PCI DSS là gì? Mục đích chính của tiêu chuẩn bảo mật PCI DSS

22/11/2023

PCI DSS hiện đang là một trong những tiêu chuẩn bắt buộc của các doanh nghiệp hiện nay, liên quan đến việc đánh giá tính bảo mật của dữ liệu trên thẻ. Vậy, cụ thể thì PCI DSS là gì? Các tổ chức lớn làm việc trong lĩnh vực thanh toán như ngân hàng, tài chính,... đều đang có nhu cầu rất lớn về các tiêu chuẩn PCI DSS. Trong bài viết này, cùng tìm hiểu kỹ hơn về chứng chỉ PCI DSS, vai trò và các mức độ của chúng.

Tìm hiểu về chứng chỉ PCI DSS

PCI DSS là gì

PCI DSS là viết tắt của Payment Card Industry Data Security Standard. Đây là chứng chỉ được cấp bởi hội đồng tiêu chuẩn bảo mật PCI Security Standards Council. Hội động này gồm 5 thành viên khác nhau là American Express, Visa, JCB International, MasterCard, Discover Financial Services.

Tiêu chuẩn này giúp đảm bảo tính bảo mật của các dữ liệu trong thẻ thanh toán khi được lưu trong các ngân hàng hoặc các tổ chức có hỗ trợ thanh toán điện tử. PCI DSS được áp dụng trong phạm vi toàn cầu. Để có được chứng chỉ này, các doanh nghiệp cần phải đáp ứng được chất lượng cơ sở hạ tầng và cần được kiểm tra liên tục hàng tháng.

Ai phải tuân thủ tiêu chuẩn bảo mật PCI DSS

Sau đây là các doanh nghiệp, tổ chức cần tuân thủ theo tiêu chuẩn bảo mật PCI DSS:

Tất cả các doanh nghiệp hoặc nhà cung cấp có hỗ trợ xử lý, truyền tải hoặc lưu trữ dữ liệu chủ thẻ thanh toán.
Các nhà cung cấp hỗ trợ thanh toán bằng thẻ tín dụng cho hàng hóa hoặc dịch vụ cũng cần phải có tiêu chuẩn này. Dù cho các nhà cung cấp này đã ký hợp đồng với bên thứ ba hỗ trợ xử lý thẻ thanh toán thì nhà cung cấp vẫn cần phải có PCI DSS.
Các nhà cung cấp bên thứ ba, hỗ trợ trực tiếp tham gia xử lý, lưu trữ hoặc truyền tải thông tin về chủ thẻ thanh toán thay mặt cho một doanh nghiệp khác
Các tổ chức vừa là nhà cung cấp hàng hóa dịch vụ, vừa là bên thứ ba hỗ trợ xử lý thanh toán cho các doanh nghiệp khác

Dịch vụ Cloud của CMC Cloud đạt chứng chỉ khắt khe nhất về bảo mật PCI DSS, hạn chế tối đa các lỗ hổng bảo mật cho các tổ chức có hỗ trợ thanh toán ví điện tử, thẻ ngân hàng,...”

Mục đích chính của PCI DSS là gì

Mục đích chính của tiêu chuẩn PCI DSS là giúp tối ưu hóa tính bảo mật cho các dữ liệu quan trọng của chủ thẻ thanh toán, ví dụ như số thẻ tín dụng, ngày hết hạn và code bảo mật. Qua đó, giúp doanh nghiệp giảm thiểu các rủi ro về vi phạm dữ liệu, gian lận và đánh cắp thông tin chủ thẻ.

Việc tuân thủ theo chứng chỉ PCI DSS cũng đồng nghĩa rằng doanh nghiệp tuân thủ các phương pháp tốt nhất khi xử lý, lưu trữ và truyền tải dữ liệu thanh toán thẻ tín dụng. Bên cạnh đó, việc tuân thủ PCI DSS sẽ giúp tăng niềm tin của khách hàng và đối tác liên quan với doanh nghiệp.

Mức độ tuân thủ của PCI DSS

Mức độ tuân thủ của PCI DSS gồm 4 cấp độ khác nhau, tùy thuộc vào số lượng giao dịch hàng năm mà một doanh nghiệp xử lý. Các cấp độ này xác định các hoạt động mà doanh nghiệp cần làm để đạt tiêu chuẩn PCI DSS:

Cấp 1: Áp dụng cho các doanh nghiệp sử dụng hơn 6 triệu lượt giao dịch qua thẻ tín dụng hoặc thẻ ghi nợ hàng năm. Các đơn vị cung cấp PCI sẽ kiểm tra kiểm toán doanh nghiệp mỗi năm một lần.
Cấp 2: Áp dụng cho các doanh nghiệp sử dụng từ 1 đến 6 triệu lượt giao dịch qua thẻ tín dụng hoặc thẻ ghi nợ hàng năm. Các doanh nghiệp này cần phải làm bảng câu hỏi tự đánh giá mỗi năm một lần và cần quét PCI mỗi quý.
Cấp 3: Áp dụng cho các doanh nghiệp sử dụng từ 20.000 đến 1 triệu lượt giao dịch qua thẻ tín dụng hoặc thẻ ghi nợ hàng năm. Tương tự cấp 2, các doanh nghiệp này cần phải làm bảng câu hỏi tự đánh giá mỗi năm một lần và cần quét PCI mỗi quý.
Cấp 4: Áp dụng cho các doanh nghiệp sử dụng ít hơn 20.000 lượt giao dịch qua thẻ tín dụng hoặc thẻ ghi nợ hàng năm. Họ cũng cần phải điền bảng tự đánh giá mỗi năm và quét PCI mỗi quý.

Mức độ tuân thủ của PCI DSS

Yêu cầu của của PCI DSS

Tiêu chuẩn PCI DSS đã cung cấp 12 yêu cầu khác nhau, chia thành 6 mục để đảm bảo việc xử lý dữ liệu thanh toán được an toàn, doanh nghiệp cần phải đảm bảo tuân thủ 12 yêu cầu này.

An toàn mạng:

1. Có tường lửa hoạt động.

2. Mật khẩu hệ thống là mật khẩu gốc.

Bảo mật dữ liệu cho chủ thẻ thanh toán:

3. Dữ liệu phải được bảo vệ tốt.

4. Khi truyền các dữ liệu của chủ thẻ cần phải mã hóa dữ liệu.

Ngăn chặn lỗ hổng bảo mật

5. Thường xuyên cập nhật các phần mềm diệt virus.

6. Xây dựng và duy trì các hệ thống, ứng dụng an toàn.

Kiểm soát lượng truy cập

7. Giới hạn quyền truy cập vào dữ liệu của chủ thẻ.

8. Mỗi người khi truy cập vào phải có 1 địa chỉ ID riêng biệt.

9. Hạn chế quyền truy cập vật lý vào dữ liệu của chủ thẻ.

Giám sát mạng

10. Việc truy cập vào dữ liệu của chủ thẻ phải được giám sát và theo dõi.

11. Quy trình bảo mật phải được kiểm tra và cập nhật, hoàn thiện thường xuyên.

Bảo mật thông tin

12. Duy trì các chính sách về bảo mật thông tin cho chủ thẻ.

Trên đây là tất cả các thông tin cơ bản về tiêu chuẩn PCI DSS. Nhìn chung, để đạt được chứng chỉ này, ngoài việc tuân thủ 12 yêu cầu trên, doanh nghiệp còn cần đáp ứng hơn 100 các yêu cầu phụ khác liên quan tới bảo mật. Do đó, chỉ một số ít các đơn vị ngân hàng, tổ chức mới được cấp chứng chỉ này.

CMC Cloud - Giải pháp Điện toán đám mây Toàn diện & Linh hoạt nhất. Cho phép tùy biến sử dụng và quản trị 25+ dịch vụ