Những lỗi thường gặp khiến doanh nghiệp trượt chứng nhận PCI DSS

Bộ tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard) hiện nay chính là tiêu chuẩn bảo mật bắt buộc đối với mọi tổ chức lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ thanh toán. Tuy nhiên, rất nhiều doanh nghiệp tại Việt Nam và khu vực đã trượt ngay từ lần đánh giá đầu tiên do những sai lầm tưởng chừng đơn giản. Dưới đây là top 10 lỗi phổ biến nhất mà SQC Certification ghi nhận từ hàng trăm hồ sơ khách hàng.

Xu hướng các doanh nghiệp áp dụng PCI DSS 

Năm 2025, Bộ tiêu chuẩn PCI DSS trở thành tiêu chuẩn bắt buộc với mọi doanh nghiệp xử lý thẻ thanh toán tại Việt Nam, khi thẻ chiếm 42% giao dịch TMĐT hiện nay. Từ tuân thủ hình thức (SAQ), doanh nghiệp chuyển sang ROC đầy đủ với QSA onsite theo Visa Mandate 6.0. Fintech như MoMo, VNPAY tích hợp PCI DSS vào DevSecOps, tự động hóa tokenization, quét lỗ hổng CI/CD, rút thời gian chứng nhận còn 4-6 tháng. SME bị ngân hàng ép tuân thủ để giữ MID, tăng 180% lượng đăng ký tư vấn Q3/2025. Doanh nghiệp chuyển sang cloud CDE đã chứng nhận (AWS, Azure, Viettel IDC), giảm 40-60% chi phí.

PCI DSS 4.0 (ra mắt 2024) với 64 yêu cầu mới về xác thực đa yếu tố, giám sát hành vi người dùng, và quản lý rủi ro bên thứ ba đang định hình lại bản đồ bảo mật thanh toán. Doanh nghiệp nào áp dụng sớm – tích hợp sâu – tự động hóa mạnh sẽ không chỉ tránh phạt (lên đến 100.000 USD/tháng) mà còn tăng uy tín thương hiệu và mở rộng hợp tác quốc tế.

>>> So sánh PCI DSS với tiêu chuẩn ISO 27001

Những lỗi thường gặp của doanh nghiệp khi triển khai PCI DSS

Khi tổ chức, doanh nghiệp của bạn tiến hành thực hiện đánh giá chứng nhận PCI DSS (Payment Card Industry Data Security Standard) bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán thời gian đầu sẽ thường có rất nhiều lỗi phổ biến dẫn đến trượt chứng nhận hoặc bị yêu cầu khắc phục lại (remediation). Dưới đây là những lỗi thường gặp nhất, được chia theo nhóm yêu cầu PCI DSS (phiên bản 4.0):

1. Quản lý hệ thống và mạng yếu kém

2. Kiểm soát truy cập không đầy đủ

Việc kiểm soát truy cập không đầy đủ có thể khiến cho hệ thống của bạn bị ảnh hưởng. Ví dụ như các tài khoản dùng chung (shared accounts) vẫn tồn tại, không thể truy vết người dùng cá nhân. Việc này khiến rủi ro bị tấn công thẻ trong tương lai rất lớn. Ngoài ra còn một số vấn đề như:

• Doanh nghiệp không áp dụng nguyên tắc “Least Privilege” – cấp quyền vượt quá nhu cầu công việc.
• Doanh nghiệp, tổ chức của bạn không triển khai MFA (Multi-Factor Authentication) cho truy cập vào hệ thống nhạy cảm.
• Doanh nghiệp, tổ chức của bạn không thu hồi quyền truy cập khi nhân viên nghỉ việc hoặc thay đổi vị trí.

Để tuân thủ yêu cầu kiểm soát truy cập của PCI DSS, doanh nghiệp cần:

• Xóa bỏ tài khoản dùng chung, mỗi người dùng có tài khoản riêng; nếu bắt buộc, quản lý qua PAM.
• Phân quyền theo vai trò (RBAC), chỉ cấp quyền cần thiết và rà soát định kỳ.
• Bật MFA cho mọi truy cập vào hệ thống nhạy cảm như VPN, tài khoản quản trị, CDE.
• Tự động vô hiệu hóa tài khoản khi nhân viên nghỉ việc và kiểm tra tài khoản không hoạt động thường xuyên.

>>> Áp dụng PCI DSS: Bài học từ các doanh nghiệp lớn thành công

3. Quản lý mật khẩu và xác thực yếu

Việc doanh nghiệp quản lý mật khẩu cũng như xác thực các mật khẩu mặc định khi chưa có sự thay đổi. Bên cạnh đó thì chính sách về mật khảu cũng sẽ không đáp ứng được tốt các yêu cầu của PCI DSS như độ dài, sự phức tạp và thời gian hết hạn. Một yếu tố nữa chính là bạn không có kiểm tra mật khẩu một cách định kỳ cũng là những rủi ro khi áp dụng tuân thủ PCI DSS và sẽ bị trượt.

Để khắc phục lỗi “Quản lý mật khẩu và xác thực yếu”, doanh nghiệp cần:

• Thay đổi tất cả mật khẩu mặc định trên thiết bị, ứng dụng và hệ điều hành.
• Áp dụng chính sách mật khẩu mạnh: tối thiểu 12 ký tự, gồm chữ hoa, chữ thường, số và ký tự đặc biệt; hết hạn định kỳ 90 ngày.
• Kiểm tra mật khẩu yếu định kỳ và yêu cầu người dùng đổi ngay khi phát hiện vi phạm.

4. Thiếu chính sách và quy trình bảo mật

Nhiều doanh nghiệp hiện nay có thiếu các chính sách cũng như các quy trình bảo mật hiện nay. Ví dụ như tổ chức của bạn không có hoặc không cập nhật tốt các chính sách an ninh thông tin theo năm. Nhân viên của bạ không được đào tạo về việc bảo mật PCI DSS cũng như không có quy trình phản ứng sự cố (Incident Response Plan) hoặc không kiểm tra định kỳ.

Để khắc phục lỗi “Thiếu chính sách và quy trình bảo mật”, doanh nghiệp cần:

• Xây dựng và cập nhật chính sách an ninh thông tin định kỳ hàng năm.
• Đào tạo nhân viên về bảo mật và PCI DSS, lưu giữ bằng chứng đào tạo.
• Thiết lập quy trình phản ứng sự cố (IRP) và diễn tập định kỳ để đảm bảo sẵn sàng xử lý sự cố.

5. Quản lý lỗ hổng và vá lỗi chưa hiệu quả

Tổ chức, doanh nghiệp của bạn không có quy trình quản lý lỗ hổng cũng như vá lỗi một cách hiệu quả. Một số ví dụ cụ thể như tổ chức của bạn không áp dụng bản vá trong 30 ngày kể từ ngày phát hành. Không quét lỗ hổng nội bộ cũng như bên ngoài một cách định kì (quarterly scans). Ngoài ra doanh nghiệp của bạn không khắc phục các lỗ hổng “High” hoặc “Critical” trước kỳ đánh giá.

Để khắc phục lỗi “Quản lý lỗ hổng và vá lỗi chưa hiệu quả”, doanh nghiệp cần:

• Áp dụng bản vá trong 30 ngày, ưu tiên các lỗ hổng High/Critical.
• Quét lỗ hổng nội bộ và bên ngoài hàng quý.
• Khắc phục các lỗ hổng nghiêm trọng trước kỳ đánh giá và lưu bằng chứng.

6. Giám sát và ghi log không đầy đủ

Hiện nay nhiều tổ chức có sự giám sát và ghi log không đầy đủ cũng là một rủi ro khiến doanh nghiệp bị chậm trong quá trình triển khai và trượt chứng chỉ PCI DSS. Những ví dụ điển hình có thể là doanh nghiệp không triển khai SIEM hoặc hệ thống tương tự để theo dõi log. Doanh nghiệp khi tiến hành Log không được lưu trữ đủ 1 năm theo các yêu cầu của PCI DSS.

Để khắc phục lỗi “Giám sát và ghi log không đầy đủ”, doanh nghiệp cần:

• Triển khai SIEM hoặc hệ thống tương tự để theo dõi log.
• Lưu log ít nhất 1 năm theo yêu cầu PCI DSS.
• Xem xét log hàng ngày và ghi nhận các hành động khắc phục.

7. Không thực hiện thay đổi mật khẩu sau 90 ngày (Yêu cầu 8.2.4)

Nhiều doanh nghiệp không thực hiện việc đổi mật khẩu định kỳ thường là 3 tháng (90 ngày) hoặc dùng chung tài khoản admin dùng cùng một mật khẩu 2 năm. Việc này sẽ khiến cho doanh nghiệp của bạn bị đánh lỗi và trượt yêu cầu 8 tù đó ảnh hưởng toàn bộ báo cáo.

Khắc phục: Áp dụng Active Directory GPO hoặc PAM solution tự động khóa sau 90 ngày.

8. Hệ thống phát triển ứng dụng không an toàn

Trong quá trình doanh nghiệp tiến hành phát triển dự án thì hệ thống của doanh nghiệp không an toàn có thể kể đến như không tuân thủ quy trình SDLC an toàn (Secure Development Life Cycle). Không kiểm tra và bảo mật mã nguồn (code review, SAST/DAST) hay lưu thông tin thẻ trực tiếp trong mã nguồn hoặc file cấu hình. Những điều này khiến cho doanh nghiệp của bạn bị trượt chứng nhận PCI DSS

Để khắc phục lỗi “Hệ thống phát triển ứng dụng không an toàn”, doanh nghiệp cần:

• Áp dụng SDLC an toàn trong toàn bộ quá trình phát triển.
• Kiểm tra bảo mật mã nguồn định kỳ bằng code review, SAST/DAST.
• Không lưu dữ liệu thẻ trực tiếp trong code hoặc file cấu hình, dùng tokenization hoặc mã hóa nếu cần.

Nhiều doanh nghiệp thường mắc phải những lỗi cơ bản nhưng nghiêm trọng, dẫn đến việc trượt chứng nhận PCI DSS. Các lỗi phổ biến bao gồm tài khoản dùng chung, cấp quyền vượt mức, thiếu MFA, quản lý mật khẩu yếu, không triển khai SDLC an toàn, quản lý lỗ hổng và vá lỗi kém, cũng như giám sát và ghi log không đầy đủ. Thêm vào đó, việc thiếu chính sách, quy trình bảo mật và đào tạo nhân viên cũng khiến doanh nghiệp khó đáp ứng các yêu cầu nghiêm ngặt của PCI DSS. Nhận diện và khắc phục kịp thời những điểm yếu này là bước quan trọng để đảm bảo tuân thủ và bảo vệ dữ liệu thẻ an toàn.