PCI DSS là gì? Giới thiệu về tiêu chuẩn bảo mật PCI DSS

PCI DSS là gì?

PCI DSS (Payment Card Industry Data Security Standard) là tiêu chuẩn bảo mật do Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) xác lập nên. Hội đồng có thành viên là các tổ chức: Visa, MasterCard, American Express, Discover Financial Services, JCB International.

Tiêu chuẩn bảo mật PCI DSS giúp bảo đảm an ninh cho dữ liệu của thẻ thanh toán khi được xử lý và lưu trữ tại các ngân hàng, doanh nghiệp thanh toán điện tử. PCI DSS giúp đưa ra những chuẩn mực về bảo mật thông tin thẻ và được áp dụng trên toàn cầu.

PCI DSS là tiêu chuẩn bảo mật đảm bảo an ninh cho dữ liệu của thẻ thanh toán

PCI DSS đưa ra các chuẩn mực về bảo mật thông tin thẻ gồm một hệ thống các yêu cầu đáp ứng các chuẩn mực về an ninh, chính sách, quy trình, cấu trúc mạng, hệ thống phần mềm và một số yếu tố khác, được áp dụng trên toàn cầu. Tất cả tổ chức có liên quan đến việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán (còn gọi là “Cardholder Data”) đều phải tuân thủ theo tiêu chuẩn PCI DSS.

Các đơn vị muốn được cấp chuẩn bảo mật PCI DSS phải đáp ứng yêu cầu kiểm tra mạng lưới hạ tầng hàng tháng. Hàng năm Hội đồng Tiêu chuẩn Bảo mật tới kiểm tra bảo mật để đảm bảo đơn vị luôn đáp ứng và tuân thủ các nguyên tắc về bảo mật.

Các yêu cầu của chuẩn bảo mật PCI DSS

Tiêu chuẩn bảo mật PCI DSS là một tập hợp 12 nhóm yêu cầu chính liên quan tới những vấn đề về đảm bảo an toàn cho dữ liệu thẻ như sau:

Xây dựng và duy trì hệ thống mạng bảo mật

• Yêu cầu 1: Xây dựng và duy trì hệ thống tường lửa để bảo vệ dữ liệu thẻ.
• Yêu cầu 2: Không sử dụng các tham số hoặc mật khẩu có sẵn từ các nhà cung cấp hệ thống.

Bảo vệ dữ liệu thẻ thanh toán

• Yêu cầu 3: Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống
• Yêu cầu 4: Mã hóa thông tin thẻ trên đường truyền khi giao dịch.

Xây dựng và duy trì tình trạng đảm bảo an ninh mạng

• Yêu cầu 5: Sử dụng và cập nhật thường xuyên phần mềm diệt Virus
• Yêu cầu 6: Xây dựng và duy trì hệ thống và ứng dụng đảm bảo an ninh mạng.

Xây dựng hệ thống kiểm soát xâm nhập

• Yêu cầu 7: Hạn chế tiếp cận với dữ liệu thẻ thanh toán
• Yêu cầu 8: Cấp và theo dõi các tài khoản truy nhập hệ thống của nhân viên
• Yêu cầu 9: Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ

Theo dõi và đánh giá hệ thống thường xuyên

• Yêu cầu 10: Kiểm tra và lưu tất cả các truy nhập vào hệ thống và dữ liệu thẻ
• Yêu cầu 11: Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống

Chính sách bảo vệ thông tin

• Yêu cầu 12: Xây dựng chính sách bảo vệ thông tin

Trên đây là 12 nguyên tắc của tiêu chuẩn bảo mật PCI DSS. Các đơn vị muốn đạt được chứng chỉ PCI DSS cần tuân thủ và đáp ứng đầy đủ những tiêu chuẩn bảo mật này.

Các đơn vị đạt chuẩn bảo mật PCI DSS tiêu biểu

Hiện nay tại Việt Nam đã có một số đơn vị đạt chuẩn bảo mật và nhận được chứng chỉ PCI DSS như: Ngân hàng VPBank, TPBank, Sacombank, Thanh toán trực tuyến OnePay, Cổng thanh toán Quốc tế VTC Pay, Ví điện tử Momo, Công ty Cổ phần Thanh toán Quốc gia Việt Nam (Napas), Cổng thanh toán VNPay...

Chúng ta cùng tìm hiểu một số đơn vị tiêu biểu đạt chuẩn bảo mật PCI DSS:

Ngân hàng VPbank

Ngày 23/10/2013, VPBank đã nhận chứng nhận PCI DSS về an ninh, đảm bảo an toàn cho các giao dịch thẻ từ đại diện của tổ chức PCI là công ty Control Case. VPBank là một trong số ít ngân hàng tại Việt Nam đạt được chứng nhận này sớm nhất

Việc đạt được chứng nhận bảo mật PCI DSS k khẳng định năng lực bảo mật và thể hiện sự cam kết đảm bảo của VPBank với việc bảo mật dữ liệu thanh toán qua thẻ của khách hàng.

Ngân hàng Sacombank

Ngân hàng Thương mại Cổ phần Sài Gòn Thương Tín (Sacombank) vừa được đại diện của Hội đồng tiêu chuẩn bảo mật thẻ thanh toán quốc tế (Security Standards Council) - công ty ControlCase (Mỹ) trao tặng chứng nhận bảo mật PCI DSS phiên bản 3.2.1 mới nhất năm 2019, đây là lần thứ 6 liên tiếp Sacombank đạt chuẩn bảo mật này 

Năm nay Sacombank còn mở rộng chứng nhận PCI DSS với ứng dụng quản lý tài chính Sacombank Pay để giúp khách hàng an tâm tuyệt đối khi giao dịch và lưu trữ thông tin thanh toán trên ứng dụng.

Tính đến tháng 10/2019, tổng số lượng giao dịch chuyển tiền nhanh 24/7 từ thẻ Sacombank đến thẻ các ngân hàng thành viên Napas đã đạt 24,4 triệu giao dịch, tăng 5,4 lần so với cùng kỳ năm ngoái.

Cổng thanh toán Quốc tế VTC Pay

Ví điện tử - Cổng thanh toán VTC Pay đã nhận được chứng chỉ bảo mật Quốc tế PCI DSS (Payment Card Industry Data Security Standard) tháng 5/2015 từ công ty Trustwave - đại diện của tổ chức PCI.

Cổng thanh toán VTC Pay là đơn vị cung ứng dịch vụ thanh toán trung gian hỗ trợ thanh toán qua 34 ngân hàng nội địa và 3 tổ chức thẻ quốc tế như Visa, MasterCard, JCB.

VTC Pay đã nhận được chứng chỉ bảo mật Quốc tế PCI DSS từ 2015

Nhận được chứng chỉ đạt chuẩn PCI DSS cho thấy sự tuân thủ chặt chẽ các tiêu chuẩn bảo mật cao nhất và sự đảm bảo cung cấp dịch vụ thanh toán với chuẩn mực an toàn nhất cho khách hàng của VTC Pay.

Công ty Cổ phần Thanh toán Quốc gia Việt Nam (NAPAS)

Công ty Cổ phần Thanh toán Quốc gia Việt Nam (NAPAS) đã nhận được chứng chỉ tiêu chuẩn bảo mật quốc tế PCI DSS phiên bản 3.2.1 - phiên bản mới nhất hiện nay vào ngày 30/9/2018.

Việc đạt được chứng chỉ khẳng định chắc chắn hơn cho cam kết của NAPAS về việc luôn tuân thủ các tiêu chuẩn quốc tế, đảm bảo cung ứng an toàn, liên tục dịch vụ chuyển mạch tài chính, cổng thanh toán trực tuyến cho gần 50 tổ chức thành viên và luôn sẵn sàng đáp ứng các điều kiện khắt khe nhất của những tổ chức thẻ quốc tế hàng đầu như Visa, MasterCard, JCB...

Hiện tại NAPAS đang cung ứng dịch vụ chuyển mạch tài chính và dịch vụ bù trừ điện tử trên thị trường; quản trị và vận hành hệ thống kết nối trên 18.280 ATM và 289.070 POS của hơn 100 triệu thẻ của các tổ chức tài chính nội địa và quốc tế. Mỗi ngày hệ thống NAPAS trung bình xử lý hơn một triệu giao dịch thanh toán liên ngân hàng với tổng giá trị giao dịch khoảng hơn 4000 tỷ đồng.

Trên đây là những thông tin giới thiệu về tiêu chuẩn bảo mật PCI DSS và 12 yêu cầu chính về bảo mật PCI DSS. Để đạt được chứng chỉ bảo mật PCI DSS ngoài 12 yêu cầu chính, các đơn vị tổ chức cần đáp ứng hơn 100 yêu cầu chi tiết khác về bảo mật

Trải qua quy trình dài giám sát và đánh giá hệ thống một cách khắt khe, chỉ một số ít các ngân hàng, đơn vị/tổ chức hoạt động liên quan tới việc truyền tải, xử lý và lưu trữ dữ liệu thẻ thanh toán được cấp chứng chỉ. Hy vọng với những nội dung nêu trên bạn có được cho mình những thông tin hữu ích.