ข่าวดารา

ธนาคารรัสเซียทุกแห่งผ่าน pci dss หรือไม่ กฎ Pentest: การตรวจสอบ PCI DSS

แบรนด์
23.04.2020

เกี่ยวกับมาตรฐาน

PCI DSS (มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน) - มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรม บัตรชำระเงินพัฒนาโดยสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (PCI SSC) ซึ่งก่อตั้งโดย Visa, MasterCard, American Express, JCB และ Discover

ข้อกำหนดของมาตรฐานนี้ใช้กับทุกบริษัทที่ทำงานร่วมกับต่างประเทศ ระบบการชำระเงิน: ธนาคาร องค์กรการค้าและบริการ ผู้ให้บริการเทคโนโลยี และองค์กรอื่น ๆ ที่มีกิจกรรมที่เกี่ยวข้องกับการประมวลผล การส่ง และจัดเก็บข้อมูลเกี่ยวกับผู้ถือบัตรชำระเงิน

PCI DSS - คู่มือความปลอดภัยที่ครอบคลุม

มาตรฐาน PCI DSS กำหนดข้อกำหนดด้านความปลอดภัยของส่วนประกอบโครงสร้างพื้นฐานซึ่งมีการส่ง ประมวลผล หรือจัดเก็บข้อมูลเกี่ยวกับบัตรชำระเงิน การตรวจสอบโครงสร้างพื้นฐานการชำระเงินเพื่อให้เป็นไปตามข้อกำหนดเหล่านี้เผยให้เห็นเหตุผลที่ลดระดับความปลอดภัยลงอย่างมาก การทดสอบการเจาะระบบซึ่งรวมอยู่ในรายการกิจกรรมบังคับที่ควบคุมโดยมาตรฐาน PCI DSS แสดงให้เห็นระดับความปลอดภัยที่แท้จริงของแหล่งข้อมูลข้อมูลของบริษัท ทั้งจากตำแหน่งของผู้โจมตีที่อยู่นอกขอบเขตที่กำลังศึกษา และจากตำแหน่งของ พนักงานบริษัทที่สามารถเข้าถึงได้ “จากภายใน”

สภา PCI DSS ได้กำหนดข้อกำหนดที่สำคัญสำหรับการจัดการการปกป้องข้อมูลในเอกสาร “มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)” ข้อกำหนดและขั้นตอนการประเมินความปลอดภัย เวอร์ชัน 3.0" ข้อกำหนดเหล่านี้ถูกจัดกลุ่มในลักษณะที่ทำให้ขั้นตอนการตรวจสอบความปลอดภัยง่ายขึ้น

ดาวน์โหลด PCI DSS ในภาษารัสเซีย

ข้อกำหนดและขั้นตอนการประเมินความปลอดภัยของ PCI DSS

สร้างและบำรุงรักษาเครือข่ายและระบบที่ปลอดภัย

  • ข้อกำหนดที่ 1: “สร้างและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลผู้ถือบัตร”
  • ข้อกำหนด 2 “อย่าใช้รหัสผ่านระบบและการตั้งค่าความปลอดภัยอื่น ๆ ที่ผู้ผลิตกำหนดไว้เป็นค่าเริ่มต้น”

ปกป้องข้อมูลผู้ถือบัตร

  • ข้อกำหนด 3 “ปกป้องข้อมูลผู้ถือบัตรที่เก็บไว้”
  • ข้อกำหนดที่ 4: “เข้ารหัสข้อมูลผู้ถือบัตรเมื่อส่งผ่านเครือข่ายสาธารณะ”

รักษาโปรแกรมการจัดการช่องโหว่

  • ข้อกำหนดที่ 5: “ปกป้องระบบทั้งหมดจากมัลแวร์และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจำ”
  • ข้อกำหนดที่ 6: “พัฒนาและบำรุงรักษาระบบและแอปพลิเคชันที่ปลอดภัย”

ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด

  • ข้อกำหนด 7. “จำกัดการเข้าถึงข้อมูลผู้ถือบัตรตามความต้องการทางธุรกิจ”
  • ข้อกำหนด 8: “ระบุและรับรองการเข้าถึงส่วนประกอบของระบบ”
  • ข้อกำหนด 9. “จำกัดการเข้าถึงข้อมูลผู้ถือบัตรทางกายภาพ”

ดำเนินการตรวจสอบและทดสอบเครือข่ายเป็นประจำ

  • ข้อกำหนด 10: “ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด”
  • ข้อกำหนด 11. “ทดสอบระบบและกระบวนการรักษาความปลอดภัยอย่างสม่ำเสมอ”

สนับสนุนนโยบาย ความปลอดภัยของข้อมูล

  • ข้อกำหนด 12. “รักษานโยบายความปลอดภัยของข้อมูลสำหรับพนักงานทุกคน”

“การติดตามผลในอนาคต” ช่วยให้ธนาคาร องค์กรการค้าและบริการ และผู้พัฒนาบริการทางการเงินเตรียมความพร้อมสำหรับการตรวจสอบการปฏิบัติตาม PCI DSS และให้การสนับสนุนจากผู้เชี่ยวชาญในการปฏิบัติตามข้อกำหนดของมาตรฐาน

มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน PCI DSS อธิบายข้อกำหนดด้านความปลอดภัยของข้อมูล และใช้ได้กับทุกองค์กรที่ประมวลผล จัดเก็บ และส่งข้อมูลเกี่ยวกับผู้ถือบัตรชำระเงิน Visa, MasterCard, JCB, Discover และ American Express องค์กรดังกล่าวรวมถึงธนาคาร ร้านค้าปลีก ระบบอีคอมเมิร์ซ ผู้ให้บริการโซลูชันการชำระเงิน ศูนย์ข้อมูล และอื่นๆ

รูปแบบการรับรองสำหรับองค์กรเฉพาะตามมาตรฐาน PCI DSS ขึ้นอยู่กับบทบาทในกระบวนการชำระเงินและจำนวนข้อมูลผู้ถือบัตรที่ประมวลผล ตัวอย่างเช่น ให้พิจารณาการรับรองของผู้ให้บริการ ซึ่งรวมถึงธนาคาร เกตเวย์การชำระเงิน และศูนย์ข้อมูล หากปริมาณข้อมูลบัตรที่ประมวลผลเกิน 300,000 ธุรกรรมต่อปี องค์กรดังกล่าวจะต้องผ่านการตรวจสอบการรับรอง QSA ประจำปี และทำการสแกน ASV อัตโนมัติของช่องโหว่ของเครือข่าย สำหรับธุรกรรมที่น้อยลง เพียงกรอกแบบสอบถามการประเมินตนเอง (SAQ) และทำการสแกน ASV

อย่างไรก็ตาม ไม่ว่าวิธีการยืนยันการปฏิบัติตามข้อกำหนดจะต้องเป็นไปตามข้อกำหนดของมาตรฐานหรือไม่ อย่างเต็มที่ในส่วนของเครือข่ายที่สงวนไว้สำหรับโครงสร้างพื้นฐานการชำระเงิน เพื่อแก้ไขปัญหานี้ เราขอเสนอชุดอุปกรณ์พิเศษ บริการให้คำปรึกษารวมกันโดยมีเป้าหมายในการใช้ PCI DSS ในองค์กรและการรับรองที่ตามมาตามมาตรฐานนี้

เพื่อนๆ เรากำลังขยายขอบเขตบริการที่เรามีให้ และเร็วๆ นี้จะเพิ่มความสามารถในการสั่งซื้อบริการสำหรับการสแกนไซต์เพื่อหาโค้ดที่เป็นอันตราย (การสแกน ASV) ลงในเว็บไซต์ของเรา ซึ่งจำเป็นโดยการรับรอง PCI DSS ในเรื่องนี้ เรากำลังเริ่มส่วนใหม่ของการเผยแพร่ที่เกี่ยวข้องกับมาตรฐานและข้อกำหนดด้านความปลอดภัยของข้อมูล ก่อนอื่น เราต้องการพูดคุยเกี่ยวกับการรับรอง PCI DSS การใช้การชำระเงินด้วยเครดิตและ บัตรเดบิตให้การถ่ายโอน การจัดเก็บ และการประมวลผลข้อมูลบัตรชำระเงินที่เป็นไปได้ ซึ่งจะเพิ่มความเสี่ยงของอาชญากรรมในโลกไซเบอร์ ในเรื่องนี้ MasterCard, Visa, American Express และระบบการชำระเงินอื่น ๆ กำหนดข้อกำหนดด้านความปลอดภัยบางประการสำหรับร้านค้าและผู้ให้บริการที่ทำงานกับข้อมูลบัตรชำระเงิน ข้อกำหนดเหล่านี้อธิบายไว้ในมาตรฐาน PCI DSS มาดูกันว่าการรับรอง PCI DSS คืออะไรและมีข้อกำหนดพื้นฐานใดบ้างที่คุณต้องรู้

PCI DSS คืออะไร

PCI DSSเป็นตัวย่อของ Payment Card Industry Data Security Standard ซึ่งหมายถึงมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน มาตรฐาน PCI DSS ได้รับการพัฒนาโดย PCI SSC (Payment Card Industry Security Standards Council) ซึ่งแปลเป็น Payment Card Industry Security Standards Council สมาชิกสภาผู้ก่อตั้ง PCI SSC - นานาชาติ ระบบการชำระเงิน Visa, MasterCard, American Express, JCB International และ Discover Financial Services – ตกลงที่จะยอมรับ มาตรฐานทั่วไปความปลอดภัยเป็นส่วนหนึ่ง ข้อกำหนดทางเทคนิคสำหรับโปรแกรมการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลแต่ละโปรแกรม นอกจากนี้สมาชิกผู้ก่อตั้งแต่ละคนรับทราบ คณะกรรมการตรวจสอบความปลอดภัยที่ผ่านการรับรองของคณะกรรมการ PCI SSC(ผู้ประเมินความปลอดภัยที่ผ่านการรับรอง QSA) และ ผู้ให้บริการสแกนที่ได้รับอนุมัติ(ผู้ขายการสแกนที่ได้รับอนุมัติ, ASV) หลังรวมถึงพันธมิตรของเราด้วย โคโมโดซึ่งมีใบอนุญาตให้บริการสแกน บริการสแกน PCI ของ HackerGuardianจะเปิดให้สั่งซื้อบนเว็บไซต์ของเราเร็วๆ นี้

ใครบ้างที่ต้องการการรับรอง PCI DSS

ทุกคนที่ทำงานกับบัตรชำระเงินหรือมีอิทธิพลต่อความปลอดภัยในทางใดทางหนึ่งควรดูแลความปลอดภัยของข้อมูลบัตรชำระเงิน และอาจรวมถึง:
  • บริษัทการค้าและบริการทุกขนาด
  • สถาบันการเงิน
  • ผู้จำหน่ายจุดขาย
  • ผู้ผลิต วิธีการทางเทคนิคกล่าวโดยย่อคือ คอมพิวเตอร์และซอฟต์แวร์ คือทุกคนที่สร้างและใช้โครงสร้างพื้นฐานระหว่างประเทศเพื่อประมวลผลการชำระเงิน

ดังนั้น ข้อกำหนดของมาตรฐาน PCI DSS จึงนำไปใช้กับทุกองค์กร โดยไม่คำนึงถึงขนาดหรือจำนวนธุรกรรม ที่รับ ส่ง ประมวลผลหรือจัดเก็บข้อมูลของผู้ถือครอง บัตรเครดิตหรือหากกระบวนการทางธุรกิจในองค์กรเหล่านี้อาจส่งผลกระทบต่อความปลอดภัยของบัตรชำระเงิน

ข้อกำหนด PCI DSS

การรับรอง PCI DSS แสดงถึงการปฏิบัติตามมาตรฐานซึ่งประกอบด้วยข้อกำหนดที่ครอบคลุม 12 ส่วนเพื่อรับรองความปลอดภัยของข้อมูลเกี่ยวกับผู้ถือบัตรชำระเงินที่ร้านค้าและผู้ให้บริการทำงานด้วย การปฏิบัติตามข้อกำหนดของมาตรฐาน PCI แสดงถึงการนำมาตรการรักษาความปลอดภัยมาใช้อย่างครอบคลุมในแต่ละขั้นตอนของการทำงานกับบัตรชำระเงิน ตั้งแต่การส่งข้อมูลไปจนถึงการจัดเก็บในฐานข้อมูลของบริษัท
ควบคุมวัตถุ ข้อกำหนด PCI DSS
การสร้างและการรักษาเครือข่ายที่ปลอดภัย 1. การติดตั้งและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตรชำระเงิน
2. หลีกเลี่ยงการใช้การตั้งค่าเริ่มต้นสำหรับระบบรหัสผ่านและการตั้งค่าความปลอดภัยอื่นๆ
การปกป้องข้อมูลของผู้ถือบัตรชำระเงิน 3. การคุ้มครองข้อมูลที่ได้รับของผู้ถือบัตรชำระเงิน
4. การเข้ารหัสการส่งข้อมูลของผู้ถือบัตรชำระเงินผ่านเครือข่ายสาธารณะแบบเปิด
การสนับสนุนโปรแกรมการจัดการช่องโหว่ 5. ใช้และอัปเดตซอฟต์แวร์ป้องกันไวรัสเป็นประจำในทุกระบบที่มักเสี่ยงต่อมัลแวร์
6. การพัฒนาและสนับสนุนระบบและแอปพลิเคชันที่ปลอดภัย
ใช้การควบคุมการเข้าถึงที่เข้มงวด 7. การจำกัดการเข้าถึงข้อมูลของผู้ถือบัตรชำระเงินตามความจำเป็นที่ต้องทราบ
8. การกำหนดหมายเลขประจำตัวที่ไม่ซ้ำกันให้กับบุคคลที่สามารถเข้าถึงคอมพิวเตอร์แต่ละราย
9. การจำกัดการเข้าถึงข้อมูลของผู้ถือบัตรชำระเงินทางกายภาพ
การตรวจสอบและทดสอบเครือข่ายเป็นประจำ 10. การติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของเจ้าของบัตรชำระเงิน
11. การทบทวนระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ
การสนับสนุนนโยบายความปลอดภัยของข้อมูล 12. นโยบายสนับสนุนที่เกี่ยวข้องกับความปลอดภัยของข้อมูล
คุณสามารถอ่านมาตรฐาน PCI DSS ที่เป็นปัจจุบันและสมบูรณ์ที่สุดได้บนเว็บไซต์อย่างเป็นทางการของสภามาตรฐานความปลอดภัยที่ลิงค์: https://ru.pcisecuritystandards.org

ระดับการรับรอง PCI DSS

การรับรอง PCI DSS กำหนด วิสาหกิจการค้าและบริการสี่ระดับและ ผู้ให้บริการสองระดับขึ้นอยู่กับจำนวนธุรกรรมที่ดำเนินการพร้อมการชำระเงิน บัตรวีซ่า(รวมถึงบัตรเครดิต บัตรเดบิต และบัตรเติมเงิน) นาน 12 เดือน

Visa กำหนดระดับของผู้ค้าดังต่อไปนี้:

ระดับ คำอธิบาย การรับรอง PCI DSS ประกอบด้วย:
4 องค์กรการค้าและบริการที่ประมวลผลธุรกรรมน้อยกว่า 20,000 รายการต่อปีในด้านการพาณิชย์อิเล็กทรอนิกส์ รวมถึงองค์กรการค้าและบริการอื่น ๆ ทั้งหมดที่ไม่อยู่ในรายชื่อในระดับอื่นที่ประมวลผลธุรกรรมมากถึง 1 ล้านรายการต่อปี โดยไม่คำนึงถึงช่องทางของพวกเขา ใบเสร็จ. ทุกปี: แนะนำให้กรอกแบบสอบถามการประเมินตนเองด้านความปลอดภัย (SAQ) รายไตรมาส: แนะนำให้สแกน ASV; ธนาคารผู้รับบัตรจะกำหนดข้อกำหนดในการปฏิบัติตามข้อกำหนด
3 องค์กรการค้าและบริการที่ประมวลผลธุรกรรมอีคอมเมิร์ซ 20,000 - 1 ล้านรายการต่อปี
2 องค์กรการค้าและบริการที่ประมวลผลธุรกรรม 1-6 ล้านรายการต่อปี โดยไม่คำนึงถึงช่องทางการรับ ทุกปี: กรอกแบบสอบถามการประเมินตนเองด้านความปลอดภัย (SAQ) รายไตรมาส: แนะนำให้สแกน ASV
1 องค์กรการค้าและบริการที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปี โดยไม่คำนึงถึงช่องทางการรับ ทุกปี: การตรวจสอบดำเนินการโดยผู้ตรวจสอบความปลอดภัยที่ได้รับอนุมัติ (การตรวจสอบ QSA) รายไตรมาส: ASV สแกนหาช่องโหว่

โซลูชันการชำระเงินผ่านมือถือยังไม่แพร่หลายในตลาดโลกและในประเทศของเราโดยเฉพาะ อย่างไรก็ตาม ความสนใจในโซลูชันดังกล่าวจากนักพัฒนาฟินเทค ธุรกิจ และองค์กรการค้าและบริการมีเพิ่มขึ้นทุกปี

อันเดรย์ ไกโก้
ผู้ตรวจสอบความปลอดภัยดิจิทัลที่ผ่านการรับรอง QSA

mPOS คืออะไร

โซลูชันการชำระเงินผ่านมือถือ (mPOS) ประกอบด้วยองค์ประกอบหลักดังต่อไปนี้:

  • อุปกรณ์เคลื่อนที่ – สมาร์ทโฟนหรือแท็บเล็ตที่เครื่องอ่านเชื่อมต่ออยู่
  • ใบสมัครการชำระเงินสำหรับอุปกรณ์เคลื่อนที่ – ซอฟต์แวร์ผ่านอินเทอร์เฟซที่ผู้ขายป้อนข้อมูลเพื่อการชำระเงินและแลกเปลี่ยนข้อมูลด้วยการประมวลผล นอกจากนี้ ซอฟต์แวร์นี้ยังสามารถตรวจสอบผู้ถือบัตรโดยใช้ลายเซ็นได้อีกด้วย
  • เครื่องอ่าน – มีอุปกรณ์อ่านอยู่สองประเภท: อุปกรณ์ป้อนข้อมูลด้วยพิน (PED) เครื่องอ่านการ์ด และอุปกรณ์ป้อนรหัส PIN เชื่อมต่อกับอุปกรณ์มือถือผ่าน Bluetooth, แจ็คเสียง หรือ mini-USB; Secure Card Reader (SCR) อุปกรณ์อ่านการ์ด โดยทั่วไปจะเชื่อมต่อกับอุปกรณ์เคลื่อนที่ผ่านแจ็คเสียง

โดยโซลูชันการชำระเงินผ่านมือถือ เราหมายถึงแพลตฟอร์มซอฟต์แวร์และฮาร์ดแวร์สำหรับองค์กรการค้าและบริการ (ต่อไปนี้จะเรียกว่า TSP) ซึ่งอนุญาตให้รับการชำระเงินจาก บุคคลผ่านสมาร์ทโฟน/แท็บเล็ตและเครื่องอ่านที่เชื่อมต่ออยู่ การใช้ mPOS ทำให้สามารถรับชำระเงินได้ทั้งแบบไร้สัมผัส (โดยใส่บัตรธนาคารเข้าไป) โทรศัพท์มือถือลูกค้าที่รองรับ NFC (ต่อไปนี้จะเรียกว่าการ์ด NFC) หรือบัตรธนาคารแบบไร้สัมผัส) และตามปกติ บัตรพลาสติก(มีแถบแม่เหล็กและ/หรือชิป EMV)

นอกเหนือจากฟังก์ชั่นการอ่านบัตรอย่างปลอดภัยและการป้อนรหัส PIN แล้ว mPOS จะต้องรองรับวิธีการหลักทั้งหมดในการตรวจสอบผู้ถือบัตร การเข้ารหัสข้อมูลระหว่างการส่งผ่านระหว่างส่วนประกอบและส่วนการประมวลผลของระบบ ตลอดจนความสามารถในการพิมพ์ใบเสร็จหรือส่ง ผ่านทาง SMS และ อีเมล.

ทางด้านผู้ให้บริการหรือธนาคารของผู้รับบัตรซึ่งมีหน้าที่รับและประมวลผลข้อมูลเพิ่มเติมสำหรับการชำระเงิน mPOS นั้น จะใช้ระบบแบ็คเอนด์ (เกตเวย์การชำระเงิน) คล้ายกับที่ใช้สำหรับอินเทอร์เน็ตหรือการรับ POS ทั่วไป

เพื่อให้เข้าใจว่าต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยใดบ้าง จำเป็นต้องระบุองค์ประกอบหลักของระบบนิเวศ mPOS และการไหลของข้อมูลที่มีอยู่ในระดับเทคนิค เพื่อให้เข้าใจถึงความรับผิดชอบของผู้มีบทบาทในระบบนิเวศ mPOS ในเรื่องความปลอดภัยในการชำระเงินในระดับธุรกิจ จึงจำเป็นต้องระบุรูปแบบธุรกิจที่มีอยู่ของผู้เข้าร่วมในกระบวนการชำระเงิน

แผนภาพการไหลของข้อมูลประกอบด้วย 8 ขั้นตอนหลัก (ดูรูปที่ 1):

  • ขั้นที่ 1 พนักงานร้านค้าเชื่อมต่ออุปกรณ์อ่านกับอุปกรณ์มือถือ (สมาร์ทโฟนหรือแท็บเล็ต) ด้วยการเชื่อมต่ออินเทอร์เน็ต เปิดตัวแอปพลิเคชั่นมือถือพิเศษและป้อนข้อมูลการซื้อและจำนวนเงินที่ชำระ
  • ขั้นตอนที่ 2 ลูกค้าแทรก ม้วน หรือนำมา บัตรธนาคารไปยังเครื่องอ่าน ในกรณีของการ์ด NFC ลูกค้าจะเปิดแอปพลิเคชัน Wallet บนสมาร์ทโฟน เลือกบัตรธนาคารที่ถูกต้อง และนำสมาร์ทโฟนไปที่เครื่องอ่าน คุณจะได้รับแจ้งให้ป้อนรหัส PIN ทั้งนี้ขึ้นอยู่กับพารามิเตอร์ที่ระบุในการ์ด ในกรณีนี้ ไคลเอนต์ป้อน PIN โดยใช้แป้น PIN ซึ่งอาจติดตั้งอยู่ในเครื่องอ่าน
  • ขั้นตอนที่ 3 เครื่องอ่านอ่านข้อมูลบัตร เข้ารหัส และถ่ายโอนไปยังอุปกรณ์มือถือของพนักงานร้านค้า
  • ขั้นที่ 4 อุปกรณ์เคลื่อนที่ของพนักงานส่งข้อมูลที่เข้ารหัสไปยังเกตเวย์การชำระเงิน และจากเกตเวย์การชำระเงิน ข้อมูลจะถูกถ่ายโอนไปยังระบบการรับเงิน นอกเหนือจากข้อมูลบัตรแล้ว ข้อมูลเกี่ยวกับ mPOS ธุรกรรม ผลิตภัณฑ์หรือบริการที่ซื้อสามารถส่งเพิ่มเติมได้ ทั้งนี้ขึ้นอยู่กับการตั้งค่า
  • ขั้นตอนที่ 5 คำขออนุญาตจากระบบการรับจะถูกส่งไปยัง MPS หลังจากประมวลผลคำขอ ผลลัพธ์ (ยอมรับหรือปฏิเสธ) จะถูกส่งกลับไปยังระบบการรับ หากบัตรที่ใช้ชำระเงินออกโดยธนาคารเดียวกันกับที่ดำเนินการรับ คำขอจะไม่ถูกส่งไปยังกระทรวงรถไฟ
  • ขั้นตอนที่ 6 ผลลัพธ์ของการร้องขอการอนุญาตจะถูกส่งไปยังอุปกรณ์มือถือ
  • ขั้นตอนที่ 7 หากบัตรต้องมีลายเซ็นของเจ้าของบัตรแล้ว แอปพลิเคชันมือถือแบบฟอร์มที่เกี่ยวข้องจะปรากฏขึ้นและลูกค้าเซ็นชื่อ (ด้วยสไตลัสหรือนิ้ว)
  • ขั้นตอนที่ 8 พนักงานร้านค้าเลือกวิธีการส่งเช็คให้กับลูกค้าในแอปพลิเคชันชำระเงินมือถือ สามารถส่งทาง SMS อีเมล หรือพิมพ์ไปยังอุปกรณ์ ณ จุดขายในพื้นที่

บริษัทต่อไปนี้สามารถมีส่วนร่วมในการดำเนินการตามกระบวนการที่อธิบายไว้ข้างต้น:

  • นักพัฒนาอุปกรณ์ mPOS – พัฒนาและผลิตฮาร์ดแวร์ที่อ่านข้อมูลการ์ดและรหัส PIN ได้อย่างปลอดภัย
  • ผู้พัฒนาซอฟต์แวร์การชำระเงินสำหรับอุปกรณ์เคลื่อนที่และ/หรือเกตเวย์การชำระเงิน – การพัฒนาซอฟต์แวร์ไคลเอนต์สำหรับร้านค้า และอาจเป็นซอฟต์แวร์เกตเวย์การชำระเงิน
  • นักพัฒนาแพลตฟอร์ม – บริษัทพัฒนาที่สร้างส่วนฮาร์ดแวร์และซอฟต์แวร์ชิ้นเดียวของโซลูชัน mPOS เพื่อขายเพิ่มเติมให้กับผู้ให้บริการหรือผู้ซื้อโซลูชัน mPOS
  • ผู้ให้บริการโซลูชั่น mPOS คือบริษัทที่ผลิตผลิตภัณฑ์ขั้นสุดท้ายให้กับร้านค้า บริษัท ประเภทนี้กำลังรับธนาคารหรือที่เรียกว่าตัวกลางการชำระเงิน (ผู้อำนวยความสะดวกในการชำระเงิน) บริษัทเหล่านี้สามารถพัฒนาส่วนประกอบทั้งหมดของโซลูชันการชำระเงินผ่านมือถือได้อย่างอิสระ หรืออาจอนุญาตส่วนประกอบแต่ละส่วนจากผู้ผลิตหลายรายแล้วรวมเข้าด้วยกัน ตัวกลางการชำระเงิน ยกเว้นธนาคารของผู้รับเงิน เป็นสิ่งที่อยู่ระหว่างผู้ให้บริการและร้านค้า ลูกค้าของพวกเขาคือผู้ค้า ซึ่งการมีปฏิสัมพันธ์กับธนาคารของผู้รับบัตรกลายเป็นกระบวนการที่โปร่งใส เนื่องจากความรับผิดชอบในการชำระหนี้กับผู้ค้าตกอยู่ที่ตัวกลางการชำระเงิน
  • ผู้จัดจำหน่าย – บริษัทที่ส่งเสริมโซลูชั่น mPOS บางอย่างจากผู้ผลิตหลายรายในตลาดและทำหน้าที่ขายต่อโซลูชั่น mPOS ให้กับร้านค้า
  • ผู้ให้บริการชำระเงิน (บริษัทประมวลผล, เกตเวย์การชำระเงิน) – บริษัทที่ทำหน้าที่เป็นตัวกลางระหว่างผู้ให้บริการโซลูชั่น mPOS และธนาคารผู้รับบัตร ให้การโต้ตอบข้อมูลระหว่างอุปกรณ์มือถือของผู้ค้าและผู้ซื้อ
  • ผู้ซื้อ - ธนาคารที่รับหรือศูนย์ประมวลผลที่เชื่อมต่อกับ MPS โดยให้การอนุมัติการชำระเงิน ธนาคารที่ได้รับความร่วมมือจากผู้ให้บริการโซลูชั่น mPOS สามารถนำไปใช้ในการชำระหนี้กับร้านค้าได้

ควรสังเกตว่าบริษัทสามารถดำเนินการได้มากกว่าหนึ่งบทบาทเหล่านี้ มีความเป็นไปได้ที่บริษัทจะสามารถพัฒนาส่วนประกอบซอฟต์แวร์และฮาร์ดแวร์ทั้งหมดของโซลูชัน mPOS ได้อย่างสมบูรณ์ ขึ้นอยู่กับหน้าที่ที่บริษัทจะดำเนินการ ขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยที่ต้องปฏิบัติตาม

รายการองค์ประกอบหลักและประเภทโมเดลธุรกิจมีไว้เพื่อทำความเข้าใจว่าควรแบ่งความรับผิดชอบในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยให้กับผู้เข้าร่วมทั้งหมดในระบบนิเวศ mPOS อย่างไร

ประเภทของการรับรอง

แนวทางการรักษาความปลอดภัยฉบับแรกสำหรับโซลูชันการชำระเงินผ่านมือถือออกโดย Visa ในปี 2554 ซึ่งรวมถึง: คำแนะนำทั่วไปสำหรับนักพัฒนาและผู้ค้าเกี่ยวกับความปลอดภัยของการใช้โซลูชันการชำระเงินผ่านมือถือ ในปี 2012 PCI SSC ได้ออกคำแนะนำโดยละเอียดเพิ่มเติมสำหรับนักพัฒนา ปัจจุบัน ปัญหา IPS และ PCI SSC ได้อัปเดตคำแนะนำด้านความปลอดภัยของ mPOS เกือบทุกปี

นอกเหนือจากคำแนะนำแล้ว Visa และ MasterCard ยังได้พัฒนาโปรแกรมการรับรองสำหรับผู้ให้บริการโซลูชันการชำระเงินผ่านมือถือ ในความเป็นจริงทั้งสองโปรแกรมค่อนข้างคล้ายกันและมีความเป็นไปได้สูงที่อาจกล่าวได้ว่าการพัฒนาโซลูชันตามข้อกำหนดของ MPS ตัวใดตัวหนึ่งสามารถได้รับการรับรองจากอีกตัวหนึ่งได้ MPS ทั้งสองดูแลการลงทะเบียนของบริษัทที่ได้รับการรับรองและโซลูชั่น mPOS

มาตรฐาน PCI SSC

PCI DSS
ใน เวอร์ชันใหม่มาตรฐานข้อกำหนดใหม่ปรากฏว่าเกี่ยวข้องกับความปลอดภัยของ mPOS มาก โดยเฉพาะอย่างยิ่งส่วนที่ 9 ได้เพิ่มข้อ 9.9 ซึ่งจำเป็นต้องเก็บบันทึกอุปกรณ์อ่านบัตร ตลอดจนจัดการฝึกอบรมพนักงาน/ผู้ใช้บริการอุปกรณ์เป็นระยะๆ เพื่อให้สามารถระบุการทดแทน mPOS หรือสัญญาณอื่นๆ ของ skimming ได้ ในกรณีผู้ให้บริการโซลูชั่น mPOS หรือบริษัทเข้าซื้อกิจการ ในการจัดหาอุปกรณ์อ่านข้อมูลให้กับลูกค้า จะต้องจัดทำคำแนะนำและคำแนะนำในการป้องกัน Skimming และแจ้งให้พนักงานร้านค้าทราบ ส่วนหนึ่งของการปฏิบัติตามข้อกำหนด 12.8 ผู้ให้บริการและผู้รับบัตรอาจผูกมัดตามสัญญาแก่ร้านค้าในการปฏิบัติตามข้อกำหนดด้านความปลอดภัย mPOS ที่เกี่ยวข้อง

แม้ว่าการดำเนินการตามข้อกำหนดด้านความปลอดภัยส่วนใหญ่จะตกอยู่กับผู้ให้บริการและธนาคารหลายแห่ง แต่ธนาคารของผู้รับบัตรมีสิทธิ์ที่จะกำหนดให้ร้านค้ากรอกเอกสารการประเมินตนเอง (SAQ) ประเภทที่เหมาะสม (SAQ P2PE-HW ในกรณีที่ ร้านค้าที่ใช้โซลูชั่น P2PE, SAQ B-IP กรณีใช้ mPOS กับเครื่องอ่านที่ได้รับการรับรอง PCI PTS) ตารางจะระบุองค์ประกอบของโซลูชัน mPOS มาตรฐานที่เกี่ยวข้องที่ส่วนประกอบต้องปฏิบัติตาม และบริษัทที่รับผิดชอบในการดำเนินการตามข้อกำหนด

ข้อกำหนด 12.8 ยังเกี่ยวข้องในกรณีที่ซอฟต์แวร์โซลูชัน mPOS สำหรับผู้ให้บริการได้รับการพัฒนาโดยบุคคลที่สาม ในกรณีนี้ การปฏิบัติตามข้อกำหนด 6.5 จะตกเป็นภาระของบริษัทผู้พัฒนาโดยสิ้นเชิง นอกจากนี้ หากบริษัทพัฒนาไม่ปฏิบัติตามข้อกำหนด ผู้ให้บริการจะไม่สามารถผ่านการตรวจสอบการปฏิบัติตาม PCI DSS ได้ ข้อตกลงระหว่างผู้ให้บริการ (ผู้รับบัตร) และนักพัฒนาควรจัดให้มีสำหรับประเด็นในการดำเนินการตรวจสอบกระบวนการทางธุรกิจบางอย่างของบริษัทผู้พัฒนาในกรณีที่ผู้ให้บริการผ่านการรับรอง PCI DSS ประจำปี เนื่องจาก กระบวนการพัฒนาจะรวมอยู่ในขอบเขตการตรวจสอบผู้ให้บริการ เช่นเดียวกับในกรณีของการจ้างบริการอื่น ๆ โดยทั่วไป การยืนยันโดยบุคคลที่สามเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS ที่เกี่ยวข้องนั้นสามารถรับรองได้โดยการรับรองตนเองของกระบวนการทางธุรกิจที่จำเป็นตาม PCI DSS ตามด้วยการจัดหาหลักฐานการตรวจสอบที่ประสบความสำเร็จ หรือโดยการให้โอกาส เพื่อตรวจสอบกระบวนการทางธุรกิจซึ่งเป็นส่วนหนึ่งของการตรวจสอบผู้ให้บริการ (ผู้ซื้อ)

โปรดทราบว่าในประเทศของเรา การตรวจสอบของนักพัฒนาซึ่งเป็นส่วนหนึ่งของการตรวจสอบของบริษัทลูกค้านั้นเกิดขึ้นน้อยมาก นักพัฒนาสามารถรับประกันความรู้และการใช้วิธีการพัฒนาที่ปลอดภัยด้วยวาจา แต่ในความเป็นจริงไม่มี ความรู้ที่จำเป็นและไม่ปฏิบัติตามขั้นตอนที่เหมาะสม ด้วยการเปิดตัว PCI DSS เวอร์ชันใหม่ สถานการณ์ควรเปลี่ยนแปลง เนื่องจากข้อกำหนดมีรายละเอียดมากขึ้น และขั้นตอนการตรวจสอบที่ระบุในข้อความของมาตรฐานกำหนดให้ผู้ตรวจสอบ QSA ดำเนินการตรวจสอบเชิงลึกมากขึ้น

PCI PTS
มาตรฐาน PCI PTS ควบคุมข้อกำหนดด้านความปลอดภัยสำหรับอุปกรณ์จุดโต้ตอบ (POI) และโมดูลความปลอดภัยของฮาร์ดแวร์ (HSM) เครื่องอ่านที่เชื่อมต่อกับอุปกรณ์เคลื่อนที่คือ POI ดังที่ได้กล่าวไว้ข้างต้น โซลูชัน mPOS ใช้ POI สองคลาส: PIN Entry Device (PED) และ Secure Card Reader (SCR) ขึ้นอยู่กับประเภทของ POI ของอุปกรณ์การอ่าน กลุ่มของข้อกำหนด PCI PTS จะถูกกำหนดว่าอุปกรณ์นั้นจะต้องปฏิบัติตาม


ปัจจุบัน โซลูชัน mPOS บางส่วนที่นำเสนอในตลาดภายในประเทศใช้เครื่องอ่านจากผู้ผลิตที่ไม่ระบุชื่อ การใช้เครื่องอ่านดังกล่าวไม่รับประกันการถ่ายโอนข้อมูลที่ปลอดภัยระหว่างอุปกรณ์ และทำให้สามารถถ่ายโอนหมายเลขการ์ดในรูปแบบข้อความที่ชัดเจนไปยังอุปกรณ์มือถือได้ ดังนั้นเมื่อเลือกโซลูชัน mPOS คุณต้องตรวจสอบให้แน่ใจว่าผู้ให้บริการมีเครื่องอ่านที่ได้รับการรับรอง PCI PTS

มีโมเดลธุรกิจสองแบบสำหรับการพัฒนาซอฟต์แวร์ไคลเอ็นต์: การพัฒนาสำหรับโครงการของคุณเอง เมื่อนักพัฒนาสร้างโซลูชัน mPOS และนำออกสู่ตลาดภายใต้แบรนด์ของเขาเอง: ในกรณีนี้ นักพัฒนาจะเป็นผู้ให้บริการโซลูชัน mPOS – และการพัฒนาโซลูชันขั้นสุดท้ายสำหรับการออกใบอนุญาตเพิ่มเติมโดยบริษัทที่รวมส่วนประกอบจากผู้ผลิตหลายรายเข้าด้วยกัน และสร้างโซลูชัน mPOS ของตนเองตามส่วนประกอบเหล่านั้น

PA-ดีเอสเอส
สำหรับโซลูชัน mPOS PA-DSS ใน บังคับใช้ได้กับเฟิร์มแวร์ของอุปกรณ์ที่อ่านข้อมูลการ์ด สำหรับซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์เคลื่อนที่ของพนักงานร้านค้า มาตรฐานนี้ถือเป็นคำแนะนำ เนื่องจากอุปกรณ์เคลื่อนที่มีสภาพแวดล้อมที่ไม่น่าเชื่อถือและมีการควบคุมไม่ดี ตัวอย่างเช่น อุปกรณ์อาจถูกเจลเบรค ซึ่งจะลดความปลอดภัยของอุปกรณ์ตามลำดับความสำคัญ และไม่รับประกันความปลอดภัยของแอปพลิเคชันการชำระเงินที่ติดตั้ง นั่นคือเหตุผลที่ MPS ห้ามไม่ให้ใช้อุปกรณ์เคลื่อนที่ในการป้อนรหัส PIN และกำหนดให้ข้อมูลจากอุปกรณ์อ่านข้อมูลมาที่ซอฟต์แวร์มือถือในรูปแบบที่เข้ารหัส จากนั้นจึงส่งข้อมูลในรูปแบบเดียวกันไปยังบริษัทที่รับบัตร ในกรณีนี้ ข้อมูลบัตรชำระเงินจะไม่ได้รับการประมวลผลและจัดเก็บไว้ในข้อความที่ชัดเจนบนอุปกรณ์เคลื่อนที่ ดังนั้นข้อกำหนดของ PA-DSS จะไม่มีผลใช้บังคับ

ในมาตรฐานเวอร์ชัน 3.0 ข้อกำหนดใหม่ปรากฏว่าผู้พัฒนาเฟิร์มแวร์สำหรับการอ่านอุปกรณ์และแอปพลิเคชันการชำระเงินแบบบรรจุกล่องควรให้ความสนใจเป็นอันดับแรก ขั้นแรก การอัปเดตแต่ละครั้งที่เผยแพร่จะต้องผ่านการรับรองแยกกัน ประการที่สอง ขณะนี้ลูกค้าต้องใช้เฉพาะซอฟต์แวร์เวอร์ชัน (อัปเดต) ที่ได้รับการรับรองและแสดงอยู่ในเว็บไซต์ของสภา PCI เท่านั้น


PCI P2PE
ค่อนข้างเผยแพร่เมื่อเร็ว ๆ นี้ มาตรฐานใหม่การรักษาความปลอดภัย PCI P2PE มาตรฐานนี้มีไว้สำหรับโซลูชันที่ให้การปกป้องข้อมูลด้วยการเข้ารหัสเมื่อถ่ายโอนระหว่างส่วนประกอบทั้งหมดของโซลูชันการชำระเงิน หากใช้การเข้ารหัส ขอบเขตของมาตรฐานในร้านค้าจะถูกจำกัดให้แคบลงเหลือระดับต่ำสุด เนื่องจากร้านค้าไม่สามารถรับข้อมูลเกี่ยวกับผู้ถือบัตรในรูปแบบข้อความที่ชัดเจน

รายการองค์ประกอบหลักทั้งหมดของระบบนิเวศ mPOS ประกอบด้วย:

  • ผู้อ่าน;
  • แอปพลิเคชันการชำระเงินสำหรับอุปกรณ์มือถือ
  • เกตเวย์การชำระเงิน
  • รับระบบเชื่อมต่อกับ MPS

ต่างจาก PCI DSS ซึ่งใช้กับโครงสร้างพื้นฐานข้อมูลเท่านั้น PCI P2PE มีความครอบคลุมมากกว่าและไม่เพียงแต่ใช้กับโครงสร้างพื้นฐานเท่านั้น แต่ยังรวมถึงอุปกรณ์การอ่านและซอฟต์แวร์ของเทอร์มินัล POI ด้วย (ในแอปพลิเคชันกับ mPOS อุปกรณ์เหล่านี้เป็นอุปกรณ์อ่าน) มาตรฐานประกอบด้วย 6 โดเมน ข้อกำหนดซึ่งเป็นไปตามมาตรฐาน PCI ในปัจจุบัน: อุปกรณ์อ่านต้องเป็นไปตามข้อกำหนดของ PCI PTS SRED ซอฟต์แวร์เครื่องอ่าน – PA-DSS; การจัดการคีย์เข้ารหัส - ข้อกำหนดด้านความปลอดภัยของ PCI PIN; โครงสร้างพื้นฐานข้อมูลการชำระเงินของร้านค้า - PCI DSS หากโซลูชันได้รับการรับรอง PCI P2PE หมายความว่าข้อมูลระหว่างระบบย่อยทั้งหมด (จากเครื่องอ่านไปยังอุปกรณ์เคลื่อนที่ในซอฟต์แวร์ จากซอฟต์แวร์ไปจนถึงการประมวลผลและอื่นๆ) จะถูกส่งในรูปแบบที่เข้ารหัส และระบบย่อยทั้งหมดจะปฏิบัติตามข้อกำหนดของ มาตรฐาน PCI ที่เกี่ยวข้อง

ทั้งส่วนประกอบแต่ละส่วนและโซลูชันที่สมบูรณ์สามารถได้รับการรับรองตามข้อกำหนด P2PE

IPS แนะนำให้ใช้โซลูชั่น P2PE เพื่อรับชำระเงินผ่าน mPOS อย่างไรก็ตาม ปัญหาคือในขณะนี้มีโซลูชันประเภทนี้ไม่กี่รายการในตลาด ดังนั้นจึงไม่จำเป็นต้องใช้ MPS แต่แนะนำให้ใช้โซลูชัน PCI P2PE และรับคำแนะนำเมื่อพัฒนา อย่างไรก็ตาม ผู้ให้บริการโซลูชันการชำระเงิน mPOS จำเป็นต้องเตรียมพร้อมสำหรับข้อเท็จจริงที่ว่าในไม่ช้า MPS จะต้องได้รับการรับรองภาคบังคับสำหรับโซลูชัน mPOS ของตนตามข้อกำหนด PCI P2PE