Chứng chỉ PCI DSS là gì? Tìm hiểu các hình thức Đánh giá PCI DSS phù hợp với mức độ tuân thủ

Việc tuân thủ tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard - Tiêu chuẩn An ninh Dữ liệu Ngành Thẻ Thanh toán) rất quan trọng đối với tất cả các công ty xử lý thanh toán bằng thẻ tín dụng. Trong bài viết này, hãy cùng KNA CERT tìm hiểu Chứng chỉ PCI DSS là gì và các hình thức đánh giá PCI DSS.

CHỨNG CHỈ PCI DSS LÀ GÌ?

Chứng chỉ PCI DSS hay Chứng nhận tuân thủ PCI (AoC) là tài liệu được các tổ chức sử dụng để chứng nhận việc tuân thủ PCI DSS, được hoàn thành cùng với RoC (Báo cáo tuân thủ) hoặc SAQ (Bảng câu hỏi tự đánh giá). AoC bao gồm thông tin chi tiết về phạm vi và kết quả đánh giá tuân thủ, và thường được chia sẻ với các đơn vị xử lý thanh toán.

HIỂU VỀ CÁC CẤP ĐỘ TUÂN THỦ PCI DSS & YÊU CẦU ĐÁNH GIÁ PCI DSS TƯƠNG ỨNG

TÌM HIỂU CÁC HÌNH THỨC ĐÁNH GIÁ PCI DSS

Các thương gia và nhà cung cấp dịch vụ có thể chứng minh họ đáp ứng các yêu cầu của PCI DSS bằng cách kiểm tra CDE (môi trường dữ liệu chủ thẻ - cardholder data environment) của họ theo các yêu cầu hiện hành của Tiêu chuẩn.

Có 2 hình thức đánh giá:

1. Đánh giá và Báo cáo tuân thủ PCI DSS (RoC) (Được thực hiện bởi tổ chức PCI QSA hoặc ISA – đánh giá viên bảo mật nội bộ)

1.1. RoC PCI DSS là gì?

Theo tiêu chuẩn PCI DSS, một số tổ chức nhất định phải trải qua đợt đánh giá bên ngoài hàng năm do một QSA (Chuyên gia Đánh giá Bảo mật Đủ điều kiện - Qualified Security Assessor) thực hiện để chứng minh sự tuân thủ. Theo nguyên tắc chung, bạn xử lý càng nhiều giao dịch thì khả năng bạn cần được đánh giá càng cao.

Sau khi hoàn tất đánh giá, QSA sẽ viết RoC (Báo cáo Tuân thủ). Báo cáo này tóm tắt thông tin thu thập được trong quá trình đánh giá và so sánh với các yêu cầu của PCI DSS. Báo cáo sẽ cung cấp đủ chi tiết để chứng minh bạn đáp ứng từng yêu cầu hoặc có thể giải thích tại sao một số yêu cầu nhất định không áp dụng cho bạn.

1.2. Lợi ích của việc đánh giá RoC

Bằng cách tiến hành phân tích phạm vi và khoảng cách, bạn có thể giúp tổ chức của mình:

• Xác định và hiểu rõ các rủi ro tiềm ẩn đối với CDE (môi trường dữ liệu chủ thẻ)

• Xác định dữ liệu chủ thẻ mà bạn không có lý do kinh doanh để lưu trữ;

• Xác định các cách để thu hẹp phạm vi của CDE

• Hiểu sâu hơn về những thay đổi trong môi trường và tác động của chúng đến phạm vi PCI DSS

• Xác định các biện pháp kiểm soát cần thực hiện

1.3. Bạn có cần được đánh giá để tuân thủ PCI DSS không?

Việc bạn có cần phải trải qua quá trình đánh giá chính thức hay không tùy thuộc vào ngân hàng thu mua của bạn. Theo quy định, bạn sẽ cần sử dụng QSA để tiến hành đánh giá nếu bạn xử lý hơn một triệu giao dịch mỗi năm hoặc đã từng bị vi phạm dữ liệu thẻ trong quá khứ. Tuy nhiên, ngay cả khi bạn không cần phải được đánh giá, bạn vẫn có thể muốn được đảm bảo rằng bạn có được sự đánh giá độc lập về mức độ tuân thủ của mình.

1.4. Quy trình đánh giá

Các QSA thường dành nhiều ngày tại chỗ để gặp gỡ người đứng đầu chương trình PCI DSS, các nhân viên chủ chốt tham gia quản lý mạng lưới và hệ thống có liên quan cũng như các nhân viên liên quan khác.

Quá trình đánh giá thường tuân theo các bước sau:

• Cuộc họp mở đầu với ban quản lý: QSA sẽ giải thích cho nhóm quản lý những gì mong đợi từ cuộc đánh giá và thảo luận về phạm vi ở cấp cao.

• Thu thập và xem xét tài liệu: QSA sẽ thu thập và xem xét tất cả tài liệu có liên quan có thể giúp chứng minh bạn tuân thủ các yêu cầu của PCI DSS.

• Xem xét và xác nhận phạm vi: QSA sẽ xem xét phạm vi đánh giá đã được ghi chép để đảm bảo nó bao gồm tất cả các tài sản là một phần hoặc kết nối với CDE.

• Chọn mẫu để thử nghiệm: Nếu có nhiều thành phần hệ thống nằm trong phạm vi, QSA sẽ lấy một mẫu đại diện để thử nghiệm nhằm đảm bảo chúng đáp ứng các yêu cầu của Tiêu chuẩn.

• Tiến hành phỏng vấn: QSA sẽ phỏng vấn các nhân viên chủ chốt để xác thực bằng chứng được cung cấp và xác định xem họ có biết tài sản nào nằm trong phạm vi đánh giá hay không và các biện pháp kiểm soát PCI DSS đã được triển khai như thế nào.

• Xác thực mẫu: QSA sẽ kiểm tra các biện pháp đã được thực hiện trong các mẫu đã chọn trước đó và xác minh tính nhất quán của chúng với những gì ghi trong tài liệu và kết quả phỏng vấn nhân viên. QSA cũng sẽ kiểm tra nhật ký để xác định các biện pháp này được duy trì trong suốt năm.

• Cuộc họp tổng kết với người đứng đầu PCI DSS: Trước khi hoàn thiện RoC, QSA sẽ tổ chức một cuộc họp với người đứng đầu PCI DSS của đơn vị được đánh giá để thảo luận về bất kỳ hành động khắc phục nào còn tồn đọng.

• Hoàn thành RoC: Sau đó, QSA sẽ hoàn thành RoC để cung cấp bản tóm tắt thông tin thu thập được trong quá trình đánh giá, so sánh với các yêu cầu của Tiêu chuẩn.

• Tạo AoC: Cuối cùng, chúng tôi sẽ chuẩn bị AoC để nộp chính thức, chứng nhận rằng tổ chức của bạn tuân thủ PCI DSS.

2. Xác thực và hỗ trợ PCI DSS SAQ (do cán bộ của tổ chức tự thực hiện)

2.1. Phiếu tự đánh giá (SAQ) là gì?

Đối với các tổ chức xử lý dưới 6 triệu giao dịch, bảng câu hỏi tự đánh giá (SAQ) là một công cụ xác thực cho phép các đơn vị chấp nhận thẻ và nhà cung cấp dịch vụ tự đánh giá việc tuân thủ PCI DSS của họ. Đối với một số tổ chức, bảng câu hỏi phù hợp thường ngắn gọn và đơn giản, trong khi đối với một số tổ chức khác, bảng câu hỏi có thể dài dòng và mang tính kỹ thuật.

2.2. Phân loại các SAQ

Đang tải Sheets. Vui lòng thử lại sau khi hoàn tất.

2.3. Xác thực và hỗ trợ SAQ là gì?

Dịch vụ xác thực SAQ PCI DSS sẽ giúp bạn xác định SAQ phù hợp để hoàn thành và cung cấp hỗ trợ cũng như lời khuyên phù hợp để đạt được sự tuân thủ PCI DSS đầy đủ.

Điều này sẽ bao gồm:

• Xác định SAQ phù hợp để hoàn thành

• Đưa ra các đề xuất để cải thiện việc tuân thủ và giúp điền đầy đủ SAQ để bạn nộp

• Các chuyên gia sẽ giúp bạn xác thực môi trường dữ liệu chủ thẻ, giảm thiểu khoảng trống và giúp bạn trả lời các thành phần kỹ thuật của SAQ, cho phép bạn gửi SAQ một cách dễ dàng.

2.4. Lợi ích của việc xác thực và hỗ trợ SAQ

Bằng cách nhận được xác thực và hỗ trợ của SAQ, bạn có thể giúp tổ chức của mình:

• Loại bỏ sự nhầm lẫn xung quanh tiêu chí đủ điều kiện của SAQ.

• Nhận hỗ trợ chuyên môn từ QSA về SAQ và các yêu cầu khác.

• Xác định mức độ rủi ro của bạn bằng cách xác định khoảng cách giữa nỗ lực tuân thủ và Tiêu chuẩn.

• Nhận hướng dẫn để khắc phục sự cố và đáp ứng các yêu cầu tuân thủ.

• Cung cấp SAQ tự đánh giá PCI DSS, sẵn sàng để gửi tới ngân hàng thu mua của bạn.

2.5. Quy trình hỗ trợ đánh giá

Dịch vụ này thường bao gồm nhiều ngày để các chuyên gia gặp gỡ các nhà quản lý giám sát chương trình PCI DSS; các nhân viên chủ chốt tham gia quản trị mạng và hệ thống chủ thẻ; và các cá nhân chịu trách nhiệm về quy trình và chính sách của công ty.

• Thu thập thông tin đánh giá trước: Chuyên gia hỗ trợ của KNA CERT sẽ thảo luận về các yêu cầu SAQ của bạn với các bên liên quan chính và tiến hành xem xét tài liệu SAQ hiện có.

• Đánh giá và phân tích: Trong bước này, KNA CERT sẽ xem xét quá trình xử lý và luồng dữ liệu chủ thẻ thông qua các hệ thống và quy trình, đánh giá bất kỳ sự phụ thuộc nào của bên thứ ba hoặc nhà cung cấp dịch vụ và ghi lại bất kỳ bằng chứng nào để chứng minh sự tuân thủ.

• Đánh giá sau: Chúng tôi sẽ cung cấp báo cáo về các phát hiện và đưa ra các đề xuất để hạ thấp mức độ xác thực của bạn, chẳng hạn như thu hẹp phạm vi và gửi SAQ đã được chứng thực, có chữ ký của QSA.

• Lưu ý: Mỗi SAQ có một tập hợp con các yêu cầu PCI DSS khác nhau liên quan đến kênh thanh toán đang được đề cập và tất cả các câu hỏi trong mỗi SAQ đều phải được trả lời. Có thể đánh dấu các yêu cầu là "không áp dụng" (không phải tất cả đều có thể được đánh dấu là N/A; có một số yêu cầu luôn áp dụng), miễn là tổ chức có thể biện minh cho việc không áp dụng. Cũng có thể sử dụng cái gọi là "kiểm soát bù trừ" - một quy trình hoặc công nghệ để giảm thiểu rủi ro - nhưng điều này phải được biện minh đầy đủ về rủi ro và được ghi chép lại trong SAQ.

Quý Doanh Nghiệp vui lòng liên hệ với KNA CERT theo số Hotline: 0983.246.419 hoặc Email: salesmanager@knacert.com  để được hỗ trợ đánh giá PCI DSS.