เมื่อกลางเดือนที่ผ่านมา บริษัท NTT Communications ประเทศไทยประกาศความสำเร็จในการขอรับรองความปลอดภัยศูนย์ข้อมูลตามมาตรฐาน PCI-DSS เป็นศูนย์ข้อมูลแรกในประเทศไทย นับเป็นก้าวสำคัญของวงการไอทีในไทยที่จะมีศูนย์ข้อมูลความปลอดภัยสูงพร้อมสำหรับการประมวลผลบัตรเครดิตในไทย
มาตรฐาน PCI-DSS นับเป็นมาตรฐานความปลอดภัยที่ตรวจสอบอย่างเข้มงวด มีเงื่อนไขใหญ่น้อยจำนวนมาก ลำพังการปรับทั้งระดับระบบปฎิบัติการและระดับแอปพลิเคชั่นก็มีความซับซ้อนสูง เช่นการอัพเดต PCI-DSS 3.2 บังคับให้แอดมินต้องล็อกอินสองขั้นตอน, หรือ PCI-DSS 3.1 ที่ยกเลิกการเข้ารหัสบางรูปแบบ บังคับให้บริการต่างๆ ต้องอัพเดตตามรอบ แต่สิ่งที่ผู้ให้บริการหลายรายไม่สามารถทำตามมาตรฐาน PCI-DSS ได้ครบคือการปรับปรุงศูนย์ข้อมูลที่ต้องจำกัดการเข้าถึงตัวเซิร์ฟเวอร์อย่างเข้มงวด
ในโอกาสที่ทาง NTT ได้รับรองรับ PCI-DSS 3.2 ทาง Blognone ก็ติดต่อขอสัมภาษณ์คุณสุทธิพัฒน์ ลือประเสริฐ ประธานเจ้าหน้าที่บริหารเทคโนโลยี บริษัท ดิจิทอล พอร์ท เอเชีย จากัด (ในกลุ่มบริษัท เอ็นทีที คอมมิวนิเคชั่นส์ คอร์ปอร์เรชั่น) ถึงประสบการณ์การปรับปรุงศูนย์ข้อมูลจนได้รับรอง PCI-DSS ในครั้งนี้
NTT มีแนวทางที่จะปรับปรุงมาตรฐานความปลอดภัยในศูนย์ข้อมูลอย่างต่อเนื่องอยู่แล้ว การปรับปรุงครั้งนี้ก็เป็นส่วนหนึ่งของการสร้างความเชื่อมั่นให้กับลูกค้าปัจจุบันหรือผู้สนใจที่จะมาใช้งานในอนาคตว่าจะได้รับมาตรฐานบริการดีที่สุด
ในด้านความปลอดภัยข้อมูลเราได้รับรอง ISO27001 มาก่อนแล้ว ตัวศูนย์ข้อมูลในแบรนด์ Nexcenter ของ NTT เองมีมาตรฐานกลาง Nexcenter standard ของตัวเอง ที่ครอบคลุมทุกด้าน ตั้งแต่การปฎิบัติงาน (operation management), การจัดการเหตุการณ์ (incident management), การจัดการปัญหา (problem management), การจัดการลูกค้า (customer management), รวมถึงการจัดการความมั่นคงปลอดภัย (security management)
มาตรฐาน PCI-DSS เน้นเฉพาะการจัดการด้านความมั่นคงปลอดภัยเป็นหลักเมื่อมองโดยภาพรวมแล้วการปฎิบัติงานก็ไม่ได้ต่างจากเดิมมากนัก โดยเฉพาะมาตรฐาน Nexcenter ของเราเองก็รัดกุมอยู่แล้ว
ศูนย์ข้อมูลของ NTT มีทั้งหมด 140 ศูนย์ ได้รับรอง PCI-DSS ไปแล้ว 42 ศูนย์ และอยู่ระหว่างการขอรับรองอีก 5 ศูนย์ และยังมีแผนการขอรับรองเพิ่มขึ้นเรื่อยๆ ในอนาคต
เราใช้เวลาขอรับรองรวม 6 เดือน ที่ใช้เวลาไม่มากเพราะมาตรฐาน Nexcenter ของเราเองก็ค่อนข้างครบถ้วน และทีมงานจากศูนย์ข้อมูลอื่นๆ ที่เคยได้รับรองก็ให้คำแนะนำกันเข้ามา
การรับรองครั้งนี้เป็นการรับรองทั้งศูนย์ข้อมูล ลูกค้าที่ใช้ในศูนย์ข้อมูล Nexcenter จะได้รับบริการเท่ากันทั้งหมด โดยไม่มีค่าใช้จ่ายเพิ่มเติม
โดยตัวมาตรฐาน Nexcenter ของเราเองก็มีกระบวนการเข้าถึงที่รัดกุมอยู่แล้ว โดยตอนนี้มีขั้นตอนถึง 8 ลำดับขั้น แต่หลังจากได้รับ PCI-DSS มีการเพิ่มเรื่องการตรวจสอบยืนยันเอกลักษณ์บุคคล การยืนยันสิทธิ์การเข้าถึงข้อมูลและการเก็บรักษาข้อมูลความลับต่างๆ ที่เข้มงวดมากขึ้น
Comments
ขอบคุณสำหรับบทสัมภาษณ์ครับ
..: เรื่อยไป
Nice info on DSS certified service at extra cost.. Its useful..