ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Bạn có biết rằng chỉ một trong số năm doanh nghiệp ở Châu Mỹ hoàn toàn tuân thủ PCI DSS? Theo Nghiên cứu bảo mật thanh toán năm 2019 của Verizon, chỉ 36,7% doanh nghiệp trên toàn thế giới hoàn toàn tuân thủ. Đây là lý do tại sao cần biết câu trả lời cho câu hỏi “PCI DSS là gì?” và cách thức thực hiện để đảm bảo việc thực thi, tuân thủ là rất quan trọng.

Làm thế nào ta biết được rằng dữ liệu bí mật của chúng ta sẽ được bảo mật với nhà bán lẻ khi bạn cung cấp thông tin thẻ thanh toán cho một trang web trong khi mua sắm trực tuyến? Giống như hầu hết mọi người, chúng ta tin rằng người bán đã tuân theo các giao thức bảo mật nào đó để bảo mật các chi tiết tài chính của khách hàng. Và bạn hoàn toàn đúng. PCI DSS yêu cầu các nhà bán lẻ, nhà cung cấp và tổ chức chấp nhận, chuyển giao, xử lý hoặc lưu trữ dữ liệu thẻ thanh toán phải tuân theo các nguyên tắc và tiêu chuẩn toàn cầu.

Nhưng nếu nhà bán lẽ hay bên cung cấp dịch vụ không có áp dụng và tuân thủ tiêu chuẩn này thì sao ? Có lẽ chúng ta phải “bảo mật bằng niềm tin” 

Và nếu như công ty của bạn quản lý chi tiết thẻ thanh toán, hay bạn là sinh viên mới ra trường muốn bộp CV vào các ngân hàng, hoặc bạn “đứng núi này trông núi nọ” và rất quan tâm đến thu nhập bình quân cao ngất ngưỡng của các nhà băng thì bạn cần hiểu PCI DSS là gì và nó ảnh hưởng như thế nào đến khuôn khổ bảo mật của khách hàng. CEH VIETNAM sẽ trả lời các câu hỏi của bạn về PCI DSS là viết tắt của từ gì, ai quản lý nó và “các yêu cầu chính của PCI DSS là gì?” trong bài viết này.

Mục lục

• PCI DSS là gì?
  • Ai Phải Tuân thủ PCI DSS?
  • Những tiêu chuẩn này bao gồm những gì?
• Các thành phần chính của PCI DSS là gì?
  • Người sáng tạo và quản trị viên của PCI DSS
  • Yêu cầu pháp lý và thực thi PCI DSS
  • Mức độ tuân thủ PCI
  • Kiểm tra và Đánh giá
  • Cấu trúc PCI DSS
• Kết thúc

PCI DSS là gì?

Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán hay PCI DSS là từ viết tắt của Payment Card Industry Data Security Standards gồm 12 nguyên tắt bảo mật thông tin quan trọng. 12 nguyên tắc bảo mật thông tin này được xây dựng nhằm hỗ trợ các công ty và tổ chức trên thế giới xử lý dữ liệu chủ thẻ thanh toán một cách an toàn.

Các hướng dẫn này hỗ trợ các tổ chức trong việc phát triển và thực hiện các chiến lược, công nghệ và quy trình xử lý dữ liệu thẻ thanh toán. Thẻ thanh toán được mô tả theo các tiêu chuẩn như sau:

“[…] Bất kỳ thẻ / thiết bị thanh toán nào có biểu tượng của các thành viên sáng lập PCI SSC, như American Express, Discover Financial Services, JCB International, MasterCard Worldwide hoặc Visa, Inc.”

Ai Phải Tuân thủ PCI DSS?

Nếu bạn không biết chắc liệu các tiêu chí tuân thủ PCI DSS có áp dụng được cho doanh nghiệp của mình không? Vâng, bạn sẽ áp dụng được nếu bạn xử lý chi tiết thẻ tín dụng hoặc thẻ ghi nợ theo một cách an toàn nào đó! 

Mặc dù thực tế là các quy định này không phải là quy tắc hoặc luật theo nghĩa pháp lý, chúng có hiệu lực đối với tất cả các công ty có liên quan đến việc sử dụng thẻ thanh toán dưới bất kỳ hình thức nào. Các tổ chức sau được bao gồm trong danh sách này:

• Các công ty tài chính, ngân hàng và ngân hàng thương mại đều là những ví dụ về các tổ chức tài chính.
• Thương gia truyền thống và thương mại điện tử,
• Các nhà cung cấp dịch vụ
• Các nhà cung cấp điểm bán hàng.

Tiêu chuẩn PCI-DSS này bao gồm những gì?

Điều quan trọng là phải hiểu không chỉ những tiêu chí này đề cập đến ai mà còn cả những gì chúng bảo vệ. PCI DSS áp dụng cho tất cả các thành phần thiết bị nằm trong hoặc liên quan đến cài đặt dữ liệu chủ thẻ.

Nó chứa các mục sau:

• Dữ liệu chủ thẻ hoặc dữ liệu xác thực nhạy cảm được xử lý bởi con người, hệ thống và công nghệ.
• Máy chủ, thiết bị máy tính và phần mềm đều là thiết bị mạng, cả có dây và không dây.
• Các thành phần ảo hóa chấp nhận, phân phối và lưu trữ dữ liệu chủ thẻ, chẳng hạn như máy ảo, thiết bị chuyển mạch / bộ định tuyến ảo, thiết bị ảo, ứng dụng ảo / máy tính để bàn và trình giám sát, trong số những thành phần khác.

Với tất cả những điều này, đã đến lúc tìm hiểu chi tiết về PCI DSS để bạn có thể hiểu đầy đủ các tiêu chí thực thi của nó.

Các thành phần chính của PCI DSS là gì?

Các tiêu chuẩn bảo vệ dữ liệu này cung cấp một bộ quy tắc và hướng dẫn bảo mật cho tất cả các công ty chấp nhận, xử lý và lưu trữ thông tin thẻ thanh toán từ khách hàng. Công ty của người bán được coi là tuân thủ PCI DSS cho đến khi các hướng dẫn thích hợp được thực hiện. Nhiều công ty thẻ thanh toán lớn đã đưa việc tuân thủ PCI DSS trở thành một yêu cầu đối với người bán. Việc thực thi PCI DSS chủ yếu nhằm mục đích:

• Bảo vệ dữ liệu thẻ của người dùng cuối,
• Giảm thiểu rủi ro về các gian lận tài chính và danh tính khác nhau, và
• Xác định trách nhiệm pháp lý của thương nhân trong trường hợp không may bị tấn công mạng.

Người sáng tạo và quản trị viên của PCI DSS

Năm công ty thẻ lớn là Visa, MasterCard, American Express, American Express và JCB đã hợp tác để tạo ra PCI DSS. Năm 2004, bản thảo đầu tiên (được gọi là PCI DSS phiên bản 1.0) đã được phát hành. Để quản lý và sản xuất PCI DSS, các công ty này đã thành lập Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán (PCI SSC) vào năm 2006.

Bất kỳ công ty tư nhân nào cũng sẽ tham gia hội đồng và gửi các khuyến nghị để sửa đổi và phát triển PCI DSS. PCI DSS 3.2.1, bản cập nhật gần đây nhất, được phát hành vào năm 2018.

Yêu cầu pháp lý và thực thi PCI DSS

Các công ty ở Hoa Kỳ không bị luật liên bang bắt buộc phải tuân thủ PCI DSS. Tuy nhiên, họ phải tham khảo hướng dẫn của PCI DSS để đánh giá hệ thống bảo vệ của công ty và quyết định trách nhiệm của công ty trong trường hợp xảy ra sự cố tội phạm mạng hoặc vi phạm dữ liệu. PCI DSS đã được thông qua thành luật tiểu bang ở ba tiểu bang: Nevada, Minnesota và Washington.

Tuy nhiên, nếu các nhà bán lẻ không tuân thủ PCI DSS vào thời điểm xảy ra vi phạm dữ liệu, sơ đồ thẻ sẽ đặt ra các khoản phí và tiền phạt. Sau đây là những ví dụ về các hình phạt có thể xảy ra.
ispartnersllc.com đã tạo một đồ họa phá vỡ các khoản tiền phạt do không tuân thủ PCI DSS.
Tuy nhiên, điều quan trọng cần nhớ là Hội đồng Tiêu chuẩn Bảo mật PCI không thực hiện việc tuân thủ. Thay vào đó, các công ty thẻ tín dụng có trách nhiệm thực thi các quy tắc (VISA, Mastercard, v.v.).

Mức độ tuân thủ PCI

Bạn có phải tuân thủ tất cả các yêu cầu của PCI DSS không? Không ! Các tiêu chuẩn thực thi đã được thiết lập dựa trên số lượng giao dịch mà một công ty thực hiện mỗi năm. Do đó, cho dù bạn là doanh nghiệp nhỏ hay mới thành lập, bạn chỉ cần tuân theo bộ nguyên tắc cụ thể nhất được quy định bởi tiêu chuẩn thực thi của tổ chức phát hành thẻ của bạn.

Cấp độ 1 – Các doanh nghiệp xử lý hơn 6 triệu giao dịch mỗi năm phải tuân thủ tất cả các quy định hiện hành.

Cấp độ 2 – Nhóm này bao gồm các doanh nghiệp có từ 1 đến 6 triệu giao dịch mỗi năm.

Cấp độ 3 – Các công ty có doanh thu hàng năm từ 20.000 đến 1 triệu đô la.

Cấp độ 4 – Các công ty có ít hơn 20.000 giao dịch mỗi năm, chẳng hạn như các công ty khởi nghiệp và doanh nghiệp nhỏ, phải tuân thủ các quy tắc đặt ra ở cấp độ này.

Kiểm tra và Đánh giá

Điều quan trọng cần nhớ là thực thi PCI là một quá trình liên tục, liên tục với ba bước chính:

• Tất cả các quy trình, khắc phục và giám sát dữ liệu và tài sản của chủ thẻ đều được đánh giá.
• Các lỗ hổng phải được khắc phục và dữ liệu phải được xóa (nếu có).
• Thông báo cho các cơ quan có thẩm quyền về các chi tiết và tài liệu cần thiết (mua lại các ngân hàng và thương hiệu thẻ)

Bất kỳ công ty nào tuân theo PCI DSS đều phải sử dụng Chuyên gia đánh giá bảo mật đủ điều kiện bên ngoài (QSA) để thực hiện đánh giá bảo mật và xác nhận rằng công ty đó tuân thủ PCI DSS. Ngoài ra còn có một bảng câu hỏi tự đánh giá (SAQ), chỉ có một Chuyên gia đánh giá an ninh nội bộ (ISA) mới có thể hoàn thành. ISA là một nhân viên của công ty đã được PCI SSC chứng nhận để tiến hành tự đánh giá cho công ty của họ. Người bán (Merchant) phải áp dụng SAQ này cho ngân hàng của họ mỗi năm một lần để hiển thị trạng thái tuân thủ PCI DSS của họ.

Cấu trúc PCI DSS

Để thực sự giải quyết câu hỏi, “PCI DSS là gì?”  Cần phải hiểu rõ cấu trúc của định mức mà PCI-DSS đặt ra. Để được coi là tuân thủ PCI DSS, một công ty phải đáp ứng sáu mục tiêu kiểm soát chính, 12 thông số kỹ thuật cốt lõi và nhiều yêu cầu phụ khác. Mỗi yêu cầu được chia thành ba phần: tuyên bố yêu cầu, thủ tục thử nghiệm và hướng dẫn.

Tất cả 12 thông số kỹ thuật PCI DSS cốt lõi được đề cập bên dưới, cùng với các loại mục tiêu mà chúng thuộc về và tổng quan ngắn gọn về từng yêu cầu:

Kiểm soát mục tiêu	Yêu cầu cốt lõi	Giải thích
1. Xây dựng và duy trì một mạng an toàn	1. Sử dụng tường lửa	Tường lửa chặn tất cả các yêu cầu độc hại đến và ngăn truy cập trái phép vào dữ liệu.
	2. Thay đổi mật khẩu mặc định do nhà cung cấp cung cấp và các cài đặt bảo mật khác.	Những mật khẩu này yếu, dễ đoán và đôi khi được công bố công khai, điều này làm suy yếu tính bảo mật tổng thể.
2. Bảo vệ dữ liệu của chủ thẻ	3. Bảo vệ dữ liệu được lưu trữ bằng cách sử dụng mã hóa, băm hoặc che dấu.	Các thuật toán mã hóa mạnh như RSA, ECC, v.v., xáo trộn dữ liệu được lưu trữ và khiến nó không thể hiểu được. Không ai có thể đọc, diễn giải, đánh cắp hoặc sửa đổi dữ liệu đó.
	4. Mã hóa truyền dữ liệu chủ thẻ	Chứng chỉ TLS / SSL là bắt buộc để bảo mật dữ liệu khi truyền.
3. Duy trì Chương trình quản lý lỗ hổng bảo mật	5. Sử dụng phần mềm chống vi rút hoặc phần mềm chống phần mềm độc hại	Công cụ chống vi-rút liên tục theo dõi, phát hiện và loại bỏ vi-rút, sâu internet, phần mềm gián điệp, ngựa trojan và các loại phần mềm độc hại khác có thể khai thác hệ thống.
	6. Phát triển và duy trì các hệ thống và ứng dụng an toàn	Các bản vá bảo mật và cơ sở hạ tầng bảo mật yếu kém trong các hệ thống và ứng dụng làm cho thế trận an ninh tổng thể suy yếu. Chúng phải được xây dựng chắc chắn và được cập nhật thường xuyên.
4. Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ	7. Chỉ cấp quyền truy cập dữ liệu chủ thẻ cho người được ủy quyền.	Chỉ nhân viên có “điều cần biết” mới có quyền truy cập vào chi tiết thẻ thanh toán của khách hàng. Hạn chế truy cập trái phép để giảm bớt các mối đe dọa từ nội bộ.
	8. Gán một ID duy nhất cho mỗi nhân viên	Đây là một bước quan trọng để xác định trách nhiệm giải trình và ủy quyền.
	9. Hạn chế quyền truy cập vào hệ thống vật lý chứa dữ liệu của chủ thẻ.	Bảo mật các hệ thống vật lý nơi lưu trữ chi tiết thẻ thanh toán để giảm thiểu rủi ro bị xóa hoặc đánh cắp dữ liệu trái phép.
5. Thường xuyên theo dõi và kiểm tra mạng	10. Theo dõi và giám sát ai đang truy cập vào dữ liệu của chủ thẻ và các tài nguyên khác.	Triển khai hệ thống giám sát thay đổi để theo dõi bất kỳ thay đổi được ủy quyền nào hoặc các hoạt động đáng ngờ của nhân viên để theo dõi liệu họ có đang truy cập vào dữ liệu bí mật của chủ thẻ mà không cần “biết”.
	11. Thường xuyên kiểm tra hệ thống, phần mềm, quy trình để tìm ra và khắc phục các lỗ hổng.	Lỗ hổng trong phần mềm và hệ thống được tội phạm mạng sử dụng để thực hiện tội phạm mạng. Các lỗ hổng bảo mật như vậy phải được theo dõi liên tục và khắc phục trên các cơ sở thường xuyên.
6. Duy trì Chính sách Bảo mật Thông tin	12. Có chính sách bảo mật trong tổ chức cho tất cả nhân viên	Xây dựng chính sách bảo mật và đào tạo nhân viên để họ hiểu được tính nhạy cảm của dữ liệu, các loại rủi ro mạng và các phương pháp hay nhất để giảm thiểu những rủi ro đó.

Kết luận

Với tư cách là chủ sở hữu doanh nghiệp, bạn có nghĩa vụ pháp lý và đạo đức là bảo vệ dữ liệu bí mật của khách hàng (theo luật và quy định như CCPA, FIPS, GDPR, v.v.). Hướng dẫn PCI DSS là một nguồn tài nguyên tuyệt vời để tìm hiểu về vô số lỗi bảo mật khiến dữ liệu chủ thẻ dễ bị tấn công, tác động của những sai sót đó và các biện pháp bạn nên thực hiện để giảm thiểu rủi ro.

Khi xảy ra vi phạm dữ liệu hoặc tấn công mạng, việc làm theo các hướng dẫn này sẽ bảo vệ bạn khỏi những hậu quả pháp lý nghiêm trọng. Nó chứng tỏ rằng bạn đã thực hiện các bước chính xác để bảo vệ thông tin của khách hàng. Mặt khác, việc không tuân thủ PCI DSS không chỉ dẫn đến các khoản phạt nặng mà còn gây tổn hại đến mối quan hệ của bạn với các công ty thẻ thanh toán và ngân hàng. Do đó, để phát triển một thế trận an ninh vững chắc, hãy luôn tuân thủ các hướng dẫn cơ bản của PCI DSS.

Nguyễn Trần Tường Vinh theo CyberGuard / Mark Fund