PCI DSS LÀ GÌ? SƠ LƯỢC VỀ PCI DSS

PCI DSS LÀ GÌ ?

PCI DSS viết tắt cho Payment Card Industry Data Security Standard là một tiêu chuẩn bảo mật an ninh thông tin bắt buộc dành cho những doanh nghiệp tàng trữ, truyền tải và giải quyết và xử lý thẻ thanh toán giao dịch quản trị bởi 05 tổ chức triển khai giao dịch thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB. PCI DSS là một tiêu chuẩn được những tổ chức triển khai thanh toán giao dịch quốc tế nêu trên ủy quyền quản trị cho Hội đồng Bảo mật tài liệu thẻ thanh toán giao dịch PCI SSC ( Payment Card Industry Security Standard Council ) .

Tiêu chuẩn này được tăng trưởng nhằm mục đích mục tiêu ngày càng tăng trấn áp so với tài liệu chủ thẻ và hạn chế sự gian lận, trộm cắp tài liệu thẻ giao dịch thanh toán. Chứng chỉ sẽ có hiệu lực thực thi hiện hành trong một năm, và những doanh nghiệp phải thực thi tái nhìn nhận định kỳ. Các doanh nghiệp giải quyết và xử lý số lượng thanh toán giao dịch lớn sẽ lựa chọn hình thức thuê chuyên viên nhìn nhận ( Qualified Security Assessor – QSA ) bên ngoài thực thi thẩm định và đánh giá và xuất bản báo cáo giải trình tuân thủ ( Report on Compliance – RoC ) trong khi những doanh nghiệp giải quyết và xử lý số lượng thanh toán giao dịch nhỏ hơn sẽ phải hoàn tất bảng câu hỏi tự nhìn nhận ( Self-Assessment Questionaire – SAQ ) .

MỤC TIÊU GIÁM SÁT CỦA PCI DSS LÀ GÌ ?

PCI DSS bao gồm 06 mục tiêu giám sát lớn như sau:

12 YÊU CẦU CỦA CHUẨN BẢO MẬT AN NINH DỮ LIỆU THẺ THANH TOÁN (Payment Card Industry Data Security Standard – PCI DSS)

Hội đồng Tiêu chuẩn bảo mật thông tin bảo mật an ninh tài liệu thẻ giao dịch thanh toán ( Payment Card Industry Data Security Council – PCI DSC ) được xây dựng bởi năm tổ chức triển khai phân phối thẻ giao dịch thanh toán quốc tế phổ cập như : Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International, nhằm mục đích tiềm năng bảo vệ bảo mật an ninh tài liệu thẻ thanh toán giao dịch trên toàn Thế giới .
Từ đó, tiêu chuẩn bảo mật thông tin bảo mật an ninh tài liệu thẻ giao dịch thanh toán PCI DSS được tăng trưởng nhằm mục đích tương hỗ những tổ chức triển khai thanh toán giao dịch thẻ bảo vệ tài liệu của người mua, chống lại việc xâm nhập và sử dụng tài liệu khi chưa được phép. PCI DSS sẽ giúp cho những Doanh nghiệp hạn chế những lỗ hổng bảo mật thông tin và rủi ro đáng tiếc bị đánh cắp thông tin ; đồng thời tăng cường bảo vệ tài liệu lưu trên thẻ .
Tiêu chuẩn này được vận dụng cho toàn bộ những tổ chức triển khai có tàng trữ, giải quyết và xử lý hoặc truyền tải tài liệu tàng trữ trên thẻ và những tổ chức triển khai này bắt buộc phải bảo vệ tài liệu lưu trên thẻ khi họ triển khai thanh toán giao dịch. Các thông tin dữ liệu thẻ giao dịch thanh toán gồm có : Số thông tin tài khoản ( PAN ), tên chủ tài khoản, ngày hết hạn và mã xác nhận .
Một loại tài liệu khác, thường được gọi là tài liệu xác nhận nhạy cảm ( SAD ), cũng buộc phải tuân thủ tiêu chuẩn PCI DSS, nhưng thường thì việc tàng trữ thông tin SAD bị cấm. Tuân thủ PCI DSS là điều bắt buộc, không nhờ vào vào tổ chức triển khai của công ty hoặc số lượng thẻ thanh toán giao dịch giải quyết và xử lý mỗi năm. Các công ty outsource những tổ chức triển khai bên ngoài giải quyết và xử lý thẻ thanh toán giao dịch cũng phải tuân thủ PCI DSS .

Tiêu chuẩn này bao gồm 12 yêu cầu về bảo mật thông tin như sau:

1. Xây dựng và duy trì hệ thống tường lửa nhằm bảo vệ dữ liệu thẻ thanh toán.
2. Không dùng các tham số hoặc mật khẩu được thiết lập sẵn từ các nhà cung cấp hệ thống (thiết bị mạng, đường truyền Internet…)
3. Bảo vệ dữ liệu thẻ thanh toán khi lưu trữ trên hệ thống
4. Mã hóa thông tin thẻ trên đường truyền trong quá trình giao dịch
5. Sử dụng và cập nhật thường xuyên phần mềm phòng chống virus
6. Xây dựng – duy trì hệ thống và các ứng dụng đảm bảo an ninh mạng
7. Hạn chế việc tiếp cận với dữ liệu thẻ thanh toán
8. Cấp phát và theo dõi các tài khoản truy nhập hệ thống
9. Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ
10. Kiểm tra và lưu trữ tất cả các truy nhập vào hệ thống và dữ liệu thẻ
11. Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống
12. Xây dựng chính sách bảo vệ thông tin tại doanh nghiệp.

12 yêu cầu này có thể được tóm tắt thành 06 lĩnh vực chính như sau:

1. Xây dựng và duy trì một hệ thống mạng lưới an ninh
2. Bảo vệ dữ liệu thẻ thanh toán
3. Duy trì chương trình quản lý lỗ hổng an ninh
4. Thực hiện các biện pháp giám sát truy cập chắc chắn
5. Thường xuyên theo dõi và kiểm tra hệ thống mạng
6. Duy trì chính sách an ninh thông tin

Tham khảo: Wikipedia
Ban biên tập: Ecci

Các câu hỏi thường gặp

1/ Mục đích của PCI DSS là gì?

Nhằm bảo vệ rằng toàn bộ những sàn thương mại điện tử, website đồng ý, giải quyết và xử lý, tàng trữ thông tin thẻ tín dụng thanh toán, thẻ ngân hàng nhà nước được duy trì một môi trường tự nhiên bảo đảm an toàn và bảo mật thông tin một cách khắt khe .

2/ PCI DSS bảo vệ những gì?

PCI DSS bảo vệ tài liệu trên thẻ thanh toán giao dịch nhằm mục đích ngăn ngừa hành vi trộm cắp từ thẻ ngân hàng nhà nước và sử dụng chúng một cách trái phép .

3/ Tuân thủ PCI DSS có bắt buộc không?

Việc tuân thủ PCI DSS là không bắt buộc. Tuy nhiên, hiện tại cả Visa, MasterCard đều nhu yếu người bán và nhà phân phối phải được xác nhận theo PCI DSS .

4/ Tại sao cần có chứng chỉ PCI DSS ?

Mọi thông tin khách hàng nhập vào website đều là dữ liệu nhạy cảm nên chúng cần phải được bảo mật tốt. Vì vậy, doanh nghiệp CẦN có chứng chỉ PCI DSS để giảm nguy cơ hacker thâm nhập làm mất dữ liệu của khách hàng.

5/ Doanh nghiệp nào tại Việt Nam sở hữu chứng chỉ PCI DSS ?

Ngân hàng VPBank, MBBank, TPBank, SCB, Sacombank, Vietnam Airlines, Ví điện tử MoMo, Cổng giao dịch thanh toán VNPay, Công ty Cổ phần Thanh toán Quốc gia Nước Ta ( NAPAS ), … và 1 số ít doanh nghiệp khác .

5

/

5
(
1
bầu chọn
)