Tìm hiểu về chứng chỉ PCI DSS

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Tìm hiểu về chứng chỉ PCI DSS
PCI DSS là gì?

PCI DSS (Payment Card Industry Data Security Standard) là một bộ tiêu chuẩn bảo mật được hình thành vào năm 2004 bởi Visa, MasterCard, Discover Financial Services, JCB International và American Express. Được điều hành bởi Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI SSC), nhằm mục đích đảm bảo an toàn các giao dịch thẻ tín dụng và thẻ ghi nợ chống lại hành vi trộm cắp và gian lận dữ liệu.

1647369793946.png

Chứng chỉ PCI cũng được coi là cách tốt nhất để bảo vệ dữ liệu và thông tin nhạy cảm, từ đó giúp các doanh nghiệp xây dựng mối quan hệ lâu dài và tin cậy với khách hàng.

Chứng chỉ PCI DSS

Chứng chỉ PCI DSS nhằm đảm bảo tính bảo mật của dữ liệu thẻ tại doanh nghiệp thông qua một loạt các yêu cầu do PCI SSC thiết lập. Chúng bao gồm một số phương pháp thường được biết đến chẳng hạn như:
  • Cài đặt tường lửa
  • Mã hóa dữ liệu
  • Sử dụng phần mềm chống mã độc
Ngoài ra, doanh nghiệp phải hạn chế quyền truy cập vào dữ liệu chủ thẻ và giám sát việc truy cập các tài nguyên mạng.

Bảo mật tuân thủ PCI có giá trị như tài sản thông báo cho khách hàng rằng doanh nghiệp an toàn khi giao dịch.

Vi phạm dữ liệu (data breach) làm lộ thông tin nhạy cảm của khách hàng có thể gây ra hậu quả nghiêm trọng đối với doanh nghiệp. Nếu vi phạm có thể dẫn đến tiền phạt từ các công ty phát hành thẻ thanh toán, các vụ kiện, doanh số giảm sút và danh tiếng bị tổn hại nghiêm trọng.

Khi vi phạm dữ liệu xảy ra, một doanh nghiệp có thể phải ngừng chấp nhận các giao dịch thẻ tín dụng hoặc buộc phải trả các khoản phí cao hơn chi phí đầu tư cho việc tuân thủ bảo mật ban đầu.

Cấp độ tuân thủ PCI DSS

Có bốn cấp độ tuân thủ PCI, dựa trên số lượng giao dịch thẻ tín dụng hoặc thẻ ghi nợ hàng năm của một doanh nghiệp. Cấp độ phân loại xác định những gì doanh nghiệp cần làm để duy trì tính tuân thủ.
  • Cấp độ 1: Áp dụng cho doanh nghiệp xử lý hơn sáu triệu giao dịch thẻ tín dụng hoặc thẻ ghi nợ hàng năm.
  • Cấp độ 2: Áp dụng cho doanh nghiệp xử lý từ một đến sáu triệu giao dịch thẻ tín dụng hoặc thẻ ghi nợ hàng năm.
  • Cấp độ 3: Áp dụng cho doanh nghiệp xử lý từ 20.000 đến một triệu giao dịch hàng năm.
  • Cấp độ 4: Áp dụng cho những doanh nghiệp xử lý ít hơn 20.000 giao dịch hàng năm.
Yêu cầu về tuân thủ PCI DSS

PCI DSS bao gồm sáu mục tiêu và mười hai yêu cầu bắt buộc các tổ chức muốn đạt được chứng chỉ cần tuân thủ và đáp ứng đầy đủ:
  • Xây dựng, duy trì hệ thống và mạng an toàn
1. Cài đặt và duy trì cấu hình tường lửa an toàn để bảo vệ dữ liệu chủ thẻ
2. Không sử dụng giá trị mặc định từ nhà cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác
  • Bảo vệ dữ liệu của chủ thẻ
3. Bảo vệ dữ liệu chủ thẻ được lưu trữ
4. Mã hóa dữ liệu chủ thẻ được truyền qua mạng
  • Duy trì chương trình quản lý lỗ hổng bảo mật
5. Bảo vệ tất cả các hệ thống trước phần mềm độc hại và thường xuyên cập nhật phần mềm chống mã độc
6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
  • Triển khai các biện pháp kiểm soát truy cập
7. Giới hạn truy cập dữ liệu chủ thẻ
8. Xác định và xác thực quyền truy cập vào các thành phần hệ thống
9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
  • Thường xuyên theo dõi và kiểm tra mạng
10. Theo dõi và giám sát tất cả các truy cập vào tài nguyên mạng và dữ liệu của chủ thẻ
11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật
  • Duy trì chính sách bảo mật thông tin
12. Triển khai và duy trì chính sách bảo mật thông tin cho tất cả nhân viên trong tổ chức

Điều gì sẽ xảy ra nếu doanh nghiệp không tuân thủ PCI?

Nếu một doanh nghiệp bị phát hiện không tuân thủ PCI-DSS, các hình phạt bao gồm từ phạt tiền đến mất quyền chấp nhận thanh toán bằng thẻ tín dụng.
  • Không thể chấp nhận thanh toán bằng thẻ tín dụng: hình phạt nặng nhất đối với nhiều doanh nghiệp là không thể chấp nhận thanh toán bằng thẻ tín dụng. Điều này có thể gây ra tổn thất lớn về tài chính, mất thị phần và tổn hại đến danh tiếng. Một tổ chức phải chịu hình phạt này cần phải trải qua đánh giá lại PCI bởi Chuyên gia đánh giá chất lượng an ninh (QSA) bên ngoài để lấy lại quyền xử lý các khoản thanh toán.
  • Tiền phạt: mức phạt cho một trang doanh nghiệp không tuân thủ PCI thường dao động từ 86.000 đô la đến 4 triệu đô la.
  • Điều tra số bắt buộc: khi có nghi ngờ xảy ra vi phạm dữ liệu, doanh nghiệp phải trải qua một cuộc điều tra số bắt buộc, có thể có giá từ 20.000 đô la đến 50.000 đô la cho cấp độ 2 (1-6 triệu giao dịch hàng năm) và lên đến 120.000 đô la cho doanh nghiệp cấp độ 1 (hơn 6 triệu giao dịch hàng năm).
  • Trách nhiệm pháp lý: sau khi vi phạm bảo mật, một doanh nghiệp có thể bị kiện tụng vì trách nhiệm giữ an toàn cho thông tin nhạy cảm của khách hàng.
Tham khảo: https://www.pcisecuritystandards.org/
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
payment card industry data security standard pci dss
Bên trên