เอ็นทีที คอมมูนิเคชั่น คอร์ปอเรชั่น (NTT Communications) เตรียมยกระดับการให้บริการ หลังคว้ามาตราฐานบริการความปลอดภัยด้านข้อมูลสารสนเทศ PCI DSS 3.2 เล็งช่วยยกระดับผู้ให้บริการบัตรอิเล็กทรอนิกส์ ให้สามารถเพิ่มความปลอดภัยข้อมูลของผู้ใช้บัตรต่างๆ

NTT

เอ็นทีที คอมมิวนิเคชั่นส์ คอร์ปอร์เรชั่น ผู้ดำเนินธุรกิจให้บริการด้านไอซีทีโซลูชั่นและการสื่อสารระหว่างประเทศ ในกลุ่มบริษัท เอ็นทีที กรุ๊ป คว้ามาตรฐานด้านความปลอดภัยของข้อมูลสำหรับการชำระเงินผ่านบัตรอิเล็กทรอนิกส์ (PCI DSS : The Payment Card Industry Data Security Standard) ในการให้บริการที่สุดของความสมบูรณ์แบบแห่งนวัตกรรม “ศูนย์ข้อมูล” Bangkok 2 Data Center

NTT
เกรียงศักดิ์ จรูญศรีสวัสดิ์ Senior Director Data Center Business Department NTT Communications (Thailand) Co.,Ltd.

เกรียงศักดิ์ จรูญศรีสวัสดิ์ Senior Director Data Center Business Department เอ็นทีที คอมมิวนิเคชั่นส์ คอร์ปอร์เรชั่น กล่าวว่า เรื่องของความปลอดภัยของข้อมูล เป็นเรื่องที่อุตสาหกรรมต่างๆ กำลังตื่นตัว เพราะโลกของธุรกิจก้าวไปสู่ระบบออนไลน์หมดแล้ว โดยในปัจจุบันมีการทำธุรกรรมผ่านผ่านช่องใหม่ๆ ทั้ง แอพพลิเคชั่น และเว็บไซค์ มากขึ้น

โดยเชื่อมโยงฐานข้อมูลของบัตรเครดิต และบัญชีทางการเงินเพื่อให้สามารถทำธุรกรรมได้อย่างสะดวกรวดเร็ว ซึ่งการเปลี่ยนแปลงดังกล่าวทำให้เกิดข้อมูลจำนวนมหาศาล ทำให้วันนี้ผู้ให้บริการบัตรอิเล็กทรอนิกส์ต่างๆ เริ่มใช้ปรับใช้บริการศูนย์ข้อมูลเพื่อลดช่องว่างในการลงทุนโครงสร้างพื้นฐานของตัวเองลง

ขณะผู้ใช้บัตรอิเล็กทรอนิกส์เองแม้ว่าจะมีพฤติกรรมกรใช้งานผ่านช่องทางอิเล็กทรอนิกส์เพิ่มมากขึ้น แต่ก็มีจำนวนไม่น้อยที่ยังมีความกังวลใจในเรื่องของความปลอดภัยของข้อมูลของตนเอง เนื่องจากเริ่มมีภัยคุกคามใหม่ๆเพิ่มขึ้นอย่างรวดเร็ว โดยโจมตีในหลายช่องทาง ไม่ว่าจะเป็น POS, Mobile, Wi-Fi Hotspot

ทำให้สถาบันทางการเงินซึ่งผู้ให้บริการด้านบัตรอิเล็กทรอนิกส์ในวันนนี้จำเป็นต้องหาโซลูชั่นด้านการรักษาความปลอดภัยมาเสริมความมั่นใจให้ผู้ใช้บริการ แม้ว่าธนาคารจะมีแบ่งการเก็บข้อมูลไว้ทั้งในถายในศูนย์ของตัวเอง แต่ก็มีบางส่วนที่ถูกนำไปเก็บไว้ที่ศูนย์ข้อมูลจากผู้ให้บริการภายนอก

โดยหลายๆ สถาบันทางการเงินซึ่งผู้ให้บริการด้านบัตรอิเล็กทรอนิกส์ ในวันนี้เลือกที่จะใช้บริการจากผู้ให้บริการศูนย์ข้อมูลที่มีอยู่ในปัจจุบัน ในการช่วยแก้ปัญหาดังกล่าวเนื่องจากผู้ให้บริการศูนย์ข้อมูลมีความพร้อมในแง่ของบริการที่หลากหลาย และมีการลงทุนทางด้านระบบรักษาความปลอดภัยอย่างต่อเนื่อง

และเพื่อให้บริการที่ดีขึ้น NTT จึงได้พัฒนาให้ศูนย์ข้อมูลของเรามีมาตรฐานความปลอดภัยที่ดีสุด โดยล่าสุดเราสามารถคว้ามาตรฐาน PCI DSS เวอร์ชั่น 3.2 ซึ่งเป็นมาตราฐานความปลอดภัยสำหรับบัตรอิเล็กทรอนิกส์ล่าสุด ที่ถูกกำหนดโดยคณะกรรมการมาตรฐานความปลอดภัยข้อมูล (PCI Security Standard Council)

ซึ่งครอบคลุมในเรื่องของการควบคุม ลดความสี่ยงจากการฉ้อโกง และป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อน และครอบคลุมผู้ให้บริการบัตรอิเล็กทรอนิกส์ได้ทั่วโลกไม่ว่าจะเป็น บัตรอเมริกัน เอ็กซ์เพรส บัตรดิสคอเวอร์ บัตรเจซีบี บัตรมาสเตอร์การ์ด และบัตรวีซ่า

NTT
สุทธิพัฒน์ ลือประเสริฐ Chief Technology Officer Digital Port Asia Ltd. NTT Communications Group

NTT ไม่หยุดที่จะพัฒนา เป้าหมายคือบริการที่ดีที่สุด 

สุทธิพัฒน์ ลือประเสริฐ ประธานเจ้าหน้าที่บริหารเทคโนโลยี บริษัท ดิจิทอล พอร์ท เอเชีย จำกัด ในกลุ่มบริษัท เอ็นทีที คอมมิวนิเคชั่นส์ คอร์ปอร์เรชั่น กล่าวว่า ปัจจุบันเริ่มมีการใช้เงินอิเล็กทรอนิกส์มากขึ้น ทำให้เรื่องของความปลอดภัยเป็นเรื่องที่สำคัญ โดยหากพิจารณาเรื่องของนโยบายภาครัฐที่ต้องการผลักดันให้ประเทศเติบโตด้วยการใช้เทคโนโลยี

การเสริมความคล่องตัวด้วยดิจิทัลแฟลตฟอร์มที่จะช่วยให้ธุรกิจเติบโตได้ เราจึงเดินหน้าพัฒนาปรับปรุงคุณภาพของการบริการให้ทันต่อการเปลี่ยนแปลงนี้ แม้ว่าเราจะมีมาตราฐาน ISO27001 แล้ว แต่เรามองว่าไม่ควรหยุดพัฒนา เพราะแต่ล่ะธุรกิจย่อมต้องการความปลอดภัยมากที่สุด เราจึงพัฒนาศูนย์ข้อมูลของเราให้สามารถรองรับมาตราฐานใหม่ๆได้

โดยเฉพาะธุรกิจด้านการเงินที่เป็นสิ่งที่ต้องการความปลอดภัยมากที่สุด เรื่องของ Payment Card Industry Data Security Standard หรือ PCI DSS นั้นเป็นเรื่องของมาตรฐานของบัตรอิเล็กทรอนิกส์ ที่ได้มีการกำหนดขึ้น เพื่อความมั่นใจในการดำเนินงาน โดยปัจจุบันลูกค้ากลุ่มธนาคารคิดเป็น 30% จากจำนวนลูกค้าทั้งหมดที่ใช้บริการของเรา

ซึ่งการที่เราได้รับมาตรฐาน PCI DSS นี้ ทำให้ลูกค้าในกลุ่มธนาคารไม่จำเป็นต้องไปขอมาตรฐาน PCI DSS เอง แต่มาใช้ที่เราได้ในทันที ซึ่ง เอ็นทีที คอม ถือเป็นผู้ให้บริการศูนย์ข้อมูลเพียงแห่งเดียวในประเทศไทยที่ผ่านการรับรองมาตรฐานดังกล่าว โดยมีผลรับรองตั้งแต่วันที่ 1 มิถุนายน 2560 ที่ผ่านมา

ดังนั้นลูกค้าศูนย์ข้อมูล Bangkok 2 Data Center ที่ให้บริการด้านบัตรอิเล็กทรอนิกส์ จึงมั่นใจได้ว่า การให้บริการด้านบัตรเครดิต บัตรเดบิต ถึงผู้รับชำระเงินผ่านบัตรมีมาตรฐานการรักษาความปลอดภัยในการเก็บรักษาข้อมูลของผู้ถือบัตร โดยในปัจจุบันศูนย์ข้อมูลของ เอ็นทีที ทั้งหมด 140 ศูนย์ ได้รับรอง PCI-DSS ไปแล้ว 40 ศูนย์

และอยู่ระหว่างการขอรับรองศูนย์ข้อมูลอื่นๆ เพิ่มขึ้นเรื่อยๆ ในอนาคต สำหรับการรับรองมาตรฐานครั้งนี้ ลูกค้าที่ใช้ในศูนย์ข้อมูล Nexcenter ของเราอยู่แล้วจะได้รับบริการ โดยไม่มีค่าใช้จ่ายเพิ่มเติมใดๆทั้งสิ้น

ด้าน พรสุข กรกิตติชัย Senior Manager Cybersecurity Service Division AC infotec Co.,Ltd. กล่าวว่า PCI DSS นั้น ถือว่าเป็นมาตรฐานหลัก ที่ได้ถูกออกแบบโดย Payment Card Industry Security Standards Council หรือ PCI SSC มาเพื่อควบคุมการใช้งานข้อมูล ของผู้ใช้บัตรอิเล็กทรอนิกส์ เช่น บัตรเครดิต บัตรเดบิต และบัตรเงินสด เพื่อเข้ามาช่วยในการป้องกันการใช้งานข้อมูลบัตรอย่างเหมาะสม และเพื่อลดการเกิดการฉ้อโกงการใช้จ่ายผ่านบัตรอิเล็กทรอนิกส์เหล่านั้น

ซึ่งศูนย์ข้อมูลที่จะได้ PCI DSS V3.2 จะต้องทำให้ได้ 12 ข้อบังคับ (Physical Access Security) ได้แก่ 1. ต้องมีการติดตั้งและดูแลการตั้งค่าของไฟร์วอลล์เพื่อปกป้องข้อมูลของผู้ถือบัตร 2. ไม่ใช้รหัสผ่านและค่าพารามิเตอร์ความปลอดภัยตามค่าเริ่มต้นที่ถูกกำหนดมาจากบริษัทผู้ผลิต

3. ปกป้องข้อมูลของผู้ถือบัตรที่ถูกจัดเก็บเอาไว้ 4. เข้ารหัสช่องทางการส่งผ่านข้อมูลของผู้ถือบัตรบนเครือข่ายเปิดและเครือข่ายสาธารณะ 5. ใช้งานระบบป้องกันคอมพิวเตอร์ไวรัสและมัลแวร์ที่มีการอัพเดตให้เป็นปัจจุบันอย่างสม่ำเสมอ6. พัฒนาและดูแลรักษาระบบคอมพิวเตอร์และแอปพลิเคชันให้มีความมั่นคงปลอดภัย

7. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตรโดยเป็นไปตามหลักการรู้เท่าที่จำเป็นทางธุรกิจ 8. กำหนดหมายเลขผู้ใช้งานที่แตกต่างกันให้กับทุกคนที่เข้าถึงระบบคอมพิวเตอร์ 9. จำกัดการเข้าถึงทางกายภาพของแหล่งเก็บข้อมูลของผู้ถือบัตร 10. เฝ้ามองและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลของผู้ถือบัตร 11. ทดสอบระบบความปลอดภัยและกระบวนการด้านความปลอดภัยอย่างสม่ำเสมอ

และข้อสุดท้าย 12. คือต้องจัดทำและปรับปรุงนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศสำหรับใช้งานกับพนักงานทุกคน เพื่อให้ได้มาตรฐานที่ดีที่สุด อย่างไรกดี PCI DSS นี้ไม่ได้เน้นแค่เรื่องเทคนิค แต่ครอบคลุมในเรื่องของบุคลากร ความรู้ ความพร้อม สิทธิในการเข้าใช้

ซึ่งทาง เอ็นทีที นั้นสามารถทำตามกฏข้อบังคับที่กล่าวมาได้ทั้งหมด จึงถือว่าเป็นผู้ให้บริการศูนย์ข้อมูลรายแรกของประเทศที่สามารถให้บริการได้ แต่ในความเป็นจริงแล้วเรื่องของมาตรฐานสำหรับการเงินนั้น ยังมีอีกหลายมาตรฐาน แต่ก็ขึ้นอยู่กับความต้องการของแต่ละประเทศ สำหรับในไทยผู้ให้บริการศูนย์ข้อมูลที่ได้มาตรฐาน PCI DSS V3.2 น่าจะมีไม่เกิน 2 ราย

ซึ่ง NTT Communications ถือเป็นผู้ให้บริการศูนย์ข้อมูลรายแรกที่ได้การตรวจสอบว่ามีเกณฑ์ที่ผ่านในเรื่องการรักษาความปลอดภัยของข้อมูล