ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
บทความ » การบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ และเว็บแอพพลิเคชั่นเบื้องต้นตามมาตรฐาน PCI-DSS
บทความเรื่อง : การบริหารจัดการความมั่นคงปลอดภัยเว็บไซต์ และเว็บแอพพลิเคชั่นเบื้องต้นตามมาตรฐาน
  Payment Card Industry - Data Security Standard (PCI-DSS)
เรียบเรียงโดย : ชวลิต ทินกรสูติบุตร
เรียบเรียงเมื่อ : วันที่ 22 ธันวาคม 2554

กล่าวนำ

ปัจจุบันเว็บไซต์ และการทำธุรกรรมอิเล็กทรอนิกส์เป็นสื่อประชาสัมพันธ์และเป็นช่องทางการตลาดของหลายองค์กร แต่จะทำอย่างไรให้ข้อมูลที่มีการส่งผ่านครือข่ายเหล่านั้นมีความมั่นคงปลอดภัย โดยเฉพาะเมื่อมีการทำธุรกรรมอิเล็กทรอนิกส์ซึ่งเกี่ยวข้องกับจำนวนสินค้าที่ซื้อขาย และการชำระเงิน

มาตรฐาน PCI DSS ย่อมาจาก “Payment Card Industry Data Security Standard” เป็นมาตรฐานความปลอดภัยสารสนเทศที่มีวัตถุประสงค์เพื่อเพิ่มความปลอดภัยให้กับข้อมูลการชำระเงินผ่านบัญชีบัตรเครดิต ซึ่งเป็นการร่วมกันกำหนดขึ้นโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. International ข้อกำหนดตามมาตรฐานนี้ได้รับการพัฒนาเพื่อช่วยให้ผู้ค้าทุกรายทั่วโลกมีมาตรการด้านความปลอดภัยของข้อมูลที่เป็นมาตรฐานเดียวกัน

คงปฏิเสธไม่ได้ว่าความมั่นคงปลอดภัยของข้อมูลดังกล่าว เกี่ยวข้องโดยตรงกับการบริหารจัดการระบบและการพัฒนาเว็บไซต์ หรือเว็บแอพพลิเคชั่นเพื่อรองรับการให้บริการธุรกรรมอิเล็กเทรอนิกส์ต่าง ๆ บทความนี้จะแนะนำข้อกำหนดของมาตรฐาน PCI DSS บางข้อที่เป็นการสร้างความปลอดภัยเบื้องต้นแก่เว็บไซต์ และเว็บให้บริการธุรกรรมอิเล็กทรอนิกส์ที่สามารดำเนินการไม่ยาก แต่อาจถูกมองข้ามหรือละเลยไป


เริ่มต้นทำความเข้าใจการทำงานและองค์ประกอบของเว็บไซต์ทั่วไปซึ่งสามารถแสดงได้ดังรูป

รูป แสดงรูปแบบการทำงาน และองค์ประกอบของเว็บไซต์และเว็บแอพพลิเคชั่นในปัจจุบัน


ประเด็นในการบริหารจัดการเพื่อให้เกิดความมั่นคงปลอดภัยที่จะกล่าวถึงต่อไปนี้อยู่ในส่วนที่เป็น Server Side System ซึ่งเป็นความรับผิดชอบของผู้ค้า หรือเจ้าของเว็บไซต์ หรือผู้ดูแลระบบ และผู้พัฒนาเว็บไซต์ที่ควรพิจารณาและดำเนินการเพื่อเพิ่มความมั่นคงปลอดภัยแก่ระบบสารสนเทศ ดังนี้

จุดประสงค์ที่สำคัญ 3 ประการของการเข้ารหัสข้อมูลประกอบด้วย
1.    เปิด services และโปรโตคอล (protocols) เฉพาะที่มีการใช้งานในเครื่องให้บริการ และอุปกรณ์เครือข่ายที่จำเป็นต้องใช้งานเท่านั้น เพื่อลดช่องทางการถูกโจมตี หรือเข้าถึงระบบโดยผู้ไม่ประสงค์ดี
(ข้อกำหนดที่ 2.2.2 Enable only necessary and secure services, protocols, daemons, etc., as required for the function of the system)

2.    ปรับแต่งค่าคอนฟิกูเรชัน (Configuration) ของเครื่องให้บริการให้มีความมั่นคงปลอดภัยทั้งในระดับระบบปฏิบัติการ (Operating System Level) ระดับโปรแกรมประยุกต์ (Application Level) รวมทั้งอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ เพื่อลดช่องโหว่ที่อาจใช้โจมตีระบบ โดยสามารถใช้แนวทางการปรับแต่งค่าคอนฟิกูเรชันต่าง ๆ จากแหล่งข้อมูลด้านความมั่นคงปลอดภัยสารสนเทศได้หลายแหล่ง เช่น Center for Internet Security (CIS) หรือ National Institute of Standards Technology (NIST) เป็นต้น
(ข้อกำหนดที่ 2.2.3 Configure system security parameters to prevent misuse)

3.    ยกเลิกฟังก์ชันของระบบปฏิบัติการ (Operating System) และโปรแกรมประยุกต์ (Application) ที่มีการติดตั้งบนเครื่องให้บริการ และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ที่ไม่มีการใช้งาน เพื่อลดเครื่องมือที่อาจถูกใช้โจมตีระบบ หรือใช้ขโมยข้อมูลภายในระบบ
(ข้อกำหนดที่ 2.2.4 Remove all unnecessary functionality)

4.    เข้ารหัสข้อมูล และช่องทางการเชื่อมต่อสื่อสารเพื่อบริหารจัดการระบบของผู้ดูแลระบบเมื่อมีการเข้าถึงเครื่องให้บริการ หรืออุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ โดยเลือกใช้โปรโตคอลที่มีการเข้ารหัสเช่น SSH, VPN หรือ SSL เป็นต้น เพื่อป้องกันการดักจับข้อมูลระหว่างทางในการส่งคำสั่งบริหารจัดการระบบ
(ข้อกำหนดที่ 2.3 Encrypt all non-console administrative access)

5.    ห้ามเก็บข้อมูลที่ใช้ยืนยันตัวตนของลูกค้าภายหลังการพิสูจน์ตัวตนของระบบ (เว้นแต่จะมีการเข้ารหัส) เพื่อป้องกันการนำข้อมูลดังกล่าวไปใช้สวมรอยทำธุรกรรมอิเล็กทรอนิกส์
(ข้อกำหนดที่ 3.2 Do not store sensitive authentication data after authorization (even if encrypted))

6.    ใช้วิธีการเข้ารหัสที่มีความแข็งแกร่งยากต่อการถอดรหัส และเลือกโปรโตคอลที่มีความมั่นคงปลอดภัย และเป็นที่ยอมรับในการสื่อสารข้อมูล เช่น SSL, SSH หรือ VPN เป็นต้น
(ข้อกำหนดที่ 4.1 Use strong cryptography and security protocols)

7.    พัฒนา และดูแลรักษาระบบปฏิบัติการ โปรแกรมประยุกต์ และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของการให้บริการเว็บไซต์ ให้มีความมั่นคงปลอดภัย ตามแนวทาง (Guideline) ดังนี้
(ข้อกำหนดที่ 6 Develop and maintain secure systems and applications)

• ระบบปฏิบัติการ โปรแกรมประยุกต์ และซอร์ฟแวร์ของอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ ต้องได้รับการติดตั้ง Patch ล่าสุดจากเจ้าของผลิตภัณฑ์ (ข้อกำหนดที่ 6.1 Ensure that all system components and software have the latest vendor-supplied security patches)
• พัฒนาโปรแกรม เว็บแอพพลิเคชั่น ตามแนวทางการเขียนโปรแกรมอย่างปลอดภัย (secure coding guideline) โดยต้องปิดจุดอ่อนยอดนิยมที่พบบ่อย ๆ ของเว็บแอพพลิเคชั่น ดังนี้ (ข้อกำหนดที่ 6.5 Develop applications based on secure coding guidelines)

– SQL injection
– Buffer overflow
– Insecure cryptographic storage
– Insecure communications
– Improper error handling
– Cross-site scripting (XSS)
– Improper Access Control
– Cross-site request forgery (CSRF)

หมายเหตุ สำหรับผู้เชี่ยวชาญ แนะนำให้ใช้ แนวทางการเขียนโปรแกรมอย่างปลอดภัย (secure coding guideline) ของ OWASP เป็นแนวทางในการพัฒนาเว็บแอพพลิเคชั่น


บทสรุป

คำแนะนำข้างต้นเป็นเพียงแนวทางเบื้องต้นที่สามารถนำไปปฏิบัติ เพื่อเพิ่มความปลอดภัยบางส่วนแก่เว็บไซต์ และการทำธุรกรรมอิเล็กทรอนิกส์เท่านั้น สามารถศึกษาข้อมูล PCI DSS เพิ่มเติมที่ https://www.pcisecuritystandards.org

สิ่งที่ควรคำนึงถึงด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศคือ แม้จะมีการปฏิบัติตามคำแนะนำ มาตรฐาน หรืออื่น ๆ ครบถ้วนแล้วก็ตาม มิได้หมายความว่าระบบสารสนเทศจะเกิดความปลอดภัยขึ้น 100 % แต่เป็นการลดโอกาส และความเสียหายที่อาจเกิดขึ้นกับระบบสารสนเทศเท่านั้น ดังนั้นจึงควรมีการตรวจสอบช่องโหว่ หรือทดสอบบุกรุกระบบโดยผู้เชี่ยวชาญเพื่อประเมินความมั่นคงปลอดภัยที่มีอยู่ในปัจจุบันขององค์กรอย่างน้อยปีละ 1 ครั้ง

บริษัท ที-เน็ต จำกัด มีบริการทดสอบบุกรุกระบบและตรวจสอบช่องโหว่ของเว็บไซต์ และเว็บแอพพลิเคชั่นด้วยเครื่องมือที่มีประสิทธิภาพ และวิเคราะห์ผลโดยผู้เชี่ยวชาญ พร้อมเสนอแนะวิธีการปรับปรุง แก้ไขและปิดจุดอ่อนหรือช่องโหว่ที่ตรวจพบ เพื่อยกระดับความมั่นใจในการใช้งานระบบสารสนเทศขององค์กร


เอกสารอ้างอิง

1. Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures Version 2.0
   https://www.pcisecuritystandards.org
2. Guide Table of Contents - OWASP
   https://www.owasp.org/index.php/Guide_Table_of_Contents


บริษัท ที-เน็ต จำกัด
131 หมู่ 9 ห้องเลขที่ 311 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน คลองหนึ่ง คลองหลวง ปทุมธานี 12120
โทรศัพท์: 02-564-7886    โทรสาร: 02-564-7854
e-mail: info@tnetsecurity.com

Copyright © 2008-2011 T-NET Co.,Ltd. All rights reserved.