Tin Tổng Hợp, Tin Tức

12 yêu cầu bảo mật trong PCI DSS chi tiết

Bộ tiêu chuẩn Bảo mật Dữ liệu ngành thẻ thanh toán (PCI DSS) chính là yêu cầu bắt buộc theo hợp đồng đối với những đơn vị xử lý dữ liệu của chủ thẻ. Dù bạn là doanh nghiệp nhỏ hay tập đoàn thì bạn vẫn cần tuân thủ các yêu cầu trong tiêu chuẩn PCI DSS. Bộ tiêu chuẩn này thường được các công ty thẻ tín dụng có yêu cầu và được thảo luận trong các thỏa thuận mạng lưới tín dụng. Bài viết này SQC Certification sẽ chia sẻ cho bạn về 12 yêu cầu bảo mật trong PCI DSS một cách chi tiết nhất.

Mục lục

Tiêu chuẩn PCI DSS là gì?

PCI DSS là viết tắt của cụm từ Payment Card Industry Data Security Standard dịch ra là Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán. Đây là một tập hợp các quy định được thiết kế để tăng cường tính bảo mật cho các giao dịch sử dụng thẻ thanh toán như thẻ tín dụng, thẻ ghi nợ và tiền mặt, đồng thời bảo vệ thông tin cá nhân của chủ thẻ khỏi việc lạm dụng.

12 yêu cầu của bộ tiêu chuẩn PCI DSS
12 yêu cầu của bộ tiêu chuẩn PCI DSS

Hội đồng Tiêu chuẩn PCI (SSC) chịu trách nhiệm phát triển các tiêu chuẩn tuân thủ PCI. Mục đích của SSC là giúp bảo mật và bảo vệ toàn bộ hệ sinh thái thẻ thanh toán. Các tiêu chuẩn này áp dụng cho các đơn vị chấp nhận thẻ, nhà cung cấp dịch vụ xử lý giao dịch thanh toán bằng thẻ tín dụng/thẻ ghi nợ.

Tiêu chuẩn PCI DSS giúp đảm bảo tính bảo mật của các dữ liệu trong thẻ thanh toán khi được lưu trong các ngân hàng hoặc các tổ chức có hỗ trợ thanh toán điện tử. PCI DSS được áp dụng trong phạm vi toàn cầu. Để có được chứng chỉ này, các doanh nghiệp cần phải đáp ứng được chất lượng cơ sở hạ tầng và cần được kiểm tra liên tục hàng tháng.

Tuân thủ PCI là gì?

Bộ tiêu chuẩn PCI DSS có đưa ra những yêu cầu bắt buộc cho các công ty thẻ tín dụng đảm bảo an ninh cho các giao dịch thẻ tín dụng. Trong ngành thanh toán. Việc tuân thủ ngành thẻ thanh toán này có đề cập đến các tiêu chuẩn kỹ thuật và vận hành mà doanh nghiệp tuân thủ để bảo mật dữ liệu thẻ tín dụng. Các tiêu chuẩn PCI về tuân thủ được phát triển và quản lý bởi Hội đồng Tiêu chuẩn Bảo mật PCI .

12 yêu cầu của PCI DSS

Tâm điểm của bộ tiêu chuẩn PCI DSS chính là việc đưa ra 12 yêu cầu do PCI DSS đặt ra các yêu cầu mang tính kỹ thuật và trọng tâm của các quy tắc này luôn được bảo vệ dữ liệu của chủ thẻ. 12 yêu cầu của PCI DSS cụ thể như sau:

  1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
  2. Không sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các tham số bảo mật khác
  3. Bảo vệ dữ liệu chủ thẻ đã lưu trữ
  4. Mã hóa việc truyền dữ liệu chủ thẻ qua các mạng công cộng mở
  5. Sử dụng và cập nhật thường xuyên phần mềm hoặc chương trình chống vi-rút
  6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
  7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nhu cầu kinh doanh
  8. Chỉ định một ID duy nhất cho mỗi người có quyền truy cập máy tính
  9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
  10. Theo dõi và giám sát mọi quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ
  11. Kiểm tra thường xuyên các hệ thống và quy trình bảo mật
  12. Duy trì chính sách giải quyết vấn đề bảo mật thông tin cho tất cả nhân viên

Có thể thấy được là các yêu cầu của bộ tiêu chuẩn PCI DSS chính là một tập hợp của tất cả các biện pháp nhằm kiểm soát tốt việc bảo mật mà các doanh nghiệp cần phải tiến hành thực hiện nhằm bảo vệ dữ liệu thẻ tín dụng cũng như tuân thủ tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS).

Yêu cầu 1 của PCI DSS: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ

Yêu cầu đầu tiên này tiêu chuẩn yêu cầu các nhà cung cấp dịch vụ cũng như đơn vị chấp nhận thẻ cần phải duy trì một mạng lưới an toàn thông qua việc cấu hình tường lừa và có bộ định tuyến (nếu có) phù hợp. Bộ tường lửa cũng sẽ được cấu hình hình dung ra cách bảo vệ môi trường và hệ thống dữ liệu thẻ của bạn. Tường lửa hạn chế lưu lượng mạng đến và đi thông qua các quy tắc và tiêu chí do tổ chức của bạn thiết lập.

Việc cài đặt tường lửa chính là việc cung cấp một lớp bảo vệ đầu tiên cho mạng của bạn. Các tổ chức của bạn cũng cần thiết kế tường lửa và tiêu chuẩn bộ định tuyến giúp cho phép quy trình chuẩn hóa việc từ chối các quy tắc truy cập vào mạng. Với những quy tắc cấu hình trên nên được xem xét hai lần một năm cũng như cần phải đảm bảo không có quy tắc truy cập không an toàn nào có thể cho phép truy cập vào một môi trường dữ liệu thẻ.

12 yêu cầu của bộ tiêu chuẩn PCI DSS

Yêu cầu 2 của PCI DSS: Không sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các tham số bảo mật khác

Yêu cầu thứ 2 của bộ tiêu chuẩn này chính là việc tập trung vào củng cố các hệ thống của tổ chức bạn như máy chủ, các thiết bị mạng, các ứng dụng, tường lửa cho đến các điểm truy cập không dây. Hầu hết các hệ thống điều hành này đều sẽ cần thiết để có cài đặt mặc định của nhà sản xuất như tên người dùng, mật khẩu, các thông số về cấu hình không an toàn khác.

Mật khẩu mặc định và các thông số bảo mật khác không được phép theo yêu cầu này. Yêu cầu này cũng yêu cầu duy trì danh mục tất cả các hệ thống, quy trình cấu hình/củng cố. Các quy trình này cần được tuân thủ mỗi khi triển khai một hệ thống mới vào cơ sở hạ tầng CNTT.

Yêu cầu 3 của PCI DSS: Bảo vệ dữ liệu chủ thẻ được lưu trữ

Yêu cầu thứ 3 chính là yêu cầu quan trọng nhất trong bộ tiêu chuẩn PCI DSS. Theo yêu cầu này, tổ chức của bạn cần nắm rõ các dữ liệu sẽ lưu tữ cùng với vị trí và thời gian lưu trữ tại đó. Tất cả các dữ liệu chủ thể này cũng sẽ được mã hóa bằng các thuật toán được ngành công nghiệp chấp nhận (ví dụ: AES-256, RSA 2048), được cắt ngắn, mã hóa hoặc băm (ví dụ: SHA 256, PBKDF2). Cùng với việc mã hóa dữ liệu thẻ, yêu cầu này cũng đề cập đến quy trình quản lý khóa mã hóa PCI DSS mạnh mẽ .

Với nhiều khi các nhà cung cấp dịch vụ hoặc các đơn vị bán hàng không biết rằng họ đang có những lưu trữ số tài khoản chính (PAN) chưa được mã hóa. Chính vì thế mà việc sử dụng một công cụ như phát hiện dữ liệu thẻ trở nên quan trọng. Bạn có thể sẽ thấy rằng hệ thống dữ liệu thẻ đó thường sẽ được lưu trữ trong các tệp nhật ký, cơ sở dữ liệu cũng như bảng tính vv.

Yêu cầu 4 của PCI DSS: Mã hóa việc truyền dữ liệu chủ thẻ qua các mạng công cộng, mở

Trong yêu cầu 4 này tổ chức của bạn cần phải bảo mật hệ thống dữ liệu thẻ khi truyền qua mạng mở hoặc các công cụ công cộng như Internet, 802.11, Bluetooth, GSM, CDMA, GPRS

Một lưu ý chính là hiện nay tội phạm mạng có khả năng truy cập vào hệ thống dữ liệu thẻ khi hệ thống này được truyền qua mạng công cộng. Với việc mã hóa dữ liệu chủ thẻ trước khi truyền bằng phiên bản bảo mật của các giao thức truyền tải như TLS, SSH, v.v. có thể hạn chế khả năng dữ liệu bị xâm phạm.

12 yêu cầu của bộ tiêu chuẩn PCI DSS

Yêu cầu số 5 của PCI DSS: Sử dụng và cập nhật thường xuyên phần mềm hoặc chương trình chống vi-rút

Yêu cầu số 5 này có tập trung vào việc bảo vệ cũng như chống lại tất cả các loại phần mềm độc hại có thể ảnh hưởng tới hệ thống. Với tất cả các hệ thống này có bao gồm các trạm, máy tính xách tay cũng như các thiết bị di động mà nhân viên có thể được sử dụng để truy cập vào hệ thống cả cục bộ lẫn từ xa.

Bạn cần đảm bảo các chương trình chống vi-rút hoặc phần mềm độc hại được cập nhật thường xuyên để phát hiện các phần mềm độc hại đã biết. Việc duy trì một chương trình chống phần mềm độc hại được cập nhật sẽ ngăn chặn các phần mềm độc hại đã biết lây nhiễm vào hệ thống.

Đảm bảo rằng cơ chế chống vi-rút luôn hoạt động, sử dụng chữ ký mới nhất và tạo nhật ký có thể kiểm tra được.

Yêu cầu 6 của PCI DSS: Phát triển và duy trì các hệ thống và ứng dụng an toàn

Điều quan trọng nhất chính là bạn cần phải xác định được chính xác quy trình cho phép bạn nhận diện và phân loại tốt các rủi ro lỗ hổng bảo mật trong môi trường PCI DSS thông qua các nguồn bên ngoài đáng tin cậy. Các tổ chức phải hạn chế nguy cơ bị khai thác bằng cách triển khai các bản vá lỗi quan trọng một cách kịp thời. Vá tất cả các hệ thống trong môi trường dữ liệu thẻ, bao gồm:

  • Hệ điều hành
  • Tường lửa, Bộ định tuyến, Bộ chuyển mạch
  • Phần mềm ứng dụng
  • Cơ sở dữ liệu
  • Máy POS

Ngoài ra, bạn phải xác định và triển khai một quy trình phát triển bao gồm các yêu cầu bảo mật trong mọi giai đoạn phát triển.

Yêu cầu số 7 của PCI DSS: Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nhu cầu kinh doanh

Để triển khai các biện pháp kiểm soát truy cập mạnh mẽ, nhà cung cấp dịch vụ và đơn vị chấp nhận thẻ phải có khả năng cho phép hoặc từ chối quyền truy cập vào hệ thống dữ liệu chủ thẻ. Yêu cầu này liên quan đến kiểm soát truy cập dựa trên vai trò (RBAC), cho phép truy cập vào dữ liệu thẻ và hệ thống khi cần thiết.

Có thể thấy được hệ thống kiểm soát sự truy cập cần phải đánh giá từng yêu cầu để giúp ngăn chặn việc dữ liệu của bạn nhạy cảm có thể bị lộ cho những người không cần thông tin này. Bạn cũng cần phải có danh sách ghi chép lại tất cả những người dùng vói vai trò của họ cần truy cập vào môi trường dữ liệu thẻ. Danh sách này phải bao gồm từng vai trò, định nghĩa vai trò, cấp độ quyền hiện tại, cấp độ quyền dự kiến và tài nguyên dữ liệu cho mỗi người dùng để thực hiện các thao tác trên dữ liệu

Yêu cầu số 8 của PCI DSS: Chỉ định một ID duy nhất cho mỗi người có quyền truy cập máy tính

Trong yêu cầu 8 này không được sử dụng chung một mật khẩu. Với mỗi người dùng sẽ được ủy quyền sẽ tiến hành dùng mã định danh duy nhất cũng như mật khẩu cần phải đủ phức tạp. Đây là điều giúp đảm bảo rằng bất cứ khi nào có ai đó truy cập vào hệ thống dữ liệu chủ thẻ này thì hoạt động đó có thể được truy xuất đến một người dùng đã biết và có thể duy trì được trách nhiệm giải trình. Hơn thế nữa việc truy cập quyền quản trị không thông qua bảng điều khiển (truy cập từ xa), cần phải được xác thực bởi 2 yếu tố đó.

Yêu cầu số 9 của PCI DSS: Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ

Yêu cầu số 9 này có đưa ra những yêu cầu bảo vệ quyền truy cập vật lý vào các hệ thống chứa dữ liệu chủ thẻ. Tổ chức của bạn cần phải có biện pháp kiểm soát việc truy cập vật lý với những người không được ủy quyền có thể xâm nhập vào hệ thống để đánh cắp và vô hiệu quá đồng thời làm gián đoạn hoặc phá hủy các hệ thống quan trọng và dữ liệu chủ thẻ.

Để làm được điều này tổ chức của bạn cần đưa ra những yêu cầu sử dụng camera video/ kiểm soát việc truy cập điện tử để có thể giám sát cửa ra vào tại các điểm vật lý như trung tâm dữ liệu. Các bản ghi hoặc nhật ký truy cập về hoạt động của nhân viên phải được lưu trữ tối thiểu 90 ngày. Bạn cần triển khai quy trình truy cập cho phép phân biệt giữa khách được ủy quyền và nhân viên. Tất cả các phương tiện lưu trữ di động hoặc lưu động chứa dữ liệu chủ thẻ phải được bảo vệ vật lý. Cần phải hủy tất cả các phương tiện lưu trữ khi doanh nghiệp không còn nhu cầu sử dụng.

Yêu cầu 10 của PCI DSS: Theo dõi và giám sát mọi quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ

Với các lỗ hổng trong mạng vật lý hay mạng không dây này có thể khiến cho tội phạm mạng dễ bị đánh cắp dữ liệu thẻ hơn. Với những yêu cầu này có yêu cầu tất cả các hệ thống của bạn cần phải thiết lập các chính sách đánh giá chính xác cũng như gửi nhật kí về máy chủ tập trung. Các nhật ký này phải được xem xét ít nhất hàng ngày để tìm kiếm các bất thường và hoạt động đáng ngờ.

Bộ công cụ giám sát sự kiện cũng như thông tin bảo mật SIEM này có thể giúp bạn ghi lại được các hoạt động của hệ thống và mạng. Bạn cũng cần phải theo dõi bộ nhật ký và cảnh báo tốt các hoạt động một cách đáng ngờ. PCI DSS cũng yêu cầu hồ sơ theo dõi kiểm toán phải đáp ứng một tiêu chuẩn nhất định về thông tin chứa trong đó. Đồng bộ hóa thời gian là bắt buộc. Dữ liệu kiểm toán phải được bảo mật và dữ liệu đó phải được lưu giữ trong thời gian không dưới một năm.

12 yêu cầu của bộ tiêu chuẩn PCI DSS

Yêu cầu 11 của PCI DSS: Kiểm tra thường xuyên các hệ thống và quy trình bảo mật

Những yêu cầu 11 này mang tính duy trì cải tiến và phòng ngừa. Tổ chức của bạn cần phải thường xuyên kiểm tra đảm bảo duy trì tính bảo mật hệ thống để phòng tránh những rủi ro cá nhân và tổ chức xấu phát hiện ra các lỗ hổng bảo mật. Do đó, tất cả các hệ thống và quy trình phải được kiểm tra thường xuyên để đảm bảo duy trì tính bảo mật.

Các hoạt động định kỳ sau đây là bắt buộc:

  1. Tổ chức của bạn cần tiến hành quét cũng như phân tích không dây để phát hiện và xác định tất cả các điểm truy cập không dây được phép và không được phép theo quý.
  2. Tất cả các IP và tên miền bên ngoài được hiển thị trong CDE đều phải được Nhà cung cấp dịch vụ quét được PCI phê duyệt ( ASV ) quét ít nhất mỗi quý.
  3. Quét lỗ hổng nội bộ phải được thực hiện ít nhất mỗi quý.
  4. Tất cả các dải IP và tên miền bên ngoài phải trải qua thử nghiệm thâm nhập ứng dụng và thử nghiệm thâm nhập mạng toàn diện ít nhất mỗi năm một lần hoặc sau bất kỳ thay đổi đáng kể nào.

Việc giám sát tệp cũng là điều cần thiết. Hệ thống nên thực hiện so sánh tệp hàng tuần để phát hiện những thay đổi có thể đã bị bỏ qua.

Yêu cầu 12 của PCI DSS: Duy trì chính sách giải quyết vấn đề bảo mật thông tin cho tất cả nhân viên

Trong yêu cầu cuối cùng này về việc bảo mật và tuân thủ PCI DSS thì cần được dành riêng cho các mục tiêu cốt lõi của PCI DSS trong việc triển khai cũng như duy trì tốt các chính sách bảo mật thông tin cho tất cả các nhân viên và các bên có liên quan khác. Chính sách bảo mật thông tin phải được xem xét và phổ biến ít nhất mỗi năm một lần cho tất cả nhân viên, nhà cung cấp/nhà thầu. Người dùng phải đọc kỹ chính sách và xác nhận.

Yêu cầu này cũng yêu cầu bạn phải thực hiện:

  1. Đánh giá rủi ro chính thức hàng năm nhằm xác định các tài sản, mối đe dọa và lỗ hổng quan trọng.
  2. Đào tạo nhận thức của người dùng
  3. Kiểm tra lý lịch nhân viên
  4. Quản lý sự cố

Tất cả các yêu cầu này đều được QSA xem xét và xác minh rằng chúng được thực hiện đầy đủ.

Việc tuân thủ PCI DSS không hề dễ dàng, ngay cả với những công ty có ý định tốt nhất. Mặc dù khó duy trì, nhưng lợi ích mà nó mang lại là rất xứng đáng. Bất chấp những khó khăn, các công ty nên nỗ lực tuân thủ chứng nhận PCI DSS, bởi vì việc không tuân thủ có thể gây ra những hậu quả nghiêm trọng.

Hãy để SQC Certification Vietnam giúp doanh nghiệp bạn chạm tới những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !