทก็ต้องเข้าเงื่อนไขเดียวกัน

สำหรับประเด็นการใช้งาน SSL และ TLS รุ่นเก่าที่มีช่องโหว่ยังคงให้เวลาไปอีกสองปีจนถึงกลางปี 2018 โดย PCI DSS มีส่วนที่ให้รายงานถึงกระบวนย้ายออกจากการเชื่อมต่อที่ไม่ปลอดภัยเช่นนี้ว่าก้าวหน้าไปเพียงใด

By lew Founder on Tag: Security, PCI-DSS
Security

PCI SSC หน่วยงานผู้ออกมาตรฐานความปลอดภัย PCI DSS ประกาศเลื่อนการบังคับให้หน่วยงานที่ได้รับรองเลิกใช้ SSL ทุกรุ่น และ TLS 1.0 แล้วหันไปใช้ TLS 1.1 ไปอีกสองปี จากเดิมกำหนดเส้นตายไว้เดือนมิถุนายน 2016 เป็นเดือนมิถุนายน 2018

ทาง PCI SSC ระบุว่าได้รับเสียงแสดงความเห็นจากอุตสาหกรรม ระบุว่าระยะเวลาเปลี่ยนเทคโนโลยีน้อยเกินไปเพราะบริการบางรายเชื่อมต่อกับลูกค้านับพันราย และยังมีประเด็นการปรับเปลี่ยนใบรับรองให้เลิกใช้ใบรับรอง SHA-1 ภาระของผู้ให้บริการรับจ่ายเงินจึงมากอยู่แล้ว

By lew Founder on Tag: Security, PCI-DSS
Security

Payment Card Industry Security Standards Council หรือที่เราเรียกกันว่า PCI หน่วยงานวางมาตรฐานความปลอดภัยสำหรับหน่วยงานที่รับจ่ายเงินผ่านบัตรเครดิตเตรียมหาทางให้ธุรกิจขนาดเล็กปรับมาตรฐาน PCI-DSS ให้หน่วยงานเหล่านี้เข้าถึงได้ง่ายขึ้น

ทุกวันนี้มีเว็บจำนวนมากที่ไม่ได้อยู่ภายใต้มาตรฐาน PCI-DSS แต่ยังสามารถให้บริการรับจ่ายเงินผ่านบัตรเครดิตได้ แต่อยู่ในกลุ่ม non-compliance ที่อาจจะถูกปรับรายเดือน หรือเสี่ยงต่อการถูกยกเลิกการให้บริการ

By lew Founder on Tag: Security, Information Security, PCI-DSS
Security

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

By lew Founder on Tag: Security, Information Security, PCI-DSS
Security

มาตรฐานการดูแลข้อมูลการจ่ายเงิน PCI DSS (Payment Card Industry Data Security Standard) เป็นมาตรฐานการเก็บรักษาข้อมูลให้ปลอดภัยที่บริษัทบัตรเครดิตอย่าง Visa และ Mastercard บังคับใช้กับผู้ให้บริการและร้านค้าจำนวนมาก โดยปัจจุบันเราใช้งานเวอร์ชั่น 2.0 อยู่และตามรอบสามปีของมาตรฐานแต่ละรุ่น ปีใหม่นี้มาตรฐาน PCI DSS 3.0 (PDF) ก็จะเริ่มใช้งานแทนโดยมีการปรับเปลี่ยนหลายอย่าง

Subscribe to PCI-DSS