Bảo mật PCI DSS là tập hợp các chính sách và yêu cầu bảo mật được thiết kế để đảm bảo rằng tất cả các tổ chức chấp nhận, xử lý, lưu trữ hoặc truyền các giao dịch thẻ tín dụng, thẻ ghi nợ và tiền mặt thực hiện và duy trì một môi trường an toàn. Mục đích là tăng cường tính bảo mật của các giao dịch thẻ và bảo vệ chủ thẻ khỏi việc lạm dụng dữ cá nhận của khách hàng.
Table of Contents
TogglePCI DSS là gì?
PCI DSS được đưa ra bởi PCI Security Standards Council ( bao gồm các thành viên là các tổ chức thẻ quốc tế: Visa, MasterCard Worldwide, American Express, Discover Financial Services, JCB International). Đây là tiêu chuẩn bắt buộc đối với bất kỳ tổ chức nào chấp nhận thanh toán bằng thẻ tín dụng.
PCI DSS là một hệ thống đáp ứng các chuẩn mực về an ninh, chính sách, quy trình theo sáu mục tiêu, chia thành 12 yêu cầu, bao gồm các mục như bảo mật mạng, kiểm soát truy cập và bảo vệ dữ liệu.
6 mục tiêu và 12 yêu cầu của PCI DSS quy định là gì?
Để tóm tắt ngắn gọn các yêu cầu của PCI DSS theo nội dung dưới đây:
Xây dựng và duy trì hệ thống mạng bảo mật
1. Xây dựng và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
2. Không sử dụng các giá trị mặc định cho mật khẩu hệ thống và các thông số bảo mật khác từ nhà cung cấp
Bảo vệ dữ liệu thẻ thanh toán
3. Bảo vệ dữ liệu chủ thẻ được lưu trữ
4. Mã hóa việc truyền dữ liệu chủ thẻ trên các đường truyền mạng, mạng công cộng
Xây dựng quy trình an ninh mạng
5. Sử dụng và thường xuyên cập nhật các phần mềm và trình duyệt Virus
6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
Xây dựng hệ thống kiểm soát xâm nhập
7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ
8. Cấp và theo dõi quyền truy cập của từng người vào máy tính
9. Hạn chế quyền truy cập vật lý vào dữ liệu của chủ thẻ
Theo dõi và đánh giá hệ thống
10. Theo dõi và giám sát mọi truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
11. Thường xuyên đánh giá, kiểm tra và quy trình bảo mật của hệ thống
Chính sách bảo vệ, bảo mật thông tin
12. Duy trì chính sách giải quyết vấn đề bảo mật thông tin
Các câu hỏi thường với PCI DSS
PCI DSS viết tắt của tiêu chuẩn bảo mật dữ liệu thẻ thanh toán ( Payment Card Industry Data Security Standard). Đây là một bộ tiêu chuẩn bảo mật được phát triển bới các công ty thẻ tín dụng lớn nhất thế giới gồm: Visa, Mastercard, American express, Discover vaf jcb. Mục tiêu chính của nó là bảo vệ dữ liệu của chủ thẻ và thúc đẩy quá trình xử lý thẻ thnah toán một cách an toàn.
PCI DSS v4.0 là phiên bản mới nhất của các tiêu chuẩn bắt buộc về thanh toán thẻ tín dụng được đưa ra các yêu cầu bảo mật được cập nhật và nâng cao nhằm giải quyết các mối đe dọa mới nổi. Những tiến bộ công nghệ trong ngành thanh toán thẻ và công nghệ AI. Phiên bản mới nhằm mục đích cải thiện các biện pháp bảo mật và thích ứng với bối cảnh an ninh mạng ngày càng phát triển, tăng cường bảo vệ dữ liệu nhạy cảm của chủ thẻ.
PCI DSS áp dụng cho nhiều tổ chức liên quan đến giao dịch thẻ thanh toán, bao gồm người bán, tổ chức tài chính, bộ xử lý thanh toán và nhà cung cấp dịch vụ. Bất kỳ thực thể nào lưu trữ, xử lý hoặc truyền dữ liệu thẻ đều phải tuân thủ yêu cầu PCI DSS. Nó áp dụng cho cả doanh nghiệp truyền thống và người bán trực tuyến tham gia giao dịch thẻ thanh toán.
Việc tuân thủ PCI DSS rất quan trọng đối với các tổ chức vì nó giúp bảo vệ dữ liệu nhạy cảm của chủ thẻ và ngăn chặn gian lận thẻ thanh toán cũng như vi phạm dữ liệu. Bằng cách tuân thủ các tiêu chuẩn này, doanh nghiệp có thể tạo dựng niềm tin với khách hàng và mạng lưới thẻ thanh toán. Đồng thời tránh được những hậu quả đáng kể về tài chính cũng như uy tín.
Để đạt được tuân thủ PCI DSS, các tổ chức cần tuân theo một bộ yêu cầu bảo mật và các biện pháp thực hành tốt nhất được nêu trong tiêu chuẩn. Chúng bao gồm duy trì một mạng an toàn bằng cách sử dụng tường lửa, thực hiện các biện pháp kiểm soát truy cập mạnh mẽ, thường xuyên giám sát và kiểm tra hệ thống bảo mật, mã hóa dữ liệu chủ thẻ. Các tổ chức cũng phải tiến hành đào tạo và nâng cao nhận thức về bảo mật cho nhân viên.
Sự khác biệt giữa tuân thủ GDPR và PCI DSS là gì?
Sự khác biệt giữa PCI DSS và GDPR nằm ở trọng tâm và phạm vi của chúng. PCI được thiết kế riêng cho ngành thanh toán và nhằm mục đích bảo vệ dữ liệu chủ thẻ trong quá trình giao dịch và sử dụng. Đối với GDPR là quy định bảo vệ dữ liệu toàn diện gồm tất cả các dữ liệu cá nhân và áp dụng cho mọi tổ chức xử lý dữ liệu của cư dân EU. Bất kể họ hoạt động trong ngành, lĩnh vực nào. MẶc dù cả hai quy định đều nhận mạnh đến việc bảo vệ dữ liệu nhưng chúng có các yêu cầu khác nhau, khả năng áp dụng theo lãnh thổ và hình phạt đối với việc không tuân thủ.
Lợi ích của tuân thủ PCI DSS của Comforte
Nền tảng bảo mật dữ liệu Tokenization cung cấp khả năng khám phá, phân loại và bảo vệ dữ liệu giúp bạn.
Nhận dạng và bảo vệ dữ liệu thẻ thanh toán cho chủ thẻ tuân thủ điều số 1 và 3
Bảo vệ dữ liệu chủ thẻ với mật mã mạnh trong quá trình truyền qua mạng tuân thủ điều 4
Hạn chế những người được ủy quyền truy cập dữ liệu chủ thẻ bằng các công cụ xác thức và kiểm soát truy cập tuân thủ điều 7.
Những thay đổi mới trong phiên bản PCI DSS v4.0 là gì?
- Phiên bản PCI DSS mới v4.0 ra mắt và có hiệu lực từ ngày 31/3/2024
- PCI DSS v4.0 yêu cầu các tổ chức duy trì bản kiểm kê tất cả các hệ thống, ứng dụng và kho lưu trữ dữ liệu sử dụng để xử lý, truyền và lưu dữ liệu của chủ thẻ.
- Tuân thủ PCI DSS có thể khác nhau tùy thuộc vào số lượng giao dịch mà nhà bán lẻ xử lý mỗi năm. Các nhà bán lẻ xử lý ít hơn 20.000 giao dịch mỗi năm có các yêu cầu tuân thủ khác với đơn vị có khối lượng giao dịch lớn.
- Việc không tuân thủ các quy định về bảo mật thanh toán có thể chịu mức phạt từ 5.000 đến 100.000USD tùy theo mức độ.
- Phiên bản 4.0 có các yêu cầu mới dẫn đến phạm vi mở rộng, nghĩa là các tổ chức sẽ bao trùm phạm vi mở rộng hơn về công nghệ, hệ sinh thái và kênh thanh toán mà sẽ phải tuân theo các quy định pháp lý mà trước đây không được áp dụng.
- Các tổ chức phải thực hiện kế hoạch ứng phó sự cố với các chiến lược và quy trình chi tiết để giải quyết các sự cố bảo mật và vi phạm dữ liệu.
- Với PCI DSS bạn có thể giảm phạm vi kiểm toán. Bằng cách giảm thiểu rủi ro bằng cách lưu trữ dữ liệu ít nhạy cảm hơn và cho phép thực hiện các dự án mới mà không phải chịu thêm gánh nặng kiểm toán.