PCI DSS
มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงินกำหนดให้ทุกองค์กรที่ประมวลผล จัดเก็บ หรือส่งผ่านข้อมูลผู้ถือบัตรต้องมีโปรแกรมสร้างความตระหนักด้านความปลอดภัยอย่างเป็นทางการ Roleplays เปลี่ยนข้อกำหนดนั้นให้เป็นการฝึกอบรมที่วัดผลได้และน่าสนใจ
PCI DSS คืออะไร?
มาตรฐานความปลอดภัยข้อมูลของอุตสาหกรรมบัตรชำระเงิน (PCI DSS) คือมาตรฐานความปลอดภัยข้อมูลระดับโลกที่พัฒนาโดย PCI Security Standards Council ซึ่งก่อตั้งโดย Visa, Mastercard, American Express, Discover และ JCB ปัจจุบันอยู่ในเวอร์ชัน 4.0.1 PCI DSS กำหนดข้อกำหนดทางเทคนิคและการปฏิบัติงานเพื่อปกป้องข้อมูลผู้ถือบัตรตลอดวงจรการชำระเงิน
PCI DSS ใช้กับ องค์กรใดก็ตามที่รับ ประมวลผล จัดเก็บ หรือส่งผ่านข้อมูลบัตรเครดิต ซึ่งรวมถึงร้านค้าทุกขนาด ผู้ประมวลผลการชำระเงิน ผู้รับบัตร ผู้ออกบัตร และผู้ให้บริการ ในทางปฏิบัติหมายความว่าพนักงานคอลเซ็นเตอร์ที่รับหมายเลขบัตรทางโทรศัพท์ พนักงานร้านค้าปลีกที่ประมวลผลธุรกรรม และทีมไอทีที่ดูแลโครงสร้างพื้นฐานการชำระเงิน ล้วนอยู่ในขอบเขตทั้งสิ้น
การไม่ปฏิบัติตามอาจส่งผลให้ถูกปรับตั้งแต่ 5,000 ถึง 100,000 ดอลลาร์สหรัฐต่อเดือนจากเครือข่ายบัตร ค่าธรรมเนียมธุรกรรมที่เพิ่มขึ้น การสูญเสียความสามารถในการประมวลผลการชำระเงินด้วยบัตร และความเสียหายต่อชื่อเสียงอย่างมากหลังเกิดการรั่วไหล มาตรฐานนี้ไม่ใช่ทางเลือก แต่บังคับใช้ผ่านพันธะทางสัญญาระหว่างร้านค้ากับธนาคารผู้รับบัตร
ใครต้องปฏิบัติตาม
- คอลเซ็นเตอร์ที่จัดการข้อมูลบัตรชำระเงิน
- ธุรกิจค้าปลีกและอีคอมเมิร์ซ
- ธนาคาร ฟินเทค และผู้ประมวลผลการชำระเงิน
- ผู้ให้บริการ SaaS ในระบบนิเวศการชำระเงิน
ผลของการไม่ปฏิบัติตาม
- ค่าปรับสูงสุด 100,000 ดอลลาร์ต่อเดือนต่อเครือข่ายบัตร
- ค่าธรรมเนียมการประมวลผลธุรกรรมที่เพิ่มขึ้น
- การเพิกถอนสิทธิ์ในการประมวลผลบัตร
- ความรับผิดต่อธุรกรรมฉ้อโกงหลังเกิดการรั่วไหล
ข้อกำหนดด้านการฝึกอบรม
ข้อกำหนด PCI DSS v4.0 ข้อ 12.6 กำหนดให้มีการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยภาคบังคับสำหรับบุคลากรทุกคนที่เข้าถึงสภาพแวดล้อมข้อมูลผู้ถือบัตร
ข้อกำหนด 12.6, โปรแกรมสร้างความตระหนักด้านความปลอดภัย
ต้องมีการนำโปรแกรมสร้างความตระหนักด้านความปลอดภัยอย่างเป็นทางการมาใช้เพื่อให้บุคลากรทุกคนตระหนักถึงนโยบายและขั้นตอนด้านความปลอดภัยของข้อมูลผู้ถือบัตร สิ่งนี้ไปไกลกว่าเอกสารนโยบายธรรมดา องค์กรต้องให้ความรู้แก่พนักงานอย่างจริงจังเกี่ยวกับภัยคุกคาม การจัดการข้อมูลที่เหมาะสม และความรับผิดชอบของแต่ละบุคคลในการปกป้องข้อมูลผู้ถือบัตร
สิ่งที่ผู้ตรวจสอบ QSA ตรวจสอบ: ว่ามีโปรแกรมที่บันทึกเป็นเอกสาร ได้รับการอนุมัติจากฝ่ายบริหาร และครอบคลุมบุคลากรทุกคน ไม่ใช่เฉพาะเจ้าหน้าที่ไอที โปรแกรมต้องครอบคลุมภัยคุกคามในปัจจุบันและปรับให้เหมาะกับสภาพแวดล้อมข้อมูลผู้ถือบัตรเฉพาะขององค์กร
ข้อกำหนด 12.6.1, โปรแกรมสร้างความตระหนักอย่างเป็นทางการ
โปรแกรมสร้างความตระหนักด้านความปลอดภัยต้องได้รับการทบทวนอย่างน้อยทุก 12 เดือนและปรับปรุงตามความจำเป็นเพื่อรับมือกับภัยคุกคามและช่องโหว่ใหม่ๆ โปรแกรมต้องรวมหลายวิธีในการสื่อสารความตระหนักและให้ความรู้แก่บุคลากร เช่น โปสเตอร์ จดหมาย การประชุม การฝึกอบรมผ่านเว็บ หรือการฝึกซ้อมฟิชชิงจำลอง
สิ่งที่ผู้ตรวจสอบ QSA ตรวจสอบ: เอกสารที่แสดงว่าโปรแกรมได้รับการทบทวนและปรับปรุงภายใน 12 เดือนที่ผ่านมา พร้อมหลักฐานการใช้ช่องทางการสื่อสารหลายช่องทาง
ข้อกำหนด 12.6.2, การฝึกอบรมประจำปี
บุคลากรต้องได้รับการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยอย่างน้อยทุก 12 เดือน พนักงานใหม่ต้องผ่านการฝึกอบรมเมื่อเริ่มงาน นี่คือความถี่ขั้นต่ำ องค์กรที่เผชิญความเสี่ยงสูงขึ้นหรือมีอัตราการลาออกของพนักงานสูงควรพิจารณารอบการฝึกอบรมที่ถี่ขึ้น
สิ่งที่ผู้ตรวจสอบ QSA ตรวจสอบ: บันทึกการฝึกอบรมที่เสร็จสิ้นสำหรับบุคลากรทุกคนในขอบเขตภายใน 12 เดือนที่ผ่านมา พร้อมหลักฐานว่าพนักงานใหม่ได้รับการฝึกอบรมก่อนเข้าถึงข้อมูลผู้ถือบัตร
ข้อกำหนด 12.6.3, การรับทราบของพนักงาน
บุคลากรต้องรับทราบอย่างน้อยทุก 12 เดือนว่าตนได้อ่านและเข้าใจนโยบายและขั้นตอนด้านการสร้างความตระหนักด้านความปลอดภัยแล้ว ข้อกำหนดนี้ทำให้มั่นใจว่าพนักงานไม่ได้ถูกลงทะเบียนแบบนิ่งเฉย แต่มีส่วนร่วมกับเนื้อหาอย่างจริงจัง การติ๊กช่องเพียงอย่างเดียวไม่เพียงพอ การรับทราบต้องแสดงถึงการมีส่วนร่วมที่มีความหมาย
สิ่งที่ผู้ตรวจสอบ QSA ตรวจสอบ: การรับทราบที่ลงนามหรือบันทึกทางอิเล็กทรอนิกส์จากบุคลากรทุกคนในขอบเขต ลงวันที่ภายใน 12 เดือนที่ผ่านมา ผู้ตรวจสอบมองหาหลักฐานว่าการรับทราบผูกโยงกับการฝึกอบรมที่เสร็จสิ้นจริง ไม่ใช่เพียงลายเซ็นที่แยกต่างหาก
Roleplays ช่วยได้อย่างไร
แทนที่สไลด์นำเสนอด้วยการจำลองสถานการณ์ที่สมจริงซึ่งทดสอบพฤติกรรมจริง แล้วบันทึกทุกสิ่งที่ QSA ของคุณต้องการ
สถานการณ์เฉพาะของ PCI
การจำลองสถานการณ์สำเร็จรูปสำหรับรูปแบบความล้มเหลวของ PCI ที่พบบ่อยที่สุด: สายโทรหลอกลวงทางวิศวกรรมสังคมที่ขอหมายเลขบัตร อีเมลฟิชชิงที่มุ่งเป้าระบบการชำระเงิน การแอบตามเข้าพื้นที่ปลอดภัย และการจัดเก็บข้อมูลบัตรที่ไม่เหมาะสม สถานการณ์ได้รับการปรับปรุงเมื่อภูมิทัศน์ภัยคุกคามเปลี่ยนไป ตอบโจทย์ข้อกำหนดการทบทวนประจำปีของข้อ 12.6.1
การฝึกอบรมการปกปิดข้อมูล
ฝึกพนักงานไม่ให้อ่านทวนหมายเลขบัตรเต็ม ใช้เทคนิคการปกปิดที่เหมาะสม (แสดงเพียงสี่หลักสุดท้าย) และตระหนักเมื่อผู้โทรพยายามล้วงข้อมูลมากกว่าที่จำเป็น ผู้โทรจำลองทดสอบว่าพนักงานปฏิบัติตามโปรโตคอลการปกปิดภายใต้แรงกดดันหรือไม่
การให้คะแนนพฤติกรรมของพนักงาน
การประเมินด้วย AI แบบหลายเกณฑ์ให้คะแนนพนักงานแต่ละคนในด้านความตระหนักด้านความปลอดภัย การปฏิบัติตามการจัดการข้อมูล การต้านทานวิศวกรรมสังคม และขั้นตอนการส่งต่อที่เหมาะสม ผลลัพธ์เชื่อมโยงกับข้อกำหนด PCI DSS เฉพาะ ให้หลักฐานสมรรถนะที่ผู้ตรวจสอบ QSA คาดหวังเกินกว่าบันทึกการเข้าร่วมธรรมดา
เอกสารการปฏิบัติตามข้อกำหนด
ทุกเซสชันการฝึกอบรมสร้างบันทึกที่มีการประทับเวลา รวมถึงการระบุตัวผู้เข้าร่วม เนื้อหาการฝึกอบรม ระยะเวลา คะแนนการประเมิน และสถานะการเสร็จสิ้น ส่งออกรายงานการปฏิบัติตามที่แสดงว่าบุคลากรในขอบเขต 100% ได้รับการฝึกอบรมภายในกรอบเวลา 12 เดือน ตรงตามที่ข้อ 12.6.2 กำหนด
การป้องกันวิศวกรรมสังคม
ผู้โจมตีจำลองใช้กลยุทธ์วิศวกรรมสังคมในโลกจริง: การแอบอ้างเป็นฝ่ายสนับสนุนไอที การจัดการด้วยความเร่งด่วน การปลอมเป็นผู้มีอำนาจ และการแอบอ้างหลายขั้นตอน พนักงานเรียนรู้ที่จะตระหนักและต้านทานกลยุทธ์เหล่านี้ในสภาพแวดล้อมที่ปลอดภัยก่อนเผชิญในการทำงานจริง
การรับทราบในตัว
การทำการจำลองสถานการณ์ให้เสร็จคือการรับทราบ ต่างจากแบบฟอร์มติ๊กช่องแบบนิ่งเฉย แต่ละเซสชันที่เสร็จสิ้นพิสูจน์ว่าพนักงานมีส่วนร่วมกับเนื้อหาด้านความปลอดภัยอย่างจริงจัง บันทึกการเสร็จสิ้นเซสชันทำหน้าที่เป็นการรับทราบตามข้อ 12.6.3 พร้อมการประทับเวลาเต็มรูปแบบและข้อมูลผลการปฏิบัติงานเป็นหลักฐาน
คำถามที่พบบ่อย
Roleplays ตอบโจทย์ข้อกำหนด PCI DSS 12.6.2 สำหรับการฝึกอบรมประจำปีหรือไม่?
ใช่ แพลตฟอร์มติดตามวันที่เสร็จสิ้นการฝึกอบรมของพนักงานทุกคนและสร้างรายงานที่แสดงสถานะการปฏิบัติตามทั่วทั้งองค์กรของคุณ คุณสามารถกำหนดค่ารอบการฝึกอบรมประจำปีหรือถี่ขึ้น ตั้งค่าการแจ้งเตือนอัตโนมัติสำหรับกำหนดเวลาที่ใกล้ถึง และส่งออกหลักฐานการเสร็จสิ้นในรูปแบบที่ผู้ตรวจสอบ QSA คาดหวัง
เราสามารถสร้างสถานการณ์เฉพาะสำหรับสภาพแวดล้อมคอลเซ็นเตอร์ของเราได้หรือไม่?
แน่นอน นอกเหนือจากสถานการณ์ PCI สำเร็จรูป คุณสามารถสร้างการจำลองที่กำหนดเองซึ่งสะท้อนกระแสการโทร กระบวนการชำระเงิน และภูมิทัศน์ภัยคุกคามเฉพาะของคุณ ตัวอย่างเช่น จำลองผู้โทรที่ขอให้พนักงานอ่านทวนหมายเลขบัตรเต็มเพื่อ "การยืนยัน" หรือการแอบอ้างที่มีคนปลอมเป็นแผนกไอทีของคุณ
แพลตฟอร์มจัดการข้อกำหนดการรับทราบตามข้อ 12.6.3 อย่างไร?
ทุกการจำลองสถานการณ์ที่เสร็จสิ้นทำหน้าที่เป็นการรับทราบที่จริงจัง ต่างจากการติ๊กช่องแบบนิ่งเฉย การทำเซสชันการฝึกอบรมให้เสร็จพิสูจน์ว่าพนักงานมีส่วนร่วมกับเนื้อหาด้านความปลอดภัย เข้าใจสถานการณ์ที่นำเสนอ และแสดงสมรรถนะผ่านการตอบสนองของตน บันทึกเซสชันรวมการประทับเวลา ระยะเวลา และคะแนนผลการปฏิบัติงาน ซึ่งเป็นหลักฐานที่หนักแน่นกว่าแบบฟอร์มที่ลงนามมาก
เนื้อหาการฝึกอบรมได้รับการปรับปรุงเมื่อมีภัยคุกคามใหม่เกิดขึ้นหรือไม่?
ใช่ PCI DSS ข้อ 12.6.1 กำหนดให้โปรแกรมสร้างความตระหนักด้านความปลอดภัยต้องได้รับการทบทวนและปรับปรุงอย่างน้อยปีละครั้ง Roleplays ปรับปรุงคลังสถานการณ์อย่างต่อเนื่องเพื่อสะท้อนภัยคุกคามในปัจจุบัน เทคนิควิชชิง วิศวกรรมสังคมที่ขับเคลื่อนด้วย AI รูปแบบฟิชชิงใหม่ๆ QSA ของคุณสามารถยืนยันได้ว่าเนื้อหาการฝึกอบรมสะท้อนภูมิทัศน์ภัยคุกคามในปัจจุบัน
Roleplays สามารถแทนที่การฝึกอบรมสร้างความตระหนักด้านความปลอดภัยที่มีอยู่ของเราได้ทั้งหมดหรือไม่?
Roleplays สามารถเป็นเครื่องมือฝึกอบรมสร้างความตระหนักด้านความปลอดภัย PCI หลักของคุณได้ ครอบคลุมข้อกำหนดย่อยทั้งหมดของข้อ 12.6 หลายองค์กรใช้ร่วมกับ LMS ที่มีอยู่ Roleplays จัดการส่วนที่เป็นการโต้ตอบและการจำลองสถานการณ์ ขณะที่ LMS จัดการการกระจายเอกสารนโยบายและการติดตาม API ของแพลตฟอร์มช่วยให้สามารถเชื่อมต่อกับระบบบริหารจัดการการเรียนรู้ส่วนใหญ่ได้
ปฏิบัติตามข้อกำหนดได้เร็วขึ้น
แทนที่สไลด์นำเสนอประจำปีด้วยการจำลองสถานการณ์ที่ทดสอบพฤติกรรมด้านความปลอดภัยจริง ตอบโจทย์ข้อกำหนดย่อยทุกข้อของ PCI DSS 12.6 ด้วยหลักฐานที่มีการบันทึก