Các website, ứng dụng bán hàng có tích hợp thanh toán qua thẻ tín dụng/ghi nợ đều phải tuân thủ PCI DSS để bảo vệ thông tin khách hàng và tránh rủi ro bị hack, rò rỉ dữ liệu.
Các đơn vị cung cấp giải pháp thanh toán (payment gateway, ví điện tử, POS…) xử lý, truyền tải hoặc lưu trữ dữ liệu thẻ thanh toán cần đạt chứng nhận PCI DSS như một yêu cầu bắt buộc từ tổ chức thẻ quốc tế.
Các tổ chức phát hành và thanh toán thẻ (acquiring/issuing banks), cũng như các trung tâm xử lý dữ liệu thanh toán, đều phải định kỳ tuân thủ PCI DSS để duy trì uy tín và bảo mật hệ thống giao dịch.
Nhóm1: Xây dựng và duy trì hệ thống bảo mật mạng
1: Cài đặt và duy trì tường lửa để bảo vệ dữ liệu thẻ
2: Không sử dụng mật khẩu mặc định và các tham số bảo mật gốc của nhà sản xuất
Nhóm 2: Bảo vệ dữ liệu thẻ thanh toán
3: Bảo vệ dữ liệu thẻ được lưu trữ
4: Mã hóa thông tin thẻ khi truyền tải qua mạng công cộng
Nhóm3: Duy trì chương trình quản lý lỗ hổng bảo mật
5: Sử dụng phần mềm chống mã độc và cập nhật thường xuyên
6: Phát triển và duy trì hệ thống và ứng dụng an toàn
Nhóm4: Thực hiện các biện pháp kiểm soát truy cập chặt chẽ
7: Hạn chế quyền truy cập vào dữ liệu thẻ theo nguyên tắc “cần biết”
8: Gán định danh riêng biệt cho từng người dùng có quyền truy cập hệ thống
9: Hạn chế truy cập vật lý vào dữ liệu thẻ
Nhóm5: Theo dõi và kiểm tra thường xuyên các hệ thống mạng
10: Theo dõi và ghi lại tất cả các truy cập vào tài nguyên mạng và dữ liệu thẻ
11: Thường xuyên kiểm tra hệ thống và các quy trình bảo mật
Nhóm6: Duy trì chính sách bảo mật thông tin
12: Thiết lập và duy trì chính sách bảo mật thông tin cho toàn tổ chức
Tại giai đoạn Survey đầu tiên sẽ cần khảo sát về hạ tầng, con người, hệ thống cntt, cùng các quy trình tài liệu. Sẽ cần xác định các hệ thống quy trình và công nghệ có liên quan đến việc lưu trữ, xử lý cũng như truyền tải thẻ thanh toán.
Đầu ra của bước này chính là ra được báo cáo (Scoping Report)
Phân tích khoảng cách giữa hệ thống hiện tại và các yêu cầu của tiêu chuẩn PCI DSS.
Giai đoạn này thường được thực hiện bởi tổ chức tư vấn độc lập hoặc nhóm nội bộ chuyên trách.
Doanh nghiệp thực hiện các hành động khắc phục theo khuyến nghị: cập nhật phần mềm, cấu hình tường lửa, mã hóa dữ liệu, phân quyền truy cập,…
Tùy vào mức độ xử lý giao dịch thẻ (Merchant Level), doanh nghiệp sẽ:
Đánh giá sẽ xem xét các khía cạnh như: hệ thống mạng, lưu trữ dữ liệu, kiểm soát truy cập, bảo vệ vật lý,…
Sau khi đánh giá đạt yêu cầu, doanh nghiệp nộp các tài liệu bắt buộc:
Tổ chức chứng nhận (nếu được ủy quyền) sẽ cấp chứng chỉ PCI DSS có hiệu lực trong 1 năm.
PCI DSS yêu cầu kiểm tra định kỳ và đánh giá lại hàng năm để đảm bảo hệ thống luôn đáp ứng tiêu chuẩn bảo mật cập nhật.
PCI DSS (Payment Card Industry Data Security Standard) là một tiêu chuẩn bảo mật toàn cầu do Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) phát triển nhằm bảo vệ dữ liệu thẻ thanh toán (Visa, MasterCard, American Express, Discover, JCB).
Mọi tổ chức xử lý, lưu trữ hoặc truyền dữ liệu thẻ thanh toán – bao gồm cả các nhà bán lẻ, cổng thanh toán, ngân hàng, và bên thứ ba – đều phải tuân thủ PCI DSS, bất kể quy mô lớn hay nhỏ.
Không phải là quy định pháp luật, nhưng bắt buộc về mặt hợp đồng nếu doanh nghiệp chấp nhận thanh toán qua thẻ. Vi phạm có thể dẫn đến bị phạt, mất quyền chấp nhận thẻ, hoặc tổn thất uy tín nghiêm trọng.
Phiên bản hiện tại là PCI DSS v4.0 (ra mắt tháng 3/2022, thay thế v3.2.1). Có giai đoạn chuyển tiếp đến hết tháng 3/2025. Các doanh nghiệp cần cập nhật hệ thống để tuân thủ các yêu cầu mới.
PCI DSS có 12 yêu cầu chính được chia thành 6 nhóm mục tiêu bảo mật, bao gồm:
Tùy theo số lượng giao dịch thẻ hàng năm, doanh nghiệp được phân thành 4 cấp độ (Level 1 đến 4). Mỗi cấp độ sẽ có yêu cầu tuân thủ khác nhau, ví dụ:
Các bước chính bao gồm:
Có. Việc tuân thủ cần được duy trì và đánh giá định kỳ mỗi năm (tự đánh giá hoặc đánh giá bởi QSA tùy cấp độ).
Doanh nghiệp có thể:
Có. Các dữ liệu nhạy cảm như PAN (Primary Account Number) hoặc dữ liệu theo dõi phải được mã hóa khi truyền và lưu trữ. Việc mã hóa phải theo chuẩn như AES, RSA…
Bảo mật thông tin an toàn cùng SQC CERTIFICATION
Qúy khách hàng đăng kí chứng nhận PCI DSS tại đây
Khóa đào tạo ITIL 4 Foundation chuyên nghiệp tại SQC Certification 💸 Học phí ưu [...]
Trong bối cảnh các yêu cầu về trách nhiệm xã hội và phát triển bền [...]
Bối cảnh toàn cầu hóa hiện nay, xu hướng sản xuất bền vững ngày càng [...]
Xu hướng doanh nghiệp áp dụng hệ thống BSCI hiện nay rất phát triển kéo [...]
Các doanh nghiệp khi mới áp dụng trách nhiệm Xã hội thường có câu hỏi [...]
SQC Certification Việt Nam tự hào thông báo một cột mốc quan trọng trong hoạt [...]
Bộ tiêu chuẩn BSCI (Sáng kiến tuân thủ xã hội trong kinh doanh) là bộ [...]
Từ khi ra đời năm 2012 cho đến nay bộ tiêu chuẩn Higg Index với [...]
Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !