ทำไมองค์กรทั่วไปมักล้มเหลวในการสร้างมาตรฐาน PCI DSS
พงศ์วุฒิ ไพรไพศาลกิจมาตรฐานสำหรับยุค eCommerce ตามแนวคิด Thailand 4.0 คงหนีไม่พ้นเรื่องของการสร้างความเชื่อมั่นทางการค้าผ่านการทำธุรกรรมอิเล็กทรอนิกส์ ผู้ให้บริการซึ่งเป็นผู้เล่นหลักในโลก อย่าง Visa, MasterCard, American Express, Discover และ JCB ได้จับมือและตกลงร่วมกันเพื่อสร้างมาตรฐานความปลอดภัยสารสนเทศที่เกิดจากการทำธุรกรรมผ่านบัตรเครดิต โดยองค์กรกลางอย่าง PCI SSC (Payment Card Industry Security Standards Council) เพื่อควบคุมการใช้งานข้อมูลของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต บัตรกดเงินสด ซึ่งจะมีการออกมาตรฐานชื่อว่า PCI DSS (Payment Card Industry Data Security Standard) มาเพื่อสร้างเกราะป้องกันทางข้อมูล และลดอัตราการเกิดการฉ้อโกงภายในและภายนอกผ่านการทำธุรกรรมทางการเงิน
พงศ์วุฒิ ไพรไพศาลกิจ
มาตรฐานสำหรับยุค eCommerce ตามแนวคิด Thailand 4.0 คงหนีไม่พ้นเรื่องของการสร้างความเชื่อมั่นทางการค้าผ่านการทำธุรกรรมอิเล็กทรอนิกส์ ผู้ให้บริการซึ่งเป็นผู้เล่นหลักในโลก อย่าง Visa, MasterCard, American Express, Discover และ JCB ได้จับมือและตกลงร่วมกันเพื่อสร้างมาตรฐานความปลอดภัยสารสนเทศที่เกิดจากการทำธุรกรรมผ่านบัตรเครดิต โดยองค์กรกลางอย่าง PCI SSC (Payment Card Industry Security Standards Council) เพื่อควบคุมการใช้งานข้อมูลของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต บัตรกดเงินสด ซึ่งจะมีการออกมาตรฐานชื่อว่า PCI DSS (Payment Card Industry Data Security Standard) มาเพื่อสร้างเกราะป้องกันทางข้อมูล และลดอัตราการเกิดการฉ้อโกงภายในและภายนอกผ่านการทำธุรกรรมทางการเงิน
บรรทัดฐานของ PCI DSS มีมาแล้วหลายเวอร์ชั่นตั้งแต่ปี 2004 จนถึงปัจจุบัน ซึ่งมีการปรับปรุงมาตรฐานให้ทันสมัยมากขึ้น เพื่อพยายามปิดช่องโหว่ที่มีการพัฒนาเทคนิคและวิธีการผ่านเทคโนโลยีที่ก้าวหน้าไปอย่างรวดเร็ว รวมถึงการยกระดับข้อบังคับ และแนวทางการดำเนินการเพื่อทำการตรวจสอบมาตรฐานที่มีความชัดเจนมากยิ่งขึ้น จะประกอบไปด้วย 6 หัวข้อ ควบคุม (Control Objects) ภายในจะมี 12 ข้อกำหนด (Requirements) เป็นองค์ประกอบ ซึ่งจะถูกดูแลโดยผู้ประเมินมาตรฐานอิสระ (QSA)
ในแต่ละธุรกิจก็จะมีความซับซ้อนที่ต่างกันออกไปในการประเมินมาตรฐาน เช่น ธุรกิจค้าปลีก ก็จะเน้นไปทางด้านการเข้ารหัสข้อมูลระหว่างการส่งข้อมูล รวมไปถึงการยืนยันตัวตนของเจ้าของบัตร ธุรกิจโรงพยาบาล หรือการท่องเที่ยวก็จะเน้นไปในด้านการส่งผ่านข้อมูล และการป้องกันเชิงกายภาพ หรือธุรกิจทางด้านการเงินจะมุ่งเน้นไปด้านขบวนการการรักษาความปลอดภัย การสร้างช่องทางในการส่งผ่านข้อมูลที่ปลอดภัย Application ที่ใช้งานที่ปลอดภัย การปกป้องข้อมูลและการหาช่องโหว่ ไปจนถึงการทำ Risk Management เพื่อตรวจสอบการทำงานภาพรวมของกลุ่มธุรกิจการเงินอีกด้วย
ดังนั้น หากไม่มีความเข้าใจในการดำเนินการประเมินตัวเองสำหรับการทำ PCI DSS ก็มักจะไม่สามารถผ่านมาตรฐานนี้ไปได้ เนื่องจากข้อแนะนำของ PCI DSS มีการวางมาตรฐานไว้ในหลายๆ เรื่อง ในแต่ละเรื่องควรที่จะมีความสอดคล้องให้กับตัวธุรกิจที่ดำเนินการอยู่ด้วยเช่นกัน และการทำ PCI DSS นั้น ไม่ได้หมายความว่าหากมีการลงทุนในด้านการรักษาความปลอดภัยไปแล้วจะสามารถตอบโจทย์ได้เสมอไป
ความสำคัญอีกอย่างหนึ่งในการตรวจสอบมาตรฐาน คือ การสร้างปัจจัยในการควบคุมเพื่อให้ไม่หลุดจากกรอบของมาตรฐาน ตลอดจนพยายามลดขั้นตอนการตรวจสอบด้วยการใช้คน ไปเป็นการตรวจสอบโดยวิธี Automation ให้ได้มากที่สุด ตลอดจนไปถึงการพัฒนาบุคลากรให้มีความเชี่ยวชาญในด้านต่างๆ เพื่อให้การตรวจสอบมาตรฐานดำเนินการได้อย่างไม่ติดขัด n