Chưa được phân loại, Tin Tổng Hợp

12 yêu cầu bảo mật trong PCI DSS chi tiết

PCI DSS (Payment Card Industry Data Security Standard) là bộ tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán, áp dụng bắt buộc đối với mọi tổ chức có hoạt động lưu trữ, xử lý hoặc truyền tải dữ liệu chủ thẻ. Dù là doanh nghiệp nhỏ hay tập đoàn lớn, nếu tham gia vào chuỗi thanh toán thẻ, bạn đều phải đáp ứng các yêu cầu của tiêu chuẩn này. Trong bài viết này, SQC Certification sẽ chia sẻ chi tiết về 12 yêu cầu bảo mật cốt lõi của PCI DSS để giúp doanh nghiệp hiểu rõ và triển khai hiệu quả.

Tiêu chuẩn PCI DSS là gì?

PCI DSS là viết tắt của Payment Card Industry Data Security Standard, được dịch là Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán. Đây là bộ tiêu chuẩn gồm các yêu cầu kỹ thuật và quản lý nhằm tăng cường bảo mật cho các giao dịch sử dụng thẻ thanh toán như thẻ tín dụng và thẻ ghi nợ, đồng thời bảo vệ dữ liệu chủ thẻ khỏi nguy cơ truy cập, sử dụng hoặc đánh cắp trái phép. Tiêu chuẩn này được xây dựng và quản lý bởi PCI Security Standards Council.

12 yêu cầu của PCI DSS tiêu chuẩn
12 yêu cầu của PCI DSS tiêu chuẩn

Hội đồng Tiêu chuẩn Bảo mật PCI – PCI Security Standards Council – chịu trách nhiệm xây dựng, cập nhật và duy trì các tiêu chuẩn bảo mật trong ngành thẻ thanh toán, bao gồm PCI DSS. Mục tiêu của tổ chức này là tăng cường an ninh và bảo vệ toàn bộ hệ sinh thái thanh toán thẻ trên toàn cầu.

Tiêu chuẩn PCI DSS áp dụng cho các đơn vị chấp nhận thẻ (merchant) và các nhà cung cấp dịch vụ có hoạt động lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ tín dụng/thẻ ghi nợ. Bộ tiêu chuẩn này giúp đảm bảo dữ liệu chủ thẻ được bảo vệ an toàn trong suốt quá trình giao dịch và trong môi trường hệ thống của doanh nghiệp.

Việc tuân thủ PCI DSS được thực hiện theo phạm vi áp dụng cụ thể (scope). Để chứng minh sự tuân thủ, doanh nghiệp phải đáp ứng đầy đủ yêu cầu về hạ tầng bảo mật, đồng thời thực hiện kiểm tra, giám sát và đánh giá định kỳ theo quy định.

Tuân thủ PCI là gì?

Bộ tiêu chuẩn PCI DSS đưa ra những yêu cầu bắt buộc cho các thẻ tín dụng đảm bảo an ninh cho các thẻ tín dụng giao dịch. Trong thanh toán chuyên ngành. Việc làm thủ công ngành thẻ thanh toán này có đề cập đến các tiêu chuẩn kỹ thuật và vận hành mà doanh nghiệp dày dặn để bảo mật thẻ tín dụng dữ liệu. Các tiêu chuẩn PCI về Xu thủ công được phát triển và quản lý bởi Hội đồng Tiêu chuẩn Bảo mật PCI .

12 yêu cầu của PCI DSS

Trọng tâm của tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard) là 12 yêu cầu bảo mật cốt lõi, bao gồm cả yếu tố kỹ thuật và quản lý, nhằm bảo vệ dữ liệu chủ thẻ trong suốt quá trình lưu trữ, xử lý và truyền tải. Bộ tiêu chuẩn này được ban hành và quản lý bởi PCI Security Standards Council.

Cụ thể, 12 yêu cầu của PCI DSS bao gồm:

  1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ.
  2. Không sử dụng mật khẩu mặc định và các thông số bảo mật mặc định do nhà cung cấp thiết lập.
  3. Bảo vệ dữ liệu chủ thẻ khi lưu trữ.
  4. Mã hóa việc truyền dữ liệu chủ thẻ qua các mạng công cộng, mở.
  5. Sử dụng và thường xuyên cập nhật phần mềm chống mã độc.
  6. Phát triển và duy trì hệ thống, ứng dụng an toàn.
  7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nguyên tắc “cần biết” (need-to-know).
  8. Gán ID duy nhất cho mỗi cá nhân có quyền truy cập hệ thống.
  9. Hạn chế truy cập vật lý vào dữ liệu chủ thẻ.
  10. Theo dõi và giám sát mọi hoạt động truy cập vào tài nguyên mạng và dữ liệu chủ thẻ.
  11. Thường xuyên kiểm tra, đánh giá hệ thống và quy trình bảo mật.
  12. Duy trì chính sách an ninh thông tin áp dụng cho toàn bộ nhân viên.

Việc đáp ứng đầy đủ 12 yêu cầu này là nền tảng để doanh nghiệp đảm bảo tuân thủ PCI DSS và bảo vệ an toàn thông tin thanh toán.

Video chi tiết về 12 yêu cầu của PCI DSS

Chi tiết 12 yêu cầu của PCI DSS cho doanh nghiệp

Có thể thấy, các yêu cầu của tiêu chuẩn PCI DSS là tập hợp những biện pháp kiểm soát bảo mật toàn diện mà doanh nghiệp phải triển khai nhằm bảo vệ dữ liệu chủ thẻ và đảm bảo tuân thủ tiêu chuẩn bảo mật ngành thẻ thanh toán do PCI SSC ban hành.

Yêu cầu 1 của PCI DSS: Cài đặt và duy trì cấu hình tường lửa để bảo vệ chủ thẻ

Yêu cầu đầu tiên của PCI DSS quy định các đơn vị chấp nhận thẻ và nhà cung cấp dịch vụ phải xây dựng và duy trì một môi trường mạng an toàn. Điều này bao gồm việc triển khai tường lửa và (nếu có) bộ định tuyến được cấu hình phù hợp để bảo vệ môi trường dữ liệu chủ thẻ (Cardholder Data Environment – CDE).

Tường lửa đóng vai trò là lớp bảo vệ đầu tiên, kiểm soát và giới hạn lưu lượng mạng ra vào hệ thống theo các quy tắc được thiết lập. Doanh nghiệp cần xây dựng tiêu chuẩn cấu hình tường lửa rõ ràng, chỉ cho phép các truy cập hợp lệ và từ chối mọi truy cập không cần thiết. Các quy tắc này phải được rà soát định kỳ, tối thiểu 6 tháng một lần, nhằm đảm bảo không tồn tại cấu hình có thể làm lộ dữ liệu thẻ.

12 yêu cầu của PCI DSS tiêu chuẩn

Yêu cầu 2: Không sử dụng mật khẩu và thông số bảo mật mặc định của nhà cung cấp

Yêu cầu thứ hai tập trung vào việc tăng cường bảo mật hệ thống bằng cách loại bỏ các cấu hình mặc định do nhà sản xuất thiết lập. Điều này áp dụng cho máy chủ, thiết bị mạng, ứng dụng, tường lửa và các điểm truy cập không dây.

Doanh nghiệp phải thay đổi toàn bộ mật khẩu mặc định, tên người dùng mặc định và các thông số cấu hình bảo mật ban đầu trước khi đưa hệ thống vào vận hành. Đồng thời, tổ chức cần xây dựng và duy trì danh mục hệ thống cùng tiêu chuẩn cấu hình an toàn (secure configuration standards). Quy trình này cần được áp dụng mỗi khi triển khai hoặc nâng cấp hạ tầng CNTT, nhằm đảm bảo môi trường luôn được bảo mật ngay từ đầu.

Yêu cầu 3: Bảo vệ dữ liệu chủ thẻ khi lưu trữ

Yêu cầu 3 của PCI DSS tập trung vào việc bảo vệ dữ liệu chủ thẻ được lưu trữ trong hệ thống. Theo yêu cầu này, doanh nghiệp phải xác định rõ loại dữ liệu đang được lưu giữ, vị trí lưu trữ và thời gian lưu trữ phù hợp với mục đích kinh doanh hợp pháp.

Dữ liệu nhạy cảm, đặc biệt là số tài khoản chính (PAN – Primary Account Number), phải được bảo vệ bằng các phương pháp mã hóa hoặc che giấu phù hợp. Các thuật toán được chấp nhận trong ngành bao gồm AES-256, RSA 2048, SHA-256, PBKDF2… Ngoài ra, tiêu chuẩn cũng yêu cầu doanh nghiệp triển khai quy trình quản lý khóa mã hóa chặt chẽ nhằm đảm bảo khóa được tạo, lưu trữ, phân phối và thay đổi một cách an toàn.

Trên thực tế, nhiều doanh nghiệp không nhận ra rằng họ đang lưu trữ dữ liệu PAN chưa được mã hóa trong các tệp nhật ký (log), cơ sở dữ liệu, báo cáo hoặc bảng tính. Vì vậy, việc sử dụng các công cụ phát hiện dữ liệu thẻ (card data discovery tools) là cần thiết để rà soát và loại bỏ các rủi ro tiềm ẩn, đảm bảo môi trường dữ liệu luôn tuân thủ yêu cầu của Tổ chức PCI SSC.

>>> Dịch vụ tư vấn, đánh giá và cấp chứng chỉ PCI DSS

Yêu cầu 4: Mã hóa việc truyền dữ liệu chủ thẻ qua các mạng công cộng

Yêu cầu 4 của PCI DSS quy định doanh nghiệp phải bảo vệ dữ liệu chủ thẻ khi truyền qua các mạng công cộng hoặc mạng mở như Internet, Wi-Fi (802.11), Bluetooth, GSM, CDMA, GPRS

Dữ liệu thẻ khi truyền qua môi trường công cộng có nguy cơ bị chặn bắt hoặc đánh cắp bởi tội phạm mạng. Vì vậy, doanh nghiệp bắt buộc phải mã hóa dữ liệu trước khi truyền bằng các giao thức bảo mật mạnh như TLS, SSH hoặc các chuẩn mã hóa được chấp nhận trong ngành. Việc sử dụng giao thức truyền tải an toàn giúp giảm thiểu nguy cơ rò rỉ hoặc xâm phạm dữ liệu.

12 yêu cầu của PCI DSS tiêu chuẩn

Yêu cầu 5: Sử dụng và thường xuyên cập nhật phần mềm chống mã độc

Yêu cầu 5 tập trung vào việc bảo vệ hệ thống trước các loại phần mềm độc hại (malware). Tất cả các hệ thống có thể bị ảnh hưởng bởi mã độc – bao gồm máy trạm, máy chủ, máy tính xách tay và thiết bị di động có truy cập vào môi trường dữ liệu thẻ – đều phải được cài đặt giải pháp chống mã độc phù hợp.

Doanh nghiệp cần đảm bảo:

  • Phần mềm chống mã độc được cập nhật thường xuyên với cơ sở dữ liệu nhận diện mới nhất
  • Cơ chế quét và bảo vệ theo thời gian thực luôn được kích hoạt
  • Nhật ký hoạt động được ghi lại và có thể kiểm tra

Việc duy trì giải pháp chống mã độc hiệu quả giúp ngăn chặn các mối đe dọa đã biết và giảm thiểu nguy cơ xâm nhập hệ thống.

Yêu cầu 6: Phát triển và duy trì hệ thống, ứng dụng an toàn

Yêu cầu 6 nhấn mạnh việc quản lý lỗ hổng bảo mật và phát triển phần mềm an toàn. Doanh nghiệp phải xây dựng quy trình xác định, đánh giá và phân loại rủi ro bảo mật dựa trên các nguồn thông tin đáng tin cậy.

Các bản vá bảo mật quan trọng phải được triển khai kịp thời cho toàn bộ hệ thống trong môi trường dữ liệu thẻ, bao gồm:

  • Hệ điều hành
  • Tường lửa, bộ định tuyến, bộ chuyển mạch
  • Phần mềm ứng dụng
  • Cơ sở dữ liệu
  • Thiết bị POS (Point of Sale)

Ngoài ra, tổ chức cần tích hợp yêu cầu bảo mật vào toàn bộ vòng đời phát triển phần mềm (SDLC), đảm bảo an ninh được xem xét ngay từ giai đoạn thiết kế đến khi triển khai và vận hành.

Yêu cầu số 7 của PCI DSS: Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nhu cầu kinh doanh

Yêu cầu 7 của PCI DSS có đưa ra các quy định doanh nghiệp phải giới hạn quyền truy cập vào dữ liệu chủ thẻ theo nguyên tắc “cần biết” (need-to-know). Điều này có nghĩa là chỉ những cá nhân thực sự cần truy cập để phục vụ công việc mới được cấp quyền tương ứng.

Để đáp ứng yêu cầu này, doanh nghiệp cần triển khai cơ chế kiểm soát truy cập dựa trên vai trò (RBAC – Role-Based Access Control), cho phép hoặc từ chối truy cập vào hệ thống và dữ liệu thẻ tùy theo chức năng công việc của từng người dùng.

Hệ thống kiểm soát truy cập phải được thiết kế chặt chẽ nhằm ngăn chặn việc lộ lọt dữ liệu nhạy cảm cho những cá nhân không có thẩm quyền. Đồng thời, doanh nghiệp cần duy trì danh sách quản lý người dùng và vai trò, bao gồm:

  • Tên người dùng
  • Vai trò được phân công
  • Mô tả và định nghĩa vai trò
  • Mức quyền truy cập hiện tại
  • Phạm vi tài nguyên được phép truy cập

Việc quản lý và rà soát định kỳ các quyền truy cập là yếu tố quan trọng giúp bảo vệ môi trường dữ liệu chủ thẻ và đảm bảo tuân thủ yêu cầu của PCI SSC

>>> Làm thế nào để tích hợp PCI DSS với các tiêu chuẩn khác như ISO 27001, GDPR?

Yêu cầu 8: Gán ID duy nhất cho mỗi cá nhân có quyền truy cập hệ thống

Yêu cầu 8 của tiêu chuẩn PCI DSS có đưa ra những quy định mỗi người dùng phải được cấp một mã định danh (ID) duy nhất; tuyệt đối không sử dụng tài khoản hoặc mật khẩu dùng chung.

Mỗi tài khoản truy cập phải đi kèm với mật khẩu đủ mạnh theo chính sách bảo mật. Việc sử dụng ID riêng biệt giúp đảm bảo mọi hoạt động truy cập vào môi trường dữ liệu chủ thẻ đều có thể truy vết đến một cá nhân cụ thể, từ đó tăng cường trách nhiệm giải trình. Đối với quyền truy cập quản trị hoặc truy cập từ xa vào hệ thống, doanh nghiệp bắt buộc phải triển khai xác thực đa yếu tố (Multi-Factor Authentication – MFA) nhằm tăng cường bảo mật.

Yêu cầu số 9 của PCI DSS: Hạn chế truy cập vật lý vào dữ liệu chủ thẻ

Yêu cầu 9 tập trung vào việc kiểm soát truy cập vật lý đối với các hệ thống và khu vực lưu trữ dữ liệu chủ thẻ. Doanh nghiệp phải triển khai các biện pháp nhằm ngăn chặn người không được ủy quyền tiếp cận, đánh cắp hoặc phá hoại hệ thống và dữ liệu nhạy cảm.

Các biện pháp có thể bao gồm:

  • Kiểm soát ra vào bằng thẻ từ hoặc hệ thống điện tử
  • Giám sát bằng camera tại các khu vực quan trọng như trung tâm dữ liệu
  • Lưu trữ nhật ký truy cập tối thiểu 90 ngày
  • Phân biệt rõ quy trình cấp quyền cho nhân viên và khách đến làm việc
  • Bảo vệ vật lý các thiết bị và phương tiện lưu trữ chứa dữ liệu chủ thẻ
  • Hủy bỏ an toàn các phương tiện lưu trữ khi không còn sử dụng

Việc kiểm soát chặt chẽ truy cập vật lý giúp giảm thiểu rủi ro xâm nhập trái phép từ bên trong và bên ngoài tổ chức.

Yêu cầu 10 của PCI DSS: Theo dõi và giám sát mọi truy cập vào tài nguyên mạng và dữ liệu chủ thẻ

Yêu cầu 10 yêu cầu doanh nghiệp phải ghi nhận và giám sát toàn bộ hoạt động truy cập vào hệ thống mạng và môi trường dữ liệu chủ thẻ. Điều này giúp phát hiện kịp thời các hành vi bất thường hoặc dấu hiệu xâm nhập.

Doanh nghiệp cần:

  • Thiết lập cơ chế ghi nhật ký (logging) trên tất cả các hệ thống liên quan
  • Tập trung nhật ký về máy chủ quản lý log hoặc hệ thống SIEM
  • Rà soát nhật ký tối thiểu hàng ngày để phát hiện bất thường
  • Đồng bộ hóa thời gian trên các hệ thống (time synchronization)
  • Bảo vệ tính toàn vẹn của dữ liệu nhật ký
  • Lưu trữ log tối thiểu 1 năm theo yêu cầu

Việc triển khai công cụ giám sát và phân tích sự kiện bảo mật (ví dụ: SIEM) giúp tổ chức nhanh chóng phát hiện, điều tra và xử lý sự cố an ninh, đảm bảo tuân thủ yêu cầu của PCI SSC.

12 yêu cầu của PCI DSS tiêu chuẩn

Yêu cầu 11 của PCI DSS: Kiểm tra và thử nghiệm thường xuyên hệ thống, quy trình bảo mật

Yêu cầu 11 của PCI DSS tập trung vào việc duy trì và cải tiến liên tục mức độ an ninh thông tin. Doanh nghiệp phải thường xuyên kiểm tra, đánh giá hệ thống và quy trình bảo mật nhằm phát hiện kịp thời các lỗ hổng, điểm yếu và nguy cơ tiềm ẩn trước khi bị khai thác.

Các hoạt động bắt buộc bao gồm:

  • Quét phát hiện điểm truy cập không dây trái phép (Wireless Scanning): Thực hiện tối thiểu hàng quý để xác định các thiết bị hoặc mạng không được ủy quyền.
  • Quét lỗ hổng bên ngoài (External Vulnerability Scanning): Tất cả IP và tên miền công khai thuộc phạm vi môi trường dữ liệu chủ thẻ (CDE) phải được quét ít nhất mỗi quý bởi Nhà cung cấp dịch vụ quét được phê duyệt (ASV).
  • Quét lỗ hổng nội bộ (Internal Vulnerability Scanning): Thực hiện tối thiểu hàng quý.
  • Kiểm thử xâm nhập (Penetration Testing): Thực hiện ít nhất mỗi năm một lần và sau bất kỳ thay đổi đáng kể nào đối với hệ thống hoặc hạ tầng.
  • Giám sát tính toàn vẹn tệp tin (File Integrity Monitoring – FIM): So sánh và phát hiện thay đổi trái phép trên các tệp quan trọng, tối thiểu hàng tuần.

Việc kiểm tra định kỳ giúp đảm bảo hệ thống luôn duy trì trạng thái an toàn và phù hợp với yêu cầu của tổ chức PCI SSC

Yêu cầu 12 của PCI DSS: Duy trì chính sách an ninh thông tin cho toàn bộ nhân sự

Yêu cầu 12 nhấn mạnh vai trò của quản trị và chính sách bảo mật trong tổ chức. Doanh nghiệp phải xây dựng, triển khai và duy trì chính sách an ninh thông tin áp dụng cho tất cả nhân viên, nhà cung cấp và các bên liên quan.

Chính sách bảo mật phải:

  • Được xem xét, cập nhật tối thiểu mỗi năm một lần
  • Được phổ biến rộng rãi đến toàn bộ nhân sự và các bên liên quan
  • Yêu cầu người dùng đọc, hiểu và xác nhận tuân thủ

Ngoài ra, tổ chức cần triển khai:

  • Đánh giá rủi ro định kỳ: Nhằm xác định tài sản quan trọng, mối đe dọa và các điểm yếu tiềm ẩn
  • Chương trình đào tạo nhận thức an ninh thông tin: Dành cho toàn bộ nhân viên
  • Quy trình sàng lọc nhân sự (background check) phù hợp
  • Kế hoạch ứng phó sự cố an ninh thông tin (Incident Response Plan)

Tất cả các yêu cầu này đều được QSA xem xét và xác nhận rằng chúng đã được thực hiện đầy đủ.

>>>  PCI DSS 4.0 – Những thay đổi mới nhất và chỉ dẫn cho Doanh nghiệp

Việc tuân thủ PCI DSS không hề dễ dàng, ngay cả với những công việc đơn giản nhất. Mặc dù khó duy trì, nhưng những lợi ích mang lại của chúng vô cùng xứng đáng. Bất chấp những khó khăn, các công ty nên phấn đấu tuân thủ chứng nhận PCI DSS , bởi vì việc không tuân thủ có thể gây ra những hậu quả nghiêm trọng.

Hãy để  SQC Certification Việt Nam  giúp doanh nghiệp bạn đạt được những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !

    Request Expert Support

    Register to connect directly with our experts!