เว็บไซต์ของเราติดตั้งระบบป้องกันความปลอดภัย SSL Certification หรือ Secure Sockets Layer คือ มาตรฐานการรักษาความปลอดภัยของข้อมูลที่รับ-ส่งผ่านอินเตอร์เน็ต โดยจะมีการเข้ารหัสและถอดรหัสข้อมูลด้วยระบบ SSL ซึ่งจะสังเกตได้จาก URL ขึ้นต้นด้วย https:// จากเดิมที่ใช้เพียง http:// ซึ่งเป็นรับ-ส่งข้อมูลแบบธรรมดาไม่มีการเข้ารหัสข้อมูลไว้ ทำให้สามารถถูกดักขโมย แอบดูข้อมูลหรือสับเปลี่ยนข้อมูลกลางทางจาก Hacker หรือผู้ไม่หวังดีได้
- SSL มีส่วนสำคัญอย่างไร ?
การเข้าชมเว็บไซต์จากลูกค้านั้นต้องผ่านตัวกลางมากมายกว่าจะได้รับข้อมูลจากเซิฟเวอร์ เช่น Router, Network รวมถึงผู้ให้บริการอินเทอร์เน็ต และผู้ให้บริการเซิฟเวอร์อีกต่างหาก ซึ่งผู้ดูแลระบบเหล่านี้จะสามารถเข้าถึงข้อมูลได้ทันทีหากไม่มีการใช้งาน SSL ด้วยการเข้าเว็บไซต์ผ่าน https:// ซึ่งระบบ SSL จะมีหน้าที่ดังนี้ - เข้ารหัส – ข้อมูลจะถูกเข้ารหัสเพื่อป้องกันการดักฟังที่แข็งแกร่งที่สุดถึง 256 บิต (พร้อมใบรับรอง SSL เข้ารหัส 2,048 บิต) นั่นหมายถึง เมื่อลูกค้าเข้าชมเว็บไซต์และกำลังดูสินค้าในร้าน สั่งซื้อ หรือส่งข้อมูลชำระเงิน จะไม่มีใครสามารถดักฟังและรับรู้ถึงข้อมูลนั้นๆ ได้อย่างแน่นอน
- ความสมบูรณ์ข้อมูล – ข้อมูลที่ถูกเข้ารหัสนั้นจะไม่สามารถถูกเปลี่ยน แก้ไข เพิ่มหรือลบออกได้ ขณะที่มีการรับ-ส่งกันผ่าน https
- มีการรับรอง – SSL จะมีการออกใบรับรอง (SSL Certification) จากผู้ให้บริการ เพื่อเป็นการยืนยันและตรวจสอบทุกครั้งที่ผู้เข้าชมเว็บไซต์ได้เข้าถึงเว็บไซต์ที่ต้องการจริงๆ
ในการทำธุรกรรมออนไลน์ความปลอดภัยต้องมาก่อนเสมอ อย่าลืมมองหา https ด้านหน้า URL เว็บไซต์ก่อนกรอกข้อมูลสำคัญหรือทำธุรกรรมออนไลน์ นั่นเป็นหนึ่งในสัญลักษณ์ที่แสดงว่าเว็บไซต์นั้นติดตั้งระบบ SSL หรือ Single Socket Layer มาตรฐานการรักษาความปลอดภัยของข้อมูลที่รับส่งผ่านอินเตอร์เน็ต ตัวอย่างที่มีให้เห็นกันก็คือเว็บไซต์ธนาคารต่างๆ สังเกตได้จากตรง URL ของเว็บไซต์ธนาคารเหล่านั้นจะเป็น HTTPS ทั้งสิ้น ซึ่ง https://www.babypeak.com ติดตั้งระบบ SSL สัมพันธ์กันทั้งเว็บไซต์
ผลการทดสอบความปลอดภัยจาก https://www.ssllabs.com
ระบบชำระเงินผ่านบัตรเครดิตของเราปลอดภัยมากแค่ไหน ?
- ระบบนี้ถูกพัฒนาขึ้นโดยบริษัทผู้อยู่เบื้องหลังระบบ payment ของ True Corporation บรรดาโรงแรมใหญ่ๆและร้านอาหาร เช่น The Pizza Company และยังเป็นพาร์ทเนอร์กับ Alibaba.com ยักษ์ใหญ่จากประเทศจีน
- ผู้พัฒนาระบบนี้เป็นบริษัทแรกในไทยที่ได้ใบรับรองมาตรฐานการรักษาความปลอดภัย PCI DSS 3.2 (Payment Card Industry Data Security Standards) ได้บรรลุข้อกำหนดที่ระบุใน AOC (Attestation of Compliance) และ ROC (Report of Compliance) ทุกๆปีระบบนี้จะเข้ารับการตรวจสอบความปลอดภัยตามระเบียบและข้อกำหนดของ Payment Card Industry (PCI) โดยผู้ตรวจประเมินอิสระ (Qualified Security Assessor หรือ QSA) เพื่อควบคุมมาตรฐานในการเก็บรักษา ประมวลผล และรับ-ส่งข้อมูลบัตร ให้เป็นไปตามนโยบายด้านสารสนเทศและความปลอดภัยที่กำหนดขึ้นโดยค่ายบัตรเครดิตชั้นนำของโลก
- การสื่อสารและรับ-ส่งข้อมูลระหว่างเบราว์เซอร์ผู้ถือบัตรและเซิร์ฟเวอร์ของระบบจะมีการเข้ารหัสโดยใช้โปรโตคอล TLS การสื่อสารทั้งหมดที่เกิดขึ้น ไม่ว่าจะระหว่าง application server load balancer proxy หรือ database ใดๆ จะถูกเข้ารหัส SSL/TLS ทั้งสิ้น โดยการสื่อสารทั้งหมด ยังเกิดขึ้นภายใต้ subnets ที่มีการตรวจสอบและรักษาความปลอดภัยอย่างดีอีกด้วย ในการเรียก API ระบบจะยอมรับการสื่อสารผ่าน HTTPS/TLS เท่านั้น
- บัตรทุกใบที่นำมาใช้กับระบบจะมีการเข้ารหัสเพื่อรักษาความปลอดภัยของข้อมูล มาตรฐานการเข้ารหัส AES-256 ซึ่งมีความยาวบล็อกข้อมูล 256 bits และ 14 hashes ทำให้การถอดรหัสเป็นไปได้ยาก โดยข้อมูลที่มีการเข้ารหัสจะถูกเก็บที่เซิร์ฟเวอร์ซึ่งรักษาอยู่ภายใต้สภาพแวดล้อมที่มีความปลอดภัยสูง ได้รับการตรวจตราจากผู้ดูแลระบบ และถูกป้องกันจากภัยคุกคามไว้เป็นอย่างดี ข้อมูลบัตรจะถูกถอดรหัสเมื่อถูกส่งไปยังธนาคารเพื่อใช้ชำระเงินเท่านั้น
- ข้อมูลที่ผู้ถือบัตรกรอกลงเช็คเอาท์ฟอร์มบนหน้าเว็บไซต์หรือในแอปพลิเคชันจะถูกส่งตรงไปยังเซิร์ฟเวอร์ระบบอย่างปลอดภัยผ่านช่องทางการสื่อสาร HTTPS (TLS) ข้อมูลบัตรจะถูกแปลงเป็น Token ซึ่งสามารถนำไปใช้รับชำระเงินทันที และถูกส่งกลับไปยังเบราว์เซอร์ผู้ถือบัตรโดยตรง ไม่มีการเก็บข้อมูลใดๆไว้บนเว็บไซต์ของเราทั้งสิ้น บัตรทุกใบที่เข้าสู่ระบบจะถูกแปลงเป็น Token ทั้งหมด ไม่มีข้อมูลส่วนใดผ่านไปยังร้านค้า ระบบจะทำการเข้ารหัสข้อมูลโดยใช้ AES-256 และ symmetric encryption ก่อนจัดเก็บลง database ที่มีการเข้ารหัสอีกชั้นหนึ่งและยังถูกรักษาไว้ภายใต้สภาพแวดล้อมที่มีการคุ้มกันความปลอดภัยอย่างแน่นหนา (แม้แต่ทีมผู้พัฒนาเอง ยังไม่สามารถเข้าถึงข้อมูลส่วนนี้ได้) และข้อมูลบัตรที่จัดเก็บไว้จะถูกถอดรหัสเมื่อมีการเรียกใช้เพื่อรับชำระเงินเท่านั้น
- Token เป็นรหัสที่มาจากการสุ่มเลือกเพื่อใช้เป็นตัวแทนของบัตรจริง เมื่อไหร่ก็ตามที่มีการทำรายการซึ่งจำเป็นต้องกรอกข้อมูลบัตร token จะถูกนำมาใช้เป็นตัวแทน การใช้ token มีความปลอดภัยสูงกว่าการใช้บัตรจริงมาก เนื่องจากในการทำธุรกรรมจะต้องใช้งานร่วมกับ secret key เท่านั้น หากขาด secret key ไป token ก็เปล่าประโยชน์ บัตรเครดิตทุกใบที่ผ่านระบบจะถูกแปลงเป็น token เพื่อความปลอดภัย
ตัวอย่าง
หมายเลขบัตรเครดิต: 4477-4477-4477-4477
ผู้ถือบัตร: นายกอไก่ นามสกุลขอไข่
เดือนและปีที่หมดอายุ: 10/2020
เข้ารหัส Token: tokn_5Sk3ldpwMw0pKlsTbswl2Rqo4P
- Token สามารถนำไปใช้เพื่อรับชำระเงิน (สร้าง charge) ทันที หรือร้านค้าอาจเลือกจัดเก็บไว้ในรูปแบบ Customer ก็ได้ การจัดเก็บ Token ไว้จะอนุญาตการเก็บเงินแบบรายเดือน (recurring payment) และการชำระแบบ one-click-checkout ซึ่งผู้ถือบัตรไม่จำเป็นต้องกรอกข้อมูลบัตรลงไปซ้ำๆ ทุกครั้งในหน้าเช็คเอาท์
- ข้อดีของการใช้ Token ก็คือถ้า Hacker แฮกระบบของเว็บไซต์ แล้วได้ Token ไปแต่จะไม่สามารถนำไปใช้ทำอะไรได้ ตรงนี้ถือเป็นอีกหนึ่งความปลอดภัยของการทำระบบที่เกี่ยวข้องกับการรับชำระเงินออนไลน์