Năm 2018, British Airways đã để lộ thông tin của 400,000 khách hàng, dẫn đến bị phạt 26 triệu đô Mỹ. Phí phạt không phải là vấn đề duy nhất để ràng buộc doanh nghiệp kinh doanh phải tuân thủ các tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI Compliant).

Bài viết này gồm:

1. Tuân thủ bảo mật dữ liệu thẻ thanh toán là gì?

2. 12 tiêu chuẩn tuân thủ bảo mật dữ liệu thẻ thanh toán.

3. Lợi ích của tuân thủ bảo mật dữ liệu thẻ thanh toán.

4. Những trở ngại tiềm ẩn của việc không tuân thủ.

5. Nguồn tham khảo.

Tuân thủ bảo mật dữ liệu thẻ thanh toán là gì?

Một số hậu quả tiềm ẩn từ việc không tuân thủ PCI là:

1. Mất khách hàng: Nếu như thông tin của khách hàng bị tiết lộ sau khi họ dùng dịch vụ (khách sạn, nhà hàng,…) thì bạn nghĩ liệu rằng họ sẽ sẵn sàng quay trở lại để tiếp tục mua không?

2. Kiện tụng: Việc không tuân thủ bảo mật dữ liệu thẻ thanh toán, doanh nghiệp có thể đối mặt các vụ kiện bởi khách hàng, công ty thẻ và thậm chí là chính phủ.

3. Kiểm toán: Không tuân thủ các tiêu chuẩn PCI sẽ dẫn đến việc kiểm toán từ PCI Security Council, công ty thẻ và chính phủ.

4. Tổn thất thương hiệu: Trong trường hợp ảnh hưởng nhẹ, khách hàng không hài lòng sẽ bày tỏ bất mãn của họ trên các kênh trực tuyến. Hậu quả nặng hơn thì báo chí có thể đưa tin và khiến toàn ngành biết rằng công ty của bạn không bảo mật dữ liệu khách hàng và để lộ các thông tin nhạy cảm.

Vì vậy,việc tuân thủ các tiêu chuẩn bảo mật dữ liệu thẻ rất quan trọng. Cùng chúng tôi tìm hiểu cách tuân thủ để bảo vệ bạn khỏi những nguy cơ trên.

Chính thức áp dụng vào 07/09/2006, The Payment Card Industry Data Security Standard (PCI DSS) là bộ yêu cầu dành cho các doanh nghiệp có hoạt động xử lý, lưu trữ hoặc chuyển thông tin thẻ tín dụng nhằm đảm bảo các đơn vị này duy trì môi trường an toàn dữ liệu. Visa, MasterCard, American Express, Discover, và JCB đã tạo ra tổ chức độc lập là PCI Security Standards Council (PCI SSC), có chức năng quản lý và giám sát việc tuân thủ PCI DSS. Tuy nhiên, việc tuân thủ không phải là trách nhiệm của PCI SSC, mà thuộc về các công ty thanh toán.

12 tiêu chuẩn tuân thủ bảo mật dữ liệu thẻ thanh toán.

PCI SSC liệt kê các yêu cầu cụ thể về việc tuân thủ gồm 12 tiêu chuẩn tuân thủ PCI. Tuân thủ các yêu cầu này giúp doanh nghiệp tránh việc vi phạm dữ liệu và loại bỏ các nguy cơ chịu những khoản tiền phạt và kiện tụng nghiêm trọng.

1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ

Tường lửa thường là tuyến phòng thủ đầu tiên chống lại tin tặc, giúp ngăn chặn truy cập trái phép

2. Không sử dụng cài đặt mặc định cho mật khẩu hệ thống và các thông số bảo mật khác

Mật khẩu của routers, modem, hệ thống tại điểm bán hàng (máy POS), phần mềm quản lý khách sạn (PMS), và các dịch vụ của bên thứ ba khác thường đi kèm với mật khẩu bảo mật đơn giản mà tin tặc dễ dàng truy cập. Vì vậy, người dùng cần phải thay đổi thông tin này khi sử dụng

3. Bảo vệ các dữ liệu của chủ thẻ đang được lưu trữ

Dữ liệu thẻ phải được mã hóa. Cần bảo trì và quét số tài khoản chính (PAN) thường xuyên để đảm bảo không tồn tại dữ liệu chưa được mã hóa.

4. Mã hóa truyền dữ liệu chủ thẻ qua các mạng mở, mạng công cộng

Dữ liệu của chủ thẻ phải được mã hóa khi gửi đến doanh nghiệp theo bất kỳ kết nối nào. Số tài khoản cũng không được gửi đến bất kỳ địa điểm nào chưa được xác định.

5. Sử dụng và cập nhật thường xuyên phần mềm hoặc chương trình chống vi rút

Cài đặt phần mềm chống vi-rút là bắt buộc đối với tất cả các thiết bị tương tác hoặc lưu trữ PAN. Phần mềm này phải thường xuyên được kiểm tra và cập nhật.

6. Phát triển và duy trì các hệ thống và ứng dụng an toàn

Cập nhật mọi phần mềm trong doanh nghiệp của bạn. Các bản cập nhật này đặc biệt bắt buộc đối với tất cả phần mềm trên các thiết bị tương tác hoặc lưu trữ dữ liệu chủ thẻ.

7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ

Liệu nhân viên lễ tân khách sạn có cần xem dữ liệu thẻ không? Chỉ truy cập dữ liệu chủ thẻ khi thực sự cần thiết. Tất cả nhân viên, giám đốc điều hành và bên thứ ba không cần làm việc với thông tin này thì sẽ không có quyền truy cập vào dữ liệu này. Các vị trí công việc cần dữ liệu nhạy cảm này phải được ghi nhận đầy đủ và cập nhật danh sách này thường xuyên.

8. Cấp một ID duy nhất cho mỗi người có quyền truy cập máy tính

Các cá nhân có quyền truy cập vào dữ liệu chủ thẻ phải có thông tin xác thực và thông tin nhận dạng cá nhân để truy cập.

9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ

Mọi dữ liệu về chủ thẻ phải được lưu giữ ở một địa điểm an toàn. Tất cả dữ liệu lưu trữ dưới dạng viết, đánh máy và lưu giữ bằng phương pháp kỹ thuật số (ví dụ: trên ổ cứng) phải được giữ trong không gian an toàn, ngăn kéo hoặc tủ có khóa. Không chỉ quyền truy cập bị giới hạn mà bất cứ khi nào dữ liệu nhạy cảm được truy cập, nó phải được lưu trong nhật ký để duy trì tính tuân thủ.

10. Theo dõi và giám sát tất cả các quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ

Tất cả các hoạt động liên quan đến dữ liệu chủ thẻ và số tài khoản chính (PAN) đều yêu cầu ghi nhận lại. Để thực hiện tuân thủ, bạn được yêu cầu ghi lại cách dữ liệu đi vào doanh nghiệp và số lần truy cập cần thiết đối với các dữ liệu này.

11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật

PCI DSS yêu cầu quét và kiểm tra lỗ hổng thường xuyên trên tất cả các khía cạnh của doanh nghiệp.

12. Duy trì chính sách đề cập đến vấn đề bảo mật thông tin cho nhân viên và nhà thầu

Bản kiểm kê thiết bị, phần mềm và nhân viên có quyền truy cập sẽ cần được lập thành tài liệu để tuân thủ cũng như nhật ký truy cập dữ liệu chủ thẻ. Cách thông tin chảy vào doanh nghiệp của bạn như thế nào, nơi lưu trữ và cách sử dụng thông tin cũng sẽ cần được ghi lại.

Lợi ích của tuân thủ bảo mật dữ liệu thẻ thanh toán.

Tuân thủ tiêu chuẩn bảo mật PCI có vẻ bất khả thi và tốn kém với các công ty nhỏ với nguồn lực có hạn vì có nhiều điều kiện & vấn đề phải đáp ứng. Tuy nhiên, việc tuân thủ sẽ có thể thực hiện dễ dàng hơn khi bạn có công cụ và đối tác phù hợp, thỏa mãn các điều kiện này.

Nhiều doanh nghiệp có thể đáp ứng tuân thủ các tiêu chuẩn PCI bằng cách thuê ngoài dịch vụ liên quan đến mảng thanh toán. Công ty như Kovena, một công ty thanh toán toàn cầu, lưu trữ tất cả thông tin khách hàng trong một kho được mã hóa và kết nối với nền tảng luôn tuân thủ PCI… giúp các doanh nghiệp trút bỏ mọi gánh nặng. Khi tìm kiếm đối tác để thuê ngoài, hãy đảm bảo chọn một hệ thống hoàn toàn phù hợp với cấu trúc hoạt động của doanh nghiệp của bạn và nếu có thể, hãy chọn hệ thống tích hợp để giúp nâng cao hiệu quả của tổ chức. Dù tự xây dựng một hệ thống tuân thủ PCI hoặc thuê ngoài, bạn đều có thể đạt được nhiều lợi ích.

Một số lợi ích khi tuân thủ PCI gồm:

1. Nâng cao danh tiếng của doanh nghiệp với khách hàng bằng cách thể hiện hệ thống của bạn an toàn và đáng tin cậy khi họ cung cấp các thông tin nhạy cảm của mình. Từ đó giữ chân được nhiều khách hàng hiện tại và tăng lượng khách hàng trung thành.

2. Cải thiện danh tiếng của doanh nghiệp với các tổ chức tài chính và đối tác thanh toán.

3. Tuân thủ PCI có thể dẫn đến việc cải thiện hiệu quả cơ sở hạ tầng CNTT, vì vậy bạn được chuẩn bị nền tảng tốt hơn để tuân thủ các quy định bổ sung, chẳng hạn như HIPAA, SOX và các quy định khác.

4. Tuân thủ PCI là một quá trình liên tục nhằm hỗ trợ ngăn chặn vi phạm bảo mật và đánh cắp dữ liệu thẻ thanh toán trong hiện tại và tương lai. Tuân thủ PCI có nghĩa là bạn đang đóng góp vào giải pháp bảo mật dữ liệu thẻ thanh toán toàn cầu.

Các công cụ và tài nguyên có sẵn từ PCI SSC:

May mắn là Hội đồng tiêu chuẩn bảo mật PCI (SSC) cung cấp các tiêu chuẩn và tài nguyên toàn diện, bao gồm khung đặc điểm kỹ thuật, công cụ, đo lường và tài nguyên hỗ trợ để giúp các tổ chức đảm bảo an toàn thông tin chủ thẻ, các biện pháp ngăn chặn vi phạm dữ liệu và phản ứng thích hợp để giải quyết khi có sự cố.

1. Self-Assessment Questionnaires để hỗ trợ các tổ chức xác thực việc tuân thủ PCI DSS của họ.

2. PIN Transaction Security (PTS) requirements dành cho các nhà cung cấp và nhà sản xuất thiết bị và danh sách các thiết bị chấp thuận giao dịch mã PIN.

3. Nguồn tài nguyên chung:

   1. Lists of Qualified Security Assessors (QSAs)

   2. Payment Application Qualified Security Assessors (PA-QSAs)

   3. Approved Scanning Vendors (ASVs)

   4. Qualified PIN Assessors (QPAs)

   5. Internal Security Assessor (ISA) education program

Chúng tôi hy vọng thông tin này sẽ giúp ích cho bạn thực hiện tuân thủ PCI. Nếu có bất kỳ câu hỏi nào hoặc muốn biết thêm chi tiết về cách Kovena hoặc các đối tác của chúng tôi có thể hỗ trợ doanh nghiệp trong các nhu cầu thanh toán và tuân thủ, vui lòng liên hệ với chúng tôi bằng cách gửi thông tin trong form Liên hệ bên dưới

Nếu bạn quan tâm đến dịch vụ thuê ngoài việc tuân thủ PCI của mình, hãy liên hệ chúng tôi ngay hôm nay.