PCI DSS v4.0.1

ทดสอบเจาะระบบตาม PCI DSS ผ่านเกณฑ์ได้อย่างมั่นใจ

PCI DSS v4.0.1 บังคับให้ทำ Penetration Testing ปีละครั้ง (Req 11.4) และสแกนช่องโหว่ทุกไตรมาสผ่าน ASV (Req 11.3) เราดูแลให้ครบทั้งสองข้อ พร้อมรายงานที่ QSA ยอมรับได้ทันที

Req 11.4

Penetration Testing

ปีละครั้ง + หลังเปลี่ยนแปลง

Req 11.3

Vulnerability Scanning

ทุกไตรมาส ภายใน & ASV

v4.0.1

เวอร์ชันล่าสุด

ประกาศ มิ.ย. 2024

ข้อกำหนด

6 เป้าหมาย 12 ข้อกำหนด

ขอรับการประเมิน PCI DSS

PCI DSS คืออะไร?

PCI DSS เป็นมาตรฐานความปลอดภัยระดับโลกสำหรับทุกองค์กรที่เกี่ยวข้องกับข้อมูลบัตรชำระเงิน กำกับดูแลโดย PCI SSC ซึ่งก่อตั้งโดย Visa, Mastercard, American Express, Discover และ JCB กำหนดแนวทางการจัดเก็บ ประมวลผล และส่งต่อข้อมูลบัตรอย่างปลอดภัย

กำกับดูแลโดย PCI SSC ซึ่งก่อตั้งโดย 5 แบรนด์บัตรชำระเงินหลักของโลก
เวอร์ชันล่าสุดคือ v4.0.1 (มิ.ย. 2024) ข้อกำหนดหลักของ v4.0 บังคับใช้ตั้งแต่ 31 มี.ค. 2024 (เมื่อ v3.2.1 ถูกยกเลิก) และข้อกำหนด future-dated (เช่น MFA ขั้นสูง, anti-phishing, WAF) บังคับใช้ตั้งแต่ 31 มี.ค. 2025 ปัจจุบันข้อกำหนดทั้งหมดมีผลบังคับใช้แล้ว
มี 12 ข้อกำหนดภายใต้ 6 เป้าหมายด้านความปลอดภัย
ใช้บังคับทั่วโลก ไม่จำกัดขนาดธุรกิจหรือจำนวนธุรกรรม
ตรวจสอบ Compliance ได้ผ่าน SAQs หรือ On-site Audit โดย QSA

อ้างอิง: PCI SSC - https://www.pcisecuritystandards.org/standards/pci-dss/

ใครบ้างที่ต้องทำตาม PCI DSS?

องค์กรใดก็ตามที่เก็บ ประมวลผล หรือส่งต่อข้อมูลบัตรชำระเงิน ต้องปฏิบัติตาม PCI DSS ทั้งหมด แบ่งเป็น 4 ระดับตามปริมาณธุรกรรม

ร้านค้า (Merchants)

ร้านค้าปลีก ร้านอาหาร โรงแรม หรือธุรกิจใดก็ตามที่รับบัตรทั้งหน้าร้านและออนไลน์

ธุรกิจ E-Commerce

ร้านค้าออนไลน์และแพลตฟอร์มที่รับชำระบัตรผ่าน Payment Gateway

สถาบันการเงิน

ธนาคาร Acquiring Bank และผู้ออกบัตรที่ต้องจัดการข้อมูลผู้ถือบัตร

ผู้ให้บริการชำระเงิน

Payment Processor, Payment Gateway และ Payment Service Provider ที่ดูแลธุรกรรมบัตร

Service Providers

ผู้ให้บริการ Hosting, Managed Security หรือองค์กรใดที่เข้าถึง Cardholder Data Environment (CDE)

ทุกองค์กรที่แตะข้อมูลบัตร

ใครก็ตามที่เก็บ ประมวลผล หรือส่งต่อหมายเลขบัตร (PAN) หรือข้อมูล Authentication ที่สำคัญ

การทดสอบความปลอดภัย

ข้อกำหนดด้าน Security Testing ที่สำคัญ

PCI DSS v4.0.1 ระบุชัดเจนว่าต้องทดสอบอะไรบ้าง ตั้งแต่ Pentest ประจำปี สแกนรายไตรมาส ไปจนถึง Secure Coding นี่คือข้อกำหนดที่ต้องรู้

Req 11.4

Penetration Testing

ต้องทำ Pentest ทั้ง External และ Internal อย่างน้อยปีละครั้ง และทุกครั้งหลังเปลี่ยนแปลงระบบสำคัญ ครอบคลุม CDE ทั้งหมดรวมถึง Network Segmentation ตาม Methodology มาตรฐาน เช่น NIST SP 800-115 หรือ OWASP

Req 11.3

Vulnerability Scanning

สแกนช่องโหว่ภายนอกโดย ASV ทุกไตรมาส สแกนภายในทุกไตรมาสเช่นกัน v4.0 เพิ่มข้อกำหนดให้สแกนภายในแบบ Authenticated เพื่อจับ Misconfiguration ได้ลึกขึ้น

Req 6.2

Secure Software Development

ซอฟต์แวร์ที่พัฒนาเองต้องผ่าน Code Review ก่อนขึ้น Production โดยเฉพาะช่องโหว่ OWASP Top 10 Developer ต้องเข้า Training เรื่อง Secure Coding อย่างน้อยปีละครั้ง

Req 5

Malware Protection

ติดตั้งและดูแลระบบป้องกัน Malware บนทุกระบบที่มีความเสี่ยง พร้อม Monitor อย่างต่อเนื่อง

Req 1

Network Security Controls

ต้องมี Firewall และ Network Segmentation ที่แยก CDE ออกจาก Untrusted Network อย่างชัดเจน

Req 8

Access Control & Authentication

ทุกการเข้าถึง CDE ต้องผ่าน Multi-Factor Authentication (MFA) พร้อมระบุตัวตนผู้ใช้อย่างชัดเจน

ไม่ทำตาม PCI DSS แล้วจะเป็นอย่างไร

Card Brand และ Acquiring Bank บังคับใช้ PCI DSS อย่างจริงจัง ผลกระทบทั้งด้านการเงินและการดำเนินงานมาเร็วกว่าที่คิด

ค่าปรับรายเดือน

บทลงโทษจาก Card Brand

Card Brand ปรับ Acquiring Bank ได้ $5,000 - $100,000/เดือน แล้วส่งต่อมาที่ร้านค้า ยิ่งปล่อยนานค่าปรับยิ่งเพิ่ม

ถูกตัดสิทธิ์รับบัตร

ผลกระทบต่อธุรกิจ

อาจโดนระงับสิทธิ์รับชำระบัตรทั้งหมด สำหรับธุรกิจที่พึ่งพาบัตรเป็นหลัก นี่คือวิกฤตที่ทำให้ธุรกิจหยุดชะงัก จะกลับมารับบัตรได้ต้องผ่าน Compliance เต็มรูปแบบ

รับผิดจาก Data Breach

ความเสี่ยงทางการเงิน

ถ้าเกิด Breach ตอนที่ยังไม่ Compliant ต้องแบกรับค่า Forensic Investigation ค่าออกบัตรใหม่ ค่าเสียหายจากการฉ้อโกง และอาจถูกฟ้องจากผู้ถือบัตรและธนาคาร

Penetration Testing ช่วยเรื่อง PCI DSS ตรงไหนบ้าง

Pentest แต่ละประเภทตอบโจทย์ข้อกำหนด PCI DSS คนละข้อ ช่วยให้มั่นใจว่า CDE ของคุณปลอดภัยจริง

Network Penetration Testing

ทดสอบ Network Segmentation และ Firewall ที่แยก CDE ออกจากเครือข่ายอื่น (Req 1, 11.4)

Web Application Penetration Testing

ทดสอบ Payment Portal, E-Commerce Platform และเว็บแอปที่จัดการข้อมูลบัตร (Req 6.2, 11.4)

Vulnerability Assessment

สแกนหาช่องโหว่อย่างเป็นระบบทั่วทั้ง CDE ตอบข้อกำหนดสแกนรายไตรมาส (Req 11.3)

Cloud Penetration Testing

ทดสอบระบบชำระเงินบน Cloud ตรวจสอบ Segmentation และ Access Controls (Req 1, 11.4)

รายการตรวจสอบ

Checklist สำหรับ PCI DSS Compliance

สิ่งที่ต้องทำด้าน Security Testing เพื่อให้ผ่านเกณฑ์ PCI DSS

ทำ Penetration Testing ปีละครั้งสำหรับ CDE ทั้งหมด (Req 11.4)

ทำ Pentest เพิ่มทุกครั้งหลังเปลี่ยนแปลง Infrastructure หรือ Application ที่สำคัญ

สแกนช่องโหว่ภายนอกทุกไตรมาสโดย ASV (Req 11.3)

สแกนช่องโหว่ภายในทุกไตรมาสแบบ Authenticated พร้อมแก้ไขรายการ High Risk

ทดสอบ Network Segmentation ที่แยก CDE (ร้านค้า: ปีละครั้ง, Service Provider: ทุก 6 เดือน)

ตรวจสอบว่าแอปชำระเงินที่พัฒนาเองผ่าน Secure Development Practices (Req 6.2)

ยืนยันว่าทุกการเข้าถึง CDE ใช้ MFA (Req 8)

ทดสอบ Firewall และ Network Security Controls ที่ปกป้อง CDE (Req 1)

จัดทำเอกสารผลการทดสอบและหลักฐานการแก้ไขพร้อมส่ง QSA

มี Vulnerability Management Program พร้อมกำหนดเวลาแก้ไขชัดเจน

ซ้อม Incident Response สำหรับกรณี Cardholder Data Breach

ทบทวน Security Policy อย่างน้อยปีละครั้ง

เอกสารอ้างอิง

อ่านรายละเอียดมาตรฐาน PCI DSS ฉบับเต็มจากแหล่งข้อมูลทางการ

ภาพรวม PCI DSS v4.0.1 PCI DSS v4.0.1 Quick Reference Guide (PDF)PCI DSS v4.0.1 Document Library รายชื่อ Approved Scanning Vendors (ASV)

บริการที่เกี่ยวข้อง

ทดสอบครบทุกด้านที่ PCI DSS กำหนด สำหรับ Cardholder Data Environment ของคุณ

กลับไปหน้า Compliance ทั้งหมด

คำถามที่พบบ่อยเรื่อง PCI DSS

รวมคำตอบเรื่อง Penetration Testing และ Security Requirements สำหรับ PCI DSS Compliance

พร้อมผ่านเกณฑ์ PCI DSS แล้วหรือยัง?

Penetration Testing และ Vulnerability Scanning ตาม PCI DSS v4.0.1 พร้อมรายงานที่ QSA ยอมรับได้ทันที

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด

ทดสอบเจาะระบบตาม PCI DSS ผ่านเกณฑ์ได้อย่างมั่นใจ

PCI DSS คืออะไร?

ใครบ้างที่ต้องทำตาม PCI DSS?

ร้านค้า (Merchants)

ธุรกิจ E-Commerce

สถาบันการเงิน

ผู้ให้บริการชำระเงิน

Service Providers

ทุกองค์กรที่แตะข้อมูลบัตร

ข้อกำหนดด้าน Security Testing ที่สำคัญ

Penetration Testing

Vulnerability Scanning

Secure Software Development

Malware Protection

Network Security Controls

Access Control & Authentication

ไม่ทำตาม PCI DSS แล้วจะเป็นอย่างไร

Penetration Testing ช่วยเรื่อง PCI DSS ตรงไหนบ้าง

Network Penetration Testing

Web Application Penetration Testing

Vulnerability Assessment

Cloud Penetration Testing

Checklist สำหรับ PCI DSS Compliance

เอกสารอ้างอิง

บริการที่เกี่ยวข้อง

Network Penetration Testing

Web Application Penetration Testing

Vulnerability Assessment

คำถามที่พบบ่อยเรื่อง PCI DSS

PCI DSS ข้อไหนเกี่ยวกับ Penetration Testing บ้าง?

PCI DSS กำหนดให้ทำ Pentest บ่อยแค่ไหน?

ASV คืออะไร จำเป็นต้องใช้ไหม?

ไม่ทำตาม PCI DSS จะโดนอะไรบ้าง?

ธุรกิจในไทยต้องทำตาม PCI DSS ด้วยหรือเปล่า?

พร้อมผ่านเกณฑ์ PCI DSS แล้วหรือยัง?