[Chaiyot@J6] "5 วิธีที่ธนาคารรักษาความปลอดภัยข้อมูลของพวกเขา" 5 Ways in Which Banks Secure Their Data โดย เดวิด สมิธ เผยแพร่บนเว็บไซต์ Endpoint Protector. 8 มิถุนายน 2565 แปลและเรียบเรียง : พ.อ. ชัยยศ ศุภมิตรกฤษ

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

Chaiyot@J6

•

26 ส.ค. 2022 เวลา 01:35 • วิทยาศาสตร์ & เทคโนโลยี

"5 วิธีที่ธนาคารรักษาความปลอดภัยข้อมูลของพวกเขา"

5 Ways in Which Banks Secure Their Data

โดย เดวิด สมิธ

เผยแพร่บนเว็บไซต์ Endpoint Protector. 8 มิถุนายน 2565

แปลและเรียบเรียง : พ.อ. ชัยยศ ศุภมิตรกฤษณา

ที่มา : https://www.kratikal.com/

ผู้แปล - ระบบการให้บริการของธนาคารมีความน่าสนใจอย่างมาก การจะเอาเงินไปฝากไว้ที่ไหนนั้นลูกค้าต้องมีความเชื่อมั่น ไม่ต่างจากระบบทางทหาร แต่ในโลกทุกวันนี้ที่มีภัยคุกคามและอาชญากรรมทางคอมพิวเตอร์จำนวนมากนั้น ธนาคารยังสามารถที่จะยอมให้ระบบหลักขององค์กรเชื่อมต่อกับอินเตอร์เน็ตที่ทำให้ลูกค้าทั่วโลกเข้าถึงและใช้บริการได้

ธนาคารปกป้องดูแลระบบขององค์กร ไม่เพียงแต่ป้องกันภัยจากภายนอก แต่รวมถึงภัยภายในองค์กรด้วย ดังนั้นจึงมีข้อกำหนดจำนวนมากให้พนักงานธนาคารต้องปฏิบัติ การใช้คอมพิวเตอร์ขององค์กรเป็นไปอย่างจำกัดและได้รับการตรวจสอบการใช้อย่างจริงจัง เพื่อไม่ให้ข้อมูลรั่วไหลหรือเกิดช่องโหว่จากคนใน บทความนี้เป็นเพียงส่วนหนึ่งที่พูดถึงวิธีการสร้างความเชื่อมั่นให้ลูกค้ามีต่อธนาคาร หากขาดซึ่งความเชื่อมั่นแล้ว ย่อมกระทบถึงความอยู่รอดขององค์กร ดังนั้นการทหารจึงสามารถนำหลักการและวิธีการมาประยุกต์ใช้ได้เช่นเดียวกัน

ทําไมลูกค้าจึงเชื่อมั่นว่าธนาคารของพวกเขาจะรักษาเงินของพวกเขาให้ปลอดภัยและปกป้องข้อมูลอื่น ๆ ทั้งหมดที่พวกเขามีเกี่ยวกับพวกเขา

แม้ว่าธนาคารจะมีข้อมูลส่วนบุคคลและข้อมูลทางการเงินจํานวนมากเกี่ยวกับลูกค้าของตนมาโดยตลอด แต่ทุกวันนี้ข้อมูลทั้งหมดนั้นสามารถเข้าถึงได้ง่ายสําหรับทุกคนที่ได้รับอนุญาตให้เข้าถึง การเติบโตของเทคโนโลยีทางการเงินได้นําไปสู่นวัตกรรมและการเปลี่ยนแปลงมากมายในช่วงสองสามทศวรรษที่ผ่านมา เช่น การโอนเงินผ่านธนาคาร บัตรเครดิต/เดบิต ธนาคารออนไลน์และการชําระเงินผ่านโทรศัพท์มือถือ

ธนาคารไม่เพียงแต่ต้องอัพเกรดระบบของตนเพื่อรองรับการเปลี่ยนแปลงเหล่านี้ แต่ยังเปลี่ยนกระบวนการของพวกเขาเพื่อให้มั่นใจในความปลอดภัยอย่างต่อเนื่องเมื่อใช้เทคโนโลยีใหม่ การปกป้องข้อมูลที่ละเอียดอ่อนและการใช้มาตรการรักษาความปลอดภัยเพื่อป้องกันการโจมตีที่โดยอาชญากรไซเบอร์ รวมถึงความพยายามของการฟิชชิงและมัลแวร์ ก็เป็นสิ่งจําเป็นเช่นกันในปัจจุบัน

กฎระเบียบของธนาคารมีการเปลี่ยนแปลงอยู่ตลอดเวลาตามข้อกําหนดระบบธนาคารสมัยใหม่ ธนาคารมีความรับผิดชอบทางกฎหมายในการรักษาข้อมูลของลูกค้าให้ปลอดภัยและปกป้องข้อมูลจากการโจมตีทางไซเบอร์หรือการเข้าถึงโดยไม่ได้รับอนุญาต ในบทความนี้เราจะเห็นว่าธนาคารสมัยใหม่และบริษัทที่ให้บริการทางการเงินมั่นใจว่าพวกเขาปฏิบัติตามความรับผิดชอบนี้ได้อย่างไร

แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของข้อมูลสําหรับธนาคาร

ในการรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อน ธนาคารต้องปฏิบัติตามแนวทาง 360 องศา (360 degrees approach) เพื่อให้แน่ใจว่าการละเมิดข้อมูลจะไม่เกิดขึ้นภายในหรือภายนอกองค์กร นี่หมายถึงการรักษาความปลอดภัยทั้งกระบวนการตั้งแต่ต้นจนจบในส่วนที่บริการลูกค้า และกระบวนการภายในที่เกี่ยวข้องกับพนักงาน ผู้ขาย ระบบ และกระบวนการ ต่อไปนี้เป็นวิธีการบางอย่างในการทําเช่นนี้

1. การรับรองความถูกต้อง (Authentication)

การรับรองความถูกต้องกําหนดให้ทุกธุรกรรมในธนาคารเกิดขึ้นหลังจากยืนยันตัวตนของบุคคลที่เริ่มทําธุรกรรม สิ่งนี้ใช้กับลูกค้าที่เข้าสู่ระบบออนไลน์หรือระบบธนาคารบนเครื่องมือถือ หรือผู้ที่มาใช้บริการที่ธนาคารด้วยตนเอง หรือกับผู้ที่ใช้บัตรเครดิต/เดบิตที่เครื่อง POS และตู้เอทีเอ็ม นอกจากนี้ยังใช้กับพนักงานธนาคารที่สามารถเข้าถึงข้อมูลของลูกค้าและธนาคารได้

แม้ว่าการรับรองความถูกต้องก่อนหน้านี้จะต้องใช้ ID และรหัสผ่านหรือ PIN แต่ขณะนี้ธนาคารหลายแห่งได้ใช้การยืนยันแบบ 2 ขั้นตอน และหลายขั้นตอน เพื่อให้แน่ใจว่าบุคคลนั้นเป็นคนที่อ้างว่าเป็นจริงๆ ธนาคารยังใช้เทคนิคการพิสูจน์ตัวตนด้วยข้อมูลทางชีวภาพ (biometric) เพื่อยืนยันตัวตนของลูกค้า รวมถึงข้อมูลชีวภาพเชิงพฤติกรรมเมื่อพวกเขาโต้ตอบกับระบบธนาคาร เช่น IVR

2. เส้นทางการตรวจสอบ (Audit Trails)

ประวัติการทําธุรกรรมธนาคารมีให้ในรูปแบบใบแจ้งยอดหรือสมุดบัญชีเงินฝากเสมอ นอกจากนี้ระบบธนาคารยังรักษาเส้นทางการตรวจสอบสําหรับทุกเหตุการณ์ที่เกิดขึ้นระหว่างการโต้ตอบของลูกค้ากับระบบ ไม่ว่าจะเป็นลูกค้าที่ใช้ธนาคารทางโทรศัพท์หรือธนาคารออนไลน์ เวลาของการโต้ตอบจะถูกบันทึกพร้อมกับรายละเอียดของการโต้ตอบ ข้อมูลนี้ได้รับการสํารองข้อมูลทุกวันและไม่เคยถูกกําจัดออกอย่างสมบูรณ์ แต่จะถูกเก็บถาวรตามช่วงเวลาที่กําหนด

ที่มา : https://www.eskadenia.se/

3. โครงสร้างพื้นฐานที่ปลอดภัย (Secure Infrastructure)

โครงสร้างพื้นฐานที่ปลอดภัยหมายถึงระบบฐานข้อมูลและเซิร์ฟเวอร์ที่จัดเก็บข้อมูลตามขอบเขตที่กําหนดไว้เพื่อรักษาความปลอดภัย ข้อมูลที่เกิดขึ้นจะถูกเข้ารหัสในระบบธนาคารหลักใด ๆ หากต้องการการทดสอบ จําเป็นต้องปิดบังข้อมูลสําคัญ เช่น หมายเลขบัญชีธนาคาร ชื่อลูกค้า และที่อยู่

การเข้าถึงระบบบริการหลักถูกจํากัด ผู้ขายที่จัดการกับโครงสร้างพื้นฐานโดยทั่วไปจะแตกต่างจากผู้ขายที่จัดการกับแอปพลิเคชัน พนักงานธนาคารมักจะได้รับอุปกรณ์พิเศษที่การเข้าถึงเว็บไซต์สังคมออนไลน์ อีเมลส่วนตัว และพอร์ต USB จะถูกบล็อก พนักงานสามารถเข้าถึงเครือข่ายของธนาคารขณะใช้ Wi-Fi สาธารณะ ต้องผ่าน VPN เท่านั้น

4. กระบวนการที่ปลอดภัย (Secure Processes)

ธนาคารได้กําหนดกระบวนการหลายอย่างเพื่อให้แน่ใจว่ามีการนําไปใช้และได้ผ่านการทดสอบความปลอดภัย ซึ่งรวมถึงการอัปเดตระบบตรวจสอบว่าลูกค้าเป็นบุคคลที่ลูกค้ากล่าวอ้างจริง ๆ (KYC : Know Your Customer) ในฝั่งลูกค้า ข้อตกลงการไม่เปิดเผยข้อมูล (NDA : Non-disclosure agreement) ในฝั่งพนักงานและผู้ขาย และการรักษาความปลอดภัยโซนพิเศษภายในสถานที่และศูนย์ข้อมูลระยะไกล

รูป KYC ที่มา : https://www.d1asia.co.th/

ด้วยวิธีการการป้องกันการสูญหายของข้อมูล (DLP : Data Loss Prevention) ธนาคารสามารถบรรเทาภัยคุกคามจากภายในและปกป้องข้อมูลส่วนบุคคลของลูกค้า เช่น ชื่อและหมายเลขบัตรเครดิต วิธีการเหล่านี้ยังสามารถช่วยให้เป็นไปตามข้อกําหนดการปฏิบัติตามกฎระเบียบการปกป้องข้อมูล เช่น ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR : The EU General Data Protection Regulation)

รูปกระบวนการ DLP ที่มา : https://www.manageengine.com/

ดังนั้นจึงมั่นใจได้ว่าความปลอดภัยของธนาคารเป็นไปตามมาตรฐานที่เป็นเอกฉันท์และรักษาข้อมูลของลูกค้าให้ปลอดภัย

นอกจากนี้ยังมีการดําเนินการกระบวนการที่เกี่ยวข้องกับกฎระเบียบระดับโลกและระดับท้องถิ่น และการประเมินความเสี่ยงเพื่อให้แน่ใจว่ากระบวนการเหล่านี้สอดคล้องกับข้อกําหนด

5. การสื่อสารอย่างต่อเนื่อง

ธนาคารยังสื่อสารกับลูกค้าเป็นประจําเกี่ยวกับการอัพเกรดระบบ การแนะนําขั้นตอนการรับรองความถูกต้องใหม่ ฯลฯ นอกเหนือจากใบแจ้งยอดบัญชี ลูกค้ายังสามารถกําหนดขีดจํากัดและการแจ้งเตือนตามเงื่อนไขต่างๆ เพื่อให้แน่ใจว่าพวกเขาได้รับแจ้งหากมีกิจกรรมที่ไม่คาดคิดเกิดขึ้นเกี่ยวกับบัญชีของตน

แม้ว่าจะมีช่องทางการสื่อสารหลายช่องทาง แต่การตั้งค่าก็มีความยืดหยุ่นเพื่อตอบสนองความสะดวกสบายของลูกค้า ดังนั้นธนาคารจึงทํางานตลอดเวลาเพื่อให้แน่ใจว่าพวกเขาทําทุกอย่างที่ต้องทําเพื่อรักษาความปลอดภัยข้อมูลของพวกเขา

ที่มา

1. https://www.endpointprotector.com/blog/ways-banks-secure-data/

2. KYC https://www.thalesgroup.com/en/markets/digital-identity-and-security/banking-payment/issuance/id-verification/know-your-customer

3. GDPR https://www.endpointprotector.com/epp/gdpr-the-most-in-depth-guide-to-stay-compliant

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน