Bảo mật thẻ tín dụng theo tiêu chuẩn PCI DSS được xác lập bởi Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council). Nhằm bảo đảm an toàn cho dữ liệu thẻ.
1. PCI DSS là gì?
PCI DSS (Payment Card Industry Data Security Standard) là tiêu chuẩn bảo mật do Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) xác lập nên. Hội đồng có thành viên là các tổ chức: Visa, MasterCard, American Express, Discover Financial Services, JCB International. Tiêu chuẩn bảo mật PCI DSS giúp bảo đảm an ninh cho dữ liệu của thẻ thanh toán. Khi được xử lý và lưu trữ tại các ngân hàng, doanh nghiệp thanh toán điện tử. PCI DSS giúp đưa ra những chuẩn mực về bảo mật thông tin thẻ và được áp dụng trên toàn cầu.
PCI DSS đưa ra các chuẩn mực về bảo mật thông tin thẻ gồm một hệ thống các yêu cầu đáp ứng các chuẩn mực về an ninh. Chính sách, quy trình, cấu trúc mạng, hệ thống phần mềm và một số yếu tố khác, được áp dụng trên toàn cầu. Tất cả tổ chức có liên quan đến việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán (còn gọi là “Cardholder Data”) đều phải tuân thủ theo tiêu chuẩn PCI DSS. Các đơn vị muốn được cấp chuẩn bảo mật PCI DSS phải đáp ứng yêu cầu kiểm tra mạng lưới hạ tầng hàng tháng. Hàng năm Hội đồng Tiêu chuẩn Bảo mật tới kiểm tra bảo mật để đảm bảo đơn vị luôn đáp ứng và tuân thủ các nguyên tắc về bảo mật.
2. Các yêu cầu của chuẩn bảo mật PCI DSS
Tiêu chuẩn bảo mật PCI DSS là một tập hợp 12 nhóm yêu cầu chính liên quan tới những vấn đề về đảm bảo an toàn cho dữ liệu thẻ.
Xây dựng và duy trì hệ thống mạng bảo mật
Yêu cầu 1. Xây dựng và duy trì hệ thống tường lửa để bảo vệ dữ liệu thẻ.
Yêu cầu 2. Không sử dụng các tham số hoặc mật khẩu có sẵn từ các nhà cung cấp hệ thống.
Yêu cầu 3. Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống.
Yêu cầu 4. Mã hóa thông tin thẻ trên đường truyền khi giao dịch.
Xây dựng và duy trì tình trạng đảm bảo an ninh mạng
Yêu cầu 5. Sử dụng và cập nhật thường xuyên phần mềm diệt virus.
Yêu cầu 6. Xây dựng và duy trì hệ thống và ứng dụng đảm bảo an ninh mạng.
Xây dựng hệ thống kiểm soát xâm nhập
Yêu cầu 7. Hạn chế tiếp cận với dữ liệu thẻ thanh toán.
Yêu cầu 8. Cấp và theo dõi các tài khoản truy nhập hệ thống của nhân viên.
Yêu cầu 9. Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ.
Theo dõi và đánh giá hệ thống thường xuyên
Yêu cầu 10. Kiểm tra và lưu tất cả các truy nhập vào hệ thống và dữ liệu thẻ.
Yêu cầu 11. Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống.
Chính sách bảo vệ thông tin
Yêu cầu 12. Xây dựng chính sách bảo vệ thông tin.
Trên đây là 12 nguyên tắc của tiêu chuẩn bảo mật PCI DSS. Các đơn vị muốn đạt được chứng chỉ PCI DSS cần tuân thủ và đáp ứng đầy đủ những tiêu chuẩn bảo mật này.
3. Các đơn vị đạt chuẩn bảo mật PCI DSS tiêu biểu
Hiện nay tại Việt Nam đã có một số đơn vị đạt chuẩn bảo mật và nhận được chứng chỉ PCI DSS.
Công ty Cổ phần Thanh toán Quốc gia Việt Nam (Napas).
Cổng thanh toán VNPay.
Trên đây là những thông tin giới thiệu về tiêu chuẩn bảo mật PCI DSS. Và 12 yêu cầu chính về bảo mật PCI DSS. Để đạt được chứng chỉ bảo mật PCI DSS ngoài 12 yêu cầu chính. Các đơn vị tổ chức cần đáp ứng hơn 100 yêu cầu chi tiết khác về bảo mật
Trải qua quy trình dài giám sát và đánh giá hệ thống một cách khắt khe. Chỉ một số ít các ngân hàng, đơn vị / tổ chức hoạt động liên quan tới việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán được cấp chứng chỉ. Hy vọng với những nội dung nêu trên bạn có được cho mình những thông tin hữu ích.