PCI DSS: Hướng dẫn đặc biệt cho thương mại điện tử (E-commerce)

Năm 2025, Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) sẽ bắt đầu thực thi các yêu cầu 6.4.3 và 11.6.1 theo Tiêu chuẩn Bảo mật Dữ liệu PCI (PCI DSS) bắt đầu từ ngày 31 tháng 3 năm 2025. Những thay đổi này sẽ ảnh hưởng đến nhiều nhà bán lẻ xử lý thanh toán trực tuyến và giúp bảo mật hơn nữa nền thương mại điện tử (E-commerce). Bài viết này, SQC Certification xin chia sẻ đến bạn những Hướng dẫn đặc biệt cho thương mại điện tử (E-commerce) tuân thủ PCI DSS

---

---

Vì sao PCI DSS cần “hướng dẫn riêng cho e-commerce”? 

Sự phát triển mạnh mẽ của thương mại điện tử kéo theo việc các website sử dụng ngày càng nhiều script JavaScript, iframe và các mã từ bên thứ ba để phục vụ thanh toán, đo lường, quảng cáo hay phân tích hành vi người dùng. Tuy nhiên, chính những thành phần này lại tạo ra lỗ hổng lớn cho các hình thức tấn công như web-skimming hoặc client-side injection, nơi kẻ tấn công âm thầm chèn mã độc vào trang thanh toán để đánh cắp dữ liệu thẻ.

Trong khi đó, các biện pháp kiểm soát của tiêu chuẩn PCI DSS trước đây chủ yếu tập trung vào bảo mật phía máy chủ và luồng truyền dữ liệu, nên chưa đủ để bảo vệ khu vực rủi ro trên trình duyệt người dùng (client-side). Vì vậy, kể từ phiên bản PCI DSS 4.0, PCI SSC đã cập nhật thêm nhiều yêu cầu mới nhằm tăng cường an ninh cho môi trường web và thương mại điện tử.

Để hỗ trợ doanh nghiệp hiểu và áp dụng đúng, PCI SSC đã thành lập E-commerce Guidance Task Force – nhóm chuyên trách phát triển hướng dẫn chi tiết cho các yêu cầu liên quan đến bảo mật giao dịch trực tuyến, đặc biệt là các Requirement 6.4.3 và 11.6.1. Bộ hướng dẫn này dự kiến được công bố vào đầu năm 2025.

Theo lộ trình, Hội đồng PCI SSC sẽ bắt đầu áp dụng bắt buộc các yêu cầu 6.4.3 và 11.6.1 từ ngày 31/3/2025, tác động trực tiếp đến các doanh nghiệp thực hiện thanh toán trực tuyến. Ban đầu, các yêu cầu này được áp dụng chung cho mọi merchant vận hành trang thanh toán; tuy nhiên, từ tháng 1/2025, PCI SSC cho phép một số đơn vị sử dụng SAQ A được miễn trừ, với điều kiện phải đáp ứng đầy đủ các tiêu chí cụ thể mà Hội đồng đưa ra.

Tổ chức nào cần áp dụng và tác động như thế nào

Những tổ chức cần áp dụng PCI DSS đặc biệt cho thương mại điện tử (E-commerce) bao gồm:

• Các website thương mại điện tử có thanh toán bằng thẻ, đặc biệt nếu checkout page được host/cài đặt bởi chính merchant hoặc có script/iframe từ bên thứ ba.
• Merchant sử dụng form + script + JS + iframe + plugin thanh toán (không redirect hoàn toàn đến cổng thanh toán ngoài).
• Các công ty cung cấp dịch vụ thanh toán (TPSP), đơn vị phát triển web, DevOps/DevSecOps, bảo mật ứng dụng, compliance team — vì họ cần triển khai, audit và duy trì compliance cho e-commerce.

>>> Các cấp độ tuân thủ trong PCI DSS

---

Những requirement then chốt cho e-commerce theo PCI DSS v4 (2025)

Hai yêu cầu nổi bật nhất được nhắc nhiều khi nói tới “e-commerce + PCI DSS” là: yêu cầu 6.4.3 — Payment Page Script Inventory & Integrity và yêu cầu 11.6.1 — Change & Tamper Detection for Payment Pages. Những yêu cầu đó được hiểu như sau:

• Requirement 6.4.3 — Payment Page Script Inventory & Integrity

Mọi script (JavaScript) chạy trên trang thanh toán phải được quản lý theo 3 tiêu chí sau:: được phê duyệt (authorized), được ghi vào inventory — tức danh sách chi tiết, nêu rõ vì sao cần script đó, và đảm bảo tính toàn vẹn (integrity) của script, tránh bị thay đổi/tamper.

• Script được ủy quyền (authorized): Mỗi script phải được “phê duyệt” rõ ràng trước khi được phép chạy.
• Script có tính toàn vẹn (script integrity): Phải có phương thức để đảm bảo script chưa bị thay đổi/tampered — nghĩa là nội dung script vẫn giữ nguyên, không bị kẻ xấu sửa đổi nhằm chèn mã độc.
• Danh mục (inventory) script + lý do rõ ràng: Phải duy trì một danh sách đầy đủ tất cả các script đang dùng: bao gồm nguồn (nội bộ, bên thứ ba, thậm chí bên thứ tư nếu có), cùng với lý do kỹ thuật hoặc nghiệp vụ cho mỗi script — vì sao script đó cần thiết cho trang thanh toán.

Mục tiêu tổng quát: ngăn ngừa việc có các script “ẩn”, không rõ nguồn gốc hoặc đã bị sửa đổi — vốn dễ là kênh để các cuộc tấn công kiểu “web-skimming” / “form-jacking” (ví dụ: mã độc lấy dữ liệu thẻ khi người dùng nhập) khai thác.

---

• Requirement 11.6.1 — Change & Tamper Detection for Payment Pages

Requirement 11.6.1 được thiết lập nhằm đảm bảo rằng các trang thanh toán (payment pages), khi được trình duyệt người dùng tải lên — bao gồm HTTP header và nội dung trang (script, HTML, v.v.) — được theo dõi liên tục để phát hiện bất kỳ thay đổi, chỉnh sửa, hoặc sự cố bảo mật nào không được phép.

Mục tiêu chính là:

Phát hiện kịp thời các thay đổi trái phép — ví dụ script lạ được thêm vào, mã độc dạng “web-skimming”/“Magecart”, hoặc xóa script bảo mật, header bảo vệ,… nhằm đánh cắp dữ liệu thẻ.

Đảm bảo tính toàn vẹn, độ tin cậy của trang thanh toán mỗi khi người dùng tải trang — bảo vệ dữ liệu chủ thẻ (cardholder data) khỏi các cuộc tấn công client-side.

Có thể thấy được, Hai requirement này với mục đích ngăn chặn tấn công kiểu e-skimming / Magecart — khi hacker nhúng mã độc JavaScript vào trang checkout để thu thập dữ liệu thẻ ngay khi khách nhập thông tin.

---

Hướng dẫn & tài liệu hỗ trợ 2025

Trong tháng 3 năm 2025, PCI SSC phát hành chính thức tài liệu bổ sung “Payment Page Security and Preventing E‑Skimming – Guidance for PCI DSS Requirements 6.4.3 and 11.6.1”. Tài liệu này do nhóm đặc trách e-commerce (E-Commerce Guidance Task Force) phối hợp soạn. Nó giải thích rõ chi tiết cách thức các tổ chức nên áp dụng các requirement 6.4.3 & 11.6.1.

Cùng năm, PCI SSC phát “FAQ / hướng dẫn cách thức xác định scope, cách áp dụng cho hệ thống e-commerce, iframe, third-party payment gateway …” để giúp merchant & TPSP (Third-Party Service Providers) phân định rõ ai chịu trách nhiệm phần nào.

Tài liệu nhấn mạnh: nếu merchant thuê một TPSP chịu toàn bộ xử lý thanh toán (payment page, data flow …), và merchant không tự host script/payment page — thì có thể “out-of-scope” requirement 6.4.3 & 11.6.1. Nhưng nếu merchant host (form, script, iframe, redirect…) trên domain của mình — thì phải tuân thủ đầy đủ.

Một số gợi ý thực tiễn để tuân thủ hiệu quả

Duy trì “script inventory” — mỗi script chạy trên trang thanh toán nên được ghi lại: nguồn gốc, purpose, phiên bản, hash/checksum (để kiểm tra integrity).

Sử dụng các kỹ thuật như Content Security Policy (CSP) hoặc Sub-resource Integrity (SRI) để giới hạn domain được phép load script, đồng thời đảm bảo script chưa bị sửa đổi.

Giám sát & phát hiện thay đổi liên tục — deploy các tool hoặc dịch vụ để quét trang payment page định kỳ, kiểm tra HTTP headers, DOM, script content — nếu có thay đổi bất thường → alert và xử lý ngay.

Nếu dùng dịch vụ bên thứ ba (TPSP / payment gateway / hosted checkout) — cần xác minh rõ: ai chịu trách nhiệm PCI DSS compliance (merchants vs TPSP), tránh hiểu lầm scope. Sử dụng hướng dẫn từ PCI SSC để phân định rõ.

>>> Lộ trình đạt chứng nhận PCI DSS: Các bước, chi phí và đối tác đánh giá

---

Có thể thấy được trong bối cảnh tấn công web ngày càng tinh vi, hướng dẫn đặc biệt cho thương mại điện tử của chứng nhận PCI DSS đóng vai trò then chốt trong việc bảo vệ giao dịch trực tuyến. Những yêu cầu mới như kiểm soát script, giám sát thay đổi và xác thực tính toàn vẹn trang thanh toán giúp doanh nghiệp chủ động ngăn chặn rủi ro client-side. Khi được áp dụng đúng, các quy định này không chỉ giảm thiểu nguy cơ đánh cắp dữ liệu thẻ mà còn tăng cường uy tín, tạo sự an tâm cho khách hàng trong toàn bộ hành trình thanh toán.