Bạn đã bao giờ tự hỏi làm thế nào dữ liệu thẻ tín dụng được giữ an toàn giữa hàng triệu mối đe dọa trên môi trường Internet? Câu trả lời nằm ở PCI DSS - Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán. Được hợp tác xây dựng bởi các "ông lớn" trong Ngành Thẻ, bộ tiêu chuẩn này đóng vai trò là kim chỉ nam cho mọi đơn vị có lưu trữ, xử lý hoặc truyền tải thông tin thẻ. Dù là doanh nghiệp nhỏ hay tập đoàn đa quốc gia, việc hiểu rõ tiêu chuẩn PCI DSS là bước đầu tiên để xây dựng hệ thống thanh toán vững chắc. Hãy cùng KNA CERT khám phá tường tận về tiêu chuẩn quan trọng này ngay sau đây.

Tiêu chuẩn PCI DSS là gì?

Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI DSS - The Payment Card Industry Data Security Standard) là một bộ tiêu chuẩn bảo mật dành cho bất kỳ tổ chức nào chấp nhận, xử lý, lưu trữ hoặc truyền dữ liệu chủ thẻ. Mục tiêu chính của tiêu chuẩn này là giảm thiểu gian lận và ngăn chặn vi phạm bảo mật bằng cách bảo vệ dữ liệu thẻ thông qua 12 yêu cầu cốt lõi được nhóm thành 6 mục tiêu logic.

Tiêu chuẩn bảo mật PCI DSS ra đời trong bối cảnh nào?

Vào giai đoạn cuối thập niên 1990 và đầu những năm 2000, sự bùng nổ mạnh mẽ của thương mại điện tử cùng các hình thức thanh toán trực tuyến đã dẫn đến một hệ quả tất yếu là sự gia tăng nhanh chóng của nạn gian lận thẻ tín dụng. Tại thời điểm đó, do chưa có các quy chuẩn an ninh thống nhất để bảo vệ dữ liệu người dùng trong quá trình xử lý và truyền tải thông tin, những kẻ lừa đảo có thể dễ dàng xâm nhập và đánh cắp các dữ liệu nhạy cảm như số thẻ tín dụng hay địa chỉ của khách hàng.

Để đối phó với tình trạng này, vào năm 2001, Visa đã tiên phong giới thiệu bộ tiêu chuẩn tuân thủ đầu tiên mang tên "Chương trình Bảo mật Thông tin Chủ thẻ", nhằm buộc các công ty phải áp dụng các biện pháp an ninh cần thiết để bảo vệ người dùng khi giao dịch trực tuyến. Nối gót Visa, các tổ chức thẻ lớn khác bao gồm Mastercard, Discover, American Express và Japan Credit Bureau (JCB) cũng nhanh chóng xây dựng và áp dụng các chính sách bảo mật riêng biệt của họ.

Tuy nhiên, việc các đơn vị chấp nhận thẻ phải cùng lúc tuân thủ nhiều hướng dẫn bảo mật khác nhau từ từng đối tác thẻ đã gây ra sự chồng chéo và nhầm lẫn không đáng có. Nhận thấy sự bất cập này, các tổ chức thẻ hàng đầu đã quyết định hợp tác để thống nhất các yêu cầu riêng lẻ thành một bộ quy chuẩn chung duy nhất cho toàn ngành thanh toán. Kết quả của sự hợp tác này là sự ra đời của phiên bản Tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (PCI DSS) đầu tiên vào tháng 12 năm 2004.

Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán do tổ chức nào ban hành?

Tiêu chuẩn PCI DSS được duy trì và quản lý bởi Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI SSC). Năm 2006, các đại diện bảo mật từ Visa, Mastercard, Discover, American Express và Japan Credit Bureau đã thành lập Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI SSC). PCI SSC là một cơ quan quản lý, chịu trách nhiệm quản lý và liên tục cải tiến các Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán. Họ cũng cung cấp hướng dẫn về cách chứng minh việc tuân thủ PCI.

Ngoài quản lý tiêu chuẩn, hội đồng này cũng chứng nhận các kiểm toán viên QSA, những người tuân thủ các yêu cầu của PCI DSS, và các Nhà điều tra pháp y ngành thẻ thanh toán (PIF), những người giúp các công ty điều tra nguyên nhân và tác động của vi phạm dữ liệu liên quan đến thông tin thanh toán bị mất và các vấn đề PCI. Hiện nay, PCI SSC đã mở rộng thành viên hội đồng quản trị đến từ nhiều tổ chức tài chính lớn và các thương gia uy tín.

Đối tượng nào áp dụng tiêu chuẩn PCI DSS?

Sau đây là các doanh nghiệp, tổ chức cần tuân thủ theo tiêu chuẩn bảo mật PCI DSS:

• Tất cả các doanh nghiệp hoặc nhà cung cấp có hỗ trợ xử lý, truyền tải hoặc lưu trữ dữ liệu chủ thẻ thanh toán.

• Các nhà cung cấp hỗ trợ thanh toán bằng thẻ tín dụng cho hàng hóa hoặc dịch vụ cũng cần phải có tiêu chuẩn này. Dù cho các nhà cung cấp này đã ký hợp đồng với bên thứ ba hỗ trợ xử lý thẻ thanh toán thì nhà cung cấp vẫn cần phải có PCI DSS.

• Các nhà cung cấp bên thứ ba, hỗ trợ trực tiếp tham gia xử lý, lưu trữ hoặc truyền tải thông tin về chủ thẻ thanh toán thay mặt cho một doanh nghiệp khác.

• Các tổ chức vừa là nhà cung cấp hàng hóa dịch vụ, vừa là bên thứ ba hỗ trợ xử lý thanh toán cho các doanh nghiệp khác.

Tiêu chuẩn PCI DSS đã ban hành bao nhiêu phiên bản?

Tính từ khi ra mắt lần đầu tiên vào năm 2024, Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán có 11 phiên bản:

* Lưu ý: Tính tới thời điểm hiện tại, PCI DSS v4.0.1 là phiên bản mới nhất của Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán.

Nội dung tiêu chuẩn PCI DSS theo phiên bản 4.0.1 mới nhất

1. Giới thiệu và Tổng quan về Tiêu chuẩn Bảo mật Dữ liệu PCI

2. Thông tin về khả năng áp dụng PCI DSS.

3. Mối quan hệ giữa PCI DSS và Tiêu chuẩn phần mềm PCI SSC

4. Phạm vi yêu cầu của PCI DSS.

5. Phương pháp hay nhất để triển khai PCI DSS vào quy trình kinh doanh thông thường.

6. Dành cho người đánh giá: Lấy mẫu để đánh giá PCI DSS.

7. Mô tả khung thời gian được sử dụng trong các yêu cầu PCI DSS

8. Phương pháp triển khai và xác thực PCI DSS

9. Bảo vệ thông tin về tư thế bảo mật của một thực thể

10. Phương pháp thử nghiệm cho các yêu cầu của PCI DSS.

11. Hướng dẫn và Nội dung Báo cáo về Tuân thủ.

12. Quy trình đánh giá PCI DSS

13. Tài liệu tham khảo bổ sung

14. Phiên bản PCI DSS

15. Yêu cầu và Quy trình Kiểm tra Chi tiết của PCI DSS

Xây dựng và duy trì mạng lưới và hệ thống an toàn

• Yêu cầu 1: Cài đặt và duy trì các biện pháp kiểm soát bảo mật mạng.

• Yêu cầu 2: Áp dụng cấu hình bảo mật cho tất cả các thành phần hệ thống.

Bảo vệ dữ liệu tài khoản.

• Yêu cầu 3: Bảo vệ dữ liệu tài khoản được lưu trữ.

• Yêu cầu 4: Bảo vệ dữ liệu chủ thẻ bằng mã hóa mạnh trong quá trình truyền qua mạng công cộng mở.

Duy trì Chương trình Quản lý Lỗ hổng

• Yêu cầu 5: Bảo vệ mọi hệ thống và mạng khỏi phần mềm độc hại.

• Yêu cầu 6: Phát triển và duy trì các hệ thống và phần mềm an toàn.

Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ

• Yêu cầu 7: Hạn chế quyền truy cập vào các thành phần hệ thống và dữ liệu chủ thẻ theo nhu cầu kinh doanh.

• Yêu cầu 8: Xác định người dùng và xác thực quyền truy cập vào các thành phần hệ thống.

• Yêu cầu 9: Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ.

Thường xuyên theo dõi và kiểm tra mạng

• Yêu cầu 10: Ghi nhật ký và giám sát mọi quyền truy cập vào các thành phần hệ thống và dữ liệu chủ thẻ.

• Yêu cầu 11: Kiểm tra bảo mật hệ thống và mạng thường xuyên.

Duy trì chính sách bảo mật thông tin

• Yêu cầu 12: Hỗ trợ bảo mật thông tin bằng các chính sách và chương trình của tổ chức.

Phụ lục A: Yêu cầu PCI DSS bổ sung

• Phụ lục A1: Các yêu cầu bổ sung về PCI DSS dành cho Nhà cung cấp dịch vụ đa thuê bao.

• Phụ lục A2: Các yêu cầu bổ sung về PCI DSS đối với các tổ chức sử dụng SSL/TLS sớm cho các kết nối thiết bị đầu cuối POS POI có thẻ

• Phụ lục A3: Xác thực bổ sung cho các thực thể được chỉ định (DESV).

Phụ lục B: Kiểm soát bù đắp.

Phụ lục C: Bảng tính điều khiển bù trừ.

Phụ lục D: Phương pháp tiếp cận tùy chỉnh.

Phụ lục E: Mẫu hỗ trợ phương pháp tùy chỉnh.

Phụ lục F: Tận dụng Khung bảo mật phần mềm PCI để hỗ trợ Yêu cầu 6.

Phụ lục G: Danh mục thuật ngữ, từ viết tắt và từ viết tắt của PCI DSS.

Tại sao nên quan tâm tới tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard?

Sau đây là lý do tại sao các doanh nghiệp nên quan tâm đến Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS):

• Bảo vệ doanh nghiệp trước các vụ vi phạm dữ liệu tốn kém: Các sự cố rò rỉ dữ liệu có thể gây ra những thiệt hại tài chính vô cùng nặng nề. PCI DSS giúp ngăn chặn nguy cơ này bằng cách yêu cầu doanh nghiệp thiết lập các biện pháp an ninh mạng mạnh mẽ. Nhờ đó, doanh nghiệp tránh được gánh nặng tài chính liên quan đến quá trình khắc phục sự cố, bao gồm các chi phí thông báo cho khách hàng, chi phí thay thế thẻ mới và các khoản tiền phạt tiềm ẩn khác.

• Củng cố và duy trì niềm tin nơi khách hàng: Khi khách hàng giao phó thông tin tài chính nhạy cảm cho doanh nghiệp, họ đặt trọn niềm tin vào nơi đó. Việc tuân thủ PCI DSS là minh chứng rõ ràng cho cam kết bảo mật dữ liệu, giúp gia tăng sự tin tưởng và lòng trung thành của khách hàng. Ngược lại, một vụ vi phạm dữ liệu có thể phá hủy nghiêm trọng niềm tin ấy, dẫn đến hậu quả tất yếu là mất đi khách hàng.

• Tránh các khoản phạt tài chính nặng nề: Việc không tuân thủ PCI DSS có thể dẫn đến những án phạt rất lớn từ các tổ chức phát hành thẻ tín dụng. Những khoản phạt này thường rất cao, đặc biệt đối với các doanh nghiệp có khối lượng giao dịch lớn, gây ảnh hưởng trực tiếp đến nguồn vốn kinh doanh.

• Giảm thiểu tối đa rủi ro pháp lý: Một vụ vi phạm dữ liệu thường kéo theo nguy cơ kiện tụng từ phía những khách hàng bị đánh cắp thông tin. Việc tuân thủ nghiêm ngặt PCI DSS giúp doanh nghiệp giảm thiểu rủi ro này bằng cách chứng minh được thái độ chủ động và trách nhiệm cao trong công tác bảo mật dữ liệu.

• Đảm bảo khả năng xử lý thanh toán liên tục: Hậu quả nghiêm trọng của việc không tuân thủ PCI DSS là doanh nghiệp có thể bị tước quyền chấp nhận thanh toán qua thẻ tín dụng. Điều này sẽ tác động tiêu cực, làm sụt giảm đáng kể doanh số bán hàng và tổng doanh thu của doanh nghiệp.

Tóm lại, việc tuân thủ PCI DSS không đơn thuần là làm theo các quy tắc bắt buộc, mà thực chất là hành động bảo vệ chính doanh nghiệp, khách hàng và uy tín thương hiệu của bạn. Đây chính là một khoản đầu tư thiết thực để xây dựng một môi trường an toàn cho việc xử lý các dữ liệu tài chính nhạy cảm.

Trên đây là những thông tin cơ bản về Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI DSS - The Payment Card Industry Data Security Standard). Nếu doanh nghiệp của bạn đang gặp khó khăn trong việc áp dụng tiêu chuẩn PCI DSS, vui lòng liên hệ với KNA CERT theo số Hotline: 0983.246.419 hoặc Email: salesmanager@knacert.com  để được hỗ trợ.