Các công ty thực hiện bất kỳ loại giao dịch thanh toán nào qua thẻ tín dụng, thẻ ghi nợ hoặc thẻ khác, dù trực tuyến, ngoại tuyến hay thông qua bất kỳ kênh nào khác, đều có nguy cơ xảy ra tội phạm mạng, đặc biệt nếu họ không có chứng nhận và tuân thủ PCI DSS. Những kẻ tấn công độc hại luôn nhắm mục tiêu những thông tin bí mật và nhạy cảm cao (CHD/SAD) như vậy để đánh cắp và lừa đảo trực tiếp. Nếu công ty của bạn là một phần của hệ sinh thái Thanh toán với tư cách là Người bán, Nhà xử lý hoặc cung cấp bất kỳ dịch vụ nào cho các công ty này cũng có thể trở thành nạn nhân của các loại tấn công mạng này. Để giảm thiểu những rủi ro này, Hội đồng Tiêu chuẩn Bảo mật (SSC) của Ngành Thẻ Thanh toán (PCI) đã xây dựng nhiều biện pháp kiểm soát đối với một số tiêu chuẩn bảo mật để bảo vệ các công ty và người tiêu dùng. Đọc thêm về Tiêu chuẩn PCI SSC.
Một trong những tiêu chuẩn bảo mật được đánh giá rất cao đó là PCI DSS. Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) là tiêu chuẩn toàn cầu được chấp nhận rộng rãi được khuyến nghị bởi các thương hiệu Thẻ lớn như Visa, Mastercard, JCB, American Express, Discovery. Tiêu chuẩn PCI DSS bao gồm bộ chính sách và thủ tục nhằm tối ưu hóa tính bảo mật của các giao dịch thẻ tín dụng, thẻ ghi nợ và tiền mặt cũng như bảo vệ chủ thẻ khỏi việc lạm dụng thông tin cá nhân của họ.
PCI DSS áp dụng cho tất cả các thực thể liên quan đến giao dịch thẻ thanh toán — bao gồm người bán, người xử lý, người thanh toán, người phát hành và nhà cung cấp dịch vụ cũng như tất cả các thực thể khác lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) và/hoặc dữ liệu xác thực nhạy cảm (SAD).
Hầu hết tất cả các thương hiệu thẻ thanh toán đều thực thi Tuân thủ PCI DSS ở mức tối thiểu hàng năm theo các Cấp độ được xác định bởi các chương trình bảo mật khác nhau. Tổ chức cần triển khai 12 yêu cầu cốt lõi trải rộng trên 6 Mục tiêu kiểm soát từ Tiêu chuẩn PCI DSS để đảm bảo Môi trường dữ liệu chủ thẻ của họ được bảo mật. Đọc thêm về Yêu cầu PCI DSS 4.0 Core 12.
Người bán và Nhà cung cấp dịch vụ có thể báo cáo việc tuân thủ PCI DSS của họ bằng cách Điền vào Bảng câu hỏi tự đánh giá (SAQ) hiện hành hoặc Đánh giá tại chỗ bởi Người đánh giá bảo mật đủ tiêu chuẩn theo Cấp độ của họ. Đọc blog của chúng tôi 'Tìm hiểu các cấp độ khác nhau của người bán và nhà cung cấp dịch vụ.
PCI DSS 4.0 là phiên bản mới nhất được Hội đồng PCI giới thiệu vào ngày 31 tháng 3 năm 2022. Tất cả các đơn vị sẽ có thời gian hai năm để chuyển đổi từ 3.2.1 sang 4.0, tức là vào tháng 3 năm 2024 nếu họ đã được chứng nhận PCI DSS 3.2.1.
Những gì chúng tôi cung cấp: Chìa khóa để triển khai các biện pháp kiểm soát bảo mật mạnh mẽ nằm ở việc xác định phạm vi phù hợp, nhận ra sự khác biệt giữa tuân thủ và bảo mật cũng như duy trì sự tuân thủ sau khi triển khai kiểm soát thành công.
- Hiểu biết về doanh nghiệp: Đánh giá quy trình và môi trường kinh doanh để hiểu các yếu tố trong phạm vi.
- Hoàn thiện phạm vi: Hoàn thiện các yếu tố phạm vi và chuẩn bị tài liệu yêu cầu.
- Đánh giá sự sẵn sàng: Xác định những thách thức tiềm ẩn có thể phát sinh trong quá trình thực hiện yêu cầu.
- Đánh giá rủi ro: Xác định và phân tích các rủi ro trong tình hình bảo mật thông tin.
- Đánh giá luồng dữ liệu: Tiến hành phân tích hệ thống kỹ lưỡng để đánh giá luồng dữ liệu và các rò rỉ có thể xảy ra.
- Hỗ trợ tài liệu: Hỗ trợ bạn với danh sách chính sách và thủ tục để giúp bạn xác thực hoặc thu thập bằng chứng.
- Hỗ trợ khắc phục: Hỗ trợ bạn bằng cách đề xuất các giải pháp cho những thách thức về tuân thủ.
- Đào tạo nâng cao nhận thức: Tiến hành các buổi nâng cao nhận thức cho nhóm của bạn và nhân sự tham gia.
- Quét và kiểm tra: Xác định các lỗ hổng nghiêm trọng trong hệ thống của bạn bằng phương pháp thử nghiệm mạnh mẽ.
- Đánh giá bằng chứng: Xem xét các bằng chứng được thu thập để đánh giá mức độ hoàn thiện của chúng, phù hợp với việc tuân thủ.
- Đánh giá lần cuối và chứng nhận: Sau khi đánh giá thành công, chúng tôi sẽ giúp bạn chứng thực sự tuân thủ với nhóm kiểm toán của chúng tôi..
- Hỗ trợ tuân thủ liên tục: Hỗ trợ bạn duy trì sự tuân thủ bằng cách cung cấp các hướng dẫn.
Câu hỏi thường gặp
Danh sách kiểm tra tuân thủ PCI là gì??
Danh sách kiểm tra tuân thủ PCI là công cụ giúp các tổ chức đảm bảo rằng họ đang đáp ứng các yêu cầu của Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS). Danh sách kiểm tra thường bao gồm danh sách các yêu cầu và phương pháp hay nhất mà doanh nghiệp phải tuân theo để đạt được sự tuân thủ.
Tuân thủ PCI là gì??
Tuân thủ PCI đề cập đến tập hợp các yêu cầu mà doanh nghiệp và tổ chức phải đáp ứng để đảm bảo xử lý an toàn thông tin thẻ tín dụng. Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) là một bộ tiêu chuẩn bảo mật được thiết lập bởi các công ty thẻ tín dụng lớn để giúp bảo vệ chống gian lận thẻ tín dụng và vi phạm dữ liệu.
Sự khác biệt giữa CHD và SAD là gì??
Dữ liệu tài khoản được tổ chức thành hai nhóm dữ liệu. 1) Dữ liệu chủ thẻ (CHD) 2) Dữ liệu xác thực nhạy cảm (SAD). CHD bao gồm các thành phần Dữ liệu như Số tài khoản chính (PAN), Tên chủ thẻ, Mã dịch vụ và Ngày hết hạn. CHD rất hữu ích để xác định Chủ thẻ, trong đó SAD Bao gồm các thành phần dữ liệu như Dữ liệu theo dõi, CVV, CVC, CAV, CID, Khối PIN / PIN. SAD được sử dụng để ủy quyền cho chủ thẻ thực hiện các giao dịch.
Nếu tôi đang sử dụng bên thứ ba để xử lý thanh toán hoặc nền tảng thương mại điện tử, tôi có còn cần lo lắng về việc tuân thủ PCI không?
Có, ngay cả khi một số quy trình thanh toán có thể làm giảm nguy cơ vi phạm của bạn hoặc phạm vi tuân thủ PCI, doanh nghiệp không thể bỏ qua quy trình đó.
PCI DSS áp dụng cho ai?
Tiêu chuẩn PCI DSS có thể được áp dụng cho bất kỳ tổ chức nào chấp nhận, truyền tải hoặc lưu trữ bất kỳ dữ liệu nào của chủ thẻ bất kể quy mô hoặc số lượng giao dịch.
Nếu tôi chỉ chấp nhận thẻ tín dụng qua điện thoại, PCI DSS có còn áp dụng cho tôi không?
Có. Mọi quá trình xử lý, lưu trữ hoặc truyền dữ liệu chủ thẻ thanh toán cần phải được thực hiện trong môi trường Tuân thủ PCI.