Tags:
Node Thumbnail

มาตรฐาน PCI-DSS ออกเวอร์ชั่น 4.0 เมื่อต้นเดือนกรกฎาคมที่ผ่านมา มีความเปลี่ยนแปลงหลายอย่าง แต่ประเด็นหนึ่งที่สำคัญคือกระบวนการยืนยันตัวตนเข้าระบบที่ตอนนี้มาตรฐานไม่บังคับการเปลี่ยนรหัสผ่านทุก 90 วันแล้ว หากระบบมีการตรวจสอบความปลอดภัยเพิ่มเติม

องค์กรที่ใช้นโยบายบังคับเปลี่ยนรหัสผ่านทุก 90 วันยังคงใช้งานได้ต่อไปในมาตรฐานใหม่นี้ แต่หากมีการวิเคราะห์ความปลอดภัยต่อเนื่อง (dynamically analyzed) ก็สามารถปลดข้อบังคับการเปลี่ยนรหัสผ่านทุก 90 วันไปได้ ตัวมาตรฐานระบุว่าการวิเคราะห์ความปลอดภัยอาจจะใช้ข้อมูลเพิ่มเติม เช่น ตรวจสอบความปลอดภัยของอุปกรณ์ที่ใช้เข้าระบบ, พิกัดของผู้เข้าระบบ, หรือวิเคราะห์จากช่วงเวลา/ข้อมูลที่เข้าถึงว่าผิดปกติหรือไม่ และบล็อคการเข้าถึงหากพบความผิดปกติ

มาตรฐานความปลอดภัยระบบไอทีช่วงหลังๆ เริ่มปลดข้อบังคับเปลี่ยนรหัสผ่านตามช่วงเวลากันมากขึ้นเรื่อยๆ หลัง NIST ออกมาตรฐาน SP800-63B เมื่อปี 2017 ระบุว่าไม่ควรบังคับเปลี่ยนรหัสผ่านตามช่วงเวลาอีก

นอกจากแนวทางการใช้รหัสผ่านแล้ว PCI-DSS 4.0 ยังบังคับให้ใช้งานการล็อกอินหลายขั้นตอน (multi-factor authentication) ในอุปกรณ์แทบทุกตัว และยังมีข้อห้ามไม่ให้ใส่รหัสผ่านในไฟล์, ซอร์สโค้ด, หรือสคริปต์ใดๆ หากรหัสผ่านนั้นใช้สำหรับเข้าระบบช่องทางปกติได้

มาตรฐาน PCI-DSS 3.2.1 ยังใช้งานไปได้ถึงเดือนมีนาคม 2024 และมาตรฐานบางส่วนของ PCI-DSS 4.0 จะเป็นเพียงคำแนะนำไปจนถึงปี 2025

ที่มา - Duo Blog

No Description

Get latest news from Blognone

Comments

By: rattananen
AndroidWindows
on 5 August 2022 - 13:47 #1257343

ไม่ทำตามจะโดนฟ้องอะไรไหม

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 5 August 2022 - 14:29 #1257345 Reply to:1257343
Ford AntiTrust's picture

ไม่ผ่านมาตราฐาน PCI-DSS ก็จะโดนถอดไม่ให้บริการที่เกี่ยวข้องกับบัตรเครดิตจากผู้ออกบัตร 5 เจ้าใหญ่

By: rattananen
AndroidWindows
on 5 August 2022 - 15:16 #1257348 Reply to:1257345

👍
มิน่า opensource E-commerce ถึงไม่ implement บัตรเคตคิดเองกัน
ไปใช้ 3rd party อีกที