Tài khoản
Mật khẩu
Ghi nhớ
PCI DSS là một trong những tiêu chuẩn phổ biến liên quan đến dữ liệu thẻ thanh toán. Bên cạnh PCI DSS, có rất nhiều các tiêu chuẩn khác mà doanh nghiệp cần tuân thủ nhằm đảm bảo an toàn dữ liệu cũng như bảo mật hệ thống thông tin
Với hiện trạng môi trường doanh nghiệp ngày càng mở rộng, nhu cầu làm việc từ xa cũng như thanh toán trực tuyến trở nên phổ biến, việc bảo vệ các dữ liệu khách hàng cũng như dữ liệu doanh nghiệp là điều hết sức quan trọng. Các tiêu chuẩn bảo mật được xây dựng nhằm đáp ứng các nhu cầu đó và giải quyết bài toán an toàn dữ liệu. Tại Bluebit, chúng tôi cung cấp các dịch vụ đánh giá tuân thủ sau:
PCI DSS
Tiêu chuẩn đánh giá an toàn bảo mật dữ liệu chủ thẻ
PA DSS
Tiêu chuẩn đánh giá an toàn dữ liệu thẻ cho ứng dụng
ISO 27001
Tiêu chuẩn đảm bảo an toàn thông tin cho hệ thống doanh nghiệp
PCI PIN
Tiêu chuẩn an ninh cho việc xử lý dữ liệu cá nhân
Mọi dữ liệu được bảo mật
Con người, quy trình, hệ thống được củng cố
Các tiêu chuẩn được đánh giá phù hợp với môi trường doanh nghiệp
Đảm bảo an toàn trước các rủi ro về dữ liệu
Chứng nhận giúp bạn thuyết phục khách hàng, đối tác giao dịch với bạn
Các quy trình, chính sách được tài liệu hoá
Triển khai nhanh
Chi phí linh hoạt
Kinh nghiệm hỗ trợ
Hãy xem chi tiết phương thức chúng tôi giúp bạn tiếp cận và đạt tiêu chuẩn ở các tab tương ứng nhé!
Ngành công nghiệp thẻ thanh toán – Tiêu chuẩn bảo mật dữ liệu thường được gọi là PCI -DSS là tiêu chuẩn bảo mật do Hội đồng Tiêu chuẩn Bảo mật PCI đặt ra.
Tiêu chuẩn phác thảo các yêu cầu kỹ thuật và hoạt động cần thiết để bảo vệ dữ liệu chủ thẻ.
Tiêu chuẩn PCI DSS bao gồm 12 yêu cầu được phân loại để đạt được 6 Tiêu chí lớn.
1. Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
2. Không sử dụng mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác
3. Bảo vệ dữ liệu chủ thẻ được lưu trữ
4. Mã hóa việc truyền dữ liệu chủ thẻ trên các mạng công cộng mở
6. Phát triển và duy trì các hệ thống và ứng dụng an toàn
9. Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ
11. Thường xuyên kiểm tra các hệ thống và quy trình bảo mật
Tiêu chuẩn PCI DSS áp dụng cho tất cả các đơn vị trong chuỗi dịch vụ thẻ thanh toán – đến tất cả các đơn vị có lưu trữ, xử lý và truyền dữ liệu chủ thẻ.
Trong thuật ngữ PCI, tiêu chuẩn áp dụng cho tất cả Merchant và Service Providers.
Nói đơn giản, nếu bạn chấp nhận và xử lý thẻ thanh toán – PCI DSS là yêu cầu bắt buộc tuân thủ.
Có chứng nhận PCI DSS giúp doanh nghiệp tránh việc mất uy tín và tiền bạc. Bởi lẽ, 12 yêu cầu được đưa ra bởi PCI SSC cung cấp niềm tin cho khách hàng rằng doanh nghiệp là an toàn khi hoạt động và tương tác với.
Chứng nhận tuân thủ hiệu quả trong việc tránh xâm phạm và giúp doanh nghiệp tránh khỏi nhiều trở ngại. Theo các chuyên gia ngành thanh toán và bảo mật, việc triển khai các thực tiễn tốt nhất PCI và đảm bảo tuân thủ là điều nên làm. Việc đánh giá lại hàng năm cho phép doanh nghiệp luôn theo dõi được với các hiểm hoạ bảo mật.
Đội ngũ Chuyên gia đánh giá bảo mật đủ điều kiện (QSA) của chúng tôi đưa ra kinh nghiệm rộng lớn của họ về miền thẻ thanh toán trên toàn ngành để giúp bạn dễ dàng tuân thủ. Phương pháp luận của chúng tôi là tài sản lớn nhất của chúng tôi khi cung cấp hỗ trợ tư vấn và triển khai PCI DSS.
Liên quan đến việc xác định tất cả các thành phần hệ thống lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ.
Phân đoạn mạng được sử dụng như một con át chủ bài để giảm phạm vi. Nó được thực hiện bằng cách cô lập môi trường dữ liệu của chủ thẻ với phần còn lại.
Liên quan đến việc so sánh trạng thái của các biện pháp kiểm soát an toàn thông tin hiện có trong tổ chức với các yêu cầu được nêu trong tiêu chuẩn PCI-DSS.
Chúng tôi cung cấp khuyến nghị / tư vấn ở bất cứ nơi nào có thách thức để đáp ứng các yêu cầu được nêu trong tiêu chuẩn PCI-DSS.
Có một giai đoạn tất cả hoặc không có gì trong nỗ lực đạt được sự tuân thủ PCI DSS. Và, đây là lúc việc triển khai hoặc sửa chữa các biện pháp kiểm soát bảo mật tạo nên sự khác biệt.
Để được hỗ trợ kỹ thuật, chúng tôi cũng mời đội Kỹ thuật của mình đến. Nhóm Kỹ thuật của chúng tôi mang đến chuyên môn kỹ thuật để lập mô hình mối đe dọa, xác định và quản lý lỗ hổng bảo mật.
Đây là bài tập cần phải thực hiện chính xác trước khi chứng nhận PCI DSS.
Nó đảm bảo rằng tất cả các tài liệu chính sách đã cập nhật, tất cả các khoảng cách và biện pháp khắc phục đã được chỉ ra hiệu quả và toàn bộ đội ngũ đã sẵn sàng cho chứng nhận.
Chứng nhận PCI-DSS yêu cầu thu thập toàn bộ bằng chứng bởi QSA, chuẩn bị báo cáo giải trình sự tuân thủ với tất cả các yêu cầu có trong tiêu chuẩn PCI DSS và xác nhận chúng với sự giám sát quy trình, cấu hình và thảo luận.
Và đánh giá này cần gia hạn hàng năm.
PCI-DSS là một trong những tiêu chuẩn bảo mật thông tin yêu thích của chúng tôi trong sản phẩm. Không chỉ bởi vì nó là một trong những tiêu chuẩn bảo mật thông tin hoàn thiện hiện có, mà còn bởi vì nó đang phát triển, lấy cộng đồng làm trung tâm và miễn phí cho bất kỳ ai tuân theo.
Chúng tôi có thể giúp bạn bắt đầu một lộ trình hướng tới chứng nhận thành công và tuân thủ lâu dài.
Nếu bạn đang thực hiện tuân thủ hoặc đang chuẩn bị gia hạn chứng nhận, chúng tôi có thể giúp bạn trong bước chân cuối cùng của sự thành công – Chứng nhận PCI DSS.
Chúng tôi khảo sát nhanh các thiết lập của bạn và bắt đầu đánh giá để cung cấp cho bạn chứng nhận.
Chương trình PCI DSS của chúng tôi có thể giúp bạn trong việc cung cấp vai trò và trách nhiệm cho những nhân sự quan trọng trong lộ trình tuân thủ của bạn. Chương trình đào tạo của chúng tôi được thiết kế cho:
Chúng tôi cung cấp dịch vụ hỗ trợ để chỉ ra tất cả các cản trở kỹ thuật liên quan đến tuân thủ PCI DSS
Đánh giá kiểm thử xâm nhập mạng
Bảo mật ứng dụng web
Bảo mật ứng dụng Mobile
Tìm kiếm dữ liệu thẻ thanh toán
Thiết lập nhật ký quản lý
Hướng dẫn quy trình và chính sách
Hội đồng tiêu chuẩn bảo mật PCI chỉ ra 2 đối tượng có làm việc với dữ liệu chủ thẻ, Merchant và Service Providers trong chuẩn bảo mật Dữ liệu. Có những tiêu chuẩn riêng trong PCI DSS mà chỉ Service Provider mới cần tuân thủ.
Hơn nữa, hội đồng cũng tạo ra bộ câu hỏi tự đánh giá (SAQ) cho tất cả Merchant và Service Provider mà các rủi ro của họ không quá đáng chú ý và có thể đánh giá SAQ theo yêu cầu của các ngân hàng và hãng thẻ.
Hiện tại có 8 câu hỏi PCI được tạo bởi các loại Merchant.
Có, tất cả các đơn vị kinh doanh chấp nhận thẻ (như một lựa chọn thanh toán) hoặc xử lý số thẻ sẽ cần phải tuân thủ PCI DSS. Tuy nhiên, sẽ cần chủ ý rằng số lượng yêu cầu và nỗ lực có thể thấp hơn để xác nhận tuân thủ.
Để tuân thủ PCI DSS, doanh nghiệp của bạn cần đạt 12 yêu cầu và 300 yêu cầu phụ được phác thảo trong tiêu chuẩn PCI DSS. Để biết rằng doanh nghiệp đã đạt 12 yêu cầu, bạn cần làm việc với QSA, người có thể đánh giá môi trường của bạn và xác nhận việc tuân thủ.
Một QSA sẽ thực hiện và đánh giá môi trường hoạt động và ước lượng mức độ tuân thủ với 12 yêu cầu và 300 yêu cầu phụ của tiêu chuẩn PCI DSS.
Khi đánh giá hoàn tất, QSA sẽ cấp cho bạn chứng nhận tuân thủ PCI DSS. Chứng nhận sẽ là điểm nhận diện các nỗ lực bạn đã ưu tiên trong bảo mật.
PA DSS, cũng được coi là Thực tiễn tốt nhất của ứng dụng thanh toán, là một giải pháp của PCI DSS. Nó xác nhận những ứng dụng thanh toán tham gia ủy quyền thanh toán và thanh toán và được bán, phân phối và / hoặc cấp phép cho bên thứ ba.
Trong PA-DSS thuật ngữ ‘Ủy quyền’ đề cập đến ủy quyền thanh toán của ngân hàng phát hành. Ứng dụng nên tham gia ủy quyền đến mức nhận được dữ liệu theo dõi và dữ liệu xác thực nhạy cảm và xử lý nó để hoàn thành quá trình ủy quyền. Để làm rõ thêm một chút, điều này có nghĩa là đơn đăng ký của bạn sẽ không đủ điều kiện để liệt kê với Hội đồng PCI nếu bạn không đáp ứng các tiêu chí trên.
Ghi chú: Trong trường hợp ứng dụng thanh toán được phát triển bởi tổ chức để sử dụng bên trong, thì nó sẽ là một phần của phạm vi PCI DSS.
PCI về cơ bản yêu cầu các thương nhân, nhà cung cấp dịch vụ và ngân hàng chỉ sử dụng các ứng dụng của bên thứ ba tuân thủ PA DSS. Các ứng dụng như vậy không lưu trữ dữ liệu bị cấm, chẳng hạn như dải từ đầy đủ, CVV2 hoặc dữ liệu PIN.
Đơn xin thanh toán phải được kiểm toán và chứng nhận bởi PA QSA để đạt được sự tuân thủ PA DSS. Chứng nhận PA DSS cho một ứng dụng thanh toán kéo dài trong ba năm nhưng ứng dụng được yêu cầu phải được kiểm tra một lần trong một năm. Điều làm cho PA DSS nổi bật là những thực tiễn tốt nhất trong ngành mà nó thúc đẩy, đó là:
Nhóm QSA của chúng tôi là một nhóm các nhà tư vấn công nghệ được tập hợp cẩn thận, những người đã thực hiện thành công một số cam kết dưới thời của họ. Chúng tôi có một phương pháp luận đã được xác định và thử nghiệm rõ ràng để thực hiện các đánh giá và kiểm toán PA DSS. Cùng với đó, chúng tôi cố gắng làm cho Tiêu chuẩn bảo mật dữ liệu của PA bớt khó hiểu và phức tạp hơn để bạn có thể hiểu được. Để đạt được mục tiêu của mình, chúng tôi chia hoạt động của PA DSS thành hai bước:
Để đảm bảo phát triển phần mềm an toàn, cần phải áp dụng mã bảo mật trong SDLC và các thông lệ ngành tốt nhất trong tổ chức, ngay từ đầu.
Tiêu chuẩn bảo mật dữ liệu PA yêu cầu nhân viên (liên quan đến sự phát triển của Ứng dụng thanh toán) phải nhận thức rõ ràng về tiêu chuẩn bảo mật PA DSS và các yêu cầu bên trong. Nhóm các doanh nghiệp vừa vànhỏ của Crossbow Labs với kinh nghiệm dày dặn của mình đã cẩn thận thiết kế và tùy chỉnh khóa đào tạo PA DSS.
Phù hợp với nhu cầu và mục tiêu kinh doanh của bạn, các khóa đào tạo của chúng tôi sẽ giúp tổ chức của bạn:
Sau đó, bạn sẽ có được những hiểu biết thực tế về việc triển khai các phương pháp bảo mật tốt nhất và biết giá trị của QSA khi xác thực tuân thủ PA DSS.
ISO/IEC 27001:2013 là một tiêu chuẩn được công nhận trên toàn cầu để quản lý các rủi ro liên quan đến an ninh thông tin. Nó chỉ định một tập hợp các yêu cầu tiêu chuẩn để thiết lập, thực hiện, duy trì và liên tục cải thiện Hệ thống quản lý an toàn thông tin (ISMS). Tiêu chuẩn cung cấp khuôn khổ để quản lý tính bảo mật, tính sẵn có và tính toàn vẹn của tài sản tổ chức như dữ liệu tài chính, sở hữu trí tuệ, chi tiếtnhân viên, dữ liệu bí mật của khách hàng hoặc thông tin được ủy thác bởi bên thứ ba. Các chứng nhận ISO 27001 có giá trị trong ba năm, sau đó cần kiểm toán đánh giá lại để gia hạn thêm ba năm.
Giống như tất cả các Tiêu chuẩn quản lý ISO khác – ISO 27001 cũng không bắt buộc.Phải nói rằng, nhiều tổ chức không biết gì về tài sản quan trọng của họ và làm thếnào để bảo vệ chúng. ISO 27001 cung cấp một khuôn khổ để quản lý chúng theo cách phù hợp với doanh nghiệp. ISO 27001 giúp các tổ chức xử lý bảo mật dữ liệu một cách nghiêm túc. Và từ quan điểm của khách hàng, nó sẽ thể hiện ý định và sự nghiêm túc của bạn trong việc giữ an toàn cho dữ liệu của họ. Để thêm vào tiêu chuẩn ISO 27001 khắc sâu sự siêng năng của công ty và giúp bạn thiết lập để đáp ứng các yêu cầu quy định và hợp đồng w.r.t. bảo mật dữ liệu, quyền riêng tư và quản trị CNTT.
Bất kỳ tổ chức nào nắm giữ thông tin nhạy cảm đều là ứng cử viên cho chứngnhận ISO 27001. Các công ty chăm sóc sức khỏe, tài chính, công cộng và các lĩnh vực CNTT / ITES có thể được hưởng lợi rất nhiều từ chương trình ISMS được chứng nhận.
Tại Crossbow Labs, chúng tôi có một nhóm các nhà vô địch ISO 27001 - đây là một nhóm đã làm việc về cam kết tuân thủ ISO 27001 từ tất cả các vị trí liên quan - từ việc phát triển các khuôn khổ ISMS mạnh mẽ cho các tập đoàn lớn, đến phát triển các khuôn khổ ISMS cụ thể của nhà cung cấp / bên thứ ba, hoạt động đánh giá nhà cung cấp, thực hiện đánh giá thẩm định bên thứ ba, thực hiện đánh giá văn phòng, thực hiện đánh giá rủi ro rộng rãi, hoạt động như một người quản lý an ninh thông tin tiền đề (và theo yêu cầu) và với tư cách là đánh giá viên ISMS nội bộ - chúng tôi đã thấy toàn bộ phạm vi. Dựa trên quá trình làm việc rộng rãi của chúng tôi trong không gian ISO 27001, chúng tôi đã điều chỉnh phương pháp tiếp cận Kế hoạch - Thực hiện - Kiểm tra - Hành động được chấp nhận trong ngành để tham gia hiệu quả và chuyển đổi sang phương thức tư duy ISO 27001. Phương pháp tiếp cận của chúng tôi đối với việc triển khai ISO 27001 như sau
Giai đoạn III: Đánh giá rủi ro
Giai đoạn VII:Thực hiện ISMS
Mặc dù ban đầu các bước này có vẻ phức tạp và tốn kém, nhưng nếu được thực hiện đúng cách có thể làm cho ISMS của bạn trở nên mạnh mẽ. Kinh nghiệm chuyên sâu của các chuyên gia tư vấn của chúng tôi tại Crossbow Labs làm cho toàn bộ quy trình chứng nhận không gặp rắc rối với bạn.
Tiêu chuẩn ISO 27001 đặt nền tảng cho một mô hình Bảo mật thông tin cơ sở mạnh mẽ giúp việc áp dụng một số tiêu chuẩn và quy định của chính phủ đã được ngành công nghiệp khác áp dụng dễ dàng hơn. Chúng tôi cung cấp các phiên họp và hội thảo nângcao nhận thức về bảo mật thông tin được thực hiện tùy chỉnh cho các tổ chức dựa trênđối tượng mục tiêu và ngành dọc của ngành.
Chúng tôi tổ chức các khóa đào tạo / hội thảo công khai thường xuyên về những điều sau:
MÃ PIN PCI là một tập hợp các yêu cầu được xác định bởi Hội đồng Tiêu chuẩn Bảo mật PCI để xử lý an toàn dữ liệu số nhận dạng cá nhân (PIN) trong quá trình xử lý thanh toán tại các máy ATM hoặc thiết bị đầu cuối điểm bán hàng (POS). Các yêu cầu về PCI PIN và PCI PTS nhấn mạnh vào việc duy trì bảo mật vật lý và logic của các thiết bị POS (điểm bán hàng), dịch vụ pin pad và UPT. Mục đích của tiêu chuẩn này là giảm sốlượng gian lận thẻ tín dụng xung quanh các thiết bị Point-of-Sale. Tiêu chuẩn PIN PCI cũng đảm bảo quản lý bảo mật xung quanh thiết bị nhập mã PIN tích hợp. Nó đảm bảo rằng việc tích hợp các thành phần được phê duyệt trước đó không làm giảm bảo mật tổng thể tại POS. Tiêu chuẩn đặt tầm quan trọng trong việc đọc và trao đổi an toàn dữ liệu chủ thẻ cũng như quản lý thiết bị (ngay từ giai đoạn sản xuất cho đến khi tải khóa ban đầu).
Các chuyên gia bảo mật của chúng tôi giúp thực hiện môi trường đáp ứng các yêu cầu bảo mật pin và giúp bạn sẵn sàng kiểm toán tuân thủ. Chúng tôi nhằm mục đích cải thiện tính bảo mật của thiết bị đầu cuối thanh toán của bạn bằng cách thực hiện cả kiểm tra thâm nhập phần mềm và phần cứng. Điều này giúp chúng tôi trong việc tìm kiếm khoảng trống và đề xuất các giải pháp để giải quyết chúng.
Chúng tôi chia nỗ lực tư vấn và hướng dẫn PCI – PIN thành ba nỗ lực dễ dàng:
Là phương châm làm việc của chúng tôi
12 năm kinh nghiệm
Đổi sản phẩm 7 ngày
Giao dịch an toàn
Dịch vụ chất lượng
Đăng nhập