PCI DSS + PDPA สำหรับ Retail/Restaurant ไทย — Network Segmentation
ร้านอาหารและ retail ไทยต้องปฏิบัติตามทั้ง PCI DSS v4.0 และ PDPA พร้อมกัน — บทความนี้แสดง Network Segmentation architecture แบบ 5 VLAN zone ที่ตอบโจทย์ทั้งสองกฎหมายในงบ 50k-1M บาท
1. ทำไม Retail/F&B ต้องพิจารณา 2 กฎหมายพร้อมกัน#
ร้านอาหารและ retail chain ไทยมักมองว่า compliance เป็นเรื่องของธนาคารหรือโรงพยาบาล แต่จริงๆ แล้วทุกร้านที่รับบัตรเครดิต/เดบิตหรือเก็บข้อมูลลูกค้าต้องรับมือกฎหมายสองชุดพร้อมกัน
PCI DSS (Payment Card Industry Data Security Standard) กำหนดโดย card brands (Visa, Mastercard) ผ่าน acquirer bank ในไทย — ร้านที่รับบัตรทุกขนาดต้องปฏิบัติตาม ไม่ใช่ทางเลือก หากละเลยและเกิด data breach ค่าปรับและค่า forensic อาจสูงถึงหลักล้านบาท รวมถึงความเสี่ยงถูกตัดสิทธิ์รับชำระด้วยบัตร
PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) ครอบคลุมทุกข้อมูลส่วนบุคคลที่ร้านเก็บ ตั้งแต่ชื่อ-เบอร์โทรในระบบสมาชิก ไปจนถึงภาพ CCTV และ Traffic log Wi-Fi — โดยมี พ.ร.บ.คอมพิวเตอร์ มาตรา 26 กำกับการเก็บข้อมูลจราจรทางคอมพิวเตอร์ควบคู่กัน
ปัญหาจริงที่พบในสาขาทั่วไปคือ PoS terminal, Guest Wi-Fi, กล้อง CCTV และ Back-office PC วิ่งอยู่บน Flat Network เดียว — เส้นเดียวกัน, VLAN เดียวกัน, firewall rule เดียวกัน — ซึ่งถือว่า fail ทั้ง PCI DSS และ PDPA ในเวลาเดียวกัน
2. PCI DSS v4.0 — Requirement สั้นๆ ที่กระทบ Network#
PCI DSS v4.0 (ประกาศ มีนาคม 2022 บังคับใช้เต็มรูปแบบ เมษายน 2025) ปรับหลายจุดที่กระทบ Retail/F&B โดยตรง
Requirement 1 — Network Controls: ต้องมี firewall หรืออุปกรณ์ที่เทียบเท่า ควบคุม traffic เข้า-ออก Cardholder Data Environment (CDE) อย่างชัดเจน กฎ deny-all by default และ allow เฉพาะ port/protocol ที่จำเป็น
Requirement 1.3 — Network Access: ห้าม trusted network (เช่น Back-office) เข้าถึง CDE โดยตรงโดยไม่ผ่าน firewall — หมายความว่า Back-office PC กับ PoS Server ต้องอยู่คนละ segment
Requirement 6.4 — Web-facing Applications: Web app หรือ Payment page ต้องผ่าน WAF หรือ code review ทุกปี
Requirement 10 — Logging & Monitoring: ต้องเก็บ Traffic log ทุก event บน CDE อย่างน้อย 90 วัน online, 1 ปีรวม และมีระบบ alert อัตโนมัติเมื่อพบ anomaly
Requirement 12.3.2 — Targeted Risk Analysis: ร้านขนาด SAQ-B หรือ SAQ-C (ส่วนใหญ่ในไทย) ต้องทำ Risk Analysis เพื่อพิสูจน์ว่า control ที่เลือกเพียงพอ
Network Segmentation ไม่ใช่ "nice to have" ใน PCI DSS v4.0 — หากไม่ทำ Scope จะครอบคลุมทั้งเครือข่ายของร้าน ทำให้ cost of compliance พุ่งสูงหลายเท่า
3. PDPA + พ.ร.บ.คอมฯ — Requirement ที่กระทบ Network#
PDPA กำหนดให้ผู้ควบคุมข้อมูล (ร้าน) ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม ครอบคลุมข้อมูลส่วนบุคคลทุกรูปแบบ ทั้งข้อมูลสมาชิก, ข้อมูลการสั่งซื้อ, และภาพจากกล้อง CCTV ที่จำแนกบุคคลได้
พ.ร.บ.คอมพิวเตอร์ มาตรา 26 กำหนดให้ผู้ให้บริการอินเทอร์เน็ต (รวมถึงร้านที่เปิด Guest Wi-Fi) ต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้อย่างน้อย 90 วัน และต้องสามารถส่งให้เจ้าหน้าที่ได้เมื่อมีคำสั่ง
จุดที่ทำให้สองกฎหมายกระทบ Network ตรงๆ มีสามประเด็น
ประเด็นที่ 1 — Guest Wi-Fi: ต้องแยก segment ออกจาก PoS และ Back-office ทั้งเพื่อ PCI DSS (ไม่ให้ CDE รั่วไหล) และ PDPA (ไม่ให้ Guest เข้าถึงข้อมูลลูกค้าคนอื่น) ต้องเก็บ Traffic log ตาม ม.26 ด้วย
ประเด็นที่ 2 — CCTV: ภาพ CCTV เป็นข้อมูลส่วนบุคคล — Server/NVR ต้องอยู่ใน segment ที่ควบคุมการเข้าถึงได้ ไม่ใช่บน Flat Network ที่ PC ทุกเครื่องเข้าถึงได้
ประเด็นที่ 3 — Data Breach Notification: PDPA กำหนดแจ้ง PDPC ภายใน 72 ชั่วโมงเมื่อเกิด breach — หากไม่มี Network Segmentation จะไม่สามารถระบุ scope ของ breach ได้ทันเวลา
4. สถาปัตยกรรมอ้างอิง — VLAN Segmentation 5 Zones#
แผน Network ที่แนะนำสำหรับร้านอาหาร/retail 1 สาขา แบ่งเป็น 5 VLAN zone
VLAN 10 — PoS Zone (CDE): PoS Terminal, Payment Server, Card Reader — ห้าม communicate ออกนอก zone ยกเว้น port ที่กำหนดไปยัง Payment Gateway ผ่าน firewall
VLAN 20 — Office Zone: Back-office PC, ERP/POS Management Console, Printer — เข้าถึง PoS Zone ได้เฉพาะ management port ที่กำหนด ผ่าน ACL บน firewall
VLAN 30 — Guest Wi-Fi Zone: Access Point สำหรับลูกค้า — Isolated สมบูรณ์, ไม่เห็น VLAN อื่นทั้งหมด, ต้องมี Traffic log เก็บตาม ม.26
VLAN 40 — CCTV Zone: IP Camera, NVR/DVR — Isolated จาก Guest และ Office, เข้าถึงได้เฉพาะจาก Management Zone
VLAN 50 — Management Zone: Switch Management IP, Firewall Management, AP Controller — จำกัดเฉพาะ IT Admin, ไม่ route ออก internet โดยตรง
firewall rule ที่สำคัญที่สุดคือ deny all inter-VLAN by default แล้ว allow เป็นรายการ — ไม่ใช่กลับกัน ผิดหลักนี้ถือว่า fail PCI DSS Req 1 ทันที
5. ตัวอย่าง BOM 1 สาขา (งบ ~50,000–100,000 บาท)#
สำหรับร้านอาหารหรือ retail 1 สาขา ขนาดพื้นที่ไม่เกิน 300 ตร.ม. พนักงาน 5–15 คน
| รายการ | ตัวอย่างรุ่น | ราคาโดยประมาณ |
|---|---|---|
| Managed Layer-2 Switch 24-port | Cisco CBS350-24T หรือ Ubiquiti USW-24-POE | 15,000–25,000 บาท |
| Firewall (UTM) | Fortinet FortiGate 60F หรือ pfSense Appliance | 15,000–30,000 บาท |
| Access Point (Wi-Fi 6) | Ubiquiti U6-LR หรือ Cisco CW9162I | 5,000–10,000 บาท |
| NAS/Log Server | Synology DS223 (สำหรับ Traffic log + Syslog) | 8,000–12,000 บาท |
| ค่า Setup + VLAN Config | — | 10,000–15,000 บาท |
Managed Switch คือหัวใจของ segmentation — Unmanaged Switch ไม่รองรับ VLAN จึงไม่สามารถทำ compliance ได้เลย
6. ตัวอย่าง BOM 5–10 สาขา (Centralized งบ ~500,000–1,000,000 บาท)#
Chain restaurant หรือ retail ที่มีหลายสาขาควรใช้ architecture แบบ Hub-and-Spoke โดยมี Centralized firewall + Log Server ที่ Head Office
| รายการ | สเปคแนะนำ | ราคาโดยประมาณ |
|---|---|---|
| Core Firewall (HQ) | Fortinet FortiGate 200F หรือ Cisco FTD 1120 | 120,000–200,000 บาท |
| Managed Switch per Branch (×10) | Cisco CBS350-24T ×10 | 150,000–250,000 บาท |
| SD-WAN / VPN Router per Branch | Fortinet FortiGate 40F ×10 | 150,000–200,000 บาท |
| Centralized Log/SIEM | Wazuh OSS บน VM หรือ Graylog | 30,000–50,000 บาท |
| Access Point per Branch (×10) | Ubiquiti U6-Mesh ×2/สาขา | 50,000–80,000 บาท |
| ค่า Setup + Policy Config | — | 80,000–150,000 บาท |
ข้อได้เปรียบของ Centralized design คือ Traffic log จากทุกสาขารวมที่เดียว ตอบโจทย์ทั้ง PCI DSS Req 10 และ ม.26 โดยไม่ต้องจัดการ Log Server ทีละสาขา
7. เตรียมการ Audit — Log + Scan + พิสูจน์ Network Isolation#
เมื่อ QSA (PCI DSS Auditor) หรือ PDPC มาตรวจ สิ่งที่ต้องเตรียมมี 3 ชุด
ชุดที่ 1 — Network Diagram + VLAN Table: แสดง topology ทุก VLAN, IP range, firewall rule ที่ allow/deny inter-VLAN พร้อม justification
ชุดที่ 2 — Traffic Log: Log จาก firewall และ Switch ที่ครอบคลุมอย่างน้อย 90 วัน แสดงว่า Guest Wi-Fi ไม่เคย reach CDE, ไม่มี unauthorized access ข้าม VLAN และ log ต้องมี timestamp, source IP, destination IP, action
ชุดที่ 3 — Penetration Test / Vulnerability Scan: PCI DSS v4.0 กำหนด Internal + External scan ทุกไตรมาส และ Pen Test อย่างน้อยปีละครั้ง หรือเมื่อ network เปลี่ยนแปลงสำคัญ — ใช้เพื่อพิสูจน์ว่า VLAN isolation ทำงานจริงไม่ใช่แค่ config บนกระดาษ
การทำ Segmentation บน Switch โดยไม่มี firewall ระหว่าง VLAN ไม่เพียงพอสำหรับ PCI DSS — VLAN Hopping attack ยังเป็นไปได้หากไม่มี Layer-3 firewall ควบคุม inter-VLAN routing
8. สรุป + Action Priority#
หากเริ่มต้นวันนี้ ลำดับความสำคัญที่แนะนำมีดังนี้
Priority 1 — กำหนด Scope ก่อน: ระบุว่าระบบใดสัมผัส card data โดยตรง (PoS Terminal, Payment Server) เพื่อกำหนด CDE boundary — ยิ่ง scope เล็ก ค่า compliance ยิ่งต่ำ
Priority 2 — แยก Guest Wi-Fi ออกทันที: เป็นจุดเสี่ยงสูงสุดและทำได้เร็วที่สุด ใช้ Managed Switch + firewall rule พื้นฐาน ตอบโจทย์ทั้ง PCI DSS และ ม.26
Priority 3 — Deploy Log Server: เริ่มเก็บ Traffic log จาก firewall และ Access Point ทันที — 90 วันนับจากวันที่ setup เท่านั้น จะมีประวัติให้ Auditor ตรวจ
Priority 4 — Quarterly Scan + Annual Pen Test: กำหนดตารางไว้ล่วงหน้า อย่าปล่อยให้ต้องรับมือแบบเร่งด่วน
Network ที่ออกแบบถูกต้องตั้งแต่แรกไม่ได้แพงกว่าการแก้ไขภายหลัง breach เลย — ต่างกันที่ลำดับขั้นตอนเท่านั้น
C9NETWORK ให้บริการ PCI DSS Scoping, Network Re-segmentation Design และ Audit Preparation สำหรับ retail และ F&B chain ทั่วประเทศไทย ทีมงานมีประสบการณ์วางระบบ Network ให้สาขาจำนวนมากและพร้อมให้คำปรึกษาตั้งแต่ขั้นตอนแรก ติดต่อได้ที่ c9network.co.th