Tin tức
PCI DSS là gì? Tiêu chuẩn An ninh dữ liệu cho Ngành Thẻ Thanh toán
Trong kỷ nguyên số hóa, thanh toán trực tuyến đã trở thành mạch máu của thương mại điện tử. Tuy nhiên, sự tiện lợi này luôn đi kèm với những rủi ro tiềm ẩn về an ninh mạng và nạn đánh cắp dữ liệu thẻ ngày càng tinh vi. Đối với bất kỳ doanh nghiệp nào tham gia xử lý thanh toán, việc bảo vệ thông tin khách hàng không chỉ là trách nhiệm đạo đức mà còn là yếu tố quan trọng hàng đầy. Đây chính là lý do Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) ra đời. Vậy PCI DSS thực sự là gì? Hãy cùng Intercert Việt Nam tìm hiểu chi tiết trong bài viết dưới đây.
PCI DSS là gì?
PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) là tiêu chuẩn bảo mật thông tin được thiết kế nhằm giảm gian lận thẻ thanh toán bằng cách tăng cường kiểm soát bảo mật đối với dữ liệu chủ thẻ.
Tiêu chuẩn này là kết quả của sự hợp tác giữa các thương hiệu thanh toán lớn như Visa, Mastercard, Discover, American Express và Japan Credit Bureau và được quản lý bởi PCI SSC (Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán).
Phiên bản mới nhất của PCI DSS – phiên bản 4.0.1 – được phát hành vào tháng 6 năm 2024.
Các đối tượng chính áp dụng Tiêu chuẩn PCI DSS
-
Đơn vị chấp nhận thẻ (Merchant): Bao gồm mọi doanh nghiệp bán lẻ, dịch vụ, trang thương mại điện tử chấp nhận thanh toán bằng thẻ tín dụng hoặc thẻ ghi nợ, dù là quẹt thẻ trực tiếp, trực tuyến, qua điện thoại hay thư.
-
Nhà cung cấp dịch vụ (Service Provider): Là các đơn vị đóng vai trò trung gian trong việc xử lý giao dịch, như các cổng thanh toán (payment gateway), ví điện tử, các đơn vị cung cấp dịch vụ lưu trữ đám mây, nhà xử lý thanh toán.
-
Ngân hàng và tổ chức tài chính: Các tổ chức này xử lý và lưu trữ thông tin thẻ của khách hàng, nên cần tuân thủ các yêu cầu bảo mật nghiêm ngặt của PCI DSS.
-
Nhà phát triển ứng dụng: Các công ty phát triển ứng dụng liên quan đến thanh toán trực tuyến có trách nhiệm tích hợp các biện pháp bảo mật ngay từ giai đoạn thiết kế để tránh lỗ hổng.
12 Yêu cầu của Tiêu chuẩn Bảo mật PCI DSS
Yêu cầu 1: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
Yêu cầu đầu tiên này đảm bảo các nhà cung cấp dịch vụ và đơn vị chấp nhận thẻ duy trì một mạng lưới an toàn thông qua việc cấu hình tường lửa và bộ định tuyến (nếu có) phù hợp. Tường lửa được cấu hình đúng cách sẽ bảo vệ môi trường dữ liệu thẻ của bạn. Tường lửa hạn chế lưu lượng mạng đến và đi thông qua các quy tắc và tiêu chí do tổ chức của bạn thiết lập.
Tường lửa cung cấp lớp bảo vệ đầu tiên cho mạng của bạn. Các tổ chức nên thiết lập tường lửa và tiêu chuẩn bộ định tuyến, cho phép quy trình chuẩn hóa việc cho phép hoặc từ chối các quy tắc truy cập vào mạng. Các quy tắc cấu hình nên được xem xét hai lần một năm và đảm bảo không có quy tắc truy cập không an toàn nào có thể cho phép truy cập vào môi trường dữ liệu thẻ.
Yêu cầu 2: Không sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các tham số bảo mật khác
Tiêu chuẩn PCI DSS tập trung vào việc củng cố các hệ thống của tổ chức bạn như máy chủ, thiết bị mạng, ứng dụng, tường lửa, điểm truy cập không dây, v.v. Hầu hết các hệ điều hành và thiết bị đều có cài đặt mặc định của nhà sản xuất như tên người dùng, mật khẩu và các thông số cấu hình không an toàn khác. Những tên người dùng và mật khẩu mặc định này rất dễ đoán, và hầu hết thậm chí còn được công bố trên Internet.
Mật khẩu mặc định và các thông số bảo mật khác không được phép theo yêu cầu này. Yêu cầu này cũng yêu cầu duy trì danh mục tất cả các hệ thống, quy trình cấu hình/củng cố. Các quy trình này cần được tuân thủ mỗi khi triển khai một hệ thống mới vào cơ sở hạ tầng CNTT.
Yêu cầu 3: Bảo vệ dữ liệu chủ thẻ được lưu trữ
Đây là yêu cầu QUAN TRỌNG NHẤT của tiêu chuẩn PCI. Theo yêu cầu 3, trước tiên bạn phải biết tất cả dữ liệu bạn sẽ lưu trữ cùng với vị trí và thời gian lưu giữ. Tất cả dữ liệu chủ thẻ này phải được mã hóa bằng các thuật toán được ngành công nghiệp chấp nhận (ví dụ: AES-256, RSA 2048), được cắt ngắn, mã hóa hoặc băm (ví dụ: SHA 256, PBKDF2). Cùng với việc mã hóa dữ liệu thẻ, yêu cầu này cũng đề cập đến quy trình quản lý khóa mã hóa PCI DSS mạnh mẽ .
Nhiều khi các nhà cung cấp dịch vụ hoặc đơn vị bán hàng không biết rằng họ đang lưu trữ số tài khoản chính (PAN) chưa được mã hóa, do đó việc sử dụng một công cụ như phát hiện dữ liệu thẻ trở nên quan trọng. Bạn sẽ thấy rằng dữ liệu thẻ thường được lưu trữ trong các tệp nhật ký, cơ sở dữ liệu, bảng tính, v.v. Yêu cầu này cũng bao gồm các quy tắc về cách hiển thị số tài khoản chính, chẳng hạn như chỉ hiển thị sáu chữ số đầu và bốn chữ số cuối.
Yêu cầu 4: Mã hóa việc truyền dữ liệu chủ thẻ qua các mạng công cộng, mở
Tương tự như yêu cầu 3, trong yêu cầu này, bạn phải bảo mật dữ liệu thẻ khi truyền qua mạng mở hoặc công cộng (ví dụ: Internet, 802.11, Bluetooth, GSM, CDMA, GPRS). Bạn phải biết mình sẽ gửi/nhận dữ liệu thẻ đến/từ đâu. Chủ yếu, dữ liệu thẻ được truyền đến cổng thanh toán, bộ xử lý, v.v. để xử lý giao dịch.
Tội phạm mạng có khả năng truy cập dữ liệu chủ thẻ khi dữ liệu được truyền qua mạng công cộng. Việc mã hóa dữ liệu chủ thẻ trước khi truyền bằng phiên bản bảo mật của các giao thức truyền tải như TLS, SSH, v.v. có thể hạn chế khả năng dữ liệu bị xâm phạm.
Yêu cầu số 5: Sử dụng và cập nhật thường xuyên phần mềm hoặc chương trình chống vi-rút
Yêu cầu này tập trung vào việc bảo vệ chống lại tất cả các loại phần mềm độc hại có thể ảnh hưởng đến hệ thống. Tất cả các hệ thống, bao gồm máy trạm, máy tính xách tay và thiết bị di động mà nhân viên có thể sử dụng để truy cập hệ thống cả cục bộ lẫn từ xa, đều phải được triển khai giải pháp chống vi-rút. Bạn cần đảm bảo các chương trình chống vi-rút hoặc phần mềm độc hại được cập nhật thường xuyên để phát hiện các phần mềm độc hại đã biết. Việc duy trì một chương trình chống phần mềm độc hại được cập nhật sẽ ngăn chặn các phần mềm độc hại đã biết lây nhiễm vào hệ thống.
Đảm bảo rằng cơ chế chống vi-rút luôn hoạt động, sử dụng chữ ký mới nhất và tạo nhật ký có thể kiểm tra được.
Yêu cầu 6: Phát triển và duy trì các hệ thống và ứng dụng an toàn
Điều quan trọng là phải xác định và triển khai một quy trình cho phép nhận diện và phân loại rủi ro lỗ hổng bảo mật trong môi trường PCI DSS thông qua các nguồn bên ngoài đáng tin cậy. Các tổ chức phải hạn chế nguy cơ bị khai thác bằng cách triển khai các bản vá lỗi quan trọng một cách kịp thời. Vá tất cả các hệ thống trong môi trường dữ liệu thẻ, bao gồm:
-
Hệ điều hành
-
Tường lửa, Bộ định tuyến, Bộ chuyển mạch
-
Phần mềm ứng dụng
-
Cơ sở dữ liệu
-
Máy POS
Ngoài ra, bạn phải xác định và triển khai một quy trình phát triển bao gồm các yêu cầu bảo mật trong mọi giai đoạn phát triển.
Yêu cầu số 7: Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nhu cầu kinh doanh
Để triển khai các biện pháp kiểm soát truy cập mạnh mẽ, nhà cung cấp dịch vụ và đơn vị chấp nhận thẻ phải có khả năng cho phép hoặc từ chối quyền truy cập vào hệ thống dữ liệu chủ thẻ. Yêu cầu này liên quan đến kiểm soát truy cập dựa trên vai trò (RBAC), cho phép truy cập vào dữ liệu thẻ và hệ thống khi cần thiết.
“Cần biết” là một khái niệm cơ bản trong PCI DSS. Hệ thống kiểm soát truy cập (ví dụ: Active Directory, LDAP) phải đánh giá từng yêu cầu để ngăn chặn việc dữ liệu nhạy cảm bị lộ cho những người không cần thông tin này. Bạn phải có danh sách được ghi chép lại tất cả người dùng với vai trò của họ cần truy cập vào môi trường dữ liệu thẻ. Danh sách này phải bao gồm từng vai trò, định nghĩa vai trò, cấp độ quyền hiện tại, cấp độ quyền dự kiến và tài nguyên dữ liệu cho mỗi người dùng để thực hiện các thao tác trên dữ liệu thẻ.
Yêu cầu số 8: Chỉ định một ID duy nhất cho mỗi người có quyền truy cập máy tính
Theo yêu cầu 8, bạn không nên sử dụng người dùng và mật khẩu dùng chung/nhóm. Mỗi người dùng được ủy quyền phải có một mã định danh duy nhất và mật khẩu phải đủ phức tạp. Điều này đảm bảo rằng bất cứ khi nào ai đó truy cập dữ liệu chủ thẻ, hoạt động đó có thể được truy xuất đến một người dùng đã biết và có thể duy trì trách nhiệm giải trình. Đối với tất cả các quyền truy cập quản trị không phải từ bảng điều khiển (truy cập từ xa), cần phải xác thực hai yếu tố.
Yêu cầu số 9: Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
Yêu cầu này tập trung vào việc bảo vệ quyền truy cập vật lý vào các hệ thống chứa dữ liệu chủ thẻ. Nếu không có biện pháp kiểm soát truy cập vật lý, những người không được ủy quyền có thể xâm nhập vào hệ thống để đánh cắp, vô hiệu hóa, làm gián đoạn hoặc phá hủy các hệ thống quan trọng và dữ liệu chủ thẻ.
Yêu cầu sử dụng camera video/kiểm soát truy cập điện tử để giám sát cửa ra vào tại các địa điểm vật lý như trung tâm dữ liệu. Các bản ghi hoặc nhật ký truy cập về hoạt động của nhân viên phải được lưu trữ tối thiểu 90 ngày. Bạn cần triển khai quy trình truy cập cho phép phân biệt giữa khách được ủy quyền và nhân viên. Tất cả các phương tiện lưu trữ di động hoặc lưu động chứa dữ liệu chủ thẻ phải được bảo vệ vật lý. Cần phải hủy tất cả các phương tiện lưu trữ khi doanh nghiệp không còn nhu cầu sử dụng.
Yêu cầu 10: Theo dõi và giám sát mọi quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
Các lỗ hổng trong mạng vật lý và mạng không dây khiến tội phạm mạng dễ dàng đánh cắp dữ liệu thẻ hơn. Yêu cầu này yêu cầu tất cả các hệ thống phải thiết lập chính sách kiểm toán chính xác và gửi nhật ký đến máy chủ syslog tập trung. Các nhật ký này phải được xem xét ít nhất hàng ngày để tìm kiếm các bất thường và hoạt động đáng ngờ.
Công cụ Giám sát Sự kiện và Thông tin Bảo mật (SIEM) có thể giúp bạn ghi lại hoạt động của hệ thống và mạng, theo dõi nhật ký và cảnh báo các hoạt động đáng ngờ. PCI DSS cũng yêu cầu hồ sơ theo dõi kiểm toán phải đáp ứng một tiêu chuẩn nhất định về thông tin chứa trong đó. Đồng bộ hóa thời gian là bắt buộc. Dữ liệu kiểm toán phải được bảo mật và dữ liệu đó phải được lưu giữ trong thời gian không dưới một năm.
Yêu cầu 11: Kiểm tra thường xuyên các hệ thống và quy trình bảo mật
Các cá nhân và nhà nghiên cứu có mục đích xấu liên tục phát hiện ra các lỗ hổng bảo mật. Do đó, tất cả các hệ thống và quy trình phải được kiểm tra thường xuyên để đảm bảo duy trì tính bảo mật.
Các hoạt động định kỳ sau đây là bắt buộc:
-
Quét phân tích không dây để phát hiện và xác định tất cả các điểm truy cập không dây được phép và không được phép theo quý.
-
Tất cả các IP và tên miền bên ngoài được hiển thị trong CDE đều phải được Nhà cung cấp quét được PCI phê duyệt ( ASV ) quét ít nhất mỗi quý.
-
Quét lỗ hổng nội bộ phải được thực hiện ít nhất mỗi quý.
-
Tất cả các IP và tên miền bên ngoài phải trải qua thử nghiệm thâm nhập ứng dụng và thử nghiệm thâm nhập mạng toàn diện ít nhất mỗi năm một lần hoặc sau bất kỳ thay đổi đáng kể nào.
Việc giám sát tệp cũng là điều cần thiết. Hệ thống nên thực hiện so sánh tệp hàng tuần để phát hiện những thay đổi có thể đã bị bỏ qua.
Yêu cầu 12: Duy trì chính sách giải quyết vấn đề bảo mật thông tin cho tất cả nhân viên
Yêu cầu cuối cùng này về việc tuân thủ PCI và được dành riêng cho mục tiêu cốt lõi của PCI DSS là triển khai và duy trì chính sách bảo mật thông tin cho tất cả nhân viên và các bên liên quan khác. Chính sách bảo mật thông tin phải được xem xét và phổ biến ít nhất mỗi năm một lần cho tất cả nhân viên, nhà cung cấp/nhà thầu. Người dùng phải đọc kỹ chính sách và xác nhận.
Yêu cầu này cũng yêu cầu bạn phải thực hiện:
-
Đánh giá rủi ro chính thức hàng năm nhằm xác định các tài sản, mối đe dọa và lỗ hổng quan trọng.
-
Đào tạo nhận thức của người dùng
-
Kiểm tra lý lịch nhân viên
-
Quản lý sự cố
Trên đây là các thông tin cơ bản về Tiêu chuẩn PCI DSS. Vui lòng liên hệ với Intercert Việt Nam qua số Hotline: 0969.555.610 hoặc Email: sales@intercertvietnam.com nếu doanh nghiệp của bạn cần tư vấn thêm về Tiêu chuẩn An ninh dữ liệu cho Ngành Thẻ Thanh toán (Payment Card Industry Data Security Standard).
