• Thứ Sáu, 26/08/2011 16:52 (GMT+7)

    Chuẩn bảo mật PCI DSS

    Minh Chí
    Tuy mới xuất hiện ở thị trường Việt Nam nhưng tiêu chuẩn bảo mật PCI DSS đã thu hút sự quan tâm của các ngân hàng cùng các website có hoạt động thanh toán trực tuyến.

    12 yêu cầu

    Tiêu chuẩn PCI DSS được hình thành bởi Hội đồng Tiêu chuẩn Bảo mật (Security Standards Council) dành cho thẻ thanh toán, bao gồm các thành viên ban đầu như: Visa, MasterCard, American Express (AMEX), Discover Financial Services, JCB International. Đây là các tổ chức cung cấp thẻ thanh toán quốc tế phổ biến trên thế giới.

     

    Các doanh nghiệp (DN) muốn áp dụng tiêu chuẩn bảo mật PCI DSS phải sẵn sàng đáp ứng 12 yêu cầu dành cho hệ thống. Đó là các yêu cầu về chính sách an ninh thông tin, quy trình xử lý dữ liệu, cấu trúc mạng máy tính… nhằm đáp ứng các chuẩn mực về an ninh (Security).

    Yêu cầu trên nhằm đảm bảo an toàn cho dữ liệu thẻ trong suốt quá trình xử lý và lưu trữ tại các ngân hàng hoặc các đơn vị có chức năng thanh toán trực tuyến. Đây là tiêu chuẩn về bảo mật thông tin thẻ thanh toán và được áp dụng trên toàn cầu với sự hỗ trợ từ Hội đồng Tiêu chuẩn Bảo mật các loại thẻ thanh toán PCI (Payment Card Industry).

    Theo kết quả khảo sát của Viện Nghiên cứu Ponemon (Mỹ), trong 2009 – 2010 các tổ chức/doanh nghiệp áp dụng chuẩn bảo mật PCI DSS đã giảm thiểu số lần bị đánh cắp dữ liệu so với trước kia. Khoảng 64% DN có áp dụng chuẩn này cho biết họ đã không bị tấn công về dữ liệu thẻ thanh toán trong vòng 2 năm vừa qua. Trong khi đó, chỉ có 38% DN không áp dụng chuẩn PCI DSS cho biết họ không bị tấn công.

    Lợi ích của PCI DSS?

    Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp cho các DN hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ. Tiêu chuẩn này được áp dụng cho tất cả các tổ chức có lưu trữ, xử lý hoặc truyền tải dữ liệu lưu trữ trên thẻ và các tổ chức này bắt buộc phải bảo vệ dữ liệu lưu trên thẻ khi họ thực hiện giao dịch.

    Ông Walter Lee, Tổng Giám đốc Công ty e-Cop Group (Singapore), nhà cung cấp giải pháp bảo mật thông tin nói: việc tuân thủ PCI DSS là một quá trình liên tục và các DN phải thường xuyên áp dụng các chính sách – quy định về an toàn thông tin đã đặt ra theo tiêu chuẩn. Các DN muốn áp dụng tiêu chuẩn cũng không cần sử dụng phần mềm của đơn vị thứ 3 vì e-Cop có phát triển các phần mềm dành cho hệ thống bảo mật theo tiêu chuẩn PCI DSS.

    Với tiêu chuẩn PCI DSS, DN tăng cường mức độ an toàn khi giao dịch trực tuyến thông qua các thẻ thanh toán quốc tế thông dụng
    Hiện nay tại Việt Nam, e-Cop Group có 2 đối tác cung cấp việc tư vấn – thiết kế hệ thống theo tiêu chuẩn PCI DSS là Công ty Misoft và Sao Bắc Đẩu. Bên cạnh đó, còn có đội ngũ chuyên gia tư vấn về PCI DSS của Công ty Vectra Information Security (Singapore).

    Tổ chức thẻ thanh toán quốc tế Visa đã đưa ra kỳ hạn áp dụng tiêu chuẩn PCI DSS đối với các thành viên của hệ thống thanh toán thẻ VisaNet cùng các đối tác kết nối trực tiếp với VisaNet là 30/9/2010. Hiện nay, hầu hết các đơn vị có hoạt động thanh toán trực tuyến tại Việt Nam đều chưa áp dụng tiêu chuẩn PCI DSS và vượt quá kỳ hạn này.

    Theo ông Nguyễn Việt Phương, Phó Giám đốc Trung tâm Tư vấn ngân hàng FIS Bank (thuộc Tập đoàn FPT): Các đơn vị chưa kịp áp dụng tiêu chuẩn PCI DSS có thể bị xử phạt đến 500.000 USD (trên 10 tỉ đồng) tuỳ theo tính chất vụ việc; hoặc xử phạt 90 – 300 USD (1,8 triệu - 6 triệu đồng) cho mỗi dữ liệu thẻ thanh toán bị đánh cắp. Các thành viên chấp nhận hệ thống thẻ thanh toán VisaNet Processors phải chứng minh các dữ liệu thẻ nhạy cảm được bảo vệ an toàn trước thời hạn 30/9/2010. Và đến 30/9/2011 phải gửi báo cáo mức độ đáp ứng với tiêu chuẩn PCI DSS.

    12 yêu cầu về bảo mật thông tin của PCI DSS:

    1. Xây dựng và duy trì hệ thống tường lửa nhằm bảo vệ dữ liệu thẻ thanh toán

    2. Không dùng các tham số hoặc mật khẩu được thiết lập sẵn từ các nhà cung cấp hệ thống (thiết bị mạng, đường truyền Internet…)

    3. Bảo vệ dữ liệu thẻ thanh toán khi lưu trữ trên hệ thống

    4. Mã hóa thông tin thẻ trên đường truyền trong quá trình giao dịch

    5. Sử dụng và cập nhật thường xuyên phần mềm phòng chống virus

    6. Xây dựng - duy trì hệ thống và các ứng dụng đảm bảo an ninh mạng

    7. Hạn chế việc tiếp cận với dữ liệu thẻ thanh toán

    8. Cấp phát và theo dõi các tài khoản truy nhập hệ thống

    9. Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ

    10. Kiểm tra và lưu trữ tất cả các truy nhập vào hệ thống và dữ liệu thẻ

    11. Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống

    12. Xây dựng chính sách bảo vệ thông tin tại doanh nghiệp.
    Trong một số trường hợp nghiêm trọng, nếu các ngân hàng thành viên của các tổ chức cung ứng thẻ thanh toán quốc tế không đáp ứng được tiêu chuẩn PCI DSS, có thể không được thực hiện các giao dịch thanh toán trên mạng. Các ngân hàng thành viên có trách nhiệm đảm bảo các đối tác kết nối thanh toán trực tuyến phải đáp ứng được tiêu chuẩn PCI DSS.

    Áp dụng ra sao?

    Chi hội An toàn Thông tin (VNISA) phía Nam trong tháng 5/2011 đã tổ chức hội thảo giới thiệu về Tiêu chuẩn Bảo mật PCI DSS. Ông Euegene Chai, Giám đốc Phát triển Kinh doanh của Vectra Information Security, đơn vị tư vấn về PCI DSS cho biết: PCI DSS đề cập đến các nhóm vấn đề như: Xây dựng và duy trì hệ thống bảo mật; Bảo vệ dữ liệu thẻ thanh toán; Theo dõi và đánh giá hệ thống… Các tổ chức/doanh nghiệp có thể mất khoảng 2-4 năm cho việc đánh giá hệ thống, xử lý các vấn đề bảo mật, triển khai tiêu chuẩn PCI DSS...

    Các DN muốn áp dụng tiêu chuẩn PCI DSS cần tiến hành đánh giá môi trường làm việc và xác định việc tuân thủ các quy định về bảo mật. Kế đến, phải dựa trên kết quả đánh giá của các chuyên gia kiểm định hệ thống thông tin (Auditor) để vá các lỗ hổng bảo mật (nếu có). Sau đó, DN bắt đầu triển khai các chính sách an toàn thông tin, xây dựng tường lửa bảo vệ dữ liệu thẻ, thiết lập hệ thống phòng chống xâm nhập trái phép…

    Từ cuối năm 2008, các ngân hàng thành viên của hệ thống Smartlink tại Việt Nam đã kết nối với hệ thống thanh toán thẻ quốc tế VisaNet. Điều này giúp cho cả 2 hệ thống thanh toán có thể tận dụng số lượng trạm rút tiền tự động bằng thẻ ATM và thẻ tín dụng hiện có. Đây cũng là một điều kiện cần để hướng đến việc các ngân hàng Việt Nam bắt đầu áp dụng tiêu chuẩn PCI DSS.

    Theo ông Phương, FIS Bank: Các ngân hàng tại Việt Nam cần quyết định sớm trong việc triển khai tiêu chuẩn bảo mật PCI DSS. Họ có thể xác định chiến lược triển khai và sắp xếp thứ tự ưu tiên cho từng giai đoạn thiết lập hệ thống bảo mật. Để triển khai PCI DSS thành công, cần có sự cam kết và hỗ trợ mạnh mẽ từ các cấp lãnh đạo các ngân hàng.

     

     

    ID: B1107_58