- เข้าร่วม
- 1 มิถุนายน 2011
- ข้อความ
- 11,238
- คะแนนปฏิกิริยา
- 0
- คะแนน
- 0
ธนาคารแห่งประเทศไทยประกาศแนวทางการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนโทรศัพท์มือถือ เป็นการรวบรวมข้อกำหนดต่างๆ จากประกาศของธนาคารแห่งประเทศไทยเองที่มีมาก่อนหน้านี้ให้เป็นประกาศเดียวกัน
แนวทางบังคับให้สถาบันการเงินต้องมีมาตรการ ได้แก่
มาตรการบนตัวแอป มีมาตรการเพิ่มเติมอีกหลายประการ ทั้งการเข้ารหัสข้อมูล, แสดงผลข้อมูลอย่างปิดบังข้อมูลสำคัญ รวมถึงการทำ "certification pinning หรือวิธีอื่นที่เทียบเท่า", ทำ source code obfuscation ป้องกันการอ่านโค้ด, ตรวจจับเครื่อง root, ห้ามใช้แอปเมื่อติดตั้งแอปขอสิทธิช่วยเหลือคนพิการหรือแอปควบคุมเครื่องระยะไกล, ตลอดจนห้ามใช้แอปธนาคารในเครื่องที่เก่าจนมีความเสี่ยงที่ TB-CERT ประกาศแจ้งเตือน หรือหากจะให้เครื่องเก่าใช้งานได้ก็ต้องปรับวงเงินไม่เกินวันละ 5,000 บาท
มาตรการในประกาศจำนวนมากเป็นมาตรการที่หลายธนาคารใช้มาก่อนหน้านี้แล้ว ความเปลี่ยนแปลงกับคนทั่วไปจึงไม่มากนัก ที่น่าแปลกใจคือประกาศยังคงสนับสนุนให้ทำ certification pinning (แกมบังคับ แม้จะระบุว่าใช้วิธีเทียบเท่าได้) โดยกระบวนการนี้เป็นกระบวนการลดความเสี่ยงที่ใบรับรองจะถูกออกโดย certification authority ที่ไม่ได้รับอนุญาต แต่เนื่องจากช่วงหลังมีกระบวนการตรวจสอบที่ดีขึ้นผ่านทาง CT log ทำให้กูเกิลที่เป็นผู้ใช้วิธีนี้เป็นวงกว้างคนแรกๆ เลิกใช้งานไปเมื่อปี 2018 ฝั่ง Let's Encrypt ก็เริ่มบีบทำให้ทำได้ลำบากขึ้น รวมถึง Cloudflare ออกมาขอร้องให้ลูกค้าเลิกทำ
ประกาศฉบับนี้มีผลจริงในเดือนมีนาคม 30 วันหลังประกาศ ยกเว้นการบังคับระบบปฎิบัติการเก่าให้มีผลใน 60 วัน
ที่มา - Bank of Thailand
Topics:
Bank of Thailand
Security
Mobile Banking
Continue reading...
แนวทางบังคับให้สถาบันการเงินต้องมีมาตรการ ได้แก่
- ห้ามส่งลิงก์ทั้งผ่าน SMS และอีเมล สำหรับการโพสข้อมูลบน social media ห้ามโพสลิงก์ที่มีการขอข้อมูลสำคัญ แต่สามารถส่งลิงก์ได้เมื่อผู้ใช้ขอเป็นรายครั้ง
- ธนาคารต้องติดตามการสร้างแอปปลอมทั้งบนสโตร์และนอกสโตร์
- แอปธนาคารใช้ได้ 1 อุปกรณ์ต่อ 1 บัญชี ลงสองเครื่องใช้โทรศัพท์มือถือและไอแพดไม่ได้
- ต้องมีการยืนยันตัวตนด้วย biometric เพิ่มเติม เมื่อมีธุรกรรมเกิน 50,000 บาท, ธุรกรรมทั้งวันเกิน 200,000 บาท, และปรับวงเงินเกิน 50,000 บาท
- กำหนดเพดานวงเงินตามความเสี่ยงของผู้ใช้บริการ ทั้งกรณีผู้ใช้เป็นเหยื่อ หรือผู้ใช้เป็นบัญชีม้า
มาตรการบนตัวแอป มีมาตรการเพิ่มเติมอีกหลายประการ ทั้งการเข้ารหัสข้อมูล, แสดงผลข้อมูลอย่างปิดบังข้อมูลสำคัญ รวมถึงการทำ "certification pinning หรือวิธีอื่นที่เทียบเท่า", ทำ source code obfuscation ป้องกันการอ่านโค้ด, ตรวจจับเครื่อง root, ห้ามใช้แอปเมื่อติดตั้งแอปขอสิทธิช่วยเหลือคนพิการหรือแอปควบคุมเครื่องระยะไกล, ตลอดจนห้ามใช้แอปธนาคารในเครื่องที่เก่าจนมีความเสี่ยงที่ TB-CERT ประกาศแจ้งเตือน หรือหากจะให้เครื่องเก่าใช้งานได้ก็ต้องปรับวงเงินไม่เกินวันละ 5,000 บาท
มาตรการในประกาศจำนวนมากเป็นมาตรการที่หลายธนาคารใช้มาก่อนหน้านี้แล้ว ความเปลี่ยนแปลงกับคนทั่วไปจึงไม่มากนัก ที่น่าแปลกใจคือประกาศยังคงสนับสนุนให้ทำ certification pinning (แกมบังคับ แม้จะระบุว่าใช้วิธีเทียบเท่าได้) โดยกระบวนการนี้เป็นกระบวนการลดความเสี่ยงที่ใบรับรองจะถูกออกโดย certification authority ที่ไม่ได้รับอนุญาต แต่เนื่องจากช่วงหลังมีกระบวนการตรวจสอบที่ดีขึ้นผ่านทาง CT log ทำให้กูเกิลที่เป็นผู้ใช้วิธีนี้เป็นวงกว้างคนแรกๆ เลิกใช้งานไปเมื่อปี 2018 ฝั่ง Let's Encrypt ก็เริ่มบีบทำให้ทำได้ลำบากขึ้น รวมถึง Cloudflare ออกมาขอร้องให้ลูกค้าเลิกทำ
ประกาศฉบับนี้มีผลจริงในเดือนมีนาคม 30 วันหลังประกาศ ยกเว้นการบังคับระบบปฎิบัติการเก่าให้มีผลใน 60 วัน
ที่มา - Bank of Thailand
Topics:
Bank of Thailand
Security
Mobile Banking
Continue reading...