PCI DSS là gì?

Ngày nay, bạn có thể mua bất cứ thứ gì ở bên kia lục địa và được ship tới tận cổng nhà. Đó là nhờ vào sức mạnh của internet và các tiện ích thanh toán đơn giản & tiện lợi. Thẻ thanh toán, thẻ tín dụng, hệ thống ngân hàng liên kết chằng chịt tạo nên một mạng lới tài chính khổng lồ kết nối thế giới và các nhu cầu mua bán của con người lại gần nhau hơn.

Tuy nhiên, sự kết nối đó cũng tiềm tàng những hiểm họa về mặt an ninh bảo mật. Thông tin thẻ thanh toán của bạn có thể bị lấy cắp bất cứ lúc nào và được dùng phi pháp bất cứ ở đâu. Đó là tiền đề cho một bộ tiêu chuẩn bảo mật khắt khe có tên là PCI DSS.

1. PCI DSS là gì?

PCI DSS (Payment Card Indutry Data Security Standard) là một bộ tiêu chuẩn bảo mật khắt khe, với mục đích bảo đảm an toàn cho dữ liệu thẻ thanh toán khi được xử lý và lưu trữ tại các ngân hàng hoặc doanh nghiệp có thanh toán điện tử.

PCI DSS được xác lập bởi Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) gồm các thành viên: Visa, MasterCard, American Express, Discover Financial Services, JCB International (họ có trang web tại đây). PCI DSS được áp dụng trên toàn cầu, những nơi hiện diện của các tổ chức lớn này.

2. Các yêu cầu cơ bản của PCI DSS

PCI DSS gồm rất nhiều yêu cầu khắt khe để đáp ứng các chuẩn mực về an ninh, chính sách, quy trình, cấu trúc mạng, hệ thống phần mềm và một số yếu tố khác. Tất cả mọi tổ chức có liên quan đến việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán (được gọi là “Cardholder Data”) đều phải tuân thủ. Các Cardholder Data mà chúng ta thường thấy đó là: ngân hàng, tổ chức tài chính, nhà hàng, khách sạn, các điểm bán lẻ…

Về cơ bản PCI DSS có 12 yêu cầu liên quan tới những vấn đề sau:

Xây dựng và duy trì hệ thống mạng bảo mật

  • Yêu cầu 1: Xây dựng và duy trì hệ thống tường lửa để bảo vệ dữ liệu thẻ.
  • Yêu cầu 2: Không sử dụng các tham số hoặc mật khẩu có sẵn từ các nhà cung cấp hệ thống.

Bảo vệ dữ liệu thẻ thanh toán

  • Yêu cầu 3: Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống
  • Yêu cầu 4: Mã hóa thông tin thẻ trên đường truyền khi giao dịch.

Xây dựng và duy trì tình trạng đảm bảo an ninh mạng

  • Yêu cầu 5: Sử dụng và cập nhật thường xuyên phần mềm diệt Virus
  • Yêu cầu 6: Xây dựng và duy trì hệ thống và ứng dụng đảm bảo an ninh mạng.

Xây dựng hệ thống kiểm soát xâm nhập

  • Yêu cầu 7: Hạn chế tiếp cận với dữ liệu thẻ thanh toán
  • Yêu cầu 8: Cấp và theo dõi các tài khoản truy nhập hệ thống của nhân viên
  • Yêu cầu 9: Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ

Theo dõi và đánh giá hệ thống thường xuyên

  • Yêu cầu 10: Kiểm tra và lưu tất cả các truy nhập vào hệ thống và dữ liệu thẻ
  • Yêu cầu 11: Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống

Chính sách bảo vệ thông tin

  • Yêu cầu 12: Xây dựng chính sách bảo vệ thông tin

3. Các mức tuân thủ PCI

Các mức tuân thủ PCI được chia thành bốn cấp độ, dựa trên số lượng giao dịch thẻ thanh toán hàng năm. Mức phân loại xác định những gì doanh nghiệp cần làm để duy trì tính tuân thủ.

Level 1: Áp dụng cho các cơ sở kinh doanh xử lý hơn sáu triệu giao dịch thẻ thanh toán hàng năm. Được thực hiện bởi một kiểm toán PCI ủy quyền, họ phải trải qua đánh giá nội bộ mỗi năm một lần. Ngoài ra, mỗi quý một lần họ phải gửi bản PCI Scan bởi Approved Scanning Vendor (ASV).

Level 2: Áp dụng cho các cơ sở kinh doanh xử lý từ một đến sáu triệu giao dịch thẻ thanh toán hàng năm. Họ được yêu cầu hoàn thành bài đánh giá mỗi năm một lần bằng Bảng câu hỏi tự đánh giá (Self Assessment Questionnaire – SAQ). Ngoài ra, PCI Scan hàng quý có thể được yêu cầu.

Level 3: Áp dụng cho các cơ sở kinh doanh xử lý từ 20.000 đến một triệu giao dịch thương mại điện tử (e-commerce) hàng năm. Họ phải hoàn thành đánh giá hàng năm bằng SAQ mà họ có liên quan. PCI Scan hàng quý cũng có thể được yêu cầu.

Level 4: Áp dụng cho các cơ sở kinh doanh xử lý dưới 20.000 giao dịch thương mại điện tử (e-commerce) hàng năm hoặc những doanh nghiệp xử lý tối đa một triệu giao dịch thẻ thanh toán. Họ phải hoàn thành đánh giá hàng năm bằng SAQ mà họ có liên quan. PCI Scan hàng quý cũng có thể được yêu cầu.

(Chi tiết bộ SAQs này tôi sẽ trình bày trong một bài viết khác)

4. Tầm quan trọng của PCI DSS đối với doanh nghiệp Việt Nam

Sau khi Việt Nam ký kết các hiệp định thương mại tự do FTA, nhiều doanh nghiệp Việt Nam đã bị động và gặp khó khăn trong việc đáp ứng các yêu cầu của đối tác, trong đó có các tiêu chuẩn về anh ninh bảo mật bao gồm PCI DSS.

Đó là một bài học cho Việt Nam trong gia đoạn hội nhập mạnh mẽ, bắt buộc chúng ta phải chơi theo luật quốc tế. Việc nhận thức, nắm rõ PCI DSS để có sự chuẩn bị tốt nhất là yêu cầu tối quan trọng đối với các tổ chức & doanh nghiệp, đặc biệt là các lãnh đạo & quản lý về công nghệ thông tin.

Leave a Comment