TỔNG QUAN VỀ CÁC YÊU CẦU CỦA PCI
Giới thiệu
Lỗ hổng trong giao dịch thẻ thanh toán đã trở thành vấn đề nghiêm trọng, với hơn 10,9 tỷ bản ghi thông tin nhạy cảm bị vi phạm từ tháng 1 năm 2005 đến tháng 7 năm 2018, theo thống kê từ PrivacyRights.org Việc này cho thấy sự cần thiết phải tăng cường bảo mật trong các giao dịch tài chính để bảo vệ dữ liệu cá nhân của người dùng.
Các lỗ hổng trong hệ sinh thái xử lý thẻ thường xuất hiện tại các thiết bị bán hàng, điểm phát sóng không dây, ứng dụng mua sắm trên web, và quá trình truyền dữ liệu của chủ thẻ đến nhà cung cấp dịch vụ Ngoài ra, các lỗ hổng này còn có thể ảnh hưởng đến các hệ thống do nhà cung cấp dịch vụ và bên mua quản lý, bao gồm các tổ chức tài chính có trách nhiệm thiết lập và duy trì mối quan hệ với các thương gia chấp nhận thẻ thanh toán.
Bảo mật kém của một số người dùng tạo điều kiện cho tội phạm dễ dàng đánh cắp và lạm dụng thông tin tài chính cá nhân từ các hệ thống xử lý và giao dịch thẻ thanh toán.
Để ngăn chặn hành vi trộm cắp dữ liệu của chủ thẻ, việc áp dụng quy trình và công nghệ bảo mật tiêu chuẩn là điều cần thiết Tiêu chuẩn PCI DSS đóng vai trò quan trọng trong việc giảm thiểu lỗ hổng bảo mật và bảo vệ dữ liệu của chủ thẻ Để tuân thủ PCI DSS, cần thực hiện ba bước liên tục nhằm đảm bảo an toàn cho thông tin thẻ tín dụng.
Đánh giá dữ liệu chủ thẻ là bước quan trọng để xác định vị trí lưu trữ, kiểm kê tài sản CNTT và quy trình kinh doanh liên quan đến xử lý thẻ thanh toán Việc phân tích những yếu tố này giúp phát hiện các lỗ hổng có thể dẫn đến rủi ro lộ dữ liệu chủ thẻ.
Sửa chữa các lỗ hổng đã được xác định, loại bỏ an toàn mọi dữ liệu thẻ không cần thiết và thực hiện các quy trình kinh doanh an toàn là những bước quan trọng để bảo vệ thông tin khách hàng.
Bản báo cáo cần lập hồ sơ chi tiết để đánh giá và khắc phục, sau đó gửi báo cáo tuân thủ cho ngân hàng mua lại cũng như các thương hiệu thẻ mà bạn đang kinh doanh, hoặc cho các pháp nhân yêu cầu khác nếu bạn là nhà cung cấp dịch vụ.
PCI DSS tuân thủ các bước bảo mật tốt nhất và áp dụng toàn cầu cho mọi thực thể lưu trữ, xử lý hoặc truyền dữ liệu thẻ và dữ liệu xác thực nhạy cảm Tiêu chuẩn này được quản lý bởi hội đồng tiêu chuẩn bảo mật PCI, do các công ty lớn như American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc thành lập Các tổ chức tham gia bao gồm người bán, ngân hàng phát hành thẻ, bộ xử lý, nhà phát triển và các nhà cung cấp khác.
Tiêu chuẩn bảo mật PCI
Tiêu chuẩn bảo mật PCI, do Hội đồng tiêu chuẩn bảo mật PCI (PCI SSC) thiết lập, bao gồm các yêu cầu kỹ thuật và hoạt động nhằm bảo vệ dữ liệu của chủ thẻ Những tiêu chuẩn này áp dụng cho mọi thực thể lưu trữ, xử lý hoặc truyền dữ liệu thẻ, cũng như đối với các nhà phát triển phần mềm và nhà sản xuất ứng dụng, thiết bị liên quan đến giao dịch Hội đồng này không chỉ quản lý các tiêu chuẩn bảo mật mà còn đảm bảo việc tuân thủ thông qua các thành viên sáng lập như American Express, Discover Financial Services, JCB, MasterCard và Visa Inc.
❖ Tiêu chuẩn bảo mật PCI bao gồm:
➢ Tiêu chuẩn bảo mật dữ liệu PCI ( PCI DSS ):
PCI DSS áp dụng cho tất cả các tổ chức lưu trữ, xử lý hoặc truyền dữ liệu thẻ tín dụng Điều này bao gồm các thành phần hệ thống vận hành và kỹ thuật liên quan đến dữ liệu thẻ Nếu doanh nghiệp của bạn chấp nhận hoặc xử lý thẻ thanh toán, thì PCI DSS sẽ có hiệu lực đối với bạn.
➢ Yêu cầu về bảo mật giao dịch bằng mã PIN ( PTS ):
PCI PTS là bộ tiêu chuẩn bảo mật quan trọng, tập trung vào việc quản lý và bảo vệ các thiết bị xử lý thanh toán và mã PIN của chủ thẻ Tiêu chuẩn này bao gồm các yêu cầu bảo mật cho mã PIN, mô-đun Điểm tương tác (POI) và mô-đun bảo mật phần cứng, nhằm đảm bảo an toàn cho các giao dịch thanh toán.
Các yêu cầu về thiết bị HSM yêu cầu các nhà sản xuất tuân thủ trong quá trình thiết kế, sản xuất và vận chuyển thiết bị đến đơn vị sử dụng Các tổ chức tài chính, bộ xử lý, thương nhân và nhà cung cấp dịch vụ nên chỉ sử dụng thiết bị hoặc thành phần đã được PCI SSC kiểm tra và phê duyệt.
➢ Tiêu chuẩn bảo mật dữ liệu ứng dụng thanh toán ( PA – DSS ):
PA-DSS là tiêu chuẩn dành cho nhà cung cấp phần mềm và những người phát triển ứng dụng thanh toán có chức năng lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ và dữ liệu xác thực nhạy cảm trong quá trình ủy quyền hoặc dàn xếp Các ứng dụng này phải được bán, phân phối hoặc cấp phép cho bên thứ ba Hầu hết các thương hiệu thẻ khuyến khích người bán sử dụng các ứng dụng thanh toán đã được kiểm tra và phê duyệt bởi PCI SSC.
➢ Tiêu chuẩn mã hóa điểm – điểm – điểm PCI ( P2PE ):
Tiêu chuẩn Mã hóa điểm - điểm (P2PE) cung cấp yêu cầu bảo mật toàn diện cho các nhà cung cấp giải pháp P2PE, giúp xác thực các giải pháp của họ và giảm phạm vi PCI DSS cho các nhà bán lẻ P2PE là một chương trình đa chức năng, dẫn đến các giải pháp đã được xác thực, kết hợp với Tiêu chuẩn PTS, PA-DSS, PCI DSS và Tiêu chuẩn bảo mật mã PIN PCI.
Tiêu chuẩn bảo mật dữ liệu PCI ( PCI DSS )
PCI DSS là tiêu chuẩn toàn cầu về bảo mật dữ liệu, được áp dụng bởi các thương hiệu thẻ thanh toán cho tất cả các tổ chức xử lý, lưu trữ hoặc truyền tải dữ liệu thẻ và dữ liệu xác thực nhạy cảm Tiêu chuẩn này bao gồm các bước phản ánh các phương pháp bảo mật tốt nhất nhằm bảo vệ thông tin khách hàng.
Mục đích Yêu cầu PCI DSS
Xây dựng và duy trì một hệ thống mạng an toàn
1 Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ
2 Không sử dụng giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác
Bảo vệ dữ liệu của chủ thẻ 3 Bảo vệ dữ liệu chủ thẻ được lưu trữ
4 Mã hóa truyền dữ liệu chủ thẻ qua các mạng công cộng, mở
Duy trì chương trình quản lý lỗ hổng bảo mật
5 Bảo vệ tất cả các hệ thống chống lại phần mềm độc hại và thường xuyên cập nhật phần mềm hoặc chương trình chống vi-rút
6 Phát triển và duy trì các hệ thống và ứng dụng an toàn
Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ
7 Hạn chế truy cập dữ liệu chủ thẻ bởi doanh nghiệp cần biết
8 Xác định và xác thực quyền truy cập vào các thành phần hệ thống
9 Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
Thường xuyên theo dõi và mạng thử nghiệm
10 Theo dõi và giám sát tất cả các truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
11 Thường xuyên kiểm tra các hệ thống và quy trình bảo mật
Duy trì Chính sách Bảo mật Thông tin
12 Duy trì một chính sách đề cập đến vấn đề bảo mật thông tin cho tất cả nhân viên.
Công cụ đánh giá sự tuân thủ với PCI DSS
PCI SSC thiết lập Tiêu chuẩn bảo mật PCI, tuy nhiên mỗi thương hiệu thẻ thanh toán đều có chương trình tuân thủ riêng, với mức độ xác thực và thực thi khác nhau Để tìm hiểu thêm về các chương trình tuân thủ, bạn nên liên hệ với các thương hiệu thanh toán hoặc ngân hàng mà bạn sử dụng.
➢ Người đánh giá có năng lực:
Hội đồng quản lý các chương trình đóng vai trò quan trọng trong việc đánh giá tuân thủ PCI DSS thông qua việc hợp tác với người đánh giá bảo mật đủ điều kiện (QSA) và nhà cung cấp dịch vụ quét được chấp thuận (ASV) Các QSA được Hội đồng phê duyệt nhằm đảm bảo sự tuân thủ với PCI DSS, trong khi ASV có trách nhiệm xác nhận việc tuân thủ các yêu cầu quét.
PCI DSS thực hiện quét lỗ hổng bảo mật trong các môi trường tiếp xúc với Internet của thương gia và nhà cung cấp dịch vụ Đồng thời, Hội đồng cũng cung cấp đào tạo về PCI DSS cho các chuyên gia đánh giá an ninh nội bộ (ISA).
➢ Bảng câu hỏi tự đánh giá:
Bảng câu hỏi tự đánh giá (SAQ) là công cụ giúp các tổ chức đủ điều kiện tự đánh giá mức độ tuân thủ PCI DSS mà không cần gửi Báo cáo về sự tuân thủ (ROC) Có nhiều loại SAQ phù hợp với các môi trường kinh doanh khác nhau Để xác định xem bạn có cần hoàn thành SAQ hay không và chọn loại nào, hãy liên hệ với tổ chức tài chính mua lại hoặc thương hiệu thẻ thanh toán của bạn.
QUY TRÌNH VÀ KIỂM SOÁT BẢO MẬT CHO CÁC YÊU CẦU CỦA
Khái quát về quy trình và kiểm soát bảo mật
Tiêu chuẩn bảo mật dữ liệu PCI DSS nhằm mục đích bảo vệ dữ liệu chủ thẻ và thông tin xác thực nhạy cảm tại mọi thời điểm, bao gồm khi dữ liệu này được xử lý, lưu trữ hoặc truyền tải.
Các quy trình và kiểm soát bảo mật theo PCI DSS rất quan trọng để bảo vệ dữ liệu tài khoản thẻ thanh toán, bao gồm số tài khoản chính (PAN) in trên thẻ Người bán, nhà cung cấp dịch vụ và các tổ chức liên quan đến xử lý thẻ thanh toán không được phép lưu trữ dữ liệu xác thực nhạy cảm sau khi đã được ủy quyền.
Mã bảo mật gồm 3 hoặc 4 chữ số, thường được in ở mặt trước hoặc mặt sau của thẻ, và dữ liệu này được lưu trữ trên dải từ hoặc chip của thẻ.
Chương này trình bày các mục tiêu của PCI DSS và 12 yêu cầu liên quan đến việc bảo vệ dữ liệu theo dõi đầy đủ, cũng như số nhận dạng cá nhân (PIN) được nhập bởi chủ thẻ.
Mục tiêu của quy trình, kiểm soát PCI DSS và 12 yêu cầu liên quan
a Xây dựng và duy trì một hệ thống mạng an toàn
Trong quá khứ, hành vi trộm cắp hồ sơ tài chính thường yêu cầu tội phạm phải xâm nhập vào địa điểm kinh doanh Hiện nay, nhiều giao dịch thẻ thanh toán diễn ra qua các thiết bị nhập mã PIN và máy tính kết nối mạng Bằng cách áp dụng các biện pháp kiểm soát an ninh mạng, các tổ chức có thể ngăn chặn tội phạm truy cập ảo vào hệ thống thanh toán, bảo vệ dữ liệu chủ thẻ và thông tin xác thực nhạy cảm.
❖ Yêu cầu 1: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ.
Tường lửa là thiết bị quan trọng giúp kiểm soát lưu lượng truy cập vào và ra khỏi mạng của tổ chức, bảo vệ các khu vực nhạy cảm trong mạng nội bộ Chức năng của tường lửa có thể được tích hợp trong các thành phần hệ thống khác, như bộ định tuyến, thiết bị kết nối nhiều mạng Tất cả các thiết bị mạng này đều cần được đánh giá theo Yêu cầu 1 khi hoạt động trong môi trường dữ liệu của chủ thẻ.
Thiết lập và triển khai tiêu chuẩn cấu hình cho tường lửa và bộ định tuyến là cần thiết để đảm bảo kiểm tra mọi thay đổi cấu hình Cần xác định tất cả các kết nối giữa môi trường dữ liệu của chủ thẻ và các mạng khác, bao gồm cả mạng không dây, và tài liệu hóa chúng bằng sơ đồ chi tiết Tài liệu chứng minh kinh doanh và các cài đặt kỹ thuật phải được ghi nhận cho từng lần triển khai Sơ đồ cũng cần thể hiện tất cả các luồng dữ liệu của chủ thẻ qua các hệ thống và mạng Cuối cùng, quy định việc xem xét các bộ quy tắc cấu hình tối thiểu sáu tháng một lần là rất quan trọng để duy trì an ninh mạng.
Để bảo vệ an ninh mạng, cần xây dựng cấu hình tường lửa và bộ định tuyến nhằm hạn chế toàn bộ lưu lượng truy cập từ các mạng không đáng tin cậy, bao gồm cả mạng không dây và máy chủ lưu trữ Đồng thời, cần từ chối tất cả các lưu lượng khác, ngoại trừ các giao thức thiết yếu cho môi trường dữ liệu của chủ thẻ.
➢ 1.3 Cấm truy cập công cộng trực tiếp giữa Internet và bất kỳ thành phần hệ thống nào trong môi trường dữ liệu của chủ thẻ
Cài đặt phần mềm tường lửa cá nhân hoặc chức năng tương đương trên tất cả các thiết bị kết nối Internet, bao gồm cả thiết bị của công ty và nhân viên, là rất quan trọng khi làm việc bên ngoài mạng Điều này đặc biệt cần thiết cho những máy tính xách tay được sử dụng bởi nhân viên để truy cập vào môi trường dữ liệu của chủ thẻ Bộ định tuyến và các thiết bị phần cứng hoặc phần mềm khác cũng cần được cấu hình để quản lý lưu lượng giữa các mạng một cách an toàn.
Đảm bảo rằng các chính sách bảo mật và quy trình hoạt động liên quan được lập thành văn bản, đang được áp dụng và được tất cả các bên liên quan thông báo đầy đủ.
❖ Yêu cầu 2: Không sử dụng giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác.
Cách đơn giản nhất để tin tặc xâm nhập vào mạng nội bộ của bạn là sử dụng mật khẩu mặc định hoặc khai thác cài đặt phần mềm hệ thống mặc định trong cơ sở hạ tầng thẻ thanh toán Nhiều người bán thường không thay đổi mật khẩu hoặc cài đặt mặc định khi triển khai, tương tự như việc để cửa hàng mở khóa khi bạn rời đi Mật khẩu và cài đặt mặc định của hầu hết các thiết bị mạng đều được biết đến rộng rãi, và khi kết hợp với các công cụ của tin tặc, điều này có thể biến việc xâm nhập trái phép thành một nhiệm vụ dễ dàng nếu bạn không thực hiện việc thay đổi cài đặt mặc định.
Luôn thay đổi tất cả các mặc định do nhà cung cấp cung cấp và xóa hoặc vô hiệu hóa các tài khoản mặc định không cần thiết trước khi cài đặt hệ thống trên mạng Điều này đặc biệt quan trọng đối với các thiết bị không dây kết nối với môi trường dữ liệu chủ thẻ hoặc được sử dụng để truyền dữ liệu chủ thẻ.
Phát triển tiêu chuẩn cấu hình cho tất cả các thành phần của hệ thống nhằm giải quyết mọi lỗ hổng bảo mật đã biết và tuân thủ các định nghĩa được ngành công nhận Cần thường xuyên cập nhật các tiêu chuẩn này khi phát hiện các vấn đề bảo mật mới.
➢ 2.3 Sử dụng mật mã mạnh, mã hóa tất cả quyền truy cập quản trị không phải bảng điều khiển
➢ 2.4 Duy trì danh mục các thành phần hệ thống nằm trong phạm vi của PCI DSS
Đảm bảo rằng các chính sách bảo mật và quy trình hoạt động liên quan được lập thành văn bản, đang được áp dụng và được thông báo đầy đủ đến tất cả các bên liên quan.
Các nhà cung cấp dịch vụ lưu trữ dùng chung có trách nhiệm bảo vệ môi trường lưu trữ cũng như dữ liệu của chủ thẻ từ mỗi tổ chức Việc bảo vệ dữ liệu của chủ thẻ là một yếu tố quan trọng trong việc đảm bảo an toàn thông tin và xây dựng lòng tin với khách hàng.
Dữ liệu chủ thẻ bao gồm mọi thông tin được in, xử lý, truyền hoặc lưu trữ trên thẻ thanh toán Các tổ chức chấp nhận thẻ thanh toán cần bảo vệ dữ liệu của chủ thẻ và ngăn chặn việc sử dụng trái phép, bất kể dữ liệu đó được in, lưu trữ cục bộ, hay truyền qua mạng nội bộ hoặc công cộng đến máy chủ từ xa hoặc nhà cung cấp dịch vụ.
❖ Yêu cầu 3: Bảo vệ dữ liệu chủ thẻ được lưu trữ
Dữ liệu chủ thẻ chỉ nên được lưu trữ khi thật sự cần thiết cho nhu cầu của doanh nghiệp Không bao giờ được lưu trữ dữ liệu nhạy cảm từ dải từ hoặc chip sau khi đã được cấp phép Nếu tổ chức của bạn lưu trữ số tài khoản chính (PAN), hãy đảm bảo rằng nó được mã hóa để không thể đọc được, theo hướng dẫn trong mục 3.4 và bảng bên dưới.
Giới hạn thời gian lưu trữ dữ liệu của chủ thẻ chỉ ở mức cần thiết cho các mục đích kinh doanh, pháp lý và quy định, theo chính sách lưu giữ dữ liệu đã được thiết lập Cần xóa bỏ dữ liệu không cần thiết ít nhất mỗi quý để đảm bảo an toàn và tuân thủ quy định.
Không lưu trữ dữ liệu xác thực nhạy cảm sau khi hoàn tất quá trình ủy quyền, ngay cả khi dữ liệu đã được mã hóa Tất cả dữ liệu xác thực nhạy cảm phải được xóa hoàn toàn và không thể khôi phục Tuy nhiên, các tổ chức phát hành và các pháp nhân liên quan có thể lưu trữ dữ liệu này nếu có lý do kinh doanh hợp lý và đảm bảo an toàn cho việc lưu trữ.
TUÂN THỦ VỚI PCI DSS
Quy trình tuân thủ PCI DSS
PCI DSS áp dụng cho các người bán và tổ chức lưu trữ, xử lý, hoặc truyền dữ liệu thẻ tín dụng Hội đồng quản lý tiêu chuẩn bảo mật dữ liệu, trong khi các thương hiệu thẻ thanh toán duy trì chương trình tuân thủ riêng Mỗi thương hiệu xác định yêu cầu cụ thể cho việc xác thực và báo cáo tuân thủ, bao gồm tự đánh giá và tham gia QSA khi cần thiết Quy trình tuân thủ thường tuân theo các bước khác nhau tùy thuộc vào phân loại và mức độ rủi ro của đơn vị, được xác định bởi từng thương hiệu thẻ thanh toán.
➢ 1 Phạm vi - xác định các thành phần hệ thống và mạng nào nằm trong phạm vi cho PCI DSS
➢ 2 Đánh giá - kiểm tra sự tuân thủ của các thành phần hệ thống trong phạm vi theo quy trình kiểm tra cho từng yêu cầu PCI DSS
Báo cáo là tài liệu cần thiết do người đánh giá hoặc đơn vị thực hiện, bao gồm Bản câu hỏi tự đánh giá (SAQ) và Báo cáo về sự tuân thủ (ROC), đồng thời cung cấp thông tin chi tiết về tất cả các biện pháp kiểm soát đền bù.
➢ 4 Chứng thực - hoàn thành Chứng nhận Tuân thủ (AOC) thích hợp
Gửi SAQ, ROC, AOC cùng các tài liệu hỗ trợ cần thiết như báo cáo quét ASV cho người mua (đối với người bán) hoặc cho thương hiệu thanh toán/người yêu cầu (đối với nhà cung cấp dịch vụ) là bước quan trọng trong quy trình đảm bảo tuân thủ và bảo mật thông tin.
➢ 6 Khắc phục - nếu được yêu cầu, hãy thực hiện khắc phục để giải quyết các yêu cầu không đúng và cung cấp một báo cáo cập nhật.
Yêu cầu chi tiết
a Chọn một chuyên gia đánh giá bảo mật đủ điều kiện
Chuyên gia đánh giá bảo mật đủ điều kiện (QSA) là những công ty được Hội đồng tiêu chuẩn bảo mật PCI công nhận, có nhiệm vụ thực hiện đánh giá PCI DSS tại chỗ để đảm bảo an toàn dữ liệu.
➢ Xác minh tất cả thông tin kỹ thuật do người bán hoặc nhà cung cấp dịch vụ cung cấp
➢ Sử dụng đánh giá độc lập để xác nhận tiêu chuẩn đã được đáp ứng
➢ Cung cấp hỗ trợ và hướng dẫn trong quá trình tuân thủ
➢ Có mặt tại chỗ trong thời gian đánh giá theo yêu cầu
➢ Tuân thủ các Quy trình Đánh giá Bảo mật PCI DSS
➢ Xác thực phạm vi đánh giá
➢ Đánh giá các biện pháp kiểm soát bù đắp
➢ Tạo báo cáo cuối cùng
Khi chọn QSA, bạn cần đảm bảo họ có hiểu biết sâu sắc về doanh nghiệp của bạn và kinh nghiệm đánh giá tính bảo mật trong các tổ chức tương tự Kiến thức này giúp QSA nắm rõ các lĩnh vực kinh doanh và các khía cạnh cụ thể của việc bảo mật dữ liệu theo PCI DSS Hơn nữa, việc tìm kiếm sự phù hợp với văn hóa công ty cũng rất quan trọng QSA không chỉ đánh giá xem bạn có đáp ứng yêu cầu hay không, mà còn hỗ trợ tổ chức của bạn trong việc hiểu và duy trì sự tuân thủ hàng ngày Nhiều QSA còn cung cấp dịch vụ bổ sung như đánh giá và khắc phục các lỗ hổng bảo mật hiện có.
Nhà cung cấp dịch vụ quét được chấp thuận (ASV) là công ty bảo mật dữ liệu có nhiệm vụ xác định sự tuân thủ yêu cầu quét lỗ hổng bên ngoài theo tiêu chuẩn PCI DSS ASV được Hội đồng Tiêu chuẩn Bảo mật PCI đủ điều kiện thực hiện quét hệ thống và mạng bên ngoài, sử dụng phần mềm tự phát triển hoặc giải pháp thương mại, mã nguồn mở đã được phê duyệt Các giải pháp ASV phải đảm bảo không gây gián đoạn cho hệ thống và dữ liệu của khách hàng, không khởi động lại hệ thống, không can thiệp vào việc định tuyến hay phân giải DNS Cần lưu ý rằng không được cài đặt root-kits hoặc phần mềm khác mà không có sự đồng ý của khách hàng Các thử nghiệm bị cấm bao gồm từ chối dịch vụ, tràn bộ đệm, và các tấn công có thể làm gián đoạn dịch vụ Giải pháp quét ASV bao gồm quy trình và công cụ quét, báo cáo quét và quy trình trao đổi thông tin giữa ASV và khách hàng ASV có thể gửi báo cáo tuân thủ cho tổ chức mua lại thay mặt cho khách hàng nếu được sự đồng ý của cả hai bên.
Bước đầu tiên của PCI DSS là xác định phạm vi môi trường dữ liệu của chủ thẻ, bao gồm tất cả các thành phần hệ thống liên quan Quá trình này yêu cầu nhận diện con người, quy trình và công nghệ xử lý dữ liệu nhạy cảm Các thành phần hệ thống cần được xem xét bao gồm thiết bị mạng (có dây và không dây), máy chủ, thiết bị tính toán và ứng dụng Ngoài ra, các thành phần ảo hóa như máy ảo, bộ chuyển mạch/bộ định tuyến ảo, thiết bị ảo, ứng dụng ảo và bộ siêu giám sát cũng được coi là một phần của hệ thống trong PCI DSS.
Việc xác định phạm vi cho PCI DSS cần được thực hiện ít nhất một lần mỗi năm và trước khi tiến hành đánh giá hàng năm Người bán và các pháp nhân liên quan phải xác định tất cả các vị trí và luồng dữ liệu chủ thẻ, cũng như các hệ thống có thể ảnh hưởng đến CDE, chẳng hạn như máy chủ xác thực Tất cả các loại hệ thống và vị trí, bao gồm cả hệ thống sao lưu, phục hồi và dự phòng, đều cần được xem xét trong quá trình xác định phạm vi.
❖ Các thực thể phải xác nhận tính chính xác của CDE đã xác định bằng cách thực hiện các bước sau:
Xác định và ghi lại toàn bộ dữ liệu chủ thẻ trong môi trường nhằm đảm bảo rằng không có dữ liệu chủ thẻ nào tồn tại bên ngoài môi trường dữ liệu chủ thẻ được xác định hiện tại (CDE).
Sau khi xác định và lập văn bản tất cả các vị trí của dữ liệu chủ thẻ, cần phải xác minh rằng phạm vi PCI DSS là hợp lệ Kết quả của quá trình này có thể bao gồm sơ đồ hoặc bản kiểm kê các vị trí dữ liệu chủ thẻ.
Khi đánh giá PCI DSS, cần xem xét bất kỳ dữ liệu chủ thẻ nào nằm trong phạm vi và phần của CDE Nếu dữ liệu không thuộc CDE, cần thực hiện việc xóa an toàn, di chuyển hoặc hợp nhất dữ liệu vào CDE đã xác định, hoặc điều chỉnh CDE để bao gồm những dữ liệu này.
Để xác định phạm vi PCI DSS, hãy lưu giữ tài liệu chứng minh quy trình này Tài liệu này sẽ được sử dụng cho các đánh giá viên và làm tài liệu tham khảo trong các hoạt động xác nhận phạm vi PCI DSS hàng năm tiếp theo.
Việc sử dụng phân đoạn có thể giúp giảm phạm vi, từ đó cô lập môi trường dữ liệu của chủ thẻ với phần còn lại của mạng Điều này không chỉ giảm chi phí đánh giá PCI DSS mà còn giảm bớt khó khăn trong việc thực hiện và duy trì các kiểm soát PCI DSS, đồng thời giảm rủi ro cho đơn vị Để được coi là ngoài phạm vi đối với PCI DSS, một thành phần hệ thống cần được cách ly khỏi CDE một cách thích hợp, đảm bảo rằng ngay cả khi thành phần đó bị xâm phạm, nó cũng không ảnh hưởng đến bảo mật của CDE Để tìm hiểu thêm về phạm vi, hãy tham khảo phần “Phân đoạn mạng” PCI DSS và Phụ lục D: Phân đoạn và lấy mẫu các cơ sở kinh doanh/thành phần hệ thống.
❖ Lấy mẫu các cơ sở kinh doanh và các thành phần hệ thống
Lấy mẫu là một phương pháp cho người đánh giá trong quá trình đánh giá các thành phần của hệ thống khi số lượng lớn Tuy nhiên, việc chỉ áp dụng yêu cầu PCI DSS cho một mẫu CDE là không chấp nhận được Người đánh giá có thể lựa chọn các mẫu đại diện để đánh giá mức độ tuân thủ của đơn vị với các yêu cầu PCI DSS, nhưng PCI DSS không yêu cầu phải lấy mẫu Việc lấy mẫu không làm giảm phạm vi của môi trường dữ liệu thẻ và không ảnh hưởng đến việc áp dụng các yêu cầu của PCI DSS Nếu được sử dụng, mỗi mẫu cần phải được đánh giá theo tất cả các yêu cầu hiện hành và phải đủ lớn để đảm bảo rằng các biện pháp kiểm soát được thực hiện đúng cách.
Cơ sở Kinh doanh / Thành phần Hệ thống và Phụ lục D: Phân đoạn và Lấy mẫu Cơ sở Kinh doanh / Thành phần Hệ thống
❖ Sử dụng các Nhà cung cấp / Gia công phần mềm bên thứ ba
Nhà cung cấp dịch vụ hoặc người bán có thể hợp tác với bên thứ ba để lưu trữ, xử lý hoặc truyền dữ liệu thẻ tín dụng, đồng thời cần xác định rõ các dịch vụ và thành phần hệ thống trong phạm vi đánh giá PCI DSS hàng năm Các bên liên quan phải làm rõ các yêu cầu PCI DSS cụ thể và trách nhiệm của khách hàng trong đánh giá của họ Nếu bên thứ ba thực hiện đánh giá PCI DSS riêng, họ cần cung cấp chứng cứ đầy đủ để xác minh rằng phạm vi đánh giá của nhà cung cấp dịch vụ bao gồm các dịch vụ liên quan Chứng nhận tuân thủ của nhà cung cấp dịch vụ sẽ tóm tắt các yêu cầu PCI DSS và các dịch vụ đã được đánh giá, có thể được cung cấp cho khách hàng như bằng chứng Tuy nhiên, loại chứng cứ cụ thể phụ thuộc vào thỏa thuận giữa các bên Người bán và nhà cung cấp dịch vụ phải giám sát việc tuân thủ PCI DSS của tất cả các bên thứ ba có quyền truy cập vào dữ liệu thẻ tín dụng.
SAQ là công cụ xác thực giúp thương gia và nhà cung cấp dịch vụ tự đánh giá PCI DSS mà không cần gửi Báo cáo về Tuân thủ (ROC) Công cụ này bao gồm các câu hỏi có hoặc không cho từng yêu cầu PCI DSS hiện hành Nếu câu trả lời là không, tổ chức cần chỉ ra thời gian khắc phục và các hành động liên quan Có nhiều loại SAQ khác nhau phù hợp với các môi trường buôn bán khác nhau Nếu bạn không chắc loại SAQ nào áp dụng cho mình, hãy liên hệ với ngân hàng hoặc thương hiệu thẻ thanh toán để được hỗ trợ.
Báo cáo Đánh giá là cơ chế chính thức giúp người bán và các tổ chức khác báo cáo tình trạng tuân thủ PCI DSS cho các tổ chức tài chính hoặc thương hiệu thẻ thanh toán Tùy theo yêu cầu của thương hiệu thẻ, người bán và nhà cung cấp dịch vụ có thể cần nộp SAQ để tự đánh giá hoặc Báo cáo về sự tuân thủ để thực hiện đánh giá tại chỗ Ngoài ra, việc gửi báo cáo hàng quý để quét mạng cũng có thể là yêu cầu bắt buộc Các thương hiệu thẻ cá nhân có thể yêu cầu nộp thêm tài liệu; vì vậy, người dùng nên tham khảo các trang web của họ để biết thêm thông tin chi tiết.
❖ Thông tin có trong Báo cáo PCI DSS về Tuân thủ
➢ Mẫu cho Báo cáo tuân thủ hàng năm của một tổ chức có sẵn trên Trang web của PCI SSC và bao gồm các nội dung sau:
➢ 1 Thông tin liên hệ và ngày báo cáo
➢ 2 Tóm tắt điều hành (mô tả hoạt động kinh doanh thẻ thanh toán của đơn vị; sơ đồ mạng cấp cao)
Trong phạm vi công việc, chúng tôi đã thực hiện đánh giá toàn diện về môi trường mạng và phương pháp tiếp cận cụ thể, bao gồm việc phân đoạn mạng và lựa chọn bộ mẫu thử nghiệm Đặc biệt, chúng tôi đã xem xét các yêu cầu tuân thủ PCI DSS từ các tổ chức quốc tế cũng như các yếu tố liên quan đến mạng không dây và ứng dụng có thể ảnh hưởng đến bảo mật dữ liệu thẻ tín dụng Đánh giá được thực hiện dựa trên phiên bản PCI DSS hiện hành, đảm bảo tính chính xác và hiệu quả trong việc bảo vệ thông tin nhạy cảm.