Tài khoản
Mật khẩu
Ghi nhớ
PCI DSS là một trong những tiêu chuẩn phổ biến liên quan đến dữ liệu thẻ thanh toán. Bên cạnh PCI DSS, có rất nhiều các tiêu chuẩn khác mà doanh nghiệp cần tuân thủ nhằm đảm bảo an toàn dữ liệu cũng như bảo mật hệ thống thông tin
PCI DSS là Tiêu chuẩn Bảo mật dữ liệu ngành thẻ thanh toán, gồm một tập hợp các yêu cầu bảo mật do Hội đồng PCI SSC thiết lập để đảm bảo rằng tất cả các tổ chức xử lý, lưu trữ và truyền dữ liệu thẻ tín dụng/ dữ liêu chủ thẻ duy trì một môi trường an toàn. Hội đồng PCI SSC được thành lập bởi các thương hiệu thẻ tín dụng lớn như Visa, MasterCard, American Express, Discover, JCB thực hiện xếp hạng mức độ tuân thủ PCI DSS ở bốn cấp độ chính cho các đơn vị chấp nhận thẻ thanh toán (merchant), đơn vị cung cấp dịch vụ thanh toán (PSP), và các đơn vị phát hành thẻ (ngân hàng) hoặc lưu trữ dữ liệu thẻ, cụ thể như sau: Cấp độ Tiêu chí Yêu cầu PCI Tổ chức chấp nhận thẻ thanh toán (Merchant) Tổ chức cung cấp dịch vụ thanh toán (PSP) Tổ chức phát hành thẻ | Đơn vị lưu trữ dữ liệu thẻ 4 Merchant xử lý dưới 20.000 giao dịch Visa/ Mastercard hàng năm Không áp dụng Không áp dụng – Hoàn thành bảng câu hỏi tự đánh giá (SAQ) hàng năm – ASV Scanning mỗi 3 tháng 3 – Merchant xử lý từ 20.000 đến 1 triệu giao dịch Visa, Mastercard hàng năm Không áp dụng Không áp dụng – Hoàn thành bảng câu hỏi tự đánh giá (SAQ) hàng năm – Merchant xử lý 20.000 đến 1 triệu giao dịch thẻ Discover hàng năm – ASV Scanning mỗi 3 tháng – Merchant xử lý dưới 50.000 giao dịch American Express hàng năm – IVS Scanning mỗi 3 tháng 2 – Merchant xử lý từ 1 – 6 triệu giao dịch Visa, Mastercard hoặc Discover hàng năm qua bất kỳ kênh thanh toán nào PSP xử lý ít hơn 300.000 giao dịch Visa, Mastercard, American Express hoặc Discover Không áp dụng – Hoàn thành bảng câu hỏi tự đánh giá (SAQ) hàng năm – Merchant xử lý từ 50.000 đến 2,5 triệu giao dịch American Express hàng năm – ASV Scanning mỗi 3 tháng – Merchant xử lý dưới 1 triệu giao dịch JCB hàng năm – IVS Scanning mỗi 3 tháng 1 – Merchant xử lý hơn 6 triệu giao dịch Visa, Mastercard, Discover hàng năm thông qua tất cả các kênh thanh toán PSP xử lý hơn 300.000 giao dịch Visa, Mastercard, American Express, Discover Tổ chức phát hành thẻ | Đơn vị lưu trữ dữ liệu thẻ – Báo cáo tuân thủ (AoC và RoC) do QSA chứng nhận – Merchant xử lý hơn 1 triệu giao dịch JCB – ASV Scanning mỗi 3 tháng – Merchant bị vi phạm dữ liệu hoặc bị tấn công mạng dẫn đến dữ liệu chủ thẻ (CHD) bị vi phạm – IVS Scanning mỗi 3 tháng -Người bán được 1 thương hiệu thẻ xác định cần đạt PCI LV1 – Penetration Testing
PCI DSS là Tiêu chuẩn Bảo mật dữ liệu ngành thẻ thanh toán, gồm một tập hợp các yêu cầu bảo mật do Hội đồng PCI SSC thiết lập để đảm bảo rằng tất cả các tổ chức xử lý, lưu trữ và truyền dữ liệu thẻ tín dụng/ dữ liêu chủ thẻ duy trì một môi trường an toàn. Hội đồng PCI SSC được thành lập bởi các thương hiệu thẻ tín dụng lớn như Visa, MasterCard, American Express, Discover, JCB thực hiện xếp hạng mức độ tuân thủ PCI DSS ở bốn cấp độ chính cho các đơn vị chấp nhận thẻ thanh toán (merchant), đơn vị cung cấp dịch vụ thanh toán (PSP), và các đơn vị phát hành thẻ (ngân hàng) hoặc lưu trữ dữ liệu thẻ, cụ thể như sau:
Xác định các hệ thống liên quan môi trường dữ liệu chủ thẻ
Kiểm tra tuân thủ của phạm vi đã xác định theo yêu cầu PCI DSS
Người đánh giá và/ hoặc đơn vị hoàn thành các tài liệu bắt buộc
Thực hiện khắc phục khoảng cách PCI và cung cấp báo cáo cập nhật
Gửi SAQ/ ROC, AOC và các tài liệu hỗ trợ được yêu cầu khác cho tổ chức áp đặt tiêu chuẩn
QSA cấp chứng nhận tuân thủ thích hợp (AoC)
Dịch vụ đa dạng
Chi phí linh hoạt
Tư vấn triển khai
Hỗ trợ trong suốt quá trình tuân thủ
Ngành công nghiệp thẻ thanh toán – Tiêu chuẩn bảo mật dữ liệu thường được gọi là PCI -DSS là tiêu chuẩn bảo mật do Hội đồng Tiêu chuẩn Bảo mật PCI đặt ra.
Tiêu chuẩn phác thảo các yêu cầu kỹ thuật và hoạt động cần thiết để bảo vệ dữ liệu chủ thẻ.
Tiêu chuẩn PCI DSS bao gồm 12 yêu cầu được phân loại để đạt được 6 Tiêu chí lớn.
1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
2. Không sử dụng mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác
3. Bảo vệ dữ liệu chủ thẻ được lưu trữ
4. Mã hóa việc truyền dữ liệu chủ thẻ trên các mạng công cộng mở
6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật
Tiêu chuẩn PCI DSS áp dụng cho tất cả các đơn vị trong chuỗi dịch vụ thẻ thanh toán – đến tất cả các đơn vị có lưu trữ, xử lý và truyền dữ liệu chủ thẻ.
Trong thuật ngữ PCI, tiêu chuẩn áp dụng cho tất cả Merchant và Service Providers.
Nói đơn giản, nếu bạn chấp nhận và xử lý thẻ thanh toán – PCI DSS là yêu cầu bắt buộc tuân thủ.
Có chứng nhận PCI DSS giúp doanh nghiệp tránh việc mất uy tín và tiền bạc. Bởi lẽ, 12 yêu cầu được đưa ra bởi PCI SSC cung cấp niềm tin cho khách hàng rằng doanh nghiệp là an toàn khi hoạt động và tương tác với.
Chứng nhận tuân thủ hiệu quả trong việc tránh xâm phạm và giúp doanh nghiệp tránh khỏi nhiều trở ngại. Theo các chuyên gia ngành thanh toán và bảo mật, việc triển khai các thực tiễn tốt nhất PCI và đảm bảo tuân thủ là điều nên làm. Việc đánh giá lại hàng năm cho phép doanh nghiệp luôn theo dõi được với các hiểm hoạ bảo mật.
Đội ngũ Chuyên gia đánh giá bảo mật đủ điều kiện (QSA) của chúng tôi đưa ra kinh nghiệm rộng lớn của họ về miền thẻ thanh toán trên toàn ngành để giúp bạn dễ dàng tuân thủ. Phương pháp luận của chúng tôi là tài sản lớn nhất của chúng tôi khi cung cấp hỗ trợ tư vấn và triển khai PCI DSS.
Liên quan đến việc xác định tất cả các thành phần hệ thống lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ.
Phân đoạn mạng được sử dụng như một con át chủ bài để giảm phạm vi. Nó được thực hiện bằng cách cô lập môi trường dữ liệu của chủ thẻ với phần còn lại.
Liên quan đến việc so sánh trạng thái của các biện pháp kiểm soát an toàn thông tin hiện có trong tổ chức với các yêu cầu được nêu trong tiêu chuẩn PCI-DSS.
Chúng tôi cung cấp khuyến nghị / tư vấn ở bất cứ nơi nào có thách thức để đáp ứng các yêu cầu được nêu trong tiêu chuẩn PCI-DSS.
Có một giai đoạn tất cả hoặc không có gì trong nỗ lực đạt được sự tuân thủ PCI DSS. Và, đây là lúc việc triển khai hoặc sửa chữa các biện pháp kiểm soát bảo mật tạo nên sự khác biệt.
Để được hỗ trợ kỹ thuật, chúng tôi cũng mời đội Kỹ thuật của mình đến. Nhóm Kỹ thuật của chúng tôi mang đến chuyên môn kỹ thuật để lập mô hình mối đe dọa, xác định và quản lý lỗ hổng bảo mật.
Đây là bài tập cần phải thực hiện chính xác trước khi chứng nhận PCI DSS.
Nó đảm bảo rằng tất cả các tài liệu chính sách đã cập nhật, tất cả các khoảng cách và biện pháp khắc phục đã được chỉ ra hiệu quả và toàn bộ đội ngũ đã sẵn sàng cho chứng nhận.
Chứng nhận PCI-DSS yêu cầu thu thập toàn bộ bằng chứng bởi QSA, chuẩn bị báo cáo giải trình sự tuân thủ với tất cả các yêu cầu có trong tiêu chuẩn PCI DSS và xác nhận chúng với sự giám sát quy trình, cấu hình và thảo luận.
Và đánh giá này cần gia hạn hàng năm.
PCI-DSS là một trong những tiêu chuẩn bảo mật thông tin yêu thích của chúng tôi trong sản phẩm. Không chỉ bởi vì nó là một trong những tiêu chuẩn bảo mật thông tin hoàn thiện hiện có, mà còn bởi vì nó đang phát triển, lấy cộng đồng làm trung tâm và miễn phí cho bất kỳ ai tuân theo.
Chúng tôi có thể giúp bạn bắt đầu một lộ trình hướng tới chứng nhận thành công và tuân thủ lâu dài.
Nếu bạn đang thực hiện tuân thủ hoặc đang chuẩn bị gia hạn chứng nhận, chúng tôi có thể giúp bạn trong bước chân cuối cùng của sự thành công – Chứng nhận PCI DSS.
Chúng tôi khảo sát nhanh các thiết lập của bạn và bắt đầu đánh giá để cung cấp cho bạn chứng nhận.
Chương trình PCI DSS của chúng tôi có thể giúp bạn trong việc cung cấp vai trò và trách nhiệm cho những nhân sự quan trọng trong lộ trình tuân thủ của bạn. Chương trình đào tạo của chúng tôi được thiết kế cho:
Chúng tôi cung cấp dịch vụ hỗ trợ để chỉ ra tất cả các cản trở kỹ thuật liên quan đến tuân thủ PCI DSS
Đánh giá kiểm thử xâm nhập mạng
Bảo mật ứng dụng web
Bảo mật ứng dụng Mobile
Tìm kiếm dữ liệu thẻ thanh toán
Thiết lập nhật ký quản lý
Hướng dẫn quy trình và chính sách
Hội đồng tiêu chuẩn bảo mật PCI chỉ ra 2 đối tượng có làm việc với dữ liệu chủ thẻ, Merchant và Service Providers trong chuẩn bảo mật Dữ liệu. Có những tiêu chuẩn riêng trong PCI DSS mà chỉ Service Provider mới cần tuân thủ.
Hơn nữa, hội đồng cũng tạo ra bộ câu hỏi tự đánh giá (SAQ) cho tất cả Merchant và Service Provider mà các rủi ro của họ không quá đáng chú ý và có thể đánh giá SAQ theo yêu cầu của các ngân hàng và hãng thẻ.
Hiện tại có 8 câu hỏi PCI được tạo bởi các loại Merchant.
Có, tất cả các đơn vị kinh doanh chấp nhận thẻ (như một lựa chọn thanh toán) hoặc xử lý số thẻ sẽ cần phải tuân thủ PCI DSS. Tuy nhiên, sẽ cần chủ ý rằng số lượng yêu cầu và nỗ lực có thể thấp hơn để xác nhận tuân thủ.
Để tuân thủ PCI DSS, doanh nghiệp của bạn cần đạt 12 yêu cầu và 300 yêu cầu phụ được phác thảo trong tiêu chuẩn PCI DSS. Để biết rằng doanh nghiệp đã đạt 12 yêu cầu, bạn cần làm việc với QSA, người có thể đánh giá môi trường của bạn và xác nhận việc tuân thủ.
Một QSA sẽ thực hiện và đánh giá môi trường hoạt động và ước lượng mức độ tuân thủ với 12 yêu cầu và 300 yêu cầu phụ của tiêu chuẩn PCI DSS.
Khi đánh giá hoàn tất, QSA sẽ cấp cho bạn chứng nhận tuân thủ PCI DSS. Chứng nhận sẽ là điểm nhận diện các nỗ lực bạn đã ưu tiên trong bảo mật.
PA DSS, cũng được coi là Thực tiễn tốt nhất của ứng dụng thanh toán, là một giải pháp của PCI DSS. Nó xác nhận những ứng dụng thanh toán tham gia ủy quyền thanh toán và thanh toán và được bán, phân phối và / hoặc cấp phép cho bên thứ ba.
Trong PA-DSS thuật ngữ ‘Ủy quyền’ đề cập đến ủy quyền thanh toán của ngân hàng phát hành. Ứng dụng nên tham gia ủy quyền đến mức nhận được dữ liệu theo dõi và dữ liệu xác thực nhạy cảm và xử lý nó để hoàn thành quá trình ủy quyền. Để làm rõ thêm một chút, điều này có nghĩa là đơn đăng ký của bạn sẽ không đủ điều kiện để liệt kê với Hội đồng PCI nếu bạn không đáp ứng các tiêu chí trên.
Ghi chú: Trong trường hợp ứng dụng thanh toán được phát triển bởi tổ chức để sử dụng bên trong, thì nó sẽ là một phần của phạm vi PCI DSS.
PCI về cơ bản yêu cầu các thương nhân, nhà cung cấp dịch vụ và ngân hàng chỉ sử dụng các ứng dụng của bên thứ ba tuân thủ PA DSS. Các ứng dụng như vậy không lưu trữ dữ liệu bị cấm, chẳng hạn như dải từ đầy đủ, CVV2 hoặc dữ liệu PIN.
Đơn xin thanh toán phải được kiểm toán và chứng nhận bởi PA QSA để đạt được sự tuân thủ PA DSS. Chứng nhận PA DSS cho một ứng dụng thanh toán kéo dài trong ba năm nhưng ứng dụng được yêu cầu phải được kiểm tra một lần trong một năm. Điều làm cho PA DSS nổi bật là những thực tiễn tốt nhất trong ngành mà nó thúc đẩy, đó là:
Nhóm QSA của chúng tôi là một nhóm các nhà tư vấn công nghệ được tập hợp cẩn thận, những người đã thực hiện thành công một số cam kết dưới thời của họ. Chúng tôi có một phương pháp luận đã được xác định và thử nghiệm rõ ràng để thực hiện các đánh giá và kiểm toán PA DSS. Cùng với đó, chúng tôi cố gắng làm cho Tiêu chuẩn bảo mật dữ liệu của PA bớt khó hiểu và phức tạp hơn để bạn có thể hiểu được. Để đạt được mục tiêu của mình, chúng tôi chia hoạt động của PA DSS thành hai bước:
Để đảm bảo phát triển phần mềm an toàn, cần phải áp dụng mã bảo mật trong SDLC và các thông lệ ngành tốt nhất trong tổ chức, ngay từ đầu.
Tiêu chuẩn bảo mật dữ liệu PA yêu cầu nhân viên (liên quan đến sự phát triển của Ứng dụng thanh toán) phải nhận thức rõ ràng về tiêu chuẩn bảo mật PA DSS và các yêu cầu bên trong. Nhóm các doanh nghiệp vừa vànhỏ của Crossbow Labs với kinh nghiệm dày dặn của mình đã cẩn thận thiết kế và tùy chỉnh khóa đào tạo PA DSS.
Phù hợp với nhu cầu và mục tiêu kinh doanh của bạn, các khóa đào tạo của chúng tôi sẽ giúp tổ chức của bạn:
Sau đó, bạn sẽ có được những hiểu biết thực tế về việc triển khai các phương pháp bảo mật tốt nhất và biết giá trị của QSA khi xác thực tuân thủ PA DSS.
Bảng câu hỏi tự đánh giá PCI (SAQ) là một kế hoạch chi tiết dành cho các đơn vị chấp nhận thẻ thanh toán (merchant) và nhà cung cấp dịch vụ thanh toán (PSP) để tuân thủ PCI DSS. SAQ hoạt động giống như một danh sách kiểm tra để đảm bảo bạn không bỏ lỡ các yêu cầu bảo mật áp dụng cho doanh nghiệp của mình.
Vì các phương thức xử lý thanh toán qua thẻ thanh toán khác nhau giữa các doanh nghiệp, nên có các SAQ khác nhau cho mỗi biến thể. Dựa trên mô hình kinh doanh, một hoặc nhiều loại SAQ có thể áp dụng cho tổ chức của bạn.
Bluebits cung cấp dịch vụ PCI SAQ với các lựa chọn như sau:
MÃ PIN PCI là một tập hợp các yêu cầu được xác định bởi Hội đồng Tiêu chuẩn Bảo mật PCI để xử lý an toàn dữ liệu số nhận dạng cá nhân (PIN) trong quá trình xử lý thanh toán tại các máy ATM hoặc thiết bị đầu cuối điểm bán hàng (POS). Các yêu cầu về PCI PIN và PCI PTS nhấn mạnh vào việc duy trì bảo mật vật lý và logic của các thiết bị POS (điểm bán hàng), dịch vụ pin pad và UPT. Mục đích của tiêu chuẩn này là giảm sốlượng gian lận thẻ tín dụng xung quanh các thiết bị Point-of-Sale. Tiêu chuẩn PIN PCI cũng đảm bảo quản lý bảo mật xung quanh thiết bị nhập mã PIN tích hợp. Nó đảm bảo rằng việc tích hợp các thành phần được phê duyệt trước đó không làm giảm bảo mật tổng thể tại POS. Tiêu chuẩn đặt tầm quan trọng trong việc đọc và trao đổi an toàn dữ liệu chủ thẻ cũng như quản lý thiết bị (ngay từ giai đoạn sản xuất cho đến khi tải khóa ban đầu).
Các chuyên gia bảo mật của chúng tôi giúp thực hiện môi trường đáp ứng các yêu cầu bảo mật pin và giúp bạn sẵn sàng kiểm toán tuân thủ. Chúng tôi nhằm mục đích cải thiện tính bảo mật của thiết bị đầu cuối thanh toán của bạn bằng cách thực hiện cả kiểm tra thâm nhập phần mềm và phần cứng. Điều này giúp chúng tôi trong việc tìm kiếm khoảng trống và đề xuất các giải pháp để giải quyết chúng.
Chúng tôi chia nỗ lực tư vấn và hướng dẫn PCI – PIN thành ba nỗ lực dễ dàng:
Là phương châm làm việc của chúng tôi
12 năm kinh nghiệm
Đổi sản phẩm 7 ngày
Giao dịch an toàn
Dịch vụ chất lượng
Đăng nhập