บทสัมภาษณ์ : คุณสุรางคนา รัตนพฤกษชาติ Head IT Governance Security บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด กับความสำเร็จที่สามารถคว้ามาตรฐานด้านความปลอดภัยของข้อมูลสำหรับการชำระเงินผ่านบัตรอิเล็กทรอนิกส์ (PCI DSS Version 3.2.1)

ทางบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) ขอแสดงความยินดีและภูมิใจเป็นอย่างยิ่งที่ได้มีส่วนร่วมในการให้คำปรึกษากับ บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด (“ITMX”) จนได้รับการรับรองมาตรฐานด้านความปลอดภัยของข้อมูลสำหรับการชำระเงินผ่านบัตรอิเล็กทรอนิกส์ (PCI DSS : The Payment Card Industry Data Security Standard version 3.2.1) เป็นผลสำเร็จ

โดยเมื่อวันอังคารที่ 21 เมษายน 2563 ที่ผ่านมาทีมที่ปรึกษานำโดย ดร.นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) และทีมที่ปรึกษาได้เป็นผู้มอบใบรับรองมาตรฐานและรายงานผลการการตรวจสอบให้แก่คุณสุรางคนา รัตนพฤกษชาติ Head IT Governance & Security บริษัท เนชั่นแนล ไอทีเอ็มเอ็กซ์ จำกัด (“ITMX”) ที่ได้การรับมอบมาตรฐาน The Payment Card Industry Data Security Standard (PCI DSS)  ในเวอร์ชั่น 3.2.1  ตั้งแต่วันที่ 7 เมษายน 2563 เป็นต้นไป
นอกจากการรับมอบใบรับรองมาตรฐานในครั้งนี้ ทางทีมงานบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด (“ACIS”) ได้มีโอกาสสัมภาษณ์พูดคุยกับคุณสุรางคนา รัตนพฤกษชาติ ถึงประเด็นของการจัดทำ PCI DSS ในครั้งนี้ด้วย เพื่อเป็นแนวทางให้กับหลายๆ องค์กรที่ต้องการจะขอใบรับรองมาตรฐาน PCI DSS มาศึกษาแนวทางความสำเร็จจากคุณสุรางคนา รัตนพฤกษชาติ กันได้เลย
ทำไม ITMX ถึงสนใจที่จะทำมารตฐาน PCI
คุณสุรางคนา รัตนพฤกษชาติ : อย่างที่่ทราบกันโดยทั่วไปว่า ITMX ของเราเป็น  National Critical Infrastructure ของประเทศ แล้วเราก็เป็นเหมือนเป็นหน่วยงานกลางในการเชื่อมต่อทั้งกลุ่ม Bank และ Non Bank ดังนั้นเขาก็จะต้องการความเชื่อมั่นในระบบงานว่าต้องมีความมั่นคงปลอดภัยระดับสากล ซึ่ง ITMX ได้ใบรับรองมาตรฐาน PCI DSS นี้มาตั้งแต่ 5 ปีที่แล้ว ตั้งแต่เวอร์ชั่น 2 จนถึงปัจจุบันคือเวอร์ชั่น 3.2.1 และเราจะทำต่อไปเรื่อย ๆ เพื่อให้ธนาคารสมาชิกทราบว่า เรา ITMX มีมาตรฐานทางด้านความปลอดภัยมั่นคงทางสารสนเทศ ทั้ง ISO/IEC 27001:2013 และ PCI DSS
ในมุมของ ITMX คิดว่ามาตรฐานของ PCI ตัวนี้มีจุดไหนที่รู้สึกว่าทำยากมากที่สุด
คุณสุรางคนา รัตนพฤกษชาติ : จริงๆ แล้วการทำมาตรฐานต่าง ๆ โดยทั่วไปก็จะเป็นลักษณะของ Season นะ คือ ถ้าเริ่มต้นปีแรกได้รับใบรับรอง ในปีที่ 2 ก็จะเริ่มเป็นเรื่องที่ยากขึ้น ในเรื่องของการ Continuous Process ก็คือ การเช็คลิสต์ในเรื่องของความถี่ที่เราจะต้องสอบ โดยเฉพาะปีที่ 1 เตรียมขึ้นปีที่ 2 จะเป็นเรื่องที่ยากเป็นพิเศษ เพราะว่าหน่วยงานที่ได้ใบรับรองมาตรฐานในปีแรกมาแล้ว พอปีที่ 2 จะเริ่มมีความประมาท ละเลยบางจุดไป แต่พอขึ้นปีที่ 3 ก็จะเริ่มง่ายขึ้นเพราะทราบปัญหาแล้ว แต่ปัญหาที่ยากที่สุดจริง ๆ จะเป็นประเด็นของความเข้าใจ ในเรื่องของ Security คือด้วยความที่เป็นเรื่องของความมั่นคงปลอดภัย จำเป็นต้องทำตามกฎระเบียบ แต่ว่าพนักงานอาจจจะชอบ Flexibility ดังนั้นเขาก็จะคิดว่าทำไปทำไมนะ ทำไมต้องให้ทำอะไรบ่อย ๆ ถี่ ๆ ก็ไม่เห็นมี Incident อะไรเลย เขาก็จะเริ่มเกิดความประมาท สุดท้ายจะเริ่มไม่ปฏิบัติตามกระบวนการมาตรฐาน ซึ่งก็จะเป็นเรื่องที่ยากดังนั้นหน่วยงานจะต้องมีการทำ Awareness Training กับพนักงานอยู่เป็นประจำสม่ำเสมอ แล้วก็ให้เขารับรู้ข่าวสารเกี่ยวกับ Security มากขึ้น พอเขาเริ่มมีความรู้ทางด้าน Security มากขึ้นการพูดคุยหรือทำความเข้าใจในเรื่องของความมั่นคงปลอดภัย ก็จะเริ่มง่ายขึ้น
คิดว่า ACIS เข้ามาช่วยตอบโจทย์ เรื่องการทำมาตรฐาน PCI ตรงนี้อย่างไรบ้าง 
คุณสุรางคนา รัตนพฤกษชาติ : ในความเห็นคิดว่าช่วยได้ดีนะแล้วก็ช่วยได้มากด้วย เพราะอย่างที่บอกก็คือเราเคยมีการจ้าง Vendor หรือว่า QSA มาหลายๆ ที่ ACIS เป็น QSA รายที่ 4 ในรอบ 5-6 ปีที่ผ่านมา ดังนั้นเราก็จะเห็นสไตล์การทำงานของแต่ละที่ไม่เหมือนกัน มีความชำนาญแต่ละด้านไม่เท่ากัน ซึ่งตรงจุดนี้ที่ทำให้เราได้ความรู้ความเข้าใจของแต่ละที่มาไม่เหมือนกัน แต่สำหรับของ ACIS เองเนี่ย จะมีความชำนาญในเรื่องของ Technical ที่เป็น Requirement เกี่ยวกับเรื่องของ Business Analyst Process ค่อนข้างมาก ซึ่งก็จะแตกต่างจาก QSA รายอื่นที่จะเน้นในเรื่องของการทำ Process Document มากกว่า
นอกจากมาตรฐาน PCI ตัวนี้ มีแนวทางในอนาคตว่าจะทำมาตรฐานด้านอื่นอีกไหม
คุณสุรางคนา รัตนพฤกษชาติ : มีค่ะ เรากำลังจะดำเนินการขอการรับรองมาตรฐาน ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) เพราะว่าจะเป็นการสร้างความเชื่อมั่น ให้กับธนาคารสมาชิก เพื่อให้เกิดความมั่นใจว่า ITMX จะมีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลตามวัตถุประสงค์ของธนาคารสมาชิก และเจ้าของข้อมูล อันนี้ก็เป็นอีกเรื่องที่เราให้ความสำคัญอยู่ ส่วนอีกเรื่องหนึ่ง เนื่องจากเราเป็น National Critical Infrastructure หลักของประเทศไทยก็จะต้องดำเนินการให้สอดคล้องตามพ.ร.บ การรักษาความั่นคงปลอดภัยไซเบอร์ (Cybersecurity ACT.) ซึ่งเราจำเป็นที่จะต้องศึกษาและอาจจะต้องทำต่อไปในอนาคต
สุดท้ายแล้วอยากฝากอะไรเพิ่มเติมเกี่ยวกับบริการของ ACIS ไหม
ตอนที่ทาง ITMX มีความประสงค์ต้องการขอใบรับรอง ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) เกิดจากการที่เราได้รับ Knowledge กับ Knowhow จากที่ไปอบรม DPO ที่ทาง ACIS จัดขึ้น ซึ่งก็ได้ความรู้มากมาย จากนั้นเราก็ได้เอาความรู้ที่ได้มาประยุกต์ซึ่งสามารถใช้งานได้ค่อนข้างจะมากเลย โดยก่อนหน้านี้ได้มีโอกาสไปอบรมเป็นลักษณะแบบฟรีสัมมนา แล้วก็ได้ความรู้แค่ระดับหนึ่ง แต่พอมีโอกาสได้ไปอบรมในหัวข้อ DPO กับของ ACIS ทำให้เข้าใจในเนื้อหาของการทำ GDPR มากขึ้นแล้วก็เอามาประยุกต์กับ ITMX โดยในตอนแรกยอมรับว่าประมาท คิดว่าบริษัทเราคงมีปัญหาไม่มาก น่าจะมีโอกาสทำให้สอดคล้องตามข้อกำหนดได้ไม่ยาก แต่หลังจากฝึกอบรม ทำให้รู้ว่าเรายังขาดและยังมีอะไรที่ต้องทำอีกมากมาย อย่างไรก็ตามคิดว่า ITMX สามารถได้รับการรับรองมาตรฐานนี้ได้ไม่เกินเดือนพฤษภาคม 2563 นี้
ปัจจุบันนี้ PCI DSS : The Payment Card Industry Data Security Standard เวอร์ชั่น 3.2.1 นั้นเป็นเวอร์ชั่นล่าสุดซึ่งเป็นมาตรฐานด้านความปลอดภัยข้อมูลที่ให้บริการการชำระเงินผ่านระบบอิเล็กทรอนิกส์กำหนดโดย PCI Security Standard Council (PCI SSC)เพื่อช่วยควบคุมและลดความเสี่ยงจากการฉ้อโกง รวมถึงป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อน ซึ่งเกิดขึ้นจากการทำธุรกรรมผ่านบัตรเครดิตโดยควบคุมมาตรฐานในการเก็บรักษา ประมวลผล และรับส่งข้อมูลบัตร โดย ณ ปัจจุบัน มาตรฐานนี้ได้รับความนิยมแพร่หลายมากขึ้นในประเทศไทย ซึ่งหากองค์กรใดได้รับรองมาตรฐานนี้ ก็จะเป็นการเพิ่มความมั่นใจให้กับทางลูกค้าและเป็นที่ยอมรับในระดับสากลอีกด้วย
ACIS ซึ่งเป็นบริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศชั้นนำของประเทศ ปัจจุบันได้รับการรับรองให้เป็น Qualified Security Assessors (QSA) และ Qualified PIN Assessors (QPA) จากสถาบัน PCI Security Standard Council (PCI SSC) ดังนั้นจึงเป็นการยืนยันได้ว่า ACIS มีความพร้อมในการตรวจประเมินตามกลุ่มมาตรฐาน PCI DSS
ถ้าสนใจการให้คำปรึกษาหรือตรวจประเมินมาตรฐาน PCI DSS
สามารถติดต่อมาที่ +66 2-253-4736
Website : https://www.acisonline.net