Apr 5, 2017

PCI DSS ဆိုတာဘာလဲ။

Ko Sagaing
PCI DSS ဆိုတာ Payment Card Industry Data Security Standard ဖြစ်ပါတယ်။  Credit Card (သို့) Debit Card အသုံးပြုသူတွေရဲ့ ကိုယ်ရေးကိုယ်တာအချက်အလက်တွေနှင့် Card နှင့် ငွေပေးချေခဲ့တဲ့ Transaction အချက်အလက်တွေကို လုံခြုံအောင်ကာကွယ်ပေးနိုင်မယ့် မူဝါဒနှင့်လုပ်ငန်းစဉ်တွေပဲဖြစ်ပါတယ်။  ဒီမူဝါဒတွေ၊ လုပ်ငန်းစဉ်တွေ ကို (PCI SSC - Payment Card Industry Security Standards Council) ဆိုတဲ့အဖွဲ့ရဲ့ ဦးဆောင်မှုနှင့် ချမှတ်ထားတာဖြစ်ပြီး၊ PCI DSS ဆိုတာကို ငွေပေးချေကဒ်ကုမ္ပဏီကြီးတွေဖြစ်တဲ့ Visa, MasterCard, Discover နှင့် American Express တို့ပူးပေါင်းပြီး Card ကိုအသုံးပြုပြီး မသမာသည့်နည်းလမ်းတွေဖြင့် ငွေပေးချေမှုတွေ ပပျောက်အောင် ၂၀၀၄ မှာစတင်ပြီးဖန်တီးခဲ့တာဖြစ်ပါတယ်။  PCI DSS ရဲ့ နောက်ထပ် ရည်ရွယ်တစ်ခုက Card အသုံးပြုတဲ့သူတွေရဲ့ အရေးပါတဲ့အချက်အလက်တွေကို ကာကွယ်ပေးဖို့ဖြစ်ပါတယ်။  ၂၀၀၄ ခုနှစ်မှာ စတင်ခဲ့တဲ့ PCI DSS ဟာ အခုဆိုရင် PCI DSS နောက်ဆုံး ဗားရှင်း 3.2 ကို ဧပြီ ၂၀၁၆ မှာထုတ်ပြန်ခဲ့ပါတယ်။  PCI DSS ဗားရှင်းတွေကို Wikipedia မှာ အခုလိုဖေါ်ပြထားပါတယ်။

PCI DSS ကိုလိုက်နာရန် အဓိကလိုအပ်ချက် (၁၂) ချက်
PCI DSS ကိုလိုက်နာရန် အဓိကအချက် (၁၂) ချက်ကို အမျိုးအစားခွဲခြားသတ်မှတ်တဲ့အခါမှာ ခေါင်းစဉ် (၆) ခုဖြင့် သတ်မှတ်ပါတယ်။

၁)  Build and Maintain a Secure Network
(လုံခြုံစိတ်ချရတဲ့ ကွန်ယက်တစ်ခုကို တည်ဆောက်ခြင်းနှင့် ပြုပြင်ထိန်းသိမ်းခြင်း)
a) Install and maintain a firewall configuration to protect data
(အချက်အလက်တွေကို အကာအကွယ်ဖြစ်စေရန် ဗိုင်းရပ်နှင့် အခြားသောတိုက်ခိုက်မှုတွေကို ကာကွယ်ပေးနိုင်မယ့်ပစ္စည်းတွေကို တပ်ဆင်ခြင်းနှင့် ပြုပြင်ထိန်းသိမ်းခြင်း)
b) Do not use vendor-supplied defaults for system passwords and other security parameters
(ကွန်ပျူတာပစ္စည်းရောင်းချသူတွေ ထည့်သွင်းသတ်မှတ်ပေးထားတဲ့ လျှို့ဝှက်စကားလုံးတွေနှင့် အခြားလုံခြုံရေးဆိုင်ရာ လျှို့ဝှက်စကားလုံးတွေကို ကွန်ပျူတာစနစ်မှာ မပြင်ဆင်ပဲအသုံးမပြုရ)

၂) Protect Cardholder Data
(ကဒ်အသုံးပြုသူတွေရဲ့ အချက်အလက်တွေကိုကာကွယ်ပေးခြင်း)
c) Protect stored data (use encryption)
(သိမ်းဆည်းထားတဲ့အချက်အလက်တွေကို လုံခြုံပြီး၊ ဖတ်လို့မရအောင် ဖုံးကွယ်ထားခြင်းဖြင့် ကာကွယ်ပေးခြင်း)
d) Encrypt transmission of cardholder data and sensitive information across public net
(အများသုံးကွန်ယက်တွေထဲမှာ အချက်အလက်တွေ ဖြတ်သန်းစီးဆင်းမှုနှင့် ပို့လွှတ်မှုတွေမှာ လုံခြုံပြီး၊ ဖတ်လို့မရသည့်နည်းလမ်းဖြင့် ဖုံးကွယ်ပေးခြင်း)

၃) Maintain a Vulnerability Management Program
(အားနည်းချက်တွေကို စီမံခန့်ခွဲမယ့် အစီအစဉ်တစ်ခုကို ထိန်းသိမ်းထားခြင်း)
e) Use and regularly update anti-virus software
(ဗိုင်းရပ်ဆော့ဖ်ဝဲလ်ကို အသုံးပြုခြင်းနှင့် အမြဲမွန်းမံခြင်း)
f) Develop and maintain secure systems and applications
(လုံခြုံစိတ်ချရတဲ့စနစ်တွေနှင့် အသုံးချမယ့်ဆော့ဒ်ဝဲလ်တွေကို ပေါ်ပေါက်လာအောင် လုပ်ဆောင်ခြင်းနှင့် ပြုပြင်ထိန်းသိမ်းခြင်း)

၄) Implement Strong Access Control Measures
(လုပ်ဆောင်မှုတိုင်းအတွက် တိုင်းတာသတ်မှတ်ချက်တွေကို ခိုင်မာစွာ အကောင်အထည်ဖေါ်ခြင်း)
g) Restrict access to data by business need-to-know
(လုပ်ဆောင်တဲ့အချက်အလက်တွေကို သိရန်လိုအပ်တဲ့အလုပ်ကိစ္စအလိုက် ကန်သတ်ထားခြင်း)
h) Assign a unique ID to each person with computer access
(ကွန်ပျူတာအသုံးပြုမှုကို လူတစ်ဦးခြင်းစီအလိုက် သီးသန့် ID ဖြင့် သတ်မှတ်ထားခြင်း)
i) Restrict physical access to cardholder data
(ကဒ်အသုံးပြုသူတွေရဲ့ အချက်အလက်ကို ကိုယ်တိုင်ပါဝင်ဆောင်ရွက်မှု ကန်သတ်ထားခြင်း)

၅) Regularly Monitor and Test Networks
(ကွန်ယက်တွေကို ပုံမှန် စမ်းသပ်ခြင်းနှင့် စောင့်ကြည့်ပေးခြင်း)
j) Track and monitor all access to network resources and cardholder data
(ကွန်ယက်ထဲမှာ ကဒ်အသုံးပြုသူတွေရဲ့ အချက်အလက်တွေနှင့် အခြားရင်းမြစ်တွေကို အသုံးပြုဆောင်ရွက်မှု အားလုံးကို စောင့်ကြည့်ခြင်းနှင့် ခြေရာခံခြင်း)
k) Regularly test security systems and processes
(လုပ်ငန်းစဉ်တွေနှင့် စနစ်တွေရဲ့ လုံခြုံရေးကို ပုံမှန်စစ်ဆေးခြင်း)

၆) Maintain an Information Security Policy
(သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒတစ်ခုကို ထိန်းသိမ်းခြင်း)
l) Maintain a policy that addresses Information Security
(သတင်းအချက်အလက်လုံခြုံရေးအမည်ဖြင့် မူဝါဒတစ်ခုကို ထိန်းသိမ်းခြင်း)

PCI Security Standards မှကိုးကားသည်။

PCI ဘာကြောင့် အရေးပါတာလဲ။  MasterCard ကဖေါ်ပြထားတဲ့ PDF ဖိုင်ဖြစ်ပါတယ်။



အခြား ဆက်စပ်လေ့လာရန် လင့်ခ်များ
Payment Security Educational Resources
How to Secure with the PCI Data Security Standard
Assessor & Solutions
PCI DSS v. 3.2: New Requirements Coming to Protect Your Customers’ Wallets

မှတ်စုရေးသူအကြောင်း

Ko Sagaing / Software Engineer

နာမည်အရင်းမှာ လှိုင်မင်းထက်ဖြစ်ပြီး၊ ကိုစစ်ကိုင်းဆိုသည့် နာမည်ပြောင်နှင့် မိတ်ဆွေ၊ သူငယ်ချင်းများက ရင်းနှီးစွာခေါ်ကြပါသည်။ ယခင်ကမြန်မာနိုင်ငံတွင် သင်ကြားရေး နှင့် Software Development လုပ်ငန်းများတွင် ဝင်ရောက်လုပ်ကိုင်ခဲ့ပြီး၊ ယခုလက်ရှိမှာ စင်ကာပူနိုင်ငံရှိ နည်းပညာကုမ္ပဏီတစ်ခုတွင် ဝင်ရောက်လုပ်ကိုင်နေပါသည်။

0 ခုမှတ်ချက်ပေးထားတယ်။:

Post a Comment

ကိုစစ်ကိုင်း၏ မှတ်စုများ. Powered by Blogger.