Sơ lược về tiêu chuẩn bảo mật PCI DSS

PCI DSS là tiêu chuẩn bảo mật được xác lập bởi hội đồng tiêu chuẩn bảo mật (PCI Security Standards Council) nhằm bảo đảm an toàn cho dữ liệu thẻ. Trong bài viết dưới đây sẽ là các thông tin về PCI DSS, các mục tiêu giám sát PCI DSS. Hãy cùng đọc nội dung bài viết để biết thêm thông tin nhé.

PCI DSS là gì?

Tiêu chuẩn bảo mật PCI DSS được đưa ra bởi PCI Security Standards Council, gồm các thành viên là các tổ chức thẻ quốc tế: Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International.

PCI DSS là gì?
PCI DSS là gì?

Mục đích của PCI DSS là nhằm đảm bảo an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng hoặc các doanh nghiệp thanh toán điện tử.

PCI DSS giúp đưa ra những chuẩn mực về bảo mật thông tin thẻ và được áp dụng trên toàn cầu. Và theo đó mọi tổ chức có liên quan đến việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán đều phải tuân thủ theo tiêu chuẩn bảo mật PCI DSS.

Các đơn vị nếu muốn được cấp chuẩn bảo mật PCI DSS thì phải đáp ứng yêu cầu kiểm tra mạng lưới hạ tầng hàng tháng.

Và hàng năm hội đồng tiêu chuẩn bảo mật sẽ tới kiểm tra bảo mật để đảm bảo đơn vị luôn đáp ứng và tuân thủ các nguyên tắc về bảo mật.

Các doanh nghiệp xử lý số lượng lớn giao dịch sẽ lựa chọn hình thức thuê chuyên gia đánh giá (Qualified Security Asessor – QSA) bên ngoài thực hiện thẩm định và xuất bản báo cao tuân thủ (Report on Compliance – RoC).

Còn các doanh nghiệp xử lý số lượng giao dịch nhỏ hơn thì cần phải hoàn tất bảng câu hỏi tự đánh giá (Assessment Questionaire – SAQ).

Mục tiêu giám sát của PCI DSS
Mục tiêu giám sát của PCI DSS

Các yêu cầu của chuẩn bảo mật PCI DSS

Tiêu chuẩn bảo mật PCI DSS là một tập hợp 12 nhóm yêu cầu chính liên quan tới những vấn đề về đảm bảo an toàn cho dữ liệu thẻ.

Xây dựng và duy trì một hệ thống mạng lưới an ninh và bảo mật

Yêu cầu 1. Xây dựng và duy trì hệ thống tường lửa để bảo vệ dữ liệu thẻ.

Yêu cầu 2. Không sử dụng các tham số hoặc mật khẩu có sẵn từ các nhà cung cấp hệ thống.

Bảo vệ dữ liệu thẻ thanh toán

Yêu cầu 3. Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống.

Yêu cầu 4. Mã hóa thông tin thẻ trên đường truyền khi giao dịch.

Xây dựng và duy trì tình trạng đảm bảo an ninh mạng

Yêu cầu 5. Sử dụng và cập nhật thường xuyên phần mềm diệt virus.

Yêu cầu 6. Xây dựng và duy trì hệ thống và ứng dụng đảm bảo an ninh mạng.

Thực hiện các biện pháp giám sát truy cập chắc chắn

Yêu cầu 7. Hạn chế tiếp cận với dữ liệu thẻ thanh toán.

Yêu cầu 8. Cấp và theo dõi các tài khoản truy nhập hệ thống của nhân viên.

Yêu cầu 9. Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ.

Thường xuyên theo dõi và đánh giá hệ thống mạng

Yêu cầu 10. Kiểm tra và lưu tất cả các truy nhập vào hệ thống và dữ liệu thẻ.

Yêu cầu 11. Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống.

Duy trì chính sách bảo vệ thông tin

Yêu cầu 12. Xây dựng chính sách bảo vệ thông tin.

Trên đây là 12 nguyên tắc của tiêu chuẩn bảo mật PCI DSS. Các đơn vị muốn đạt được chứng chỉ PCI DSS cần tuân thủ và đáp ứng đầy đủ những tiêu chuẩn bảo mật này.

Các yêu cầu của chuẩn bảo mật PCI DSS
Các yêu cầu của chuẩn bảo mật PCI DSS

Các đơn vị đạt chuẩn bảo mật PCI DSS tiêu biểu

Hiện nay tại Việt Nam đã có một số đơn vị đạt chuẩn bảo mật và nhận được chứng chỉ PCI DSS như: Ngân hàng VPBank, TPBank, Sacombank, Techcombank, Thanh toán trực tuyến OnePay, Cổng thanh toán Quốc tế VTC Pay, Ví điện tử Momo, Công ty Cổ phần Thanh toán Quốc gia Việt Nam (Napas), Cổng thanh toán VNPay…

Ngân hàng VPbank

Kể từ ngày 23/10/2013, Ngân hàng VPBank đã nhận chứng nhận PCI DSS về an ninh, đảm bảo an toàn cho các giao dịch thẻ từ đại diện của tổ chức PCI là công ty Control Case.

VPBank là một trong số ít ngân hàng tại Việt Nam đạt được chứng nhận này sớm nhất

Việc đạt được chứng nhận bảo mật PCI DSS đã khẳng định được năng lực bảo mật và thể hiện sự cam kết đảm bảo của VPBank với việc bảo mật dữ liệu thanh toán qua thẻ của khách hàng.

Ngân hàng Sacombank

Ngân hàng Thương mại Cổ phần Sài Gòn Thương Tín (Sacombank) đã được đại diện của Hội đồng tiêu chuẩn bảo mật thẻ thanh toán quốc tế (Security Standards Council) – công ty ControlCase (Mỹ) trao tặng chứng nhận bảo mật PCI DSS phiên bản 3.2.1 mới nhất năm 2019.

Và trong năm, ngân hàng Sacombank còn mở rộng chứng nhận PCI DSS với ứng dụng quản lý tài chính Sacombank Pay để giúp khách hàng có thể an tâm hơn khi giao dịch và lưu trữ thông tin thanh toán trên ứng dụng.

Cổng thanh toán Quốc tế VTC Pay

Ví điện tử – Cổng thanh toán VTC Pay đã nhận được chứng chỉ bảo mật Quốc tế PCI DSS (Payment Card Industry Data Security Standard) tháng 5/2015 từ công ty Trustwave – đại diện của tổ chức PCI.

Cổng thanh toán VTC Pay là đơn vị cung ứng dịch vụ thanh toán trung gian hỗ trợ thanh toán qua 34 ngân hàng nội địa và 3 tổ chức thẻ quốc tế như Visa, MasterCard, JCB.

Công ty Cổ phần Thanh toán Quốc gia Việt Nam (NAPAS)

Công ty Cổ phần Thanh toán Quốc gia Việt Nam (NAPAS) đã nhận được chứng chỉ tiêu chuẩn bảo mật quốc tế PCI DSS phiên bản 3.2.1 – phiên bản mới nhất hiện nay vào ngày 30/9/2018.

Việc đạt được chứng chỉ khẳng định chắc chắn hơn cho cam kết của NAPAS về việc luôn tuân thủ các tiêu chuẩn quốc tế, đảm bảo cung ứng an toàn, liên tục dịch vụ chuyển mạch tài chính, cổng thanh toán trực tuyến cho gần 50 tổ chức thành viên và luôn sẵn sàng đáp ứng các điều kiện khắt khe nhất của những tổ chức thẻ quốc tế hàng đầu như Visa, MasterCard, JCB…

Trên đây là những thông tin giới thiệu về tiêu chuẩn bảo mật PCI DSS và 12 yêu cầu chính về bảo mật PCI DSS. Và để có thể đạt được chứng chỉ bảo mật CPI DSS thì các đơn vị và tổ chức không chỉ phải đảm bảo đạt được 12 yêu cầu chính mà còn phải đáp ứng nhiều yêu cầu chi tiết khác về bảo mật.

Không những thế mà còn phải trải qua quá trình giám sát và đánh giá hệ thống định kỳ được thực hiện một cách khắt khe. Hy vọng với những thông tin trên đây có thể giúp bạn tìm được thông tin hữu ích về PCI DSS.

Xem thêm:

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây