Gần đây, tiêu chuẩn PCI DSS phiên bản 3.2.1 đã ngừng hoạt động và được thay thế bằng phiên bản 4.0 vào ngày 1 tháng 4 năm 2024. Phiên bản mới này mang đến những thay đổi quan trọng mà mọi thương nhân và nhà cung cấp dịch vụ xử lý dữ liệu thẻ thanh toán đều cần nắm rõ và lên kế hoạch để đáp ứng các nghĩa vụ tuân thủ.
Nhiều yêu cầu mới là các phương pháp thực hành tốt nhất cho đến ngày 31/3/2025. Tuy nhiên, chúng ta cần bắt đầu lên kế hoạch ngay bây giờ để đảm bảo triển khai và tuân thủ mọi yêu cầu trước khi chúng có hiệu lực trong tương lai.
PCI DSS là gì?
PCI DSS là một tiêu chuẩn toàn cầu được phát triển bởi các tổ chức phát hành thẻ (ví dụ: Visa, Mastercard, v.v.) và một nhóm chuyên gia trong lĩnh vực để đảm bảo an toàn cho quy trình thanh toán bằng thẻ. Các biện pháp kiểm soát bảo mật này bao quát mọi khía cạnh cơ bản của an toàn thông tin và mở rộng ra cả khía cạnh con người, quy trình và công nghệ liên quan đến hệ thống xử lý thẻ thanh toán.
Mọi tổ chức lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ thanh toán đều có nghĩa vụ tuân thủ PCI DSS. Tiêu chuẩn này cũng áp dụng cho các tổ chức có thể gây tác động đến an ninh của môi trường xử lý thẻ tín dụng, chẳng hạn như nhà cung cấp dịch vụ đám mây, cổng thanh toán và nhà cung cấp dịch vụ được quản lý.
Phiên bản 4.0 giải quyết những vấn đề gì?
Tiêu chuẩn này nhằm giải quyết các rủi ro và phương pháp tấn công phát sinh từ các công nghệ mới được sử dụng trong hệ thống thanh toán. Nội dung cập nhật bao gồm:
- Mang đến sự linh hoạt cao hơn bằng cách sử dụng nhiều phương pháp khác nhau để đạt được mục tiêu bảo mật.
- Hỗ trợ nhu cầu bảo mật dựa trên các mối đe dọa ngày càng phát triển.
- Thúc đẩy bảo mật như một dịch vụ liên tục.
- Bao gồm các phương pháp và quy trình xác thực tuân thủ nâng cao.
Sau đây là một số nội dung cập nhật quan trọng trong phiên bản 4.0 mà bạn cần biết:
- Cách tiếp cận tùy chỉnh: Một phương pháp báo cáo mới giúp kiểm tra và xác nhận các yêu cầu dựa trên việc đạt được mục tiêu bảo mật, thay vì chỉ tuân theo các quy tắc cứng nhắc.
- Vai trò và trách nhiệm: Được xác định rõ ràng cho từng yêu cầu nhằm thúc đẩy bảo mật như một quy trình liên tục, đảm bảo mọi công việc được giao và quản lý hiệu quả.
- Tài liệu xác định phạm vi: Ở các phiên bản trước, tài liệu này luôn là yêu cầu bắt buộc để hỗ trợ đánh giá. Tuy nhiên, giờ đây, cần phải cung cấp hiện vật chi tiết và sẽ được đánh giá mỗi năm một lần đối với người bán và 2 năm một lần đối với nhà cung cấp dịch vụ.
- Phân tích rủi ro có mục tiêu: Xác định tần suất của một số hoạt động tuân thủ dựa trên mức độ rủi ro về phần mềm độc hại, ứng dụng và tài khoản hệ thống; kiểm tra Điểm tương tác (POI); xem xét nhật ký; quản lý lỗ hổng; và kiểm tra tính toàn vẹn của dữ liệu trên các trang thanh toán.
- Yêu cầu xác thực đa yếu tố (MFA) mạnh mẽ hơn: MFA sẽ trở thành yêu cầu bắt buộc cho mọi thao tác truy cập vào môi trường dữ liệu của chủ thẻ (CDE), chứ không chỉ riêng quyền quản trị. Yêu cầu này giúp tăng cường bảo mật để chống lại hành vi truy cập trái phép có thể xảy ra.
- Các yêu cầu mới về thương mại điện tử và chống lừa đảo nhằm đối phó với các mối đe dọa hiện tại: Kiểm tra tính toàn vẹn của các đoạn mã trên trang thanh toán và "trách nhiệm bảo vệ" của các hệ thống email.
- Mã hóa và quản lý khóa tốt hơn: Yêu cầu sử dụng khóa mật mã mạnh mẽ, hàm băm có khóa cho Số tài khoản chính (Primary Account Number - PAN) đã lưu trữ, kho lưu trữ và quy trình quản lý khóa riêng biệt.
- Ghi nhật ký và giám sát nâng cao: Ghi nhật ký chi tiết hơn về hoạt động, quyền truy cập và hệ thống cảnh báo trên các môi trường. Tự động hóa việc xem xét nhật ký để phát hiện bất thường và hoạt động đáng ngờ hiệu quả hơn.
- Cải thiện hệ thống quản lý danh tính và quyền truy cập (IAM) và bảo mật mật khẩu: Các yêu cầu và chính sách mạnh mẽ hơn về mật khẩu để chống lại các cuộc tấn công dò mật khẩu. Rà soát và tập trung vào các tài khoản trên hệ thống và ứng dụng, đặc biệt là những tài khoản mà người dùng có thể dùng để đăng nhập trực tiếp.
- Quét các lỗ hổng nội bộ đã xác thực: Cần lên kế hoạch và xác định phạm vi để đảm bảo khắc phục kịp thời mọi vấn đề phát sinh thêm để chuẩn bị cho quy trình đánh giá.
- Quản lý lỗ hổng: Khắc phục các lỗ hổng, không chỉ những lỗ hổng được phân loại là nghiêm trọng hoặc cao.
- Ứng phó với sự cố: Phát hiện số tài khoản chính (PAN) bất thường, các thay đổi trên trang thanh toán, v.v.
Những nội dung cập nhật này chú trọng nhiều hơn vào dữ liệu để bảo vệ thông tin nhạy cảm của chủ thẻ. Đối với người bán và nhà cung cấp dịch vụ, điều này có nghĩa là các tiêu chuẩn mới sẽ yêu cầu phải có thêm kế hoạch, giải pháp kỹ thuật, nguồn lực và ngân sách để đáp ứng việc tuân thủ.
Cam kết bảo mật
Việc áp dụng PCI DSS phiên bản 4.0 sẽ chứng minh cam kết liên tục về bảo mật dữ liệu. Khi chuyển đổi và đáp ứng các tiêu chuẩn mới của lĩnh vực, bạn sẽ tiếp tục được khách hàng tin tưởng, đồng thời đáp ứng được các yêu cầu hiện hành.
Việc ưu tiên bảo vệ thông tin thẻ thanh toán cũng giảm thiểu rủi ro thiệt hại về tài chính và uy tín do các vụ xâm phạm tiềm ẩn, cũng như các khoản phạt do không tuân thủ. Không chỉ vậy, cũng cần phải xác nhận các quy trình xác nhận và chứng thực, có thể là thông qua việc nộp các bảng câu hỏi mới hoặc sửa đổi các chính sách và quy trình nội bộ.
Tải xuống tài liệu Tổng quan về PCI DSS v4.0. Đọc thêm thông tin từ các chuyên gia về niềm tin kỹ thuật số của chúng tôi trong tài liệu Khung An ninh Mạng NIST: Nội dung mới trong phiên bản 2.0 của John Kociak và Chống lại mặt tối của AI của Terry Minford.
Đăng ký nhận bản tin Experts Corner-2-Go trên LinkedIn của chúng tôi để cập nhật những nội dung chia sẻ mới nhất về tư duy lãnh đạo từ các chuyên gia: Niềm tin kỹ thuật số, EHS (Môi trường, Sức khỏe và An toàn), chuỗi cung ứng.
