Hàng ngày, hàng triệu giao dịch thẻ được thực hiện, đặt ra nguy cơ rò rỉ thông tin nhạy cảm. Để đối phó với mối đe dọa này, tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard – Tiêu chuẩn An ninh dữ liệu cho Ngành Thẻ Thanh toán) đã ra đời. Hãy cùng Thư Viện Tiêu Chuẩn tìm hiểu PCI DSS là gì và tiêu chuẩn này đặt ra những yêu cầu cụ thể gì trong bài viết này.
Mục lục
PCI DSS viết tắt của từ gì?
PCI DSS là viết tắt của “Payment Card Industry Data Security Standard,” có nghĩa là “Tiêu chuẩn An ninh Dữ liệu cho Ngành Thẻ Thanh toán.” Đây là một bộ tiêu chuẩn an ninh dành cho các tổ chức và doanh nghiệp chấp nhận, xử lý, lưu trữ hoặc truyền thông qua thông tin liên quan đến thẻ thanh toán. PCI DSS được thiết kế để bảo vệ thông tin cá nhân và tài khoản tài chính của khách hàng được liên kết với các thẻ thanh toán như thẻ tín dụng và thẻ ghi nợ.
PCI DSS bao gồm một loạt các yêu cầu và quy định về bảo mật thông tin liên quan đến thẻ thanh toán, bao gồm các yêu cầu về mã hóa dữ liệu, quản lý quyền truy cập, theo dõi và giám sát hệ thống, và quản lý rủi ro bảo mật. Mục tiêu của PCI DSS là đảm bảo rằng các tổ chức thực hiện các biện pháp bảo mật đủ mạnh để bảo vệ thông tin thẻ thanh toán và ngăn chặn việc xâm nhập và việc sử dụng trái phép thông tin này.
PCI DSS phiên bản mới nhất là gì?
Để giải quyết các phản hồi và thắc mắc của các bên liên quan kể từ khi PCI DSS v4.0 được công bố vào tháng 3 năm 2022, Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) đã công bố bản sửa đổi giới hạn cho tiêu chuẩn, PCI DSS v4.0.1. Bản sửa đổi này bao gồm các sửa lỗi định dạng và lỗi đánh máy, đồng thời làm rõ trọng tâm và mục đích của một số yêu cầu và hướng dẫn. Không có yêu cầu bổ sung hoặc bị xóa bỏ nào trong bản sửa đổi này.
Để giúp đảm bảo rằng những thay đổi, giải thích và hướng dẫn bổ sung hỗ trợ hiệu quả cho việc áp dụng PCI DSS v4 của ngành, Ban cố vấn PCI SSC, Hội nghị bàn tròn đánh giá viên điều hành toàn cầu và các Tổ chức tham gia chính (thông qua Nhóm hướng dẫn công nghệ) đã được mời xem xét và cung cấp phản hồi về những thay đổi được đề xuất trong thời gian Yêu cầu bình luận (RFC) diễn ra từ tháng 12 năm 2023 đến tháng 1 năm 2024. Tóm tắt phản hồi RFC có sẵn cho tất cả những người tham gia RFC thông qua cổng thông tin PCI SSC.
Để biết mô tả đầy đủ về các thay đổi, vui lòng tham khảo Tóm tắt các thay đổi từ PCI DSS v4.0 lên v4.0.1, hiện có trong Thư viện tài liệu PCI SSC. Một số thay đổi được thực hiện trong bản cập nhật này bao gồm:
Yêu cầu 3
Ghi chú về khả năng áp dụng được làm rõ cho các tổ chức phát hành và công ty hỗ trợ dịch vụ phát hành.
Đã thêm Mục tiêu tiếp cận tùy chỉnh và làm rõ khả năng áp dụng cho các tổ chức sử dụng hàm băm mật mã có khóa để làm cho Số tài khoản chính (PAN) không thể đọc được.
Yêu cầu 6
Quay lại ngôn ngữ PCI DSS v3.2.1 rằng việc cài đặt bản vá/cập nhật trong vòng 30 ngày chỉ áp dụng cho “lỗ hổng bảo mật nghiêm trọng”.
Đã thêm Ghi chú về khả năng áp dụng để làm rõ cách áp dụng yêu cầu quản lý tập lệnh trang thanh toán.
Yêu cầu 8
Đã thêm Ghi chú về khả năng áp dụng rằng xác thực đa yếu tố cho mọi quyền truy cập (không phải quản trị viên) vào CDE không áp dụng cho tài khoản người dùng chỉ được xác thực bằng các yếu tố xác thực chống lừa đảo.
Yêu cầu 12
Cập nhật Ghi chú về khả năng áp dụng để làm rõ một số điểm về mối quan hệ giữa khách hàng và nhà cung cấp dịch vụ bên thứ ba (TPSP).
Phụ lục
Đã xóa các mẫu Phương pháp tiếp cận tùy chỉnh khỏi Phụ lục E và tham khảo các mẫu có sẵn trên trang web PCI SSC.
Đã thêm định nghĩa cho “Ngoại lệ pháp lý”, “Xác thực chống lừa đảo” và “Khách truy cập” vào Phụ lục G.
Tiêu chuẩn Bảo mật PCI DSS đặt ra những yêu cầu gì?
Để đảm bảo an toàn tối đa cho dữ liệu thanh toán, tiêu chuẩn PCI DSS đặt ra 12 yêu cầu cốt lõi mà mọi doanh nghiệp cần tuân thủ nghiêm ngặt:
1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
Tường lửa đóng vai trò như một lớp lá chắn ngăn cách giữa mạng nội bộ của doanh nghiệp và môi trường mạng bên ngoài. Nhiệm vụ chính của nó là kiểm soát chặt chẽ toàn bộ lưu lượng truy cập ra vào hệ thống, từ đó giảm thiểu nguy cơ xảy ra các vụ vi phạm dữ liệu. Do đó, yêu cầu tiên quyết là các tổ chức phải thiết lập và duy trì một cấu hình nhất quán cho tường lửa và bộ định tuyến, đảm bảo dữ liệu chủ thẻ luôn được bảo vệ khỏi các nỗ lực truy cập trái phép.
2. Không sử dụng các giá trị mặc định cho mật khẩu hệ thống và các thông số bảo mật khác từ nhà cung cấp
Tội phạm mạng thường xuyên quét và nhắm mục tiêu vào các hệ thống vẫn giữ nguyên mật khẩu mặc định hoặc cài đặt gốc từ nhà sản xuất. Để chặn đứng nguy cơ này, việc thay đổi ngay lập tức các mật khẩu mặc định và tùy chỉnh lại các thông số bảo mật là bước đi bắt buộc. Bằng cách loại bỏ các cài đặt gốc dễ đoán này, doanh nghiệp có thể khắc phục được những lỗ hổng phổ biến mà kẻ xấu thường lợi dụng để xâm nhập hệ thống.
3. Bảo vệ dữ liệu chủ thẻ được lưu trữ
Việc bảo vệ dữ liệu chủ thẻ khi lưu trữ được xem là nhiệm vụ tối thượng. Doanh nghiệp cần áp dụng các biện pháp bảo mật mạnh mẽ như mã hóa dữ liệu, kiểm soát quyền truy cập chặt chẽ và quản lý lỗ hổng để đảm bảo tính toàn vẹn và bí mật của thông tin. Trong đó, mã hóa đóng vai trò then chốt giúp xác định rõ ai mới có thể đọc được dữ liệu; ngay cả khi kẻ gian đánh cắp được dữ liệu, chúng cũng không thể giải mã để đọc được nội dung bên trong nếu không có thẩm quyền.
4. Mã hóa việc truyền dữ liệu chủ thẻ trên các mạng công cộng, mạng mở
Dữ liệu chủ thẻ khi di chuyển qua các mạng công cộng hoặc mạng mở như Internet rất dễ bị tấn công. Vì vậy, việc mã hóa đường truyền là yêu cầu bắt buộc. Doanh nghiệp phải sử dụng các giao thức mã hóa mạnh để tạo thêm một lớp bảo mật, ngăn chặn việc tội phạm mạng có thể chặn đứng đường truyền và giải mã các dữ liệu nhạy cảm trong quá trình chúng được gửi đi.
5. Sử dụng và thường xuyên cập nhật các phần mềm và chương trình diệt virus
Phần mềm độc hại (Malware) là mối đe dọa thường trực, được thiết kế để phá hoại, xâm nhập trái phép vào hệ thống máy tính và thiết bị người dùng. Các loại mã độc này biến đổi khôn lường và tin tặc liên tục sáng tạo ra các chiến thuật mới để khai thác lỗ hổng. Do đó, việc duy trì và cập nhật thường xuyên các chương trình chống virus là cực kỳ quan trọng để hệ thống có thể nhận diện được các biến thể đe dọa mới nhất, tăng cường khả năng phòng thủ trước các cuộc tấn công của mã độc.
6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
Để giảm thiểu các lỗ hổng bảo mật, doanh nghiệp cần chú trọng vào quy trình thực hành mã hóa an toàn (secure coding) ngay từ khâu phát triển, đồng thời bảo trì thường xuyên các phần mềm và ứng dụng. Việc tuân thủ các nguyên tắc lập trình an toàn kết hợp với việc áp dụng kịp thời các bản vá lỗi và cập nhật phần mềm sẽ giúp giảm thiểu tối đa rủi ro bị khai thác và hạn chế thiệt hại khi có sự cố.
7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nguyên tắc “cần phải biết”
Yêu cầu này quy định rằng quyền tiếp cận dữ liệu chủ thẻ chỉ được cấp dựa trên nhu cầu công việc thực tế. Điều này đảm bảo rằng chỉ những nhân viên được ủy quyền và có nhiệm vụ liên quan mới có thể xem các thông tin nhạy cảm. Việc áp dụng nguyên tắc này giúp giảm thiểu đáng kể các mối đe dọa xuất phát từ nội bộ doanh nghiệp.
8. Gán một ID duy nhất cho mỗi người có quyền truy cập vào máy tính
Việc cấp phát một mã định danh (ID) duy nhất cho từng cá nhân là công cụ thiết yếu để giám sát và theo dõi hoạt động trên hệ thống. Khi mỗi người dùng có một ID riêng biệt, doanh nghiệp có thể dễ dàng truy vết các hành động cụ thể của họ. Điều này không chỉ hỗ trợ đắc lực cho quá trình điều tra khi xảy ra sự cố bảo mật mà còn nâng cao ý thức trách nhiệm của từng cá nhân trong tổ chức.
9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
Bên cạnh bảo mật số, bảo mật vật lý cũng quan trọng không kém. Doanh nghiệp cần triển khai các biện pháp bảo vệ trung tâm dữ liệu, các thiết bị đầu cuối và khu vực lưu trữ thông qua kiểm soát ra vào, hệ thống giám sát và quy trình quản lý khách chặt chẽ. Việc áp dụng các phương thức xác thực nghiêm ngặt, bao gồm cả công nghệ sinh trắc học, sẽ đảm bảo chỉ những người thực sự có thẩm quyền mới có thể tiếp cận vật lý với dữ liệu chủ thẻ, ngăn chặn nguy cơ đánh cắp hoặc giả mạo thiết bị.
10. Theo dõi và giám sát mọi quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
Giám sát chủ động là chìa khóa để phát hiện và phản ứng nhanh với các sự cố bảo mật ngay trong thời gian thực. Yêu cầu này đòi hỏi doanh nghiệp phải ghi nhật ký (log) và theo dõi mọi hoạt động truy cập vào tài nguyên mạng cũng như dữ liệu chủ thẻ. Thông qua việc phân tích các hoạt động và sự kiện của người dùng, tổ chức có thể kịp thời phát hiện các dấu hiệu bất thường và các mối đe dọa tiềm ẩn, từ đó củng cố an ninh mạng tổng thể.
11. Thường xuyên kiểm tra hệ thống và quy trình bảo mật
Trong bối cảnh các mối đe dọa mạng không ngừng tiến hóa, việc kiểm tra hệ thống và đánh giá lỗ hổng định kỳ là yêu cầu bắt buộc. Thông qua các đợt đánh giá thường xuyên này, các tổ chức có thể chủ động phát hiện và vá các lỗ hổng bảo mật còn tồn tại, đảm bảo khả năng phòng vệ luôn ở trạng thái mạnh mẽ nhất trước các phương thức tấn công mới.
12. Duy trì chính sách giải quyết vấn đề bảo mật thông tin cho tất cả nhân viên
Hệ thống bảo mật của một tổ chức chỉ thực sự vững mạnh khi yếu tố con người được đảm bảo. Yêu cầu cuối cùng này nhấn mạnh việc thiết lập một chính sách bảo mật thông tin rõ ràng và đào tạo nhận thức cho toàn bộ nhân viên. Bằng cách xây dựng văn hóa bảo mật và đảm bảo mỗi nhân viên đều hiểu rõ vai trò, trách nhiệm của mình trong việc bảo vệ dữ liệu, doanh nghiệp sẽ nâng cao được hiệu quả bảo mật toàn diện từ bên trong.
10 lợi ích cốt lõi mà doanh nghiệp nhận được khi tuân thủ tiêu chuẩn PCI DSS
- Bảo vệ dữ liệu khách hàng: Đảm bảo an toàn tuyệt đối cho thông tin thẻ và dữ liệu cá nhân của người dùng.
- Tăng cường niềm tin: Khách hàng an tâm hơn khi giao dịch, từ đó gia tăng lòng trung thành.
- Tránh án phạt tài chính: Loại bỏ nguy cơ bị phạt tiền nặng nề từ các tổ chức thẻ và ngân hàng khi có sự cố.
- Nâng cao uy tín thương hiệu: Khẳng định sự chuyên nghiệp và cam kết bảo mật của doanh nghiệp trên thị trường.
- Giảm thiểu rủi ro pháp lý: Hạn chế tối đa nguy cơ bị kiện tụng và bồi thường do để lộ thông tin khách hàng.
- Tiết kiệm chi phí dài hạn: Chi phí tuân thủ thấp hơn nhiều so với chi phí khắc phục hậu quả của một vụ tấn công mạng.
- Tạo lợi thế cạnh tranh: Là điểm cộng lớn giúp doanh nghiệp nổi bật hơn so với đối thủ chưa đạt chuẩn.
- Dễ dàng hợp tác quốc tế: Là “giấy thông hành” để kết nối với các đối tác, cổng thanh toán và ngân hàng toàn cầu.
- Chuẩn hóa hệ thống: Giúp doanh nghiệp rà soát, tối ưu hóa hạ tầng CNTT và quy trình vận hành theo chuẩn quốc tế.
- Đảm bảo kinh doanh liên tục: Giữ vững quyền chấp nhận thanh toán thẻ, tránh bị ngắt kết nối dịch vụ do vi phạm bảo mật.
—————————————————————————————————
Trên đây là những thông tin cơ bản về Tiêu chuẩn PCI DSS, Quý Doanh Nghiệp vui lòng liên hệ Thư Viện Tiêu Chuẩn theo số Hotline: 0948.690.698 hoặc Email: thuvientieuchuan.org@gmail.com để được tư vấn tuân thủ PCI DSS một cách cụ thể.
