Instant sharing all tech news and serving to you.
Group Blog
 
All Blogs
 
รู้จักกับระบบรักษาความปลอดภัยบน mPOS!!

Security Technology on mPOS.


mPOS (Mobile Point of Sales) เป็นเครื่องมือที่ทำให้มือถือ หรือแท๊บเล็ต (สำหรับ iOS / Android) ของคุณกลายเป็นเครื่องรูดบัตรเครดิตการ์ด ในต่างประเทศเครื่องมือนี้ได้รับความนิยมพอสมควร และมีบริษัทที่ใช้เครื่องนี้ในการชำระค่าบริการผ่านบัตรเครดิต เช่น Starbucks โดยร่วมมือกับพันธมิตรผู้นำด้านการจ่ายเงินผ่าน mPOS อย่าง Square



และในตอนนี้ทางธนาคารกสิกรไทยก็เริ่มนำเจ้าเครื่อง mPOS เข้ามาให้บริการแก่ร้านค้าที่เป็นลูกค้าของธนาคารฯ ซึ่งผมคิดว่าคนไทยเราอาจจะยังไม่มั่นใจ หรือไม่กล้าที่จะใช้เจ้าเครื่อง mPOS เพราะคิดว่ามันไม่ปลอดภัยหรือเปล่า? (ในแง่ของผู้ประกอบการที่กำลังตัดสินใจ และลูกค้าทั่วไปที่จะจ่ายเงินผ่านเครื่อง mPOS)


ดังนั้นวันนี้เราจะมาทำความรู้จักกับเทคโนโลยีด้านความปลอดภัยที่นำมาใช้กับเครื่อง mPOS โดยผมจะขออ้างอิงจากระบบของบริษัท Square ซึ่งเทคโนโลยีการรักษาความปลอดภัย หรือหลักวิธีการปฏิบัติหลายๆ อย่าง ผมคิดว่าไม่น่าจะแตกต่างกันกับของทางธนาคารกสิกรไทยมากนัก 


source: https://squareup.com/security/levels


Security Across Many Levels

Square adheres strictly to industry standards to protect your business.


ทาง Square บอกว่ามีการป้องกันความปลอดภัยในหลายระดับชั้น และ Square จะยึดมั่นมาตรฐานอุตสาหกรรมอย่างเคร่งครัดเพื่อปกป้องธุรกิจของคุณ


ซึ่งหลายระดับที่ว่านี้ทาง web ของ Square ให้ข้อมูลว่ามีถึง 4 ระดับ ซึ่งเราจะมาดูเทคโนโลยีการรักษาความปลอดภัยในแต่ละระดับกันครับ


ระดับที่ 1 ชั้น Physical and Network Security

Square’s network and servers are housed in a secure facility monitored around the clock by dedicated security staff.


ระดับแรกระดับชั้นกายภาพและความปลอดภัยของเครือข่าย ซึ่ง Square บอกว่าตัวเครื่อง Server และระบบเครือข่ายของ Square นั้นถูกรักษาอย่างดีในสถานที่ที่ปลอดภัยและมีการมีตรวจสอบตามรอบระยะเวลาด้วยยเจ้าหน้าที่ความปลอดภัยโดยเฉพาะ ซึ่งการป้องกันระดับนี้จะประกอบไปด้วย


  • Card-processing systems adhere to PCI Data Security Standard (PCI-DSS) Level 1.
  • ระบบการประมวลผลบัตร จะใช้มาตรฐาน PCI-DSS ระดับที่ 1 (เป็นมาตรฐานที่ใช้รักษาข้อมูลของบัตรเครดิต ซึ่งกำหนดโดยคณะกรรมการ Payment Card Industry Security Standards Council)
    รายละเอียดเพิ่มเติม    ที่     www.pcisecuritystandards.org
  • Square requires sensitive data to be encrypted using industry-standard methods when stored on disk or transmitted over public networks.
  • Square จะทำการเข้ารหัสข้อมูลที่สำคัญโดยใช้กระบวนการต่างๆ ที่เป็นมาตรฐานในอุตสาหกรรม เมื่อมีการเก็บข้อมูล หรือส่งผ่านไปยังเครือข่ายสาธารณะ
  • Square uses standard, well-reviewed cryptographic protocols and message formats (such as SSL and PGP) when transferring data.
  • Square จะใช้มาตรฐานการเข้ารหัสโปรโตคอล และรูปแบบข้อความ เช่นการใช้ระบบ SSL (Secure Socket Layer เป็นการเข้ารหัสเมื่อมีการส่งข้อมูลผ่านระบบอินเทอร์เน็ต) และการเข้ารหัสแบบ PGP (Pretty good privacy วิธีการเข้ารหัสและยืนยันตัวตน) โดยทั้ง 2 วิธีจะเป็นการป้องกัน และตรวจสอบเครื่องต้นทาง และปลายทางว่าเป็นเครื่องๆ นั้นจริงๆ ที่กำลังติดต่อกัน และหรือแลกเปลี่ยนข้อมูลกันอยู่ โดยอาศัยการเข้ารหัสจากต้นทาง และการถอดรหัสจากปลายทาง
  • Square requires that cryptographic keys are at least 128 bits long. Asymmetric keys must be at least 2048 bits long.
  • ความต้องการพื้นฐานของความยาวของคีย์ในการเข้ารหัส Square กำหนดไว้อยู่ที่อย่างน้อย Key ต้องมีความยาว 128 bits ขึ้นไป และ Key แบบอสมมาตรต้องมีอย่างน้อย 2014 bits (bits ยิ่งมากยิ่งดี)
  • Square’s website and API are accessible via 128-bit, extended-validation SSL certificates issued by VeriSign.
  • การเข้าถึง Square เว็บไซต์และตัว API นั้นจะกระทำผ่าน SSL 128 bits ซึ่งรับรองโดย VeriSign (บริษัทที่ทำการรับรองตัวตนของเว็บไซต์)
  • Square regularly installs security updates and patches on its servers and equipment.
  • Square จะทำการติดตั้ง และอัพเดทระบบรักษาความปลอดภัยอยู่เสมอเพื่อให้มีความปลอดภัยมากที่สุด (อนุมานว่าไร้ช่องโหว่น้อยที่สุด) ทั้งตัวเครื่อง Server และอุปกรณ์อื่นๆ ที่มีระบบรักษาความปลอดภัย 
  • Security settings of applications and devices are tuned to ensure appropriate levels of protection.
  • การกำหนดค่าความปลอดภัยของโปรแกรม และอุปกรณ์จะกำหนดให้แน่ใจว่าเหมาะสมกับระดับการป้องกัน
  • Networks are strictly segregated according to security level. Modern, restrictive firewalls protect all connections between networks.
  • ด้านเครือข่ายได้มีการแบ่งแยกตามระดับการรักษาความปลอดภัยอย่างเคร่งครัด เช่น ใช้ Firewall ในการตรวจจับข้อมูลที่เชื่อมต่อกันระหว่างเครือข่าย

ระดับที่ 2 ชั้น Web and Client Application Security

Square’s software is developed using industry standard security best practices.


Software ของ Square ได้ถูกพัฒนาขึ้นตามหลักวิธีการปฏิบัติการรักษาความปลอดภัยที่เป็นมาตรฐานอุตสาหกรรม


  • Card-processing systems adhere to PCI Data Security Standard (PCI-DSS) Level 1.
  • ระบบการประมวลผลบัตร จะใช้มาตรฐาน PCI-DSS ระดับที่ 1
  • Square prohibits the storage of card numbers, magnetic stripe data and security codes on client devices.
  • ทาง Square จะไม่เก็บข้อมูลบนเครื่อง Client ของคู่ค้า (ในที่นี้หมายถึง Merchant ที่ใช้บริการเครื่อง mPOS กับทาง Square) เช่น เลขบัตร ข้อมูลในแถบแม่เหล็ก และ รหัสความปลอดภัย - หมายความว่าเจ้าเครื่อง mPOS จะไม่มีการเก็บข้อมูลเหล่านี้ 
  • Applications developed in-house are subject to strict quality testing and security review.
  • Application ที่ถูกพัฒนาจะผ่านการทดสอบด้านคุณภาพ และการรักษาความปลอดภัยอย่างเข้มงวด
  • Web development follows industry-standard secure coding guidelines, such as those recommended by OWASP.
  • การพัฒนาเว็บไซต์จะพัฒนาตามข้อแนะนำตามมาตรฐานอุตสาหกรรมการรักษาความปลอดภัยของข้อมูล

นั่นหมายถึงว่าในทุกๆ ขั้นตอนของการพัฒนาเว็บไซต์ และโปรแกรมบนเครื่อง Client จะมีการพัฒนาตามข้อแนะนำที่เป็นมาตรฐานสากลในด้ายการรักษาความปลอดภัยของข้อมูล มีการทดสอบ มีการตรวจทานคุณภาพ จนมั่นใจได้ว่ามีช่องโหว่น้อยที่สุด


ระดับที่ 3 ชั้น Organizational Security

Square mandates that employees act in accordance with security policies designed to keep merchant data safe.


พนักงานในบริษัท Square จะถูกสั่งให้ปฏิบัติงานตามนโยบายด้านการรักษาความปลอดภัยที่ถูกออกแบบมาเพื่อให้เก็บข้อมูลของคู่ค่าซึ่งเป็นผู้ประกอบการให้ปลอดภัยที่สุด (ก็คือ พนักงานจะเก็บข้อมูลคู่ค้าเป็นความลับ)

  • Square requires sensitive data to be encrypted using industry-standard methods when stored on disk or transmitted over public networks.
  • Square จะทำการเข้ารหัสข้อมูลที่สำคัญโดยใช้กระบวนการต่างๆ ที่เป็นมาตรฐานในอุตสาหกรรม เมื่อมีการเก็บข้อมูล หรือส่งผ่านไปยังเครือข่ายสาธารณะ
  • Square controls access to sensitive data, application data and cryptographic keys.
  • ทาง Square จะควบคุมการเข้าถึงข้อมูลที่สำคัญ ข้อมูลในโปรแกรม รวมมีใช้การเข้ารหัสกุญแจแบบ Cryptographic (เข้าใจว่าความยาวกุญแจอย่างต่ำ 128 bits)
  • Two-factor authentication and strong password controls are required for administrative access to systems.
  • มีการใช้ระบบยืนยันตัวตนแบบใช้ 2 Factor และการใช้ password ที่แข็งแรงสำหรับคนที่จะเข้าไปจัดการกับระบบ (2 Factor โดยทั่วๆ ไป จะหมายถึง 1. สิ่งที่คุณรู้  2. สิ่งที่คุณมี ยกตัวอย่างเช่น การใช้บัตร ATM ในเวลาเบิกถอนเงินสด 1. คุณต้องรู้ PIN ของบัตร  2. คุณต้องมีตัวบัตร ถ้าข้อมูลสำคัญมากๆ อาจจะเพิ่มตัวที่ 3 เข้าไป นั่นคือ สิ่งที่คุณเป็น เช่น พวกลายนิ้วมือ ม่านตา ของตัวบุคคลนั้นๆ)
  • Security systems and processes are tested on a regular basis by qualified internal and external teams.
  • ระบบรักษาความปลอดภัย และขั้นตอนต่างๆ จะถูกทดสอบตามกระบวนการพื้นฐาน เพื่อควบคุมคุณภาพ โดยจะทดสอบจากกลุ่มบุคคลภายใน และภายนอกองค์กร
  • Access to secure services and data is strictly logged, and audit logs are reviewed regularly.
  • ในการเข้าถึงบริการรักษาความปลอดภัยและข้อมูลนั้น จะถูกบันทึกรายการ (log) เพื่อใช้ในการตรวจสอบย้อนหลังอย่างสม่ำเสมอ เพื่อดูว่า log ต่างๆ ที่เกิดขึ้นนั้นมีความผิดปกติ หรือบ่งบอกนัยยะที่ผิดแผก และไม่ควรจะเกิดขึ้นหรือไม่่ เพื่อจะได้เป็นข้อมูลปรับปรุงคุณภาพในอนาคต
  • Security policies and procedures are carefully documented and reviewed on a regular basis.
  • นโยบายด้านการรักษาความปลอดภัย และหลักการปฏิบัติจะมีการบันทึกเป็นเอกสารอย่างรอบคอบ และมีการทบทวนอย่างสม่ำเสมอ
  • Detailed incident response plans have been prepared to ensure proper protection of data in an emergency.
  • มีการเตรียมแผนรับมืต่อเหตุไม่พึงประสงค์ รวมถึงซักซ้อมเป็นประจำ เพื่อให้แน่ใจว่าจะปกป้องข้อมูลที่สำคัญได้ ในกรณีที่เกิดเหตุนั้น อย่างฉุกเฉิน

    ระดับที่ 4 ชั้น Research and Disclosure

    Square recognizes the important contributions that our customers and the security research community can make. We encourage responsible reporting of problems with our service. We also recognize that legitimate and well-intentioned researchers are sometimes blamed for the problems they disclose. In order to encourage responsible reporting practices, we promise not to bring legal action against researchers who point out a problem, provided they:


    Square นั้นตระหนักถึงความสำคัญต่อการสนับสนุนคู่ค้า และชุมชนวิจัยด้านความปลอดภัยที่ช่วยกันรายงานถึงปัญหาที่เกิดขึ้นในบริการของเรา และเรารู้ดีว่าข้อมูลที่นักวิจัยได้เปิดเผยนั้น เป็นความหวังดีต่อธุรกิจของเรา ซึ่งทางเราจะไม่มีการฟ้องร้องเอาผิดต่อนักวิจัยที่เผยถึงปัญหาเหล่านั้น ซึ่งนักวิจัยจะต้องปฏิบัติตามนี้ เมื่อพบเจอปัญหาในบริการของเรา

    • Share with us the full details of any problem found.
    • มีการแบ่งปันข้อมูลปัญหาต่างๆ ที่ได้พบกับทาง Square
    • Do not disclose the issue to others until we’ve had reasonable time to address it.
    • จะไม่มีการเปิดเผยถึงเนื้อหานั้น จนกว่าเราจะการจัดการปัญหานั้นได้ในเวลาที่เหมาะสม (คาดว่าเพื่อไม่ให้สถานการณ์บานปลาย หรือไม่ให้มิจฉาชีพอาศัยช่องโหว่นั้น ในการทำผิด)
    • Do not intentionally harm the experience or usefulness of the service to others.
    • ห้ามไม่ให้มีเจตนาที่จะทำให้ผู้อื่นได้รับประสบการณ์ที่เลวร้ายในการใช้บริการ
    • Never attempt to view, modify or damage data belonging to others.
    • ไม่พยายามที่จะดู แก้ไข หรือทำลายข้อมูลที่จะทำให้เกิดความเสียหายแก่ผู้อื่น
    • Do not seek compensation or reward for the report.
    • ไม่มีการให้ผลตอบแทนในการรายงานปัญหาต่างๆ เหล่านั้น

    ในระดับชั้นที่ 4 เป็นการพูดถึงนักวิจัยที่ได้พบปัญหาต่างๆ ที่เกิดขึ้นกับบริการของทาง Square ซึ่งถ้าคุณอยากจะให้บริการของเราดีขึ้น คุณก็ควรจะบอกกับทาง Square แต่เพียงผู้เดียว เพื่อหลีกเลี่ยงปัญหาต่างๆ ที่อาจเกิดจากการใช้ช่องโหว่ที่พบเจอ เมื่อทางเราได้รับทราบข้อมูลแล้ว เราจะใช้เวลาตรวจสอบข้อเท็จจริง และหาแนวทางในการปรับปรุงบริการต่อไป


    จากระดับการรักษาความปลอดภัยที่ Square ได้อ้างถึงในเว็บไซต์ เราจะเห็นได้ว่าในทุกๆ ขั้นตอนจะผ่านการตรวจสอบ และพัฒนาขึ้นตามมาตรฐานอุตสาหกรรมการรักษาความปลอดภัยทั้งหมด ซึ่งก็น่าจะทำให้ผู้บริโภคมั่นใจได้ในระดับหนึ่ง 


    แต่ท้ายที่สุดแล้ว ไม่ว่าจะปลอดภัย หรือทำตามมาตรฐานเพียงใด ก็ไม่สามารถป้องกันการเกิดช่องโหว่ได้ 100% เนื่องจากความก้าวหน้าของเทคโนโลยี ดังนั้นมาตรฐาน หรือระบบที่ทำขึ้นก็ต้องมีการพัฒนากันตลอดเวลา เพื่อไล่ให้ทันความก้าวหน้าของเทคโนโลยี ที่นับวันจะทวีความเร็วมากยิ่งขึ้นในกลุ่มอุตสาหกรรมเทคโนโลยีด้านการเงิน และมิจฉาชีพก็ยังพยายามที่จะเสาะหาข้อมูล หรือช่องโหว่ต่างๆ ในการโจรกรรมข้อมูลเพื่อประโยชน์ในทางใดก็ได้ตาม นี่ก็เป็นความรู้เล็กๆ น้อยๆ ที่หวังว่าน่าจะมีประโยชน์สำหรับผู้อ่านที่กำลังเลือกที่จะใช้บริการเจ้าเครื่อง mPOS ที่ว่ากันครับ

    คำศัพท์ที่น่าสนใจในบทความนี้

    Dedicate = ให้ อุทิศ

    Strict = เข้มงวด เคร่งครัด

    Segregate = แบ่งแยก

    Restrictive = จำกัด

    Prohibit = ห้าม

    Mandate = คำสั่ง 

    Accordance = ข้อตกลง ความสอดคล้อง

    Policy = นโยบาย

    Procedure = กระบวนการ การปฏิบัติ 

    Incident = อุบัติการณ์ (เหตุการณ์ที่เป็นเชิงลบ)

    Recognize = รับรู้ ยอมรับ

    Contribution = การสนับสนุน

    Legitimate = สิทธิตามกฎหมาย ถูกกฏหมาย

    Encourage = ส่งเสริม ช่วยเหลือ

    Against = กับ

    Harm = อันตราย ความเสียหาย

    Compensation = ค่าตอบแทน ผลตอบแทน การตอบแทน




    Create Date : 24 มีนาคม 2556
    Last Update : 24 มีนาคม 2556 15:01:11 น. 0 comments
    Counter : 2330 Pageviews.
    Share

    ชื่อ : * blog นี้ comment ได้เฉพาะสมาชิก
    Comment :
      *ส่วน comment ไม่สามารถใช้ javascript และ style sheet
     

    Picaroon
    		Location :


    [Profile ทั้งหมด]

    ฝากข้อความหลังไมค์
    Rss Feed
    Smember
    ผู้ติดตามบล็อก : 1 คน [?]

    POK, who is a scholar, a salary man, a layman, interests all IT knowledge.
    More information, please contact me at Twitter and find @pokpicaroon.
    Friends' blogs
    [Add Picaroon's blog to your web]
    Links
     

     Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.