Public Key Infrastructure – Phần 2: PKI trong hệ thống khách sạn

Trong phần 1, chúng ta đã hiểu tổng quan về PKI. Trong phần này, chúng ta sẽ bàn thử PKI được hiện thực hóa trong khách sạn như thế nào?

Tại sao khách sạn cần PKI?

Khách sạn là nơi có nhiều giao dịch điện tử, giao dịch thẻ thanh toán, có kết nối internet. Điều đó đồng nghĩa với hệ thống khách sạn phải đáp ứng các yêu cầu của PCI DSS, trong đó có:

Yêu cầu 3: Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống
Yêu cầu 4: Mã hóa thông tin thẻ trên đường truyền khi giao dịch.

Mọi giao dịch và dữ liệu được lưu trữ và truyền trên hệ thống cần được an toàn và bảo mật. PKI là một cách tuyệt vời để quản lý và kiểm soát dữ liệu, hạn chế tối đa rủi ro về rò rỉ dữ liệu.

PKI trong khách sạn

Về mặt công nghệ (Technology)

Các công nghệ PKI sau thường được sử dụng trong hệ thống khách sạn:

  • Chứng thư số (Digital certificates): được cấp bởi các bên thứ ba đáng tin cậy, dùng để xác định danh tính của các thực thể ( người dùng và máy móc) tham gia vào quá trình trao đổi dữ liệu.
  • Khóa công khai và riêng tư (Public và private keys)
  • SSL (Secure sockets layer): SSL là một giao thức dùng để mã hóa dữ liệu trước khi đưa lên kênh truyền. SSL bao gồm 2 giao thức con đó là SSL Record (xác định định dạng truyền dữ liệu) và SSL Handshake (trao đổi thông tin giữa server và client khi lần đầu thiết lập kết nối SSL). Ngày nay, muốn sử dụng SSL sẽ cần một chứng thư số gọi là SSL certificate.

Về mặt Thi hành (Implementation)

  • Hầu hết các hệ thống PKI quy mô doanh nghiệp đều dựa trên các chuỗi chứng thực để xác thực các thực thể. Chứng thực của người dùng sẽ được một nhà cung cấp chứng thực số cấp (CA), đến lượt nhà cung cấp này lại có chứng thực được một nhà cung cấp khác ở cấp cao hơn tạo ra… Hệ thống sẽ bao gồm nhiều máy tính thuộc nhiều tổ chức khác nhau với các gói phần mềm tương thích từ nhiều nguồn khác nhau. Nôm na, khách sạn sẽ đặt mua các chứng thư số từ các tổ chức phát hành chứng chỉ (CA) tại địa phương. Các CA địa phương lại được cấp chứng thư số từ các CA cao hơn.
  • Khách sạn toàn quyền lựa chọn CA cho mình, tuy nhiên cần đảm bảo CA được pháp luật bảo hộ và đáng tin cậy. Ở Việt Nam, bạn có thể mua các chứng thư số từ các CA như VNPT, Viettel, FPT…. họ đều là những công ty được nhà nước cho phép. Ngoài ra, các khách sạn còn sử dụng các phần mềm báo cáo hành chính như HTKK, báo cáo thuế…. sử dụng chữ ký điện tử. Các phần mềm này thường được nhà nước chỉ định CA, như công ty Thái Sơn chẳng hạn.

Về mặt Tiêu chuẩn (Standard)

Hầu hết các nước trên thế giới đều dựa vào các tiêu chuẩn mà các tổ chức quốc tế đưa ra để áp dụng toàn bộ hoặc chọn lọc một số tiêu chuẩn để áp dụng cho nước mình. Doanh nghiệp cũng thế, hầu như các doanh nghiệp sẽ sử dụng một số bộ tiêu chuẩn về PKI phù hợp với doanh nghiệp mình.

Một số nước phát triển (như Mỹ) cũng tự xây dựng các tiêu chuẩn về mật mã và cũng được các nước khác lựa chọn, chấp nhận áp dụng. Việc lựa chọn áp dụng tiêu chuẩn phụ thuộc vào trình độ phát triển CNTT và hiện trạng ứng dụng PKI của mỗi nước.

Các Tổ chức ban hành các tiêu chuẩn liên quan PKI trên thế giới gồm có:

  • ISO: Tổ chức tiêu chuẩn hóa thế giới
  • NIST: Viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ
  • ANSI: Viện tiêu chuẩn quốc gia Hoa Kỳ
  • ETSI: Viện tiêu chuẩn viễn thông Châu Âu
  • CEN: Ủy ban tiêu chuẩn Châu Âu
  • IEEE: Viện kỹ nghệ điện và điện tử
  • IETF: Nhóm đặc trách về kỹ thuật Internet
  • PKIX: Nhóm làm việc về khóa công khai của IETF
  • RSA PKCS: Tập các tiêu chuẩn về PKI của RSA

Nếu khách sạn của bạn chưa xác định được PKI cho mình, hay tham khảo các bộ tiêu chuẩn ở trên nhé. Đối với các tập đoàn khách sạn của Mỹ như Marriott, Hilton, Wynham họ thường sử dụng NIST, ANSI. Các tập đoàn khách sạn từ Châu Âu như IHG, Accor lại sử dụng CEN.

Về mặt Chính sách (Policy)

Ngoài áp dụng các công nghệ, hay tiêu chuẩn kỹ thuật, các khách sạn/tổ chức/doanh nghiệp cũng cần ban hành những chính sách riêng, cũng như tuân thủ các chính sách về an ninh, an toàn thông tin của chính phủ sở tại.

Thông thường các tập đoàn khách sạn lớn đều có những bộ chính sách rất chi tiết, chặt chẽ về PKI, nhằm đảm bảo an ninh, an toàn thông tin cho các khách sạn thành viên.

Đối với quy mô nhà nước, đó là các luật an ninh thông tin, như Luật an ninh mạng của Việt Nam, CCPA (Hoa Kỳ), GDPR (Châu Âu), APPI (Nhật Bản)….

Kết luận

Trên đây là các thể hiện của PKI tại các doanh nghiệp hay khách sạn. Có thể khách sạn/doanh nghiệp của bạn cũng đang có PKI. Điều quan trọng là bạn cần có cái nhìn đúng đắn về PKI dưới 4 góc độ: công nghệ, thi hành, tiêu chuẩn, chính sách. Từ đó đi sâu vào từng cái để đảm bảo PKI luôn hiện diện, được quản lý và sử dụng hiệu quả.

PKI là một nền tảng tuyệt vời hỗ trợ doanh nghiệp hay tổ chức của bạn. Chúc bạn thành công!

Leave a Comment