GIỚI THIỆU TIÊU CHUẨN PCI DSS

Tiêu chuẩn PCI DSS được công bố bởi HỘI ĐỒNG TIÊU CHUẨN AN NINH THẺ THANH TOÁN (Payment Card Indutry Security Standards Council), bao gồm các thành viên là các tổ chức cung cấp thẻ quốc tế: Visa Inc, MasterCard, American Express, Discover Financial Services, JCB International). Mục đích của PCI DSS bảo đảm an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng hoặc doanh nghiệp thanh toán. PCI DSS giúp đưa ra những chuẩn mực về bảo mật thông tin thẻ của hàng triệu người dùng và được áp dụng trên toàn cầu.

LỢI ÍCH TRIỂN KHAI PCI DSS

  • PCI DSS giúp doanh nghiệp, tổ chức mở rộng cơ hội kinh doanh hợp tác
  • Tăng lợi thế cạnh tranh trong môi trường tài chính, thanh toán thẻ
  • Hỗ trợ tăng trưởng kinh doanh dài hạn
  • Bảo vệ công việc kinh doanh và lợi ích khách hàng
  • Giảm thiểu các rủi ro về mất mát tài chính, các thông tin nhạy cảm của cả doanh nghiệp lẫn khách hàng và các thất thoát vô hình như hình ảnh thương hiệu, uy tín, mức độ hài lòng và tin tưởng của khách hàng

CÁC HẠNG MỤC PCI DSS

Tiêu chuẩn PCI DSS bắt buộc  áp dụng 12 nhóm yêu cầu bảo mật trong việc thiết kế, vận hành, bảo trì hệ thống thanh toán thẻ của tổ chức.
PCI Data Security Standard – High Level Overview

PCI Data Security Standard – High Level Overview

Xây dựng và duy trì hệ thống mạng bảo mật Yêu cầu 1: Xây dựng và duy trì hệ thống tường lửa để bảo vệ dữ liệu tdẻ
Yêu cầu 2: Không sử dụng các tdam số hoặc mật khẩu có sẵn từ các nhà cung cấp hệ thống
Bảo vệ dữ liệu tdẻ tdanh toán Yêu cầu 3: Bảo vệ dữ liệu tdẻ tdanh toán khi lưu trên hệ thống
Yêu cầu 4: Mã hóa thông tin tdẻ trên đường truyền khi giao dịch
Duy trì quy trình giám sát lỗ hổng Yêu cầu 5: Sử dụng và cập nhật tdường xuyên phần mềm diệt Virus
Yêu cầu 6: Xây dựng và duy trì quy trình đảm bảo an ninh hệ thống và ứng dụng
Triển khai hệ thống giám sát truy cập chặt chẽ Yêu cầu 7: Hạn chế tiếp cận với dữ liệu tdẻ tdanh toán
Yêu cầu 8: Định danh và xác tdực đối với người dùng truy cập vào hệ thống
Yêu cầu 9: Giới hạn các phương pháp tiếp cận vật lý với dữ liệu tdẻ
Theo dõi và đánh giá hệ thống tdường xuyên Yêu cầu 10: Kiểm tra và lưu tất cả các truy nhập vào hệ thống và dữ liệu tdẻ
Yêu cầu 11: Thường xuyên đánh giá và tdử nghiệm lại quy trình an ninh hệ thống
Chính sách bảo vệ thông tin Yêu cầu 12: Xây dựng chính sách bảo vệ thông tin

ĐÁNH GIÁ BẢO MẬT TRONG PCI DSS

Bảo Tín thực hiện cung cấp dịch vụ tư vấn, đánh giá bảo mật theo yêu cầu trong bộ tiêu chuẩn PCI DSS nhằm thỏa các điều kiện hoàn thành chứng nhận PCI DSS của tổ chức, doanh nghiệp.

Yêu cầu đánh giá bảo mật an ninh ứng dụng web được đề cập tại Mục 6.5, bắt buộc tổ chức phải kiểm tra tối thiểu các lỗ hổng lớp ứng dụng như danh sách sau (Mục 6.51 đến Mục 6.5.10).

  • 6.5.1 Injection flaws, particularly SQL injection. Also consider OS Command Injection, LDAP and XPath injection flaws as well as other injection flaws.
  • 6.5.2 Buffer overflows
  • 6.5.3 Insecure cryptographic storage
  • 6.5.4 Insecure communications
  • 6.5.5 Improper error handling
  • 6.5.6 All “high risk” vulnerabilities identified in the vulnerability identification process (as defined in PCI DSS Requirement 6.1).

Yêu cầu 6.5.7 đến 6.5.10 được áp dụng cho ứng dụng web

  • 6.5.7 Cross-site scripting (XSS)
  • 6.5.8 Improper access control
  • 6.5.9 Cross-site request forgery (CSRF)
  • 6.5.10 Broken authentication and session management
Yêu cầu đánh giá bảo mật an ninh hệ thống được đề cập tại Mục 11.3, bắt buộc tổ chức phải thực hiện đánh giá bảo mật lẫn bên ngoài và bên trong hệ thống ít nhất một lần trong năm hoặc khi có bất kỳ sự thay đổi nào trong hệ thống.
  • 11.3.1 Perform external penetration testing at least annually and after any significant infrastructure or pplication upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment)
  • 11.3.2 Perform internal penetration testing at least annually and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment).
Tổ chức, doanh nghiệp đạt được chứng chỉ PCI DSS là một việc quan trọng và yêu cầu đơn vị tư vấn có kinh nghiệm thực hiện để giảm thời gian triển khai, tiết kiệm chi phí và bảo đảm các yêu cầu trong bộ tiêu chuẩn đề ra. Mục tiêu cốt lõi của PCI DSS là đảm bảo tất cả thông tin thẻ của khách hàng được an toàn trước các cuộc tấn công từ bên trong lẫn bên ngoài hệ thống.