ABOUT: PCI-DSS

PCI-DSS: là bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán , được hợp thành từ 5 chương trình khác nhau của các “đại gia” thẻ tín dụng quốc tế (Visa, MasterCard…). Đây là chuẩn security của dữ liệu thẻ. Nếu một Ngân hàng (Tổ chức thẻ) tham gia tổ chức thẻ lớn cần phải đạt chuẩn PCI-DSS này. Nếu tổ chức thẻ không theo chuẩn PCI-DSS thì khi gặp các sự cố security cho dữ liệu thẻ sẽ bị phát rất nặng. Đây là chuẩn mà dường như các Bank phải triển khai, đối với bank VN hiện PCI-DSS đang bắt đầu đưa vào triển khai và áp dụng.

• PCI áp dụng vào quá trình processes, stores và transmits dữ liệu chủ thẻ.

• Cấu trúc của PCI-DSS:
• 

• Theo thống kê việc tấn công từ bên ngoài chiếm tỷ lệ nhiều nhất

• 

12 yêu cầu của PCI:
1. Xây dựng và duy trì hệ thống mạng bảo mật
Bao gồm: Yêu cầu 1 và Yêu cầu 2: Xây dựng và duy trì hệ thống tường lửa và không dụng các tham số hoặc mật khẩu mặc định.
2. Bảo vệ dữ liệu thẻ thanh toán
Bao gồm: Yêu cầu 3 và Yêu cầu 4: Bảo vệ dữ liệu thẻ thanh toán khi lưu trên hệ thống và trên đường truyền khi giao dịch.
3. Xây dựng và duy trì an ninh mạng
Bao gồm : Yêu cầu 5 và Yêu cầu 6: Sử dụng phần mềm diệt Virus và xây dựng ứng dụng đảm bảo an ninh mạng
4. Xây dựng hệ thống kiểm soát xâm nhập
Bảo gồm: Yêu cầu 7, Yêu cầu 8 và Yêu cầu 9: Theo dõi và giới hạn các tài khoản truy nhập hệ thống, an ninh vật lý.
5. Theo dõi và đánh giá hệ thống thường xuyên
Bao gồm: Yêu cầu 10 và Yêu cầu 11: Ghi log tất cả các truy nhập vào hệ thống và dữ liệu thẻ, thường xuyên scan an ninh hệ thống
6. Chính sách bảo vệ thông tin
Bao gồm: Yêu cầu 12: Xây dựng chính sách bảo vệ thông tin, thiết lập chính sách phản ứng khi có sự cố.

=> Bên đại diện đánh giá họ sẽ scan hệ thống, check hệ thống, check document map với cấu hình thực tế. Chú ý ngoài kỹ thuật đáp ứng các document rất quan trọng trong dự án này, document: tài liệu phân quyền, tài liệu hướng dẫn quản trị từng thiết bị, tài liệu thay đổi, chính sách vận hành....)