วิกิพีเดียภาษาไทย
กลับไปหน้าบทความ

อ่าน 3 นาที

พีเอ-ดีเอสเอส

มาตรฐานความปลอดภัยข้อมูลแอปพลิเคชันการชำระเงิน (PA-DSS) เป็นมาตรฐานความปลอดภัยระดับโลกที่สร้างขึ้นโดยสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (PCI SSC) PA-DSS...

พีเอ-ดีเอสเอส

มาตรฐานความปลอดภัยข้อมูลแอปพลิเคชันการชำระเงิน (PA-DSS) เป็นมาตรฐานความปลอดภัยระดับโลกที่สร้างขึ้นโดยสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (PCI SSC) [ 1 ] PA-DSS ถูกนำมาใช้เพื่อกำหนดมาตรฐานข้อมูลที่ชัดเจนสำหรับ ผู้จำหน่าย ซอฟต์แวร์ที่พัฒนาแอปพลิเคชันการชำระเงิน มาตรฐานนี้มีจุดมุ่งหมายเพื่อป้องกันไม่ให้แอปพลิเคชันการชำระเงินที่พัฒนาขึ้นสำหรับบุคคลที่สามจัดเก็บข้อมูลความปลอดภัยที่ต้องห้าม รวมถึงแถบแม่เหล็ก CVV2 หรือPINในกระบวนการดังกล่าว มาตรฐานนี้ยังกำหนดให้ผู้จำหน่ายซอฟต์แวร์ต้องพัฒนาแอปพลิเคชันการชำระเงินที่สอดคล้องกับมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน ( PCI DSS )

ในที่สุด PA-DSS ก็ถูกยกเลิกในช่วงปลายปี 2022 แม้ว่าการใช้งานที่มีอยู่ซึ่งใช้แอปพลิเคชัน PA-DSS จะไม่จำเป็นต้องสูญเสียสถานะการปฏิบัติตามข้อกำหนดก็ตาม[ 2 ]ตั้งแต่นั้นมา สภา PCI ได้จัดตั้งโปรแกรมตรวจสอบความถูกต้องของซอฟต์แวร์ใหม่ คือPCI Software Security Framework

ความต้องการ

เพื่อให้แอปพลิเคชันการชำระเงินถือว่า สอดคล้องกับ PA-DSSผู้จำหน่ายซอฟต์แวร์ต้องตรวจสอบให้แน่ใจว่าซอฟต์แวร์ของตนมีการป้องกัน 14 ประการดังต่อไปนี้: [ 3 ]

  1. ห้ามเก็บรักษาข้อมูลแทร็กทั้งหมด รหัสยืนยันบัตรหรือค่า (CAV2, CID, CVC2, CVV2) หรือข้อมูลบล็อก PIN
  2. ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้
  3. จัดให้มีคุณสมบัติการตรวจสอบสิทธิ์ที่ปลอดภัย
  4. บันทึกกิจกรรมการสมัครชำระเงิน
  5. พัฒนาแอปพลิเคชันการชำระเงินที่ปลอดภัย
  6. ปกป้องการส่งสัญญาณไร้สาย
  7. ทดสอบแอปพลิเคชันการชำระเงินเพื่อแก้ไขช่องโหว่และอัปเดตแอปพลิเคชันการชำระเงินอย่างสม่ำเสมอ
  8. สนับสนุนการใช้งานเครือข่ายที่ปลอดภัย
  9. ข้อมูลผู้ถือบัตรจะต้องไม่ถูกจัดเก็บไว้ในเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตโดยเด็ดขาด
  10. อำนวยความสะดวกในการเข้าถึงแอปพลิเคชันการชำระเงินจากระยะไกลอย่างปลอดภัย
  11. เข้ารหัสข้อมูลสำคัญที่ส่งผ่านเครือข่ายสาธารณะ
  12. รักษาความปลอดภัยการเข้าถึงการดูแลระบบที่ไม่เกี่ยวข้องกับคอนโซลทั้งหมด
  13. จัดทำคู่มือการใช้งาน PA-DSS สำหรับลูกค้า ตัวแทนจำหน่าย และผู้รวมระบบ
  14. มอบหมายความรับผิดชอบด้าน PA-DSS ให้แก่บุคลากร และดูแลรักษาโปรแกรมการฝึกอบรมสำหรับบุคลากร ลูกค้า ตัวแทนจำหน่าย และผู้ประกอบระบบ

การกำกับดูแลและการบังคับใช้กฎหมาย

PCI SSC ได้รวบรวมรายชื่อแอปพลิเคชันการชำระเงินที่ได้รับการตรวจสอบแล้วว่าสอดคล้องกับมาตรฐาน PA-DSS โดยรายชื่อดังกล่าวจะได้รับการอัปเดตเพื่อสะท้อนถึงแอปพลิเคชันการชำระเงินที่สอดคล้องกับมาตรฐานเมื่อมีการพัฒนาขึ้น การสร้างและการบังคับใช้มาตรฐานเหล่านี้ในปัจจุบันอยู่ภายใต้การดูแลของ PCI SSC ผ่านผู้ประเมินความปลอดภัยแอปพลิเคชัน การชำระเงินที่ผ่านการรับรอง (PA-QSA) PA-QSA จะทำการตรวจสอบแอปพลิเคชันการชำระเงินเพื่อช่วยให้ผู้จำหน่ายซอฟต์แวร์มั่นใจได้ว่าแอปพลิเคชันนั้นสอดคล้องกับมาตรฐาน PCI

ประวัติศาสตร์

PA-DSS ซึ่งเดิมทีอยู่ภายใต้การกำกับดูแลของVisa Inc.ภายใต้ชื่อ PABP เปิดตัวเมื่อวันที่ 15 เมษายน 2551 และได้รับการปรับปรุงเมื่อวันที่ 15 ตุลาคม 2551 จากนั้น PA-DSS จึงได้รับการจำแนกย้อนหลังเป็น "เวอร์ชัน 1.1" [ 4 ]และ "เวอร์ชัน 1.2" [ 5 ]

ในเดือนตุลาคม พ.ศ. 2552 PA-DSS v1.2.1 ได้รับการเผยแพร่พร้อมการเปลี่ยนแปลงที่สำคัญสามประการ: [ 3 ]

  1. ภายใต้หัวข้อ “ขอบเขตของ PA-DSS” ให้ปรับเนื้อหาให้สอดคล้องกับคู่มือโปรแกรม PA-DSS เวอร์ชัน 1.2.1 เพื่อชี้แจงให้ชัดเจนว่า PA-DSS สามารถนำไปใช้กับแอปพลิเคชันใดได้บ้าง
  2. ภายใต้ข้อกำหนดห้องปฏิบัติการข้อที่ 6 ให้แก้ไขการสะกดคำว่า “ OWASP ” ให้ถูกต้อง
  3. ในหนังสือรับรองการตรวจสอบความถูกต้อง ส่วนที่ 2a ให้ปรับปรุง “ฟังก์ชันการทำงานของแอปพลิเคชันการชำระเงิน” ให้สอดคล้องกับประเภทแอปพลิเคชันที่ระบุไว้ในคู่มือโปรแกรม PA-DSS และชี้แจงขั้นตอนการตรวจสอบความถูกต้องซ้ำประจำปีในส่วนที่ 3b

ในเดือนตุลาคม พ.ศ. 2553 PA-DSS 2.0 ได้รับการเผยแพร่[ 6 ]โดยระบุว่า: อัปเดตและนำการเปลี่ยนแปลงเล็กน้อยจากเวอร์ชัน 1.2.1 มาใช้ และปรับให้สอดคล้องกับ PCI DSS เวอร์ชัน 2.0 ใหม่ สำหรับรายละเอียด โปรดดู PA-DSS – สรุปการเปลี่ยนแปลงจาก PA-DSS เวอร์ชัน 1.2.1 เป็น 2.0

ในเดือนพฤศจิกายน พ.ศ. 2556 PA-DSS 3.0 ได้รับการเผยแพร่[ 7 ]ซึ่งระบุว่า: อัปเดตจาก PA-DSS v2 สำหรับรายละเอียดของการเปลี่ยนแปลง โปรดดู PA-DSS – สรุปการเปลี่ยนแปลงจาก PA-DSS เวอร์ชัน 2.0 เป็น 3.0 [ 8 ]

ในเดือนพฤษภาคม พ.ศ. 2558 PA-DSS 3.1 ได้รับการเผยแพร่[ 3 ]โดยระบุว่า: อัปเดตจาก PA-DSS v3.0 ดู PA-DSS – สรุปการเปลี่ยนแปลงจาก PA-DSS เวอร์ชัน 3.0 เป็น 3.1 สำหรับรายละเอียดของการเปลี่ยนแปลง[ 9 ]

ในเดือนพฤษภาคม พ.ศ. 2559 ได้มีการเผยแพร่คู่มือและมาตรฐานโปรแกรม PA-DSS เวอร์ชัน 3.2 [ 10 ] [ 11 ] สำหรับรายละเอียด โปรดดูสรุปการเปลี่ยนแปลงจาก PA-DSS เวอร์ชัน 3.1 เป็น 3.2 [ 12 ]

ข้อมูลเพิ่มเติม

PCI SSC ได้เผยแพร่เอกสารเพิ่มเติมที่ให้คำอธิบายเพิ่มเติมเกี่ยวกับ PA-DSS ซึ่งรวมถึงข้อมูลต่อไปนี้:

  • ข้อกำหนด PA-DSS และขั้นตอนการประเมินความปลอดภัย[ 13 ] [ 14 ] [ 15 ]
  • การเปลี่ยนแปลงจากมาตรฐานในอดีต[ 9 ]
  • คู่มือโปรแกรมทั่วไปสำหรับ QSA [ 16 ]
ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=PA-DSS&oldid=1351983862 "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ พีเอ-ดีเอสเอส

มาตรฐานความปลอดภัยข้อมูลแอปพลิเคชันการชำระเงิน (PA-DSS) เป็นมาตรฐานความปลอดภัยระดับโลกที่สร้างขึ้นโดยสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (PCI SSC) PA-DSS...

ความต้องการ

เพื่อให้แอปพลิเคชันการชำระเงินถือว่า สอดคล้องกับ PA-DSS ผู้จำหน่ายซอฟต์แวร์ต้องตรวจสอบให้แน่ใจว่าซอฟต์แวร์ของตนมีการป้องกัน 14 ประการดังต่อไปนี้: [ 3 ]

การกำกับดูแลและการบังคับใช้กฎหมาย

PCI SSC ได้รวบรวมรายชื่อแอปพลิเคชันการชำระเงินที่ได้รับการตรวจสอบแล้วว่าสอดคล้องกับมาตรฐาน PA-DSS โดยรายชื่อดังกล่าวจะได้รับการอัปเดตเพื่อสะท้อนถึงแอปพลิเคชันการชำระเงินที่สอดคล้องกับมาตรฐานเมื่อมีการพัฒนาขึ้น...

ประวัติศาสตร์

PA-DSS ซึ่งเดิมทีอยู่ภายใต้การกำกับดูแลของ Visa Inc. ภายใต้ชื่อ PABP เปิดตัวเมื่อวันที่ 15 เมษายน 2551 และได้รับการปรับปรุงเมื่อวันที่ 15 ตุลาคม 2551 จากนั้น PA-DSS จึงได้รับการจำแนกย้อนหลังเป็น "เวอร์ชัน 1.1" [ 4 ] และ "เวอร์ชัน 1.2" [ 5 ]