Các dịch vụ tuân thủ

PCI DSS là một trong những tiêu chuẩn phổ biến liên quan đến dữ liệu thẻ thanh toán. Bên cạnh PCI DSS, có rất nhiều các tiêu chuẩn khác mà doanh nghiệp cần tuân thủ nhằm đảm bảo an toàn dữ liệu cũng như bảo mật hệ thống thông tin

Tổng quan

Với hiện trạng môi trường doanh nghiệp ngày càng mở rộng, nhu cầu làm việc từ xa cũng như thanh toán trực tuyến trở nên phổ biến, việc bảo vệ các dữ liệu khách hàng cũng như dữ liệu doanh nghiệp là điều hết sức quan trọng. Các tiêu chuẩn bảo mật được xây dựng nhằm đáp ứng các nhu cầu đó và giải quyết bài toán an toàn dữ liệu. Tại Bluebit, chúng tôi cung cấp các dịch vụ đánh giá tuân thủ sau:

PCI DSS

Tiêu chuẩn đánh giá an toàn bảo mật dữ liệu chủ thẻ

PA DSS

Tiêu chuẩn đánh giá an toàn dữ liệu thẻ cho ứng dụng

ISO 27001

Tiêu chuẩn đảm bảo an toàn thông tin cho hệ thống doanh nghiệp

PCI PIN

Tiêu chuẩn an ninh cho việc xử lý dữ liệu cá nhân

Lợi ích khi đạt tuân thủ

An ninh dữ liệu

Mọi dữ liệu được bảo mật

Nhận thức bảo mật

Con người, quy trình, hệ thống được củng cố

Hoạt động linh hoạt

Các tiêu chuẩn được đánh giá phù hợp với môi trường doanh nghiệp

Hệ thống vững chắc

Đảm bảo an toàn trước các rủi ro về dữ liệu

Thúc đẩy kinh doanh

Chứng nhận giúp bạn thuyết phục khách hàng, đối tác giao dịch với bạn

Tài liệu hoá quy trình

Các quy trình, chính sách được tài liệu hoá

Tại sao Bluebits

Triển khai nhanh

Chi phí linh hoạt

Kinh nghiệm hỗ trợ

Bạn đã hiểu rõ về cách thức chúng tôi giúp bạn đánh giá các tiêu chuẩn này chưa?

Hãy xem chi tiết phương thức chúng tôi giúp bạn tiếp cận và đạt tiêu chuẩn ở các tab tương ứng nhé!

Bảo vệ dữ liệu thanh toán của khách hàng và bảo vệ doanh nghiệp của bạn khỏi vi phạm dữ liệu

Ngành công nghiệp thẻ thanh toán – Tiêu chuẩn bảo mật dữ liệu thường được gọi là PCI -DSS là tiêu chuẩn bảo mật do Hội đồng Tiêu chuẩn Bảo mật PCI đặt ra.

Tiêu chuẩn phác thảo các yêu cầu kỹ thuật và hoạt động cần thiết để bảo vệ dữ liệu chủ thẻ.

Giới thiệu về PCI – DSS

Tiêu chuẩn PCI DSS bao gồm 12 yêu cầu được phân loại để đạt được 6 Tiêu chí lớn.

 

Tiêu chí Yêu cầu PCI – DSS
Xây dựng và duy trì mạng và hệ thống an toàn

1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ

2. Không sử dụng mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác

Bảo vệ dữ liệu chủ thẻ

3. Bảo vệ dữ liệu chủ thẻ được lưu trữ 

4. Mã hóa việc truyền dữ liệu chủ thẻ trên các mạng công cộng mở

Duy trì chương trình quản lý lỗ hổng 5. Bảo vệ tất cả các hệ thống chống lại phần mềm độc hại và thường xuyên cập nhật phần mềm hoặc chương trình chống vi-rút

6. Phát triển và duy trì các hệ thống và ứng dụng an toàn

Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ 7. Hạn chế quyền truy cập vào dữ liệu chủ thẻ của doanh nghiệp cần biết
8. Xác định và xác thực quyền truy cập vào các thành phần hệ thống

9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ

Thường xuyên theo dõi và kiểm tra mạng lưới 10. Theo dõi và giám sát tất cả truy cập vào tài nguyên mạng và dữ liệu chủ thẻ 

11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật

Duy trì chính sách bảo mật thông tin 12. Duy trì chính sách giải quyết vấn đề bảo mật thông tin cho tất cả nhân viên

Tiêu chuẩn PCI DSS áp dụng cho tất cả các đơn vị trong chuỗi dịch vụ thẻ thanh toán – đến tất cả các đơn vị có lưu trữ, xử lý và truyền dữ liệu chủ thẻ.

Trong thuật ngữ PCI, tiêu chuẩn áp dụng cho tất cả Merchant và Service Providers.

Nói đơn giản, nếu bạn chấp nhận và xử lý thẻ thanh toán – PCI DSS là yêu cầu bắt buộc tuân thủ.

Có chứng nhận PCI DSS giúp doanh nghiệp tránh việc mất uy tín và tiền bạc. Bởi lẽ, 12 yêu cầu được đưa ra bởi PCI SSC cung cấp niềm tin cho khách hàng rằng doanh nghiệp là an toàn khi hoạt động và tương tác với.

Chứng nhận tuân thủ hiệu quả trong việc tránh xâm phạm và giúp doanh nghiệp tránh khỏi nhiều trở ngại. Theo các chuyên gia ngành thanh toán và bảo mật, việc triển khai các thực tiễn tốt nhất PCI và đảm bảo tuân thủ là điều nên làm. Việc đánh giá lại hàng năm cho phép doanh nghiệp luôn theo dõi được với các hiểm hoạ bảo mật.

Phương pháp tiếp cận của chúng tôi đối với PCI - DSS

Đội ngũ Chuyên gia đánh giá bảo mật đủ điều kiện (QSA) của chúng tôi đưa ra kinh nghiệm rộng lớn của họ về miền thẻ thanh toán trên toàn ngành để giúp bạn dễ dàng tuân thủ. Phương pháp luận của chúng tôi là tài sản lớn nhất của chúng tôi khi cung cấp hỗ trợ tư vấn và triển khai PCI DSS.

  • Xác định phạm vi

    Liên quan đến việc xác định tất cả các thành phần hệ thống lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ.

    Phân đoạn mạng được sử dụng như một con át chủ bài để giảm phạm vi. Nó được thực hiện bằng cách cô lập môi trường dữ liệu của chủ thẻ với phần còn lại.

  • Phân tích khoảng cách

    Liên quan đến việc so sánh trạng thái của các biện pháp kiểm soát an toàn thông tin hiện có trong tổ chức với các yêu cầu được nêu trong tiêu chuẩn PCI-DSS.

    Chúng tôi cung cấp khuyến nghị / tư vấn ở bất cứ nơi nào có thách thức để đáp ứng các yêu cầu được nêu trong tiêu chuẩn PCI-DSS.

  • Triển khai

    Có một giai đoạn tất cả hoặc không có gì trong nỗ lực đạt được sự tuân thủ PCI DSS. Và, đây là lúc việc triển khai hoặc sửa chữa các biện pháp kiểm soát bảo mật tạo nên sự khác biệt.

    Để được hỗ trợ kỹ thuật, chúng tôi cũng mời đội Kỹ thuật của mình đến. Nhóm Kỹ thuật của chúng tôi mang đến chuyên môn kỹ thuật để lập mô hình mối đe dọa, xác định và quản lý lỗ hổng bảo mật.

  • Kiểm toán lần cuối

    Đây là bài tập cần phải thực hiện chính xác trước khi chứng nhận PCI DSS.

    Nó đảm bảo rằng tất cả các tài liệu chính sách đã cập nhật, tất cả các khoảng cách và biện pháp khắc phục đã được chỉ ra hiệu quả và toàn bộ đội ngũ đã sẵn sàng cho chứng nhận.

  • Chứng nhận

    Chứng nhận PCI-DSS yêu cầu thu thập toàn bộ bằng chứng bởi QSA, chuẩn bị báo cáo giải trình sự tuân thủ với tất cả các yêu cầu có trong tiêu chuẩn PCI DSS và xác nhận chúng với sự giám sát quy trình, cấu hình và thảo luận.

    Và đánh giá này cần gia hạn hàng năm.

Chúng tôi có thể hỗ trợ bạn với

Bắt đầu

Trung tâm tài liệu

Our Perspective

1. Tiêu chuẩn Bảo mật Dữ liệu có giống nhau đối với tất cả các tổ chức xử lý dữ liệu của chủ thẻ không?

Hội đồng tiêu chuẩn bảo mật PCI chỉ ra 2 đối tượng có làm việc với dữ liệu chủ thẻ, Merchant và Service Providers trong chuẩn bảo mật Dữ liệu. Có những tiêu chuẩn riêng trong PCI DSS mà chỉ Service Provider mới cần tuân thủ.

Hơn nữa, hội đồng cũng tạo ra bộ câu hỏi tự đánh giá (SAQ) cho tất cả Merchant và Service Provider mà các rủi ro của họ không quá đáng chú ý và có thể đánh giá SAQ theo yêu cầu của các ngân hàng và hãng thẻ.

Hiện tại có 8 câu hỏi PCI được tạo bởi các loại Merchant.

2. Các pháp nhân kinh doanh có bộ xử lý thanh toán của Bên thứ 3 có yêu cầu tuân thủ PCI DSS không?

Có, tất cả các đơn vị kinh doanh chấp nhận thẻ (như một lựa chọn thanh toán) hoặc xử lý số thẻ sẽ cần phải tuân thủ PCI DSS. Tuy nhiên, sẽ cần chủ ý rằng số lượng yêu cầu và nỗ lực có thể thấp hơn để xác nhận tuân thủ.

3. Tuân thủ PCI DSS có nghĩa là gì?

Để tuân thủ PCI DSS, doanh nghiệp của bạn cần đạt 12 yêu cầu và 300 yêu cầu phụ được phác thảo trong tiêu chuẩn PCI DSS. Để biết rằng doanh nghiệp đã đạt 12 yêu cầu, bạn cần làm việc với QSA, người có thể đánh giá môi trường của bạn và xác nhận việc tuân thủ.

4. Chứng chỉ PCI là gì?

Một QSA sẽ thực hiện và đánh giá môi trường hoạt động và ước lượng mức độ tuân thủ với 12 yêu cầu và 300 yêu cầu phụ của tiêu chuẩn PCI DSS.

Khi đánh giá hoàn tất, QSA sẽ cấp cho bạn chứng nhận tuân thủ PCI DSS. Chứng nhận sẽ là điểm nhận diện các nỗ lực bạn đã ưu tiên trong bảo mật.

Liên hệ

PA DSS là gì ?

PA DSS, cũng được coi là Thực tiễn tốt nhất của ứng dụng thanh toán, là một giải pháp của PCI DSS. Nó xác nhận những ứng dụng thanh toán tham gia ủy quyền thanh toán và thanh toán và được bán, phân phối và / hoặc cấp phép cho bên thứ ba.

Trong PA-DSS thuật ngữ ‘Ủy quyền’ đề cập đến ủy quyền thanh toán của ngân hàng phát hành. Ứng dụng nên tham gia ủy quyền đến mức nhận được dữ liệu theo dõi và dữ liệu xác thực nhạy cảm và xử lý nó để hoàn thành quá trình ủy quyền. Để làm rõ thêm một chút, điều này có nghĩa là đơn đăng ký của bạn sẽ không đủ điều kiện để liệt kê với Hội đồng PCI nếu bạn không đáp ứng các tiêu chí trên.

Ghi chú: Trong trường hợp ứng dụng thanh toán được phát triển bởi tổ chức để sử dụng bên trong, thì nó sẽ là một phần của phạm vi PCI DSS.

PCI về cơ bản yêu cầu các thương nhân, nhà cung cấp dịch vụ và ngân hàng chỉ sử dụng các ứng dụng của bên thứ ba tuân thủ PA DSS. Các ứng dụng như vậy không lưu trữ dữ liệu bị cấm, chẳng hạn như dải từ đầy đủ, CVV2 hoặc dữ liệu PIN.

Tại sao phải chứng nhận?

Đơn xin thanh toán phải được kiểm toán và chứng nhận bởi PA QSA để đạt được sự tuân thủ PA DSS. Chứng nhận PA DSS cho một ứng dụng thanh toán kéo dài trong ba năm nhưng ứng dụng được yêu cầu phải được kiểm tra một lần trong một năm. Điều làm cho PA DSS nổi bật là những thực tiễn tốt nhất trong ngành mà nó thúc đẩy, đó là:

  • Bảo vệ dữ liệu chủ thẻ được lưu trữ
  • Nhật ký hoạt động ứng dụng
  • Không giữ lại đầy đủ dải từ, CVV / CVC hoặc dữ liệu khối PIN
  • Không lưu trữ dữ liệu chủ thẻ trên máy chủ được kết nối Internet
  • Phát triển các ứng dụng bảo mật
  • Mã hóa lưu lượng truy cập nhạy cảm qua mạng công cộng
  • Cung cấp các tính năng mật khẩu an toàn
  • Bảo vệ truyền dẫn không dây
  • Tạo điều kiện cập nhật phần mềm từ xa an toàn
  • Thử nghiệm các ứng dụng để giải quyết các lỗ hổng
  • Mã hóa tất cả truy cập quản trị không phải bảng điều khiển
  • Tạo điều kiện triển khai mạng an toàn
  • Duy trì tài liệu
  • Tạo điều kiện truy cập từ xa an toàn vào các ứng dụng

Tư vấn bảo mật ứng dụng thanh toán

Nhóm QSA của chúng tôi là một nhóm các nhà tư vấn công nghệ được tập hợp cẩn thận, những người đã thực hiện thành công một số cam kết dưới thời của họ. Chúng tôi có một phương pháp luận đã được xác định và thử nghiệm rõ ràng để thực hiện các đánh giá và kiểm toán PA DSS. Cùng với đó, chúng tôi cố gắng làm cho Tiêu chuẩn bảo mật dữ liệu của PA bớt khó hiểu và phức tạp hơn để bạn có thể hiểu được. Để đạt được mục tiêu của mình, chúng tôi chia hoạt động của PA DSS thành hai bước:

  • Khởi tạo đánh giá khoảng cách: Khi chúng ta đã quen với đơn đăng ký thanh toán của bạn, chúng tôi sẽ thực hiện đánh giá mã cùng với việc xem xét nội dung tệp nhật ký và các mục nhập cơ sở dữ liệu. Sau đó, chúng tôi thực hiện kiểm tra thâm nhập để tìm ra lỗ hổng trong ứng dụng và cung cấp hỗ trợ khắc phục.
  • Báo cáo cuối: Khi các lỗ hổng đã được khắc phục, chúng tôi thực hiện đánh giá lần cuối ứng dụng và cung cấp RoV (Báo cáo về việc xác thực). Bằng cách này, ứng dụng của bạn được chứng nhận và được liệt kê trong Danh sách Đơn đăng ký Thanh toán Hợp lệ trên trang web PCI SSC.

Đào tạo PA DSS

Để đảm bảo phát triển phần mềm an toàn, cần phải áp dụng mã bảo mật trong SDLC và các thông lệ ngành tốt nhất trong tổ chức, ngay từ đầu.

Tiêu chuẩn bảo mật dữ liệu PA yêu cầu nhân viên (liên quan đến sự phát triển của Ứng dụng thanh toán) phải nhận thức rõ ràng về tiêu chuẩn bảo mật PA DSS và các yêu cầu bên trong. Nhóm các doanh nghiệp vừa vànhỏ của Crossbow Labs với kinh nghiệm dày dặn của mình đã cẩn thận thiết kế và tùy chỉnh khóa đào tạo PA DSS.

Phù hợp với nhu cầu và mục tiêu kinh doanh của bạn, các khóa đào tạo của chúng tôi sẽ giúp tổ chức của bạn:

  • Nâng cấp văn hóa bảo mật
  • Giảm khả năng mất dữ liệu và
  • Làm cho các yêu cầu PA DSS dễ hiểu và dễ thực hiện

Sau đó, bạn sẽ có được những hiểu biết thực tế về việc triển khai các phương pháp bảo mật tốt nhất và biết giá trị của QSA khi xác thực tuân thủ PA DSS.

Xem thêm

ISO/IEC 27001 là gì?

ISO/IEC 27001:2013 là mt tiêu chun đưc công nhn trên toàn cu đqun lý các ri ro liên quan đến an ninh thông tin. Nó chđnh mt tp hp các yêu cu tiêu chun đthiết lp, thc hin, duy trì và liên tc ci thin Hthng qun lý an toàn thông tin (ISMS). Tiêu chun cung cp khuôn khđqun lý tính bo mt, tính sn có và tính toàn vn ca tài sn tchc như dliu tài chính, shu trí tu, chi tiếtnhân viên, dliu bí mt ca khách hàng hoc thông tin đưc y thác bi bên thba. Các chng nhn ISO 27001 có giá trtrong ba năm, sau đó cn kim toán đánh giá li đgia hn thêm ba năm.

Tại sao tổ chức của tôi nên đăng ký Tiêu chuẩn ISO 27001?

Ging như tt ccác Tiêu chun qun lý ISO khác – ISO 27001 cũng không bt buc.Phi nói rng, nhiu tchc không biết gì vtài sn quan trng ca hvà làm thếnào đbo vchúng. ISO 27001 cung cp mt khuôn khđqun lý chúng theo cách phù hp vi doanh nghip. ISO 27001 giúp các tchc xlý bo mt dliu mt cách nghiêm túc. Và tquan đim ca khách hàng, nó sthhin ý đnh và snghiêm túc ca bn trong vic gian toàn cho dliu ca h. Đthêm vào tiêu chun ISO 27001 khc sâu ssiêng năng ca công ty và giúp bn thiết lp đđáp ng các yêu cu quy đnh và hp đng w.r.t. bo mt dliu, quyn riêng tư và qun trCNTT.

Bt kỳ tchc nào nm githông tin nhy cm đu là ng cviên cho chngnhn ISO 27001. Các công ty chăm sóc sc khe, tài chính, công cng và các lĩnh vc CNTT / ITES có thđưc hưng li rt nhiu tchương trình ISMS đưc chng nhn.

Lộ trình thực hiện ISO 27001

  • Chuẩn bị: Giai đoạn này là để thiết lập tầm nhìn và kỳ vọng cho tất cả các bên liên quan. Vì chương trình này đòi hỏi sự giám sát quản lý, điều cần thiết là phải có quản lý mua vào và đề cử SPOC cho các ngành dọc trong việc cung cấp dịch vụ cũng như các nhóm hỗ trợ. Đây cũng là thời điểm để xác định tất cả các bên liên quan bên ngoài và các quy định hiện hành.
  • Tài liệu: Trong giai đoạn này, chúng tôi đi vào các chi tiết cụ thể của việc xác định Tuyên bố ứng dụng (SoA), xác định Chính sách bảo mật thông tin, tiến hành đánh giá rủi ro và ghi lại những phát hiện trong sổ đăng ký rủi ro.
  • Kiểm toán giai đoạn 1: Giai đoạn này là nơi kiểm toán viên được công nhận bên ngoài đánh giá SoA, Chính sách bảo mật thông tin, báo cáo đánh giá rủi ro và xác định xem bạn có kế hoạch rõ ràng để thực hiện ISMS để đạt được chứng nhận ISO 27001 hay không
  • Đánh giá Giai đoạn 2: Đánh giá Giai đoạn 2 là rất quan trọng và là bước quan trọng nhất để đạt được chứng nhận. Trong giai đoạn này, Đánh giá viên được công nhận bên ngoài đánh giá các biện pháp kiểm soát được thực hiện và xem xét tính hiệu quả của nó so với các yêu cầu của tiêu chuẩn ISO 27001. Ý kiến của Kiểm toán viên về môi trường hoạt động của tổ chức của bạn, sự giám sát của ban quản lý, cấu trúc báo cáo, các biện pháp kiểm soát được thực hiện và các thủ tục đánh giá nội bộ sẽ xác định xem bạn có đủ điều kiện để được chứng nhận hay không..
  • Đang tiến hành Bảo trì & Kiểm tra: Công việc không hoàn thành với chứng nhận. Điều cần thiết là duy trì một chương trình tuân thủ liên tục để đảm bảo rằng tất cả các kiểm soát đang hoạt động hiệu quả, chương trình kiểm toán nội bộ có thể xác định các sai sót của quá trình và có thể báo cáo độc lập các phát hiện của mình cho Ban Giám đốc.

Hỗ trợ Tư vấn & Triển khai ISO 27001

Tại Crossbow Labs, chúng tôi có một nhóm các nhà vô địch ISO 27001 - đây là một nhóm đã làm việc về cam kết tuân thủ ISO 27001 từ tất cả các vị trí liên quan - từ việc phát triển các khuôn khổ ISMS mạnh mẽ cho các tập đoàn lớn, đến phát triển các khuôn khổ ISMS cụ thể của nhà cung cấp / bên thứ ba, hoạt động đánh giá nhà cung cấp, thực hiện đánh giá thẩm định bên thứ ba, thực hiện đánh giá văn phòng, thực hiện đánh giá rủi ro rộng rãi, hoạt động như một người quản lý an ninh thông tin tiền đề (và theo yêu cầu) và với tư cách là đánh giá viên ISMS nội bộ - chúng tôi đã thấy toàn bộ phạm vi. Dựa trên quá trình làm việc rộng rãi của chúng tôi trong không gian ISO 27001, chúng tôi đã điều chỉnh phương pháp tiếp cận Kế hoạch - Thực hiện - Kiểm tra - Hành động được chấp nhận trong ngành để tham gia hiệu quả và chuyển đổi sang phương thức tư duy ISO 27001. Phương pháp tiếp cận của chúng tôi đối với việc triển khai ISO 27001 như sau

Giai đoạn Đối tượng
Giai đoạn I: Xác định phạm vi Xác định phạm vi của chương trình áp dụng ISO 27001
Giai đoạn II: Phân tích khoảng cách Xác định các khu vực kiểm soát an ninh không được giải quyết bởi khuôn khổ kiểm soát an ninh hiện có

Giai đoạn III: Đánh giá rủi ro

Đánh giá rủi ro
Giai đoạn IV: Lựa chọn quản lý Xác định các mục tiêu kiểm soát phù hợp với các yêu cầu kinh doanh cụ thể của tổ chức
Giai đoạn V: Xác định SoA Để chuẩn bị một Tuyên bố toàn diện về khả năng áp dụng (SoA)
Giai đoạn VI: Phát triển ISMS Phát triển / xem xét khung tài liệu Hệ thống quản lý an toàn thông tin có cấu trúc (ISMS)

Giai đoạn VII:Thực hiện ISMS

Để thực hiện chính sách và thủ tục được nêu trong ISMS của tổ chức
Giai đoạn VIII : Chứng nhận Thực hiện đánh giá giả và chuẩn bị cho tổ chức đđánh giá viên chứng nhận

Mặc dù ban đầu các bước này có vẻ phức tạp và tốn kém, nhưng nếu được thực hiện đúng cách có thể làm cho ISMS của bạn trở nên mạnh mẽ. Kinh nghiệm chuyên sâu của các chuyên gia tư vấn của chúng tôi tại Crossbow Labs làm cho toàn bộ quy trình chứng nhận không gặp rắc rối với bạn.

Đào tạo ISO 27001

Tiêu chun ISO 27001 đặt nn tng cho mt mô hình Bo mt thông tin cơ smnh mgiúp vic áp dng mt stiêu chun và quy định ca chính phủ đã được ngành công nghip khác áp dng ddàng hơn. Chúng tôi cung cp các phiên hp và hi tho nângcao nhn thc vbo mt thông tin được thc hin tùy chnh cho các tchc da trênđối tượng mc tiêu và ngành dc ca ngành.

Chúng tôi tchc các khóa đào to / hi tho công khai thường xuyên vnhng điu sau:

  • Khoá nâng cao nhận thức về bảo mật thông tin - Hướng dẫn cho người mới bắt đầu
  • Khoá nâng cao nhận thức về an toàn thông tin - Cấp độ trung cấp
  • Nhận thức về bảo mật thông tin cho các giải pháp dựa trên đám mây - Chương trình đảm bảo an ninh mạng (CSAP) của Crossbow Labs
  • Thực hành mã an toàn

PCI PIN là gì?

MÃ PIN PCI là mt tp hp các yêu cu được xác định bi Hi đồng Tiêu chun Bo mt PCI để xlý an toàn dliu snhn dng cá nhân (PIN) trong quá trình xlý thanh toán ti các máy ATM hoc thiết bị đầu cui đim bán hàng (POS). Các yêu cu vPCI PIN và PCI PTS nhn mnh vào vic duy trì bo mt vt lý và logic ca các thiết bPOS (đim bán hàng), dch vpin pad và UPT. Mc đích ca tiêu chun này là gim slượng gian ln thtín dng xung quanh các thiết bPoint-of-Sale. Tiêu chun PIN PCI cũng đảm bo qun lý bo mt xung quanh thiết bnhp mã PIN tích hp. Nó đảm bo rng vic tích hp các thành phn được phê duyt trước đó không làm gim bo mt tng thti POS. Tiêu chun đặt tm quan trng trong vic đọc và trao đổi an toàn dliu chthcũng như qun lý thiết b(ngay tgiai đon sn xut cho đến khi ti khóa ban đầu).

Bạn cần tuân thủ tiêu chuẩn PCI PIN và PTS nếu tổ chức của bạn có:

  • PIN mua lại Bộ xử lý VisaNet của bên thứ ba (VNP) – Một thực thể VNP của bên thứ ba được kết nối trực tiếp với VisaNet và cung cấp dịch vụ xử lý MÃ PIN cho các thành viên.
  • PIN Mua lại khách hàng VNP hoạt động như một nhà cung cấp dịch vụ – Thành viên Visa hoặc tổ chức thuộc sở hữu thành viên được kết nối trực tiếp với VisaNet và cung cấp dịch vụ xử lý mua lại mã PIN cho các thành viên.
  • PIN Mua lại dịch vụ của bên thứ ba (TPS) – Một đại lý của bên thứ ba lưu trữ, xử lý hoặc truyền số tài khoản Visa và MÃ PIN thay mặt cho các thành viên Visa.
  • Tổ chức mã hóa và hỗ trợ (ESO) – Một tổ chức không phải là thành viên triển khai các thiết bị chấp nhận mã PIN ATM, POS hoặc kiosk xử lý và chấp nhận mã PIN của chủ thẻ và / hoặc quản lý khóa mã hóa (ví dụ: các cơ sở tiêm chính (KIFs)).

Tư vấn PCI PIN

Các chuyên gia bảo mật của chúng tôi giúp thực hiện môi trường đáp ứng các yêu cầu bảo mật pin và giúp bạn sẵn sàng kiểm toán tuân thủ. Chúng tôi nhằm mục đích cải thiện tính bảo mật của thiết bị đầu cuối thanh toán của bạn bằng cách thực hiện cả kiểm tra thâm nhập phần mềm và phần cứng. Điều này giúp chúng tôi trong việc tìm kiếm khoảng trống và đề xuất các giải pháp để giải quyết chúng.

Chúng tôi chia nỗ lực tư vấn và hướng dẫn PCI – PIN thành ba nỗ lực dễ dàng:

  • Đánh giá thiết kế sản phẩm ban đầu của thiết bị đầu cuối thanh toán để xác định bất kỳ lỗ hổng bảo mật nào (liên quan đến phần cứng hoặc phần mềm) liên quan đến việc tuân thủ PCI PTS.
  • Khắc phục các lỗ hổng được tìm thấy trong thiết kế của thiết bị.
  • Đánh giá cuối để đánh giá mức độ mạnh mẽ của thiết bị đầu cuối thanh toán trước khi đánh giá chính thức.

Tư vấn SSL

Sự hài lòng của quý khách

Là phương châm làm việc của chúng tôi

12 năm
kinh nghiệm

Đổi sản phẩm
7 ngày

Giao dịch
an toàn

Dịch vụ
chất lượng

Cảm ơn vì sự tin tưởng