มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน ( PCI DSS ) เป็น มาตรฐาน ความปลอดภัยข้อมูล ระดับโลก ที่ควบคุมวิธีการที่หน่วยงานต่างๆ จัดเก็บ ประมวลผล และส่งข้อมูลผู้ถือบัตร (CHD) และ/หรือข้อมูลการตรวจสอบความถูกต้องที่ละเอียดอ่อน (SAD) PCI DSS ประกอบด้วยแนวทางเกี่ยวกับส่วนประกอบของระบบทางเทคนิคและการดำเนินงานขององค์กรที่เกี่ยวข้องกับข้อมูลดังกล่าว^{[ 1 ]}ข้อมูลผู้ถือบัตรหมายถึงข้อมูลต่างๆ เช่น หมายเลขบัญชีหลัก (PAN) ชื่อผู้ถือบัตร วันหมดอายุ และรหัสบริการ ข้อมูลการตรวจสอบความถูกต้องที่ละเอียดอ่อนหมายถึงข้อมูลต่างๆ เช่น "ข้อมูลแทร็กเต็มรูปแบบ (ข้อมูลแถบแม่เหล็กหรือเทียบเท่าบนชิป)" รหัสยืนยันบัตร และ PIN/บล็อก PIN ^{[ 2 ]}มาตรฐานนี้บริหารจัดการโดยสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงินและการใช้งานถูกบังคับใช้โดยแบรนด์บัตรชำระเงินรายใหญ่ PCI DSS ถูกสร้างขึ้นเพื่อปรับปรุงและเพิ่มประสิทธิภาพการควบคุมความปลอดภัยที่องค์กรใช้ในการจัดการข้อมูลผู้ถือบัตรและลดการฉ้อโกงบัตรเครดิตองค์กรเหล่านี้ รวมถึงผู้ค้าและผู้ให้บริการ ต้องพิสูจน์การปฏิบัติตาม PCI DSS ผ่านกระบวนการประเมินและตรวจสอบความถูกต้อง แบรนด์บัตรชำระเงินจะเรียกเก็บค่าปรับและบทลงโทษอื่นๆ เมื่อผู้ค้าหรือผู้ให้บริการไม่สามารถพิสูจน์การปฏิบัติตามข้อกำหนดได้ การตรวจสอบการปฏิบัติตามข้อกำหนดจะดำเนินการเป็นรายปีหรือรายไตรมาสด้วยวิธีการที่เหมาะสมกับปริมาณธุรกรรมขององค์กร: ^{[ 3 ]}

• แบบสอบถามประเมินตนเอง (SAQ)
• ผู้ประเมินความปลอดภัยภายใน องค์กร (ISA) เฉพาะสำหรับแต่ละบริษัท
• ผู้ประเมินความปลอดภัยที่ผ่านการรับรองจากภายนอก(QSA)

ก่อนที่ PCI DSS จะเปิดตัว การรักษาความปลอดภัยข้อมูลบัตรชำระเงินได้รับการจัดการโดยแบรนด์บัตรชำระเงินหลัก 5 แบรนด์ ได้แก่Visa , Mastercard , American Express , DiscoverและJCB ^{[ 4 ] [ 5} ] แต่ละแบรนด์มีโปรแกรมรักษาความปลอดภัยที่เป็น ^{อิสระ}ที่แตกต่างกัน: ^{[ 6 ]}

• โปรแกรมรักษาความปลอดภัยข้อมูลผู้ถือบัตรของวีซ่า^{[ 7 ] [ 6 ]}
• การปกป้องข้อมูลเว็บไซต์ของ Mastercard ^{[ 6 ]}
• นโยบายการดำเนินงานด้านความปลอดภัยข้อมูลของ American Express ^{[ 6 ]}
• ความปลอดภัยของข้อมูลและการปฏิบัติตามข้อกำหนดของ Discover ^{[ 6 ]}
• โปรแกรมความปลอดภัยข้อมูลของ JCB ^{[ 6 ]}

เจตนารมณ์ของแต่ละฝ่ายคล้ายคลึงกันโดยประมาณ คือ การสร้างระดับการป้องกันเพิ่มเติมสำหรับผู้ออกบัตร โดยการรับรองว่าร้านค้าปฏิบัติตามมาตรฐานความปลอดภัยขั้นต่ำเมื่อจัดการบัตรชำระเงินและข้อมูลบัญชีที่เกี่ยวข้อง เนื่องจากการฉ้อโกงบัตรชำระเงินเพิ่มสูงขึ้นในช่วงปลายทศวรรษ 1990 และต้นทศวรรษ 2000 ^{[ 8 ]}แบรนด์บัตรชำระเงินรายใหญ่จึงรู้สึกถึงความจำเป็นที่เพิ่มขึ้นในการปรับปรุงและรวมมาตรฐานความปลอดภัยของข้อมูลเหล่านี้^{[ 9 ]}แต่ละโปรแกรมมีวิธีการและแนวทางของตนเองเกี่ยวกับการตรวจสอบความถูกต้อง การประเมิน และข้อกำหนดการปฏิบัติตาม^{[ 6 ]}เพื่อแก้ไขปัญหาการทำงานร่วมกันระหว่างมาตรฐานที่มีอยู่ ความพยายามร่วมกันของแบรนด์บัตรชำระเงินเหล่านี้ส่งผลให้มีการเปิดตัว PCI DSS เวอร์ชัน 1.0 ในเดือนธันวาคม 2004 ^{[ 9 ]}จากนั้นแบรนด์บัตรชำระเงินหลักได้ก่อตั้งสภามาตรฐานความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (PCI SSC) ^{[ 10 ]}และปรับนโยบายของตนให้สอดคล้องกันเพื่อสร้าง PCI DSS ^{[ 11 ]}ตั้งแต่นั้นมา PCI DSS ได้ถูกนำไปใช้และปฏิบัติตามโดยองค์กรจำนวนมากทั่วโลก^{[ 6 ]}

MasterCard, American Express, Visa, JCB International และ Discover Financial Services ได้ก่อตั้ง PCI SSC ขึ้นในเดือนกันยายน พ.ศ. 2549 ในฐานะหน่วยงานบริหารและกำกับดูแลระดับโลกที่กำหนดให้มีการวิวัฒนาการและพัฒนา PCI DSS ^{[ 12 ]}องค์กรเอกชนอิสระยังสามารถมีส่วนร่วมในการพัฒนา PCI ในฐานะส่วนหนึ่งของโครงการองค์กรที่เข้าร่วมสภามาตรฐานความปลอดภัย PCI (PCI Security Standards Council Participating Organization Program) ในการเข้าร่วมโครงการดังกล่าว องค์กรจะต้องลงทะเบียนเป็นองค์กรที่เข้าร่วม PCI SSC (PO) แต่ละองค์กรที่เข้าร่วมจะเข้าร่วม SIG (Special Interest Group) และมีส่วนร่วมในกิจกรรมที่กลุ่มกำหนด

PCI DSS เป็นเอกสารที่มีการปรับปรุงอย่างต่อเนื่องโดย PCI Security Standards Council (PCI SSC) PCI SSC จะออกเวอร์ชันอัปเดตหลัก เช่น เวอร์ชัน 4.0 ประมาณทุกๆ สองสามปี การอัปเดตย่อย เช่น เวอร์ชัน 4.0.1 จะออกบ่อยกว่าและโดยทั่วไปจะเพิ่มการเปลี่ยนแปลงเล็กน้อยหรือคำชี้แจงเพิ่มเติม^{[ 13 ]}เมื่อมีการออกเวอร์ชันอัปเดต องค์กรจะมีช่วงเวลาเปลี่ยนผ่านซึ่งพวกเขาจะต้องทำความคุ้นเคยกับการเปลี่ยนแปลงใหม่และเริ่มตรวจสอบให้แน่ใจว่าสอดคล้องกับเวอร์ชันปัจจุบัน^{[ 13 ]}ในช่วงเวลาเปลี่ยนผ่าน องค์กรจะต้องปฏิบัติตามเวอร์ชันปัจจุบันหรือเวอร์ชันก่อนหน้าเท่านั้น^{[ 14 ]}เวอร์ชันต่อไปนี้ของ PCI DSS ได้รับการเผยแพร่แล้ว: ^{[ 15 ]}

PCI DSS มีข้อกำหนดการปฏิบัติตาม 12 ข้อ ซึ่งจัดเป็นกลุ่มที่เกี่ยวข้อง 6 กลุ่มที่เรียกว่าวัตถุประสงค์การควบคุม: ^{[ 1 ]}

1. สร้างและบำรุงรักษา เครือข่าย และระบบที่ปลอดภัย
2. ปกป้องข้อมูลผู้ถือบัตร
3. ดำเนินการตามโปรแกรมการจัดการช่องโหว่
4. ดำเนินการ มาตรการควบคุมการเข้าถึงที่เข้มงวด
5. ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ
6. รักษาไว้ซึ่งนโยบายความปลอดภัยของข้อมูล

มาตรฐาน PCI DSS แต่ละเวอร์ชันได้แบ่งกลุ่มข้อกำหนดทั้งหกกลุ่มนี้แตกต่างกันออกไป แต่ข้อกำหนดทั้งสิบสองข้อนั้นยังคงไม่เปลี่ยนแปลงนับตั้งแต่เริ่มใช้มาตรฐานนี้ ข้อกำหนดและข้อกำหนดย่อยแต่ละข้อแบ่งออกเป็นสามส่วน:

1. ข้อกำหนด PCI DSS: กำหนดข้อกำหนด การรับรอง PCI DSS จะเกิดขึ้นเมื่อมีการนำข้อกำหนดนั้นไปใช้แล้ว
2. การทดสอบ: กระบวนการและวิธีการที่ผู้ประเมินดำเนินการเพื่อยืนยันการดำเนินการที่ถูกต้อง
3. คำแนะนำ: อธิบายวัตถุประสงค์ของข้อกำหนดและเนื้อหาที่เกี่ยวข้อง ซึ่งจะช่วยในการกำหนดข้อกำหนดนั้นได้อย่างถูกต้อง

ใน PCI DSS เวอร์ชัน 4.0.1 มีข้อกำหนด 12 ข้อดังนี้: ^{[ 2 ]}

1. ติดตั้งและบำรุงรักษาระบบควบคุมความปลอดภัยของเครือข่าย
2. กำหนดค่าการรักษาความปลอดภัยให้กับส่วนประกอบระบบทั้งหมด
3. ปกป้องข้อมูลบัญชีที่บันทึกไว้
4. ปกป้องข้อมูลผู้ถือบัตรด้วยการเข้ารหัสที่แข็งแกร่งระหว่างการส่งผ่านเครือข่ายสาธารณะ
5. ปกป้องระบบและเครือข่ายทั้งหมดจากมัลแวร์
6. พัฒนาและดูแลรักษาระบบและซอฟต์แวร์ที่มีความปลอดภัย
7. จำกัดการเข้าถึงส่วนประกอบของระบบและข้อมูลผู้ถือบัตรตามความจำเป็น ทางธุรกิจ เท่านั้น
8. ระบุตัวผู้ใช้และยืนยันสิทธิ์การเข้าถึงส่วนประกอบของระบบ
9. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรโดยตรง
10. บันทึกและตรวจสอบการเข้าถึงส่วนประกอบระบบและข้อมูลผู้ถือบัตรทั้งหมด
11. ทดสอบความปลอดภัยของระบบและเครือข่ายอย่างสม่ำเสมอ
12. สนับสนุนการรักษาความปลอดภัยของข้อมูลด้วยนโยบายและโครงการขององค์กร

PCI SSC (Payment Card Industry Security Standards Council) ได้เผยแพร่ข้อมูลเพิ่มเติมเพื่อชี้แจงข้อกำหนดต่างๆ ซึ่งรวมถึง:

• ข้อมูลเพิ่มเติม: ข้อกำหนด 11.3 การทดสอบการเจาะระบบ
• เอกสารเพิ่มเติม: ข้อกำหนด 6.6 การตรวจสอบโค้ดและไฟร์วอลล์แอปพลิเคชัน (ชี้แจงเพิ่มเติม)
• การทำความเข้าใจมาตรฐาน PCI DSS - ความเข้าใจในเจตนารมณ์ของข้อกำหนด
• แนวทางปฏิบัติ PCI DSS ไร้สาย^{[ 22 ]}
• ความเหมาะสมของ PCI DSS ในสภาพแวดล้อม EMV
• แนวทางการจัดลำดับความสำคัญสำหรับ PCI DSS
• เครื่องมือแนวทางการจัดลำดับความสำคัญ
• คู่มืออ้างอิงฉบับย่อ PCI DSS
• แนวทางปฏิบัติเกี่ยวกับการจำลองเสมือนของ PCI DSS
• แนวทางการสร้างโทเค็นตามมาตรฐาน PCI DSS
• แนวทางการประเมินความเสี่ยง PCI DSS 2.0
• วงจรชีวิตของการเปลี่ยนแปลงมาตรฐาน PCI DSS และ PA-DSS
• แนวทางการกำหนดขอบเขตและการแบ่งส่วน PCI DSS
• ศูนย์รวมทรัพยากร PCI DSS v4.0 ^{[ 23 ]}
• สรุปการเปลี่ยนแปลง PCI DSS: v4.0 ถึง v4.0.1 ^{[ 21 ]}

ร้านค้าที่จัดเก็บ ประมวลผล และส่งข้อมูลผู้ถือบัตรอยู่ภายใต้มาตรฐาน PCI DSS ดังนั้นจึงต้องถือว่าเป็นไปตามมาตรฐาน PCI กรอบงาน PCI DSS จัดประเภทหน่วยงานเหล่านี้เป็นระดับร้านค้าที่กำหนดประเภทของการรายงานที่ธุรกิจต้องดำเนินการเพื่อให้เป็นไปตามข้อกำหนด^{[ 6 ]}ระดับร้านค้าของธุรกิจจะถูกกำหนดโดยขนาดของชุดข้อมูล ซึ่งหมายถึงจำนวนธุรกรรมที่ธุรกิจดำเนินการในแต่ละปี^{[ 24 ]}ผู้รับชำระเงินหรือแบรนด์การชำระเงินอาจกำหนดระดับการรายงานให้กับองค์กรด้วยตนเองตามดุลยพินิจของตน^{[ 25 ]}ไม่ใช่ทุกแบรนด์บัตรชำระเงินที่ใช้ระดับร้านค้าทั้งสี่ระดับ และปริมาณธุรกรรมของแต่ละระดับอาจแตกต่างกันไปในแต่ละแบรนด์บัตรชำระเงิน^{[ 4 ]}ตัวอย่างเช่น Visa มีเพียงสามระดับร้านค้า^{[ 26 ]}ระดับร้านค้าที่ยอมรับโดยทั่วไปสี่ระดับ ได้แก่: ^{[ 4 ] [ 6 ]}

• ระดับ 1 – มีธุรกรรมมากกว่าหกล้านรายการต่อปี
• ระดับ 2 – จำนวนธุรกรรมระหว่าง 1 ถึง 6 ล้านรายการต่อปี
• ระดับ 3 – มีธุรกรรมระหว่าง 20,000 ถึง 1 ล้านรายการต่อปี และครอบคลุมผู้ค้าอีคอมเมิร์ซทุกราย
• ระดับ 4 – จำนวนธุรกรรมน้อยกว่า 20,000 รายการต่อปี

ผู้ออกบัตรแต่ละรายจะเก็บตารางระดับการปฏิบัติตามข้อกำหนดและตารางสำหรับผู้ให้บริการ^{[ 27 ] [ 28 ]}

ตามมาตรฐาน PCI DSS ผู้ให้บริการบุคคลที่สามที่จัดเก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตร หรือเข้าถึงข้อมูลบัญชีของลูกค้าจะต้องปฏิบัติตามมาตรฐาน PCI DSS ^{[ 2 ]}ผู้ให้บริการอาจรวมถึงผู้จำหน่ายซอฟต์แวร์การชำระเงินซอฟต์แวร์เป็นบริการ (SaaS) ศูนย์ข้อมูลและหน่วยงานอื่นๆ ดังกล่าว^{[ 2 ]}ผู้ให้บริการจะต้องพิสูจน์การปฏิบัติตามมาตรฐาน PCI DSS ผ่านกระบวนการประเมิน ประเภทของกระบวนการรายงานที่ผู้ให้บริการต้องดำเนินการจะขึ้นอยู่กับประเภทของผู้ให้บริการ^{[ 10 ]}ผู้ให้บริการจะถูกจำแนกตามระดับ ซึ่งกำหนดการรายงานที่จำเป็นสำหรับการปฏิบัติตาม^{[ 29 ]}ผู้ให้บริการสองระดับ ได้แก่: ^{[ 29 ]}

• ระดับ 1:
  • ผู้ประมวลผลข้อมูลภายนอกทั้งหมด (TPPs)
  • ผู้ให้บริการกระเป๋าเงินดิจิทัลแบบแบ่งขั้นตอนทั้งหมด (SDWOs)
  • ผู้ให้บริการกิจกรรมดิจิทัลทั้งหมด (DASPs)
  • ผู้ให้บริการชำระเงินทางธุรกิจทั้งหมด (BPSPs)
  • ผู้ให้บริการโทเค็นทั้งหมด (TSPs)
  • ผู้ให้บริการ 3-D Secureทั้งหมด(3-DSSPs)
  • ผู้ให้บริการผ่อนชำระทั้งหมด (ISP)
  • ระบบชำระเงินสำหรับร้านค้าทุกแห่ง (MPGs)
  • ผู้ให้บริการด้านการป้องกันการฟอกเงิน/การคว่ำบาตร หน่วยงานจัดเก็บข้อมูล (DSE) และผู้ให้บริการด้านการชำระเงิน (PF) ทั้งหมดที่มีธุรกรรม Mastercard และ Maestro รวมกันมากกว่า 300,000 รายการต่อปี

• ระดับ 2:
  • ผู้ให้บริการ AML/การคว่ำบาตร, DSEs6 และ PFs ทั้งหมดที่มีธุรกรรม Mastercard และ Maestro รวมกันไม่เกิน 300,000 รายการต่อปี
  • ผู้ให้บริการเทอร์มินัลทั้งหมด (TSs)

แบรนด์บัตรชำระเงินมักกำหนดให้ทั้งผู้ค้าและผู้ให้บริการต้องแสดงให้เห็นถึงการปฏิบัติตามมาตรฐาน PCI DSS ^{[ 26 ]}การปฏิบัติตามมาตรฐาน PCI DSS เกี่ยวข้องกับการนำมาตรการควบคุมความปลอดภัยที่สอดคล้องกับข้อกำหนดทั้งหมดของ PCI DSS มาใช้ และผ่านกระบวนการประเมิน PCI DSS เพื่อให้ได้รับการรับรองการปฏิบัติตามมาตรฐาน^{[ 4 ]}แบรนด์บัตรเครดิตรายใหญ่บังคับใช้การปฏิบัติตามมาตรฐาน PCI DSS ^{[ 4 ]}โดยการออกค่าปรับให้กับผู้ค้าที่ไม่ได้รับการรับรองการปฏิบัติตามมาตรฐาน^{[ 30 ]}ผู้ค้าและผู้ให้บริการลงนามในสัญญาธุรกิจกับผู้ประมวลผลการชำระเงินและแบรนด์บัตรชำระเงิน ซึ่งระบุค่าปรับและค่าธรรมเนียมดังกล่าว^{[ 5 ]}ในกรณีที่ผู้ค้าละเมิดการปฏิบัติตามมาตรฐาน แบรนด์บัตรชำระเงินจะออกค่าปรับให้กับธนาคารผู้รับชำระเงิน ซึ่งจากนั้นจะปรับหรือลงโทษผู้ค้าที่ไม่ปฏิบัติตามมาตรฐาน^{[ 31 ]}การได้รับการรับรองการปฏิบัติตามมาตรฐาน PCI DSS และการดำเนินการตามกระบวนการประเมินอาจมีความซับซ้อน ซึ่งเป็นเหตุผลว่าทำไมธุรกิจจำนวนมากจึงมักประสบปัญหาในเรื่องนี้ จากรายงานความปลอดภัยการชำระเงินปี 2018 ของ Verizon พบว่า 47.5% ขององค์กรไม่ปฏิบัติตามมาตรฐาน PCI DSS ในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐานชั่วคราว จำนวนองค์กรที่บรรลุการปฏิบัติตามกฎระเบียบเพิ่มขึ้นอย่างต่อเนื่องในช่วงต้นทศวรรษ 2010 แต่การเพิ่มขึ้นนี้อาจลดลงในช่วงไม่กี่ปีที่ผ่านมา^{[ 32 ]}

การตรวจสอบการปฏิบัติตามข้อกำหนดเกี่ยวข้องกับการประเมินและการยืนยันว่าการควบคุมและขั้นตอนการรักษาความปลอดภัยได้รับการดำเนินการตามมาตรฐาน PCI DSS การตรวจสอบจะเกิดขึ้นผ่านการประเมินประจำปี ไม่ว่าจะโดยหน่วยงานภายนอกหรือโดยการประเมินตนเอง^{[ 33 ]}กระบวนการประเมินประกอบด้วยขั้นตอนต่อไปนี้: ^{[ 2 ]}

1. ยืนยันขอบเขตของการประเมิน PCI DSS
2. ดำเนินการประเมินสภาพแวดล้อมตามมาตรฐาน PCI DSS
3. กรอกรายงานที่เกี่ยวข้องสำหรับการประเมินให้ครบถ้วนตามคำแนะนำและข้อกำหนดของ PCI DSS
4. กรอกแบบฟอร์มรับรองการปฏิบัติตามข้อกำหนดสำหรับผู้ให้บริการหรือผู้ค้า (แล้วแต่กรณี) ให้ครบถ้วนสมบูรณ์
5. ส่งเอกสาร PCI SSC ที่เกี่ยวข้องและหนังสือรับรองการปฏิบัติตามข้อกำหนด พร้อมเอกสารอื่น ๆ ที่ร้องขอไปยังองค์กรที่ร้องขอ (เช่น องค์กรที่จัดการโปรแกรมการปฏิบัติตามข้อกำหนด เช่น แบรนด์การชำระเงินและผู้รับชำระเงิน (สำหรับผู้ค้า) หรือผู้ร้องขออื่น ๆ (สำหรับผู้ให้บริการ))

รายงานการตรวจสอบการปฏิบัติตามข้อกำหนด (Report on Compliance หรือ ROC) จัดทำโดยผู้ประเมินความปลอดภัยที่ผ่านการรับรองจาก PCI (PCI Qualified Security Assessor หรือ QSA) โดยมีวัตถุประสงค์เพื่อให้การตรวจสอบที่เป็นอิสระเกี่ยวกับการปฏิบัติตามมาตรฐาน PCI DSS ขององค์กร เมื่อทำการตรวจสอบ ROC เสร็จสมบูรณ์ จะได้เอกสารสองฉบับ ได้แก่ แบบฟอร์มรายงาน ROC ที่มีรายละเอียดของการทดสอบที่ดำเนินการ และหนังสือรับรองการปฏิบัติตามข้อกำหนด (Attestation of Compliance หรือ AOC) ที่บันทึกว่าได้ทำการตรวจสอบ ROC เสร็จสมบูรณ์แล้ว และข้อสรุปโดยรวมของการตรวจสอบ ROC

แบบสอบถามการประเมินตนเอง PCI DSS (SAQ) เป็นเครื่องมือตรวจสอบที่ออกแบบมาสำหรับผู้ค้าและผู้ให้บริการขนาดเล็กถึงขนาดกลาง เพื่อประเมินสถานะการปฏิบัติตามมาตรฐาน PCI DSS ของตนเอง แบบสอบถาม SAQ มีหลายประเภท โดยแต่ละประเภทมีความยาวแตกต่างกันไป ขึ้นอยู่กับประเภทขององค์กรและรูปแบบการชำระเงินที่ใช้ คำถามในแบบสอบถาม SAQ แต่ละข้อมีคำตอบเป็นใช่หรือไม่ใช่ และหากตอบว่า "ไม่ใช่" องค์กรจะต้องระบุถึงการดำเนินการในอนาคต เช่นเดียวกับ ROC จะต้องมีการกรอกแบบฟอร์มรับรองการปฏิบัติตามมาตรฐาน (AOC) โดยอิงจากแบบสอบถาม SAQ ด้วย

สภามาตรฐานความปลอดภัย PCI มีโครงการรับรองบริษัทและบุคคลากรในการดำเนินกิจกรรมประเมินความปลอดภัย

ผู้ประเมินความปลอดภัยที่มีคุณสมบัติ (QSA) คือบุคคลที่ได้รับการรับรองจากสภามาตรฐานความปลอดภัย PCI เพื่อตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS ของหน่วยงานอื่น QSA จะต้องได้รับการว่าจ้างและสนับสนุนโดยบริษัท QSA ซึ่งจะต้องได้รับการรับรองจากสภามาตรฐานความปลอดภัย PCI ด้วยเช่นกัน^{[ 34 ] [ 35 ]}

ผู้ประเมินความปลอดภัยภายใน (ISA) คือบุคคลที่ได้รับใบรับรองจากสภามาตรฐานความปลอดภัย PCI สำหรับองค์กรที่ให้การสนับสนุน และสามารถดำเนินการประเมินตนเอง PCI สำหรับองค์กรของตนได้ โปรแกรม ISA ได้รับการออกแบบมาเพื่อช่วยให้ผู้ค้าระดับ 2 ปฏิบัติตามข้อกำหนดการตรวจสอบการปฏิบัติตามข้อกำหนดของ Mastercard ^{[ 36 ]}การรับรอง ISA ช่วยให้บุคคลสามารถประเมินองค์กรของตนและเสนอแนวทางแก้ไขและควบคุมความปลอดภัยสำหรับการปฏิบัติตาม PCI DSS ได้ ISA มีหน้าที่ในการประสานงานและมีส่วนร่วมกับ QSA ^{[ 33 ]}

แม้ว่า PCI DSS จะต้องถูกนำไปใช้โดยหน่วยงานทั้งหมดที่ประมวลผล จัดเก็บ หรือส่งข้อมูลผู้ถือบัตรและ/หรือข้อมูลการตรวจสอบความถูกต้องที่ละเอียดอ่อน หรืออาจส่งผลกระทบต่อความปลอดภัยของข้อมูลดังกล่าว^{[ 2 ]}แต่การตรวจสอบความถูกต้องอย่างเป็นทางการของการปฏิบัติตาม PCI DSS นั้นไม่จำเป็นสำหรับหน่วยงานทั้งหมดVisaและMastercardกำหนดให้ผู้ค้าและผู้ให้บริการต้องได้รับการตรวจสอบความถูกต้องตาม PCI DSS นอกจากนี้ Visa ยังมีโปรแกรมนวัตกรรมเทคโนโลยี (TIP) ซึ่งเป็นโปรแกรมทางเลือกที่อนุญาตให้ผู้ค้าที่มีคุณสมบัติสามารถยกเลิกการประเมินการตรวจสอบความถูกต้องของ PCI DSS ประจำปีได้ ผู้ค้ามีสิทธิ์หากพวกเขาใช้มาตรการป้องกันการทุจริตทางเลือกอื่น เช่น การใช้EMVหรือ การเข้ารหัสแบบจุด ต่อ จุด

ธนาคารผู้ออกบัตรไม่จำเป็นต้องผ่านการตรวจสอบตามมาตรฐาน PCI DSS แต่ต้องรักษาความปลอดภัยของข้อมูลสำคัญในลักษณะที่สอดคล้องกับ PCI DSS ส่วนธนาคารผู้รับชำระเงินต้องปฏิบัติตามมาตรฐาน PCI DSS และต้องได้รับการตรวจสอบ การปฏิบัติตาม มาตรฐานดังกล่าว ในกรณีที่เกิดการละเมิดความปลอดภัย หน่วยงานใดก็ตามที่ไม่ปฏิบัติตามมาตรฐาน PCI DSS ในขณะที่เกิดการละเมิด อาจต้องรับโทษเพิ่มเติม (เช่น ค่าปรับ) จากบริษัทผู้ผลิตบัตรหรือธนาคารผู้รับชำระเงิน

ไม่มีหน่วยงาน/องค์กรกำกับดูแลใดที่กำหนดหรือบังคับใช้การปฏิบัติตาม PCI DSS แต่หากข้อกำหนดใดๆ ของ PCI DSS ขัดแย้งกับกฎหมายของประเทศ รัฐ หรือท้องถิ่น กฎหมายนั้นจะมีผลบังคับใช้^{[ 2 ]}ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป(GDPR) เป็นมาตรฐานทางกฎหมายที่ควบคุมข้อมูลส่วนบุคคล GDPR มีมาตรฐานการควบคุมความปลอดภัยที่คล้ายคลึงกับ PCI DSS ในส่วนที่เกี่ยวกับข้อมูลผู้ถือบัตร เนื่องจากข้อมูลผู้ถือบัตรถือเป็นข้อมูลส่วนบุคคลรูปแบบหนึ่งภายใต้ GDPR ^{[ 37 ]}ดังนั้น สำหรับองค์กรในยุโรปหลายแห่ง การละเมิด PCI DSS มักจะถือเป็นการละเมิด GDPR ด้วย ซึ่งอาจส่งผลให้ถูกปรับจากทั้งแบรนด์บัตรชำระเงินรายใหญ่และสหภาพยุโรป^{[ 31 ] [ 37 ]}ค่าปรับ GDPR เหล่านี้อาจสูงถึง "20 ล้านยูโรหรือ 4% ของยอดขายทั่วโลกต่อปี" (แล้วแต่จำนวนใดจะมากกว่า) ^{[ 31 ]}

แม้ว่ากฎหมายของรัฐบาลกลางใน สหรัฐอเมริกาจะไม่กำหนดให้ต้องปฏิบัติตาม PCI DSS ^{[ 38 ]}แต่กฎหมายของบางรัฐในสหรัฐอเมริกาได้อ้างอิงถึง PCI DSS โดยตรงหรือมีบทบัญญัติที่เทียบเท่ากัน ในปี 2550 รัฐมินนิโซตาได้ออกกฎหมายห้ามการเก็บรักษาข้อมูลบัตรชำระเงินบางประเภทนานเกิน 48 ชั่วโมงหลังจากอนุมัติธุรกรรม^{[ 39 ] [ 40 ]}รัฐเนวาดาได้รวมมาตรฐานนี้เข้าไว้ในกฎหมายของรัฐในอีกสองปีต่อมา โดยกำหนดให้ผู้ค้าที่ดำเนินธุรกิจในรัฐนั้นต้องปฏิบัติตาม PCI DSS ฉบับปัจจุบัน และคุ้มครองหน่วยงานที่ปฏิบัติตามจากความรับผิด กฎหมายของเนวาดายังอนุญาตให้ผู้ค้าหลีกเลี่ยงความรับผิดโดยใช้มาตรฐานความปลอดภัยอื่น ๆ ที่ได้รับการอนุมัติ^{[ 41 ] [ 42 ]}ในปี 2553 รัฐวอชิงตันก็ได้รวมมาตรฐานนี้เข้าไว้ในกฎหมายของรัฐเช่นกัน แตกต่างจากกฎหมายของเนวาดา หน่วยงานไม่จำเป็นต้องปฏิบัติตาม PCI DSS อย่างไรก็ตาม หน่วยงานที่ปฏิบัติตามจะได้รับการคุ้มครองจากความรับผิดในกรณีที่ข้อมูลรั่วไหล^{[ 43 ] [ 42 ]}นักวิชาการด้านกฎหมาย Edward Morse และ Vasant Raval กล่าวว่า การบัญญัติการปฏิบัติตาม PCI DSS ไว้ในกฎหมาย ทำให้เครือข่ายบัตรเปลี่ยนภาระต้นทุนการฉ้อโกงจากผู้ออกบัตรไปยังผู้ค้า^{[ 42 ]}

แบรนด์บัตรชำระเงินรายใหญ่เรียกเก็บค่าปรับสำหรับการไม่ปฏิบัติตามข้อกำหนด เจ้าของธุรกิจบางราย โดยเฉพาะเจ้าของธุรกิจขนาดเล็ก^{[ 44 ]}วิพากษ์วิจารณ์ระบบ PCI DSS เนื่องจากแบรนด์บัตรชำระเงินเรียกเก็บค่าปรับจากธุรกิจแม้ว่าจะไม่มีการฉ้อโกงเกิดขึ้นก็ตาม สตีเฟนและธีโอโดรา "ซิสซี" แมคคอมบ์ เจ้าของร้านอาหารขนาดเล็กชื่อ Cisero's Ristorante and Nightclub ในเมืองพาร์คซิตี้ รัฐยูทาห์ถูกปรับเนื่องจากการละเมิดซึ่งบริษัทนิติวิทยาศาสตร์สองแห่งไม่พบหลักฐาน พวกเขาอ้างว่าระบบ PCI DSS มีอยู่เพื่อให้แบรนด์บัตรรายใหญ่แสวงหาผลกำไรจากบริษัทผู้ค้าเหล่านี้มากกว่าที่จะรับประกันความปลอดภัยของข้อมูลผู้ถือบัตร^{[ 45 ]}

ไมเคิล โจนส์ ซึ่งดำรงตำแหน่ง CIOของไมเคิลส์ในขณะนั้น ได้ให้การเป็นพยานต่อหน้าคณะอนุกรรมการรัฐสภาสหรัฐฯ เกี่ยวกับ PCI DSS: ^{[ 46 ]}

[ข้อกำหนด PCI DSS] มีค่าใช้จ่ายสูงมากในการนำไปปฏิบัติ มีความซับซ้อนในการปฏิบัติตาม และท้ายที่สุดแล้วก็ขึ้นอยู่กับดุลพินิจ ทั้งในด้านการตีความและการบังคับใช้ มักมีการกล่าวกันว่ามี "ข้อกำหนด" เพียงสิบสองข้อสำหรับการปฏิบัติตามมาตรฐาน PCI แต่ในความเป็นจริงแล้วมีข้อกำหนดย่อยมากกว่า 220 ข้อ ซึ่งบางข้ออาจสร้างภาระอย่างมหาศาลให้กับผู้ค้าปลีกและหลายข้อก็ขึ้นอยู่กับการตีความ

ผู้สนับสนุนมาตรฐาน PCI DSS ยืนยันว่า PCI DSS อาจบังคับให้ธุรกิจต่างๆ ให้ความสำคัญกับความปลอดภัยด้านไอทีมากขึ้น แม้ว่ามาตรฐานขั้นต่ำอาจไม่เพียงพอที่จะขจัดปัญหาด้านความปลอดภัยได้ทั้งหมดก็ตามบรูซ ชไนเออร์กล่าวสนับสนุนมาตรฐานนี้ว่า:

กฎระเบียบ—SOX, HIPAA , GLBA, PCI ของอุตสาหกรรมบัตรเครดิต, กฎหมายการเปิดเผยข้อมูลต่างๆ, กฎหมายคุ้มครองข้อมูลของยุโรป และอื่นๆ—เป็นไม้ที่ดีที่สุดที่อุตสาหกรรมค้นพบเพื่อใช้ตีหัวบริษัทต่างๆ และมันก็ได้ผล กฎระเบียบบังคับให้บริษัทต่างๆ ให้ความสำคัญกับความปลอดภัยมากขึ้น และขายผลิตภัณฑ์และบริการได้มากขึ้น^{[ 47 ]}

บ็อบ รัสโซ ผู้จัดการทั่วไปของ PCI Council ได้ตอบข้อโต้แย้งจากสมาคมค้าปลีกแห่งชาติ (National Retail Federation)ดังนี้:

[PCI เป็นการผสมผสานที่มีโครงสร้าง ... [ของ] ความเฉพาะเจาะจงและแนวคิดระดับสูง [ที่ช่วยให้] ผู้มีส่วนได้ส่วนเสียมีโอกาสและความยืดหยุ่นในการทำงานร่วมกับผู้ประเมินความปลอดภัยที่มีคุณสมบัติ (QSA) เพื่อกำหนดการควบคุมความปลอดภัยที่เหมาะสมภายในสภาพแวดล้อมของพวกเขาซึ่งตรงตามเจตนารมณ์ของมาตรฐาน PCI ^{[ 48 ]}

เอลเลน ริชีย์ อดีตหัวหน้าเจ้าหน้าที่บริหารความเสี่ยงองค์กรของวีซ่า กล่าวในปี 2018 ว่า "ยังไม่พบว่าหน่วยงานใดที่ได้รับผลกระทบปฏิบัติตามมาตรฐาน PCI DSS ในขณะที่เกิดการละเมิด" ^{[ 49 ]}อย่างไรก็ตาม การละเมิดข้อมูลของHeartland Payment Systems ในปี 2008 (ซึ่งได้รับการตรวจสอบว่าสอดคล้องกับ PCI DSS) ส่งผลให้หมายเลขบัตรมากกว่าหนึ่งร้อยล้านหมายเลขถูกละเมิด^{[ 50 ]}ในช่วงเวลาเดียวกันนั้นHannaford BrothersและTJX Companies (ซึ่งได้รับการตรวจสอบว่าสอดคล้องกับ PCI DSS เช่นกัน) ก็ถูกละเมิดในลักษณะเดียวกัน อันเป็นผลมาจากความพยายามที่ประสานงานกันของอัลเบิร์ต กอนซาเลซและแฮกเกอร์ชาวรัสเซียสองคนที่ไม่ระบุชื่อ^{[ 51 ] [ 50 ]}ในเดือนธันวาคม 2013 บัญชีลูกค้าของ Target มากกว่าสี่สิบล้านบัญชีถูกละเมิดในการละเมิดข้อมูล^{[ 52 ] [ 50 ]}จอห์น มัลลิแกน รองประธานบริหารและประธานเจ้าหน้าที่ฝ่ายการเงินของ Target ในขณะนั้น ยืนยันว่า Target ได้รับการรับรองว่าปฏิบัติตามมาตรฐาน PCI หลายเดือนก่อนเกิดการละเมิดในเดือนกันยายน 2013 ^{[ 53 ]}ข่าวเกี่ยวกับเหตุการณ์ดังกล่าวแพร่กระจายไปทั่วและทำให้เกิดข้อสงสัยเกี่ยวกับความเพียงพอของ PCI DSS

การประเมินจะตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS ของผู้ค้าและผู้ให้บริการ ณ จุดเวลาใดเวลาหนึ่ง โดยมักใช้การสุ่มตัวอย่างเพื่อให้สามารถแสดงให้เห็นถึงการปฏิบัติตามมาตรฐานด้วยระบบและกระบวนการที่เป็นตัวแทน เป็นความรับผิดชอบของผู้ค้าและผู้ให้บริการที่จะต้องบรรลุ แสดงให้เห็น และรักษาการปฏิบัติตามมาตรฐานตลอดวงจรการตรวจสอบและการประเมินประจำปีในทุกระบบและกระบวนการ การไม่ปฏิบัติตามมาตรฐานที่กำหนดไว้อาจเป็นสาเหตุของการละเมิดข้อมูล ตัวอย่างเช่น บริษัท Hannaford Brothers ได้รับการรับรองการปฏิบัติตามมาตรฐาน PCI DSS หนึ่งวันหลังจากที่บริษัทได้รับทราบถึงการละเมิดระบบภายในที่เกิดขึ้นเป็นเวลานานถึงสองเดือน

การตรวจสอบการปฏิบัติตามข้อกำหนดจำเป็นสำหรับผู้ค้าในระดับ 1 ถึง 3 เท่านั้น และอาจเป็นทางเลือกสำหรับระดับ 4 ขึ้นอยู่กับแบรนด์บัตรและผู้รับชำระเงิน ตามรายละเอียดการตรวจสอบการปฏิบัติตามข้อกำหนดของ Visa สำหรับผู้ค้า ข้อกำหนดการตรวจสอบการปฏิบัติตามข้อกำหนดสำหรับผู้ค้าในระดับ 4 ("ผู้ค้าที่ดำเนินการธุรกรรมอีคอมเมิร์ซ Visa น้อยกว่า 20,000 รายการต่อปี และผู้ค้าอื่นๆ ทั้งหมดที่ดำเนินการธุรกรรม Visa ไม่เกิน 1 ล้านรายการต่อปี") กำหนดโดยผู้รับชำระเงินการรั่วไหลของบัตรชำระเงินมากกว่า 80 เปอร์เซ็นต์ระหว่างปี 2548 ถึง 2550 ส่งผลกระทบต่อผู้ค้าในระดับ 4 ซึ่งจัดการธุรกรรมดังกล่าว 32 เปอร์เซ็นต์^{[ 54 ]}

• ระบบบัตร
• การทดสอบการเจาะทะลุ
• การจัดการช่องโหว่
• เครือข่ายไร้สาย
• ระบบรักษาความปลอดภัยไร้สาย

• เว็บไซต์อย่างเป็นทางการของสภามาตรฐานความปลอดภัย PCI