ความปลอดภัยอีคอมเมิร์ซปี 2025: ใช้ผู้ให้บริการชำระเงินที่ผ่าน PCI DSS v4.0, บังคับ TLS 1.2+/HSTS, ตั้ง Content-Security-Policy, คุกกี้ Secure/HttpOnly/SameSite, เปิด 2FA และสิทธิ์ขั้นต่ำ, ป้องกันด้วย WAF/Rate limit/บอท, อัปเดตแพตช์สม่ำเสมอ, สำรอง/กู้คืน และทำ PDPA/GDPR ให้ครบ.
Ecommerce Security Checklist (อัปเดต 2025)
สำหรับผู้บริหาร, Dev/DevOps, เจ้าของร้าน, DPO ใช้เช็กลิสต์นี้เพื่อลดความเสี่ยงข้อมูลบัตร/บัญชีและหยุดบอท/สแครป/ฟิชชิ่ง ครอบคลุมการชำระเงิน, เว็บ/แอป, โครงสร้างพื้นฐาน, ข้อมูลส่วนบุคคล, และการตอบสนองเหตุการณ์ พร้อมลิงก์อ้างอิงมาตรฐานสากล
ภาพรวมตามเลเยอร์
| เลเยอร์ | สิ่งที่ต้องมี | หลักฐาน/ตรวจสอบ | อ้างอิง |
|---|
| การชำระเงิน |
ใช้ผู้ให้บริการที่ผ่าน PCI DSS, เปิด 3-D Secure 2, Tokenization/Hosted Fields |
ใบรับรอง PCI ของ PSP, รายงาน 3DS สูญสำเร็จ |
PCI Security Standards Council |
| เว็บ/แอป |
TLS 1.2+, HSTS, CSP, SRI, X-Content-Type-Options, X-Frame-Options/COOP |
SSLLabs A, Security headers scan |
OWASP Headers |
| บัญชี/สิทธิ์ |
2FA/SSO, รหัสผ่าน hash แบบ Argon2id/bcrypt, RBAC/Least privilege |
รายงานผู้ใช้/บทบาท, กรณีสุ่มตรวจล็อกอิน |
NIST SP 800-63B |
| ป้องกันการโจมตี |
WAF, Rate limiting/Bot management, reCAPTCHA/เทียบเท่า |
กฎ/เหตุการณ์บล็อก, แจ้งเตือน |
OWASP Top 10 |
| ซัพพลายเชนโค้ด |
SCA/SAST, ล็อกเวอร์ชัน/ปรับแพตช์ปลั๊กอิน/ธีม, review สิทธิปลั๊กอิน |
รายงานช่องโหว่, บันทึกแพตช์ |
OWASP Dependency-Check |
| ข้อมูล/ความเป็นส่วนตัว |
Minimization/Encryption at rest+in transit, นโยบายเก็บ/ลบ, สิทธิผู้ใช้ |
Record of Processing, แบบฟอร์มขอใช้สิทธิ |
PDPC Thailand, GDPR |
| สำรอง/กู้คืน |
สำรองแยกบัญชี/เข้ารหัส/ทดสอบกู้คืน, RPO/RTO |
รายงาน DR drill รายไตรมาส |
OWASP Proactive Controls |
เช็กลิสต์หน้า Checkout/การชำระเงิน
| หัวข้อ | ทำอะไร | หลักฐาน | อ้างอิง |
|---|
| ขอบเขต PCI |
ใช้วิธีที่ลดขอบเขต (Hosted Payment Page, iFrame/Hosted Fields) |
SAQ A/A-EP ตามแบบที่ใช้ |
PCI SSC |
| 3-D Secure 2 (SCA) |
เปิด 3DS2 เพื่อยืนยันตัวผู้ถือบัตร (ทวีคูณความปลอดภัย/การยอมรับ) |
สถิติยืนยัน/ข้อยกเว้น |
Stripe 3DS2 |
| Tokenization |
อย่าเก็บ PAN เอง ใช้โทเค็นจาก PSP |
บันทึกนโยบายเก็บข้อมูล |
PSP Security Guide |
| การป้องกันบัตรตกค้าง |
ตั้งอายุโทเค็น/ลบเมื่อผู้ใช้ร้องขอ |
บันทึกการลบตามคำขอ |
GDPR Art.17 |
HTTP Security Headers (ตัวอย่างใช้งานจริง)
# ตัวอย่างบน Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:; script-src 'self' 'sha256-...'; style-src 'self' 'unsafe-inline'; frame-ancestors 'self'; frame-src https://js.stripe.com; connect-src 'self' https:;";
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "DENY" always; # หรือใช้ CSP frame-ancestors แทน
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()";
คุกกี้/เซสชัน (ลดการขโมย/ปลอมคำขอ)
// ตั้งค่า Set-Cookie (ตัวอย่าง)
Set-Cookie: session=...; Secure; HttpOnly; SameSite=Lax; Path=/; Max-Age=1800
- Secure: ส่งผ่าน HTTPS เท่านั้น
- HttpOnly: ป้องกัน JavaScript อ่านคุกกี้
- SameSite: Lax/Strict เพื่อลด CSRF
รหัสผ่าน/บัญชีผู้ใช้
- แฮชรหัสผ่านด้วย Argon2id (หรือ bcrypt) พร้อม salt และปรับพารามิเตอร์ตามฮาร์ดแวร์
- เปิด 2FA (TOTP/WebAuthn) สำหรับผู้ดูแลและผู้ขาย
- RBAC: ให้สิทธิ์เท่าที่จำเป็น (Least privilege) + รีวิวรายไตรมาส
- ป้องกัน brute force: Rate limit/ล็อกชั่วคราว/แคปชา
- รีเซ็ตรหัสผ่านด้วยลิงก์ใช้ครั้งเดียว หมดอายุสั้น
อ้างอิงแนวทางรหัสผ่าน/การยืนยันตัวตน: NIST SP 800-63B, OWASP ASVS
WAF/บอท/เรตลิมิต
- เปิด WAF พร้อมกฎ OWASP CRS และกฎเฉพาะโดเมน
- ตั้ง Rate limiting บนเส้นทางสำคัญ (ล็อกอิน, เพิ่มลงตะกร้า, เช็คเอาต์, API)
- เปิด Bot management + แบบท้าทาย reCAPTCHA/เทียบเท่า เฉพาะเมื่อจำเป็น
- คุ้มครองไฟล์สื่อต้นฉบับ/สคริปต์ด้วย SRI/Integrity
ซัพพลายเชน/ปลั๊กอิน/ธีม
- ใช้ SCA/SAST (Software Composition/Static Analysis) บน CI
- ล็อกเวอร์ชัน/ตรวจ CVE, ลบปลั๊กอินไม่จำเป็น, หลักการ minimal install
- รีวิวสิทธิ์แอป/ปลั๊กอินแบบ least privilege
ล็อก/มอนิเตอร์/แจ้งเตือน
- บันทึกเหตุการณ์สำคัญ: ล็อกอิน/ล้มเหลว, เปลี่ยนรหัสผ่าน, สร้าง/ยกเลิกคำสั่งซื้อ, การตั้งค่าการชำระเงิน
- เก็บอย่างปลอดภัย/ป้องกันแก้ไข (immutable logging) อย่างน้อย 90 วัน
- ตั้งแจ้งเตือนผิดปกติ (อัตราล้มเหลว/บอท/ทราฟฟิกต่างประเทศ)
ความเป็นส่วนตัว/PDPA/GDPR
| หัวข้อ | สิ่งที่ต้องทำ | อ้างอิง |
|---|
| ฐานกฎหมาย |
กำหนดฐานประมวลผล (สัญญา/ยินยอม/ผลประโยชน์ชอบธรรม) |
GDPR Art.6 |
| สิทธิของเจ้าของข้อมูล |
ช่องทางขอเข้าถึง/แก้ไข/ลบ/คัดค้าน + SLA |
PDPC Thailand |
| คุกกี้/การติดตาม |
แบนเนอร์โปร่งใส, จัดหมวด, ปิดก่อนยินยอม |
WCAG 2.2 |
| การเก็บข้อมูล |
Minimization + กำหนดอายุเก็บ + เข้ารหัส (at rest/in transit) |
OWASP Crypto Storage |
แผนตอบสนองเหตุการณ์ (Incident Response)
- ตรวจจับ/คัดแยก (triage) → กำหนดความรุนแรง
- ยับยั้ง/ปิดช่อง (containment) เช่น ปิดปลั๊กอิน/หมุนคีย์
- สืบสวนหลักฐาน (logs/snapshots) และระบุข้อมูลที่กระทบ
- แจ้งผู้มีส่วนได้เสีย/ผู้ใช้ภายในระยะเวลาที่กฎหมายกำหนด
- แก้ไขถาวร/เรโทรสเปกทีฟ/อัปเดตเช็กลิสต์
สปรินต์ 14 วัน: ยกระดับความปลอดภัยอีคอมเมิร์ซอย่างเร่งด่วน
| วัน | สิ่งที่ทำ | ผลลัพธ์ |
|---|
| 1 | ตรวจสถานะ PCI/PSP/3DS2 | ความเสี่ยงชำระเงินลด |
| 2–3 | บังคับ TLS/HSTS + ตั้ง CSP ขั้นต่ำ | การสื่อสารปลอดภัย/ลด XSS |
| 4 | คุกกี้ Secure/HttpOnly/SameSite + CSRF | ลดขโมยเซสชัน/CSRF |
| 5–6 | เปิด 2FA แอดมิน + RBAC | ควบคุมสิทธิ์เข้ม |
| 7–8 | เปิด WAF/Rate limit/บอท | กันสแกน/บรูทฟอร์ซ |
| 9 | SCA/SAST + แพตช์ปลั๊กอิน/ธีม | ลดช่องโหว่ซัพพลายเชน |
| 10 | ตั้งสำรอง/ทดสอบกู้คืน | แผน DR ใช้งานได้ |
| 11–12 | จัดทำนโยบาย PDPA/GDPR + แบบฟอร์มสิทธิ | คอมพลายน์ |
| 13–14 | ซ้อม Incident + ปรับเช็กลิสต์ | พร้อมตอบสนอง |
อ้างอิงภายนอก (มาตรฐาน/คู่มือทางการ)
บริการที่เกี่ยวข้อง (Internal Links)
อ่านต่อ (บทความที่เกี่ยวข้อง)
FAQ
ต้องทำ PCI DSS เองไหมถ้าใช้ผู้ให้บริการรับบัตร?
ขึ้นกับวิธีผสาน: ใช้ Hosted Payment/Tokenization จะลดขอบเขตเหลือ SAQ A/A-EP แต่ยังมีภาระบางส่วน (นโยบาย/กระบวนการ/สแกน). ตรวจคู่มือจาก PCI SSC และ PSP ของคุณ
CSP ต้องละเอียดแค่ไหน?
เริ่มจาก default-src 'self' และค่อย allowlist เฉพาะโดเมนที่จำเป็น (เช่น PSP/Analytics) ใช้ 'sha256-...' กับสคริปต์แบบ inline เพื่อลด XSS
ควรเก็บหมายเลขบัตรไว้ไหม?
ไม่ควร ให้ใช้โทเค็นจากผู้ให้บริการ (Tokenization) และเปิด 3-D Secure 2 เพื่อยืนยันผู้ถือบัตร ลดการฉ้อโกงและข้อพิพาท
อัปเดตล่าสุด: 12 Aug 2025
เกี่ยวกับผู้เขียน
Vision X Brain Team — ทีม Website/SEO/CRO & Webflow/Compliance เราออกแบบ/ปรับปรุงเว็บไซต์อีคอมเมิร์ซให้เร็ว ปลอดภัย และคอมพลายน์ (PCI/PDPA) พร้อมตั้ง Header/CSP/WAF/2FA และซ้อม Incident Response
