ถ้าใช้ PSP (Hosted Fields/Redirect) ยังต้องทำ PCI DSS ไหม?

ยังต้องทำในขอบเขตที่เล็กลง (เช่น SAQ A/A-EP) และยังต้องดูแลเว็บเอง เช่น HTTPS/HSTS/CSP/การจัดการสิทธิ์และบันทึกเหตุการณ์

🔥 แค่ 5 นาที เปลี่ยนมุมมองได้เลย

Checklist ความปลอดภัยเว็บไซต์ E-Commerce: 20 ข้อที่ต้องทำเพื่อป้องกันข้อมูลรั่วไหลและสร้างความเชื่อมั่น

By Tanakit Chaithip

July 23, 2025

ยาวไป อยากเลือกอ่าน?

Checklist

เช็กลิสต์ความปลอดภัยอีคอมเมิร์ซที่เน้นผลลัพธ์: บังคับ HTTPS/HSTS, ตั้ง CSP/Permissions-Policy, ใช้ 2FA/SSO, สิทธิ์น้อยที่สุด (RBAC), สแกนช่องโหว่และ Dependencies ต่อเนื่อง, จ่ายเงินตาม PCI DSS, สำรอง/ทดสอบกู้คืน, ล็อกตรวจสอบได้, ตั้งแจ้งเตือนผิดปกติ และซ้อม Incident Response สม่ำเสมอ.

eCommerce Security Audit Checklist (พร้อมโค้ดและ KPI ใช้งานจริง)

เป้าหมาย ลดความเสี่ยงต่อรายได้/ข้อมูลลูกค้า ด้วยเช็กลิสต์ที่ลงมือได้จริง ครอบคลุมแอป โครงสร้างพื้นฐาน การชำระเงิน ส่วนหน้า บุคคลที่สาม และการรับมือเหตุการณ์ (IR) พร้อม KPI และแผน 14 วัน

ตารางเช็กลิสต์หลัก

หมวด	สิ่งที่ต้องตรวจ	วิธีตรวจ/เครื่องมือ	เกณฑ์ผ่าน (ตัวอย่าง)
แอปพลิเคชัน (OWASP)	Input validation, AuthZ, SSRF/XSS/SQLi, Secrets management	OWASP ASVS/Top 10, DAST/SAST, Code review	ไม่มี Critical/High เปิดค้าง, Fix SLA ≤ 7/30 วัน
ยืนยันตัวตน/สิทธิ์	2FA/SSO, Password policy, Session hardening, RBAC/ABAC	IdP/SSO logs, Config review, Pen test	2FA ≥ 95% ผู้ดูแล, Session TTL/Rotation ถูกต้อง
การชำระเงิน (PCI)	ขอบเขต PCI, SAQ, ใช้ PSP/Hosted Fields, TLS	PCI DSS v4.0, PSP attestation	SAQ ถูกประเภท, TLS 1.2+, ห้ามเก็บ PAN/CVV
ส่วนหน้า/เบราว์เซอร์	HTTPS/HSTS, CSP, Permissions-Policy, X-Frame-Options	HTTP response check, CSP Evaluator	HSTS เปิด, CSP ไม่มีช่องโหว่ร้ายแรง
โครงสร้างพื้นฐาน	Patch/Hardening, WAF/CDN, Least privilege (IAM), Network rules	CIS benchmarks, IaC scan, Cloud config scan	Zero critical misconfig, Keys rotation ตามนโยบาย
ข้อมูล/ความเป็นส่วนตัว	Encryption at rest/in transit, Key mgmt, Retention, Pseudonymization	KMS configs, DB audit, DPIA (ถ้ามี)	คีย์แยกสิทธิ์, บันทึกการเข้าถึงครบ
บุคคลที่สาม	PSP/Analytics/Chat, Software supply chain	Vendor review, SBOM, Dependabot/SCA	อัปเดต deps ล่าสุด, ลบสคริปต์ไม่จำเป็น
มอนิเตอร์/IR	Centralized logs, Alert rule, Playbook IR/Backups	SIEM/Cloud logs, IR runbook drill	MTTD < 15m, MTTR < 2h, Backup test รายไตรมาส

KPI ที่ควรติดตาม

KPI	นิยาม	เป้าหมายแนะนำ
Patch latency	เวลาตั้งแต่แจ้งช่องโหว่ → แก้ในโปรดักชัน	Critical ≤ 7 วัน, High ≤ 30 วัน
2FA coverage	% ผู้ดูแล/แอดมินที่เปิด 2FA	≥ 95%
Dependency health	% แพ็กเกจเก่าเกิน 12 เดือน/มี CVE	< 5% / 0 CVE เปิดค้าง
CSP violations	จำนวน report ต่อ 1k pageviews	สัปดาห์แรกปรับจูนให้ <= 1
Backup restore success	อัตรากู้คืนผ่านการทดสอบ	100% ผ่าน/ไตรมาส

โค้ดตัวอย่าง: Security Headers

# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:; script-src 'self' https://www.googletagmanager.com https://www.google-analytics.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; frame-ancestors 'none'; upgrade-insecure-requests" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header X-Frame-Options "DENY" always;

// Node.js (Express)
import helmet from 'helmet';
app.use(helmet({
  hsts: { maxAge: 31536000, includeSubDomains: true, preload: true },
  frameguard: { action: 'deny' },
  contentSecurityPolicy: {
    useDefaults: true,
    directives: {
      "default-src": ["'self'"],
      "img-src": ["'self'", "data:", "https:"],
      "script-src": ["'self'", "https://www.googletagmanager.com", "https://www.google-analytics.com"],
      "style-src": ["'self'", "'unsafe-inline'", "https://fonts.googleapis.com"],
      "font-src": ["'self'", "https://fonts.gstatic.com"],
      "frame-ancestors": ["'none'"]
    }
  },
  permissionsPolicy: { features: { camera: ['()'], microphone: ['()'], geolocation: ['()'] } }
}));

HowTo: Audit 14 วัน (ทำจริงได้)

วัน 1–2: กำหนดขอบเขต, สินทรัพย์, ดาต้าโฟลว์ และผู้รับผิดชอบ
วัน 3–4: สแกนช่องโหว่ (แอป/คลาวด์), ทบทวนสิทธิ์ IAM/RBAC
วัน 5–6: ตั้ง HTTPS/HSTS/CSP/Permissions-Policy, ปิด Header เสี่ยง
วัน 7–8: ตรวจการชำระเงินตาม PCI (SAQ, PSP integration), ห้ามเก็บ PAN
วัน 9–10: จัดการ Dependencies/SBOM, เปิด CI scan อัตโนมัติ
วัน 11–12: รวมล็อก, ตั้ง Alert rules, ซ้อม IR/Backup restore
วัน 13–14: ปิด Critical/High, ทำรายงาน KPI/แผนปรับปรุงรายไตรมาส

บริการที่เกี่ยวข้อง (Internal Links)

อ่านต่อ (บทความที่เกี่ยวข้อง)

อ้างอิงภายนอก (มาตรฐาน/แนวทาง)

OWASP — Top 10 (Web App) & ASVS: owasp.org/www-project-top-ten/, owasp.org/.../asvs
PCI Security Standards — PCI DSS v4.0: pcisecuritystandards.org/document_library
NIST — Digital Identity Guidelines (SP 800-63): pages.nist.gov/800-63-3/
MDN — Security Headers (CSP, HSTS, XFO): developer.mozilla.org/.../CSP, .../Strict-Transport-Security, .../X-Frame-Options
Google — Why HTTPS matters: web.dev/articles/why-https-matters
OWASP — Dependency-Check (SCA): owasp.org/www-project-dependency-check/
Google — CSP Evaluator (เครื่องมือช่วยตรวจ CSP): csp-evaluator.withgoogle.com

FAQ (คำถามที่พบบ่อย)

ถ้าใช้ PSP (เช่น Hosted Fields/Redirect) ยังต้องทำ PCI DSS ไหม?
ยังต้องทำในขอบเขตที่เล็กลง (เช่น SAQ A/A-EP ตามรูปแบบผสาน) และยังต้องดูแลส่วนของเว็บเอง เช่น HTTPS/HSTS/CSP/การจัดการสิทธิ์และบันทึกเหตุการณ์

ควรสแกนช่องโหว่ถี่แค่ไหน?
อย่างน้อยรายเดือน และหลังออกรุ่นสำคัญ; สแกน Dependencies ใน CI ทุกการเปลี่ยนแปลง และรีวิว Cloud/IaC เมื่อมีอินฟราสตรักเชอร์ใหม่

CSP จะทำให้เว็บพังไหม?
ทดสอบด้วย Report-Only ก่อน ปรับรายการโดเมนให้ครบ แล้วค่อยเปิดใช้งานเต็มรูปแบบ ลดความเสี่ยงสคริปต์ไม่พึงประสงค์

อัปเดตล่าสุด: 14 Aug 2025

เกี่ยวกับทีมผู้เขียน

Vision X Brain — ทีม Website/SEO/CRO & Webflow ที่ช่วยธุรกิจอีคอมเมิร์ซให้ “เร็ว ปลอดภัย คอนเวิร์ตสูง” เราออกแบบสถาปัตยกรรม รักษาความปลอดภัยส่วนหน้า/ส่วนหลัง วางนโยบาย IR/Backup และวัดผลตาม KPI ธุรกิจ