ความปลอดภัย ข้อมูลส่วนบุคคล ข้อกำหนดค่าปรับและการปฏิบัติตามข้อกำหนด

ความปลอดภัย ข้อมูลส่วนบุคคล มาตรฐานความปลอดภัยข้อมูล เป็นมาตรฐานการรักษาความปลอดภัยทางไซเบอร์ที่ได้รับการสนับสนุนโดย บริษัท ประมวลผลบัตรเครดิตและการชำระเงินรายใหญ่ทั้งหมดที่มีเป้าหมายเพื่อรักษาหมายเลขบัตรเครดิตและบัตรเดบิตให้ปลอดภัย PCI DSS ย่อมาจากPayment Card Industry Data Security Standard มาตรฐานซึ่งบริหารโดยสภามาตรฐานความปลอดภัยของอุตสาหกรรมบัตรชำระเงินได้กำหนดการควบคุมความปลอดภัยทางไซเบอร์และแนวทางปฏิบัติทางธุรกิจที่ บริษัท ใด ๆ ที่รับชำระเงินด้วยบัตรเครดิตจะต้องดำเนินการ บริษัท ต่างๆสามารถแสดงให้เห็นว่าพวกเขาได้ปฏิบัติตามมาตรฐานโดยปฏิบัติตามข้อกำหนดการรายงานที่กำหนดโดยมาตรฐาน องค์กรเหล่านั้นที่ไม่สามารถปฏิบัติตามข้อกำหนดหรือพบว่าละเมิดมาตรฐานอาจถูกปรับ

[เรียนรู้8 คำถาม PCI DSS ที่ CISO ทุกคนควรจะตอบได้ | ลงทะเบียนเพื่อรับจดหมายข่าว CSO ]
PCI DSS ใช้ทำอะไร?
หมายเลขบัตรเครดิตและเดบิตน่าจะเป็นลำดับของตัวเลขที่มีค่าที่สุด: ใครก็ตามที่สามารถเข้าถึงหมายเลขเหล่านี้สามารถทำการซื้อที่หลอกลวงและระบายเงินออกจากบัญชีผู้ใช้ได้ทันที เนื่องจากโดยทั่วไปธนาคารและผู้ออกบัตรเครดิตอื่น ๆ จะคืนเงินให้ลูกค้าในสถานการณ์เหล่านี้พวกเขาจึงมีส่วนได้เสียในการตรวจสอบให้แน่ใจว่าหมายเลขบัตรเครดิตยังคงปลอดภัยเมื่อมีการส่งผ่านระบบนิเวศทางเศรษฐกิจ

การปฏิบัติตาม PCI DSS แสดงให้เห็นถึงพื้นฐานของการรักษาความปลอดภัยและเป็นไม่แน่นอนไม่ได้รับประกันการถูกแฮ็ก อย่างที่เราจะเห็นการปฏิบัติตามข้อกำหนดนั้นค่อนข้างซับซ้อนและยากที่จะพูดด้วยความมั่นใจว่าทุกแง่มุมของการรักษาความปลอดภัยขององค์กรนั้นเป็นไปตาม 100% ของเวลา บางคนแย้งว่า บริษัท บัตรเครดิตและการชำระเงินที่ทำขึ้นในการรักษาความปลอดภัย PCI คณะกรรมการมาตรฐานการใช้ PCI DSS เพื่อรับผิดชอบการรักษาความปลอดภัยและการเปลี่ยนแปลงภาระทางการเงินของการรั่วไหลเข้าสู่ร้านค้าปลีก

PCI DSS มีผลบังคับใช้เมื่อใด
การปฏิบัติตาม PCI DSS กลายเป็นข้อบังคับในการเปิดตัวเวอร์ชัน 1.0 ของมาตรฐานในวันที่ 15 ธันวาคม 2547 ( PCI DSS 3.2เป็นเวอร์ชันปัจจุบันของมาตรฐานและ4.0 อยู่ในการทำงาน ) แต่เราควรหยุดที่นี่เพื่อพูดคุยเกี่ยวกับสิ่งที่เรา หมายถึง “บังคับ” ในบริบทนี้ PCI DSS เป็นมาตรฐานความปลอดภัยไม่ใช่กฎหมาย การปฏิบัติตามข้อกำหนดนี้ได้รับคำสั่งจากสัญญาที่ร้านค้าลงนามกับแบรนด์บัตร (Visa, MasterCard ฯลฯ ) และกับธนาคารที่ดำเนินการชำระเงิน

และอย่างที่เราจะเห็นสำหรับ บริษัท ส่วนใหญ่ที่ปฏิบัติตามมาตรฐานสามารถทำได้โดยการกรอกแบบสอบถามที่รายงานด้วยตนเอง สำหรับร้านค้าเหล่านั้นการปฏิบัติตาม PCI DSS ส่วนใหญ่จะกลายเป็น “บังคับ” ในการพิจารณาย้อนหลัง: หากมีการละเมิดเกิดขึ้นซึ่งสามารถตรวจสอบย้อนกลับไปสู่ความล้มเหลวในการนำมาตรฐานไปใช้อย่างถูกต้องผู้ค้าจะถูกลงโทษโดยผู้ประมวลผลการชำระเงินและแบรนด์การ์ดของตนได้ ร้านค้าอาจต้องผ่านการประเมิน (และชำระเงิน) เพื่อให้แน่ใจว่าพวกเขาได้ปรับปรุงความปลอดภัยซึ่งเราจะพูดถึงในรายละเอียดเพิ่มเติมในบทความนี้ พวกเขาอาจต้องจ่ายค่าปรับด้วย บริษัท ขนาดใหญ่มากอาจต้องได้รับการประเมินที่ดำเนินการโดยบุคคลที่สามแม้ว่าพวกเขาจะไม่ได้รับความเสียหายก็ตาม

ค่าปรับ PCI DSS มาตรฐานความปลอดภัยข้อมูล
เมื่อร้านค้าลงนามในสัญญากับผู้ประมวลผลการชำระเงินพวกเขาตกลงที่จะถูกปรับหากไม่สามารถรักษาการปฏิบัติตามมาตรฐาน PCI DSS ค่าปรับอาจแตกต่างกันไปในแต่ละตัวประมวลผลการชำระเงินไปจนถึงผู้ประมวลผลการชำระเงินและมีขนาดใหญ่กว่าสำหรับ บริษัท ที่มีปริมาณการชำระเงินสูง มันอาจจะเป็นเรื่องยากที่ขาลงเป็นจำนวนเงินที่ดีทั่วไป แต่เป็นพาร์ทเนอร์ให้ช่วงบางอย่างในบล็อกโพสต์ ตัวอย่างเช่นค่าปรับจะได้รับการประเมินต่อเดือนของการไม่ปฏิบัติตามและการเรียกเก็บเงินต่อเดือนจะเพิ่มขึ้นเป็นระยะเวลานานดังนั้น บริษัท อาจจ่าย 5,000 ดอลลาร์ต่อเดือนหากพวกเขาไม่ปฏิบัติตามเป็นเวลาสามเดือน แต่ 50,000 ดอลลาร์ต่อเดือนหากเป็นไปตาม นานถึงเจ็ดเดือน นอกจากนี้ยังสามารถเรียกเก็บค่าปรับตั้งแต่ $ 50 ถึง $ 90 สำหรับลูกค้าแต่ละรายที่ได้รับผลกระทบจากการละเมิดข้อมูล

โปรดทราบอีกครั้งว่าสิ่งเหล่านี้ไม่ใช่ “ค่าปรับ” ในแง่เดียวกับที่กล่าวว่าคุณต้องจ่ายสำหรับการละเมิดกฎระเบียบของรัฐบาลหรือกฎหมายจราจร เป็นบทลงโทษที่สร้างขึ้นในสัญญาระหว่างผู้ค้าผู้ประมวลผลการชำระเงินและแบรนด์การ์ด โดยทั่วไปแล้วแบรนด์การ์ดจะปรับตัวประมวลผลการชำระเงินซึ่งจะปรับพ่อค้าได้และกระบวนการทั้งหมดไม่จำเป็นต้องอยู่บนพื้นฐานของหลักฐานมาตรฐานเดียวกับที่ศาลอาญาคาดหวังแม้ว่าข้อพิพาทจะจบลงในศาลแพ่ง

กรณีที่เกี่ยวข้องกับยูทาห์ 2012 ภัตตาคารและสตีเฟ่นแม็คคอม Cissy นำบางส่วนของโลกมืดของค่าปรับ PCI DSS มาแฉ ; McCombs อ้างว่าพวกเขาถูกกล่าวหาว่ามีการรักษาความปลอดภัยที่หละหลวมโดยไม่มีหลักฐานใด ๆ และ 10,000 ดอลลาร์ได้ถูกดูดออกจากบัญชีธนาคารของพวกเขาโดยผู้ประมวลผลการชำระเงินของพวกเขาอย่างไม่เหมาะสม ในปี 2013, เทนเนสซีร้านขายรองเท้า Genesco กลับมาต่อสู้กับ $ 13 ล้านดอลล่า PCI DSS ปรับระดับในการปลุกของการละเมิดข้อมูลที่สำคัญที่สุดก็ฟื้นตัว $ 9 ล้านในศาล

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้ ความปลอดภัย ข้อมูลส่วนบุคคล

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in