Dịch vụ chứng nhận và tuân thủ PCI DSS về bảo mật thanh toán

Là một Tổ chức Đánh giá Bảo mật Đủ Điều kiện (QSA) được đăng ký với Hội đồng Tiêu chuẩn Bảo mật PCI DSS (SSC) và được phê duyệt bởi CERT-In, chúng tôi hỗ trợ toàn diện các hoạt động đánh giá, chứng nhận và đào tạo PCI để giúp tổ chức đạt được sự tuân thủ PCI DSS.

thông tin về tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI) - chứng nhận PCI DSS

Để đảm bảo thông tin thẻ thanh toán không bị xâm phạm và cung cấp cho tất cả các bên liên quan khả năng bảo vệ tốt nhất có thể chống lại việc sử dụng sai dữ liệu, các chương trình thẻ tín dụng đã đưa ra một tiêu chuẩn an toàn để xử lý thông tin thẻ thanh toán và giao dịch. Tiêu chuẩn này, được gọi là tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán hoặc PCI DSS, áp dụng như nhau đối với các ngân hàng (bên phát hành và bên thanh toán), nhà cung cấp dịch vụ thanh toán, nhà cung cấp dịch vụ lưu trữ, đơn vị bán hàng và nhà cung cấp ứng dụng thanh toán. Việc tuân thủ các tiêu chuẩn PCI DSS này được xác minh định kỳ. Các bên không thể cung cấp bằng chứng về chứng nhận PCI DSS sẽ không được phép xử lý thông tin của thẻ thanh toán.

Chúng tôi cung cấp tư vấn toàn diện, chuẩn bị, đánh giá và xác minh các biện pháp bảo mật của doanh nghiệp, qua đó hỗ trợ doanh nghiệp đáp ứng tất cả các yêu cầu để đạt chứng nhận PCI DSS. Nếu doanh nghiệp đáp ứng các tiêu chuẩn PCI DSS, với tư cách là một tổ chức chứng nhận được công nhận, chúng tôi có thể cung cấp cho doanh nghiệp dấu chứng nhận TÜV SÜD và tất cả các bằng chứng cần thiết theo yêu cầu của các tổ chức thẻ tín dụng.

PCI DSS là gì?

Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) là tập hợp các hướng dẫn bảo mật nhằm đảm bảo rằng TẤT CẢ các doanh nghiệp chấp nhận, xử lý, lưu trữ hoặc truyền bất kỳ loại dữ liệu thẻ thanh toán nào (thẻ tín dụng, thẻ ghi nợ, thẻ trả trước, thẻ quà tặng – được tài trợ bởi một trong các thương hiệu thẻ, cụ thể là VISA, MasterCard, Rupay, Amex, JCB, Discover, v.v.), đều thực hiện một cách an toàn.

Các thương hiệu thẻ như Visa, MasterCard, Discover Financial Services, JCB International và American Express đã hình thành nên tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) vào năm 2004. Khung tuân thủ PCI bảo vệ mọi giao dịch thẻ khỏi tình trạng trộm cắp dữ liệu và gian lận.

Tuân thủ PCI là bắt buộc đối với tất cả các doanh nghiệp tiếp xúc với thông tin thẻ thanh toán để bảo mật toàn bộ hệ sinh thái thanh toán. Bảo vệ dữ liệu thanh toán giúp các doanh nghiệp này xây dựng mối quan hệ lâu dài với khách hàng.

chứng nhận PCI là gì?

Tiêu chuẩn PCI xác định các yêu cầu về mặt kỹ thuật và tổ chức đối với việc lưu trữ, xử lý và chuyển thông tin của chủ thẻ. Các tiêu chuẩn này áp dụng cho tất cả các bên liên quan đến xử lý thẻ thanh toán. Tiêu chuẩn PCI cũng áp dụng cho các tổ chức tham gia vào hoạt động hoặc cung cấp cơ sở hạ tầng, trung tâm dữ liệu và các thành phần liên quan đến bảo mật khác. Để tuân thủ PCI, các tổ chức phải đáp ứng một số tiêu chí nhất định và do đó cung cấp bằng chứng phù hợp.

Lợi ích của việc tuân thủ PCI DSS

Ngày nay, các vụ vi phạm dữ liệu hàng loạt diễn ra hàng ngày, khiến không có doanh nghiệp hay cá nhân nào được coi là an toàn. Bất kỳ doanh nghiệp nào chấp nhận thanh toán bằng thẻ đều phải tuân thủ PCI DSS. Các khuôn khổ của tiêu chuẩn hoạt động trên nhiều cấp độ giao dịch, thay đổi theo các giao dịch được xử lý mỗi năm và có các yêu cầu báo cáo đa dạng. Lợi ích của việc tuân thủ PCI DSS là: 

Giảm thiểu hoặc loại bỏ các rủi ro và mối đe dọa liên quan đến bảo mật dữ liệu và bảo vệ khách hàng khỏi gian lận thẻ tín dụng và tổn thất tài chính.

• Đạt được sự tin tưởng cao hơn của khách hàng, giá trị thương hiệu tốt hơn và lợi thế cạnh tranh
• Tránh chi phí cao liên quan đến vi phạm dữ liệu và gian lận tài chính
• Tránh mọi hình phạt do các ngân hàng và các cơ quan pháp lý khác áp dụng vì không tuân thủ PCI DSS
• Tạo ra nền tảng cơ sở để tuân thủ các quy định khác

yêu cầu tổng quan về chứng nhận PCI DSS

Các yêu cầu chứng nhận PCI được quy định trong một tiêu chuẩn gồm 12 điều khoản. Để thiết lập mối quan hệ tin cậy lẫn nhau với khách hàng và đơn vị bán hàng, tất cả các yêu cầu này phải được tuân thủ và xác minh theo định kỳ. Các yêu cầu PCI riêng lẻ là:

1. Cài đặt và bảo trì cấu hình tường lửa để bảo vệ dữ liệu chủ thẻ
2. Không được sử dụng mật khẩu hệ thống và các thông số bảo mật khác do nhà cung cấp cung cấp
3. Dữ liệu chủ thẻ đã lưu trữ phải được bảo vệ
4. Dữ liệu chủ thẻ và các thông tin nhạy cảm khác phải được mã hóa để truyền qua các mạng công cộng, mở
5. Các chương trình diệt vi-rút phải được sử dụng và cập nhật thường xuyên
6. Các hệ thống và ứng dụng an toàn phải được phát triển và bảo trì
7. Quyền truy cập vào dữ liệu chủ thẻ phải bị hạn chế theo nguyên tắc cần biết
8. Tất cả các cá nhân có quyền truy cập máy tính phải được chỉ định xác thực người dùng rõ ràng
9. Quyền truy cập vật lý vào dữ liệu chủ thẻ phải bị hạn chế
10. Theo dõi và giám sát toàn diện mọi quyền truy cập vào dữ liệu chủ thẻ và tài nguyên mạng
11. Bảo mật hệ thống và quy trình phải được kiểm tra thường xuyên
12. Chính sách bảo mật thông tin phải được tuân thủ và duy trì

Dịch vụ của TÜV SÜD Việt Nam: Chứng nhận PCI và Giải pháp Tuân thủ PCI DSS

Để đảm bảo rằng doanh nghiệp tuân thủ tiêu chuẩn PCI và được hưởng lợi từ các biện pháp bảo mật cao nhất, chúng tôi cung cấp chứng nhận tuân thủ PCI DSS cần thiết và một số lợi ích bổ sung.

Các dịch vụ bao gồm:

• Phạm vi và phân tích khoảng cách
• Tư vấn kỹ thuật cho tất cả các vấn đề và các bước của tiêu chuẩn tuân thủ PCI DSS
• Hội thảo, đào tạo, hướng dẫn
• Dịch vụ và đánh giá PCI QSA tại chỗ do một chuyên gia đánh giá bảo mật đủ điều kiện (QSA) thực hiện
• Quét lỗ hổng do nhà cung cấp được phê duyệt (ASV) thực hiện
• Đào tạo nhận thức (eLearning, học trực tiếp)
• Thử nghiệm xâm nhập
• Hỗ trợ hoàn thành Bản câu hỏi tự đánh giá chứng nhận PCI (SAQ)
• PCI DSS ROC / AOC / COC – Báo cáo tuân thủ, Xác nhận tuân thủ, Chứng nhận tuân thủ
• Dấu chứng nhận TÜV SÜD cho các tổ chức được chứng nhận

Quy trình đạt chứng chỉ PCI DSS

Quy trình tuân thủ PCI tại TÜV SÜD bao gồm các bước sau:

1. Nghiên cứu khả thi tại tổ chức
2. Đánh giá chính sách và quản trị
3. Phân đoạn các yếu điểm
4. Thiết lập phạm vi đánh giá
5. Hỗ trợ triển khai các biện pháp kiểm soát
6. Đánh giá trước các quy trình và công nghệ
7. Hoàn tất quy trình chứng nhận PCI DSS
8. Thử nghiệm kỹ thuật – VAPT
   

tại sao chọn TÜV SÜD cho tuân thủ và chứng nhận PCI DSS?

Trong nỗ lực cải thiện bảo mật dữ liệu thẻ thanh toán, Hội đồng Tiêu chuẩn Bảo mật PCI (SSC) cung cấp các tiêu chuẩn và nguồn lực hỗ trợ đa dạng để giúp các tổ chức đảm bảo bảo mật dữ liệu chủ thẻ mọi lúc.
Dịch vụ tuân thủ PCI DSS là cơ sở. Dịch vụ này cung cấp khuôn khổ cần thiết để phát triển hệ sinh thái toàn diện về quy trình bảo mật dữ liệu thẻ thanh toán kết hợp phòng ngừa, phát hiện và ứng phó với các sự cố bảo mật.

TÜV SÜD cung cấp các dịch vụ PCI QSA bao gồm tất cả các yêu cầu bắt buộc của PCI DSS. Chúng tôi hỗ trợ doanh nghiệp trên hành trình đạt được chứng nhận PCI DSS. Với chuyên môn trong việc đánh giá bảo mật thông tin và kinh nghiệm trong ngành thẻ thanh toán, chúng tôi đảm bảo bảo mật trong thanh toán bằng thẻ. Các dịch vụ tuân thủ PCI DSS của chúng tôi giúp doanh nghệp triển khai các hệ thống bảo mật hiệu quả.

Các tài liệu tham khảo của chúng tôi trong ngành tài chính và thanh toán, trong số các ngân hàng, thương mại và thương mại điện tử, thể hiện kinh nghiệm sâu rộng của chúng tôi trong bảo mật thanh toán.

Tiêu chuẩn PCI DSS hỗ trợ tất cả các tổ chức xử lý thẻ thanh toán, giúp họ tuân thủ các yêu cầu PCI DSS có liên quan.

sự công nhận của chúng tôi với hội đồng PCI

Với sự công nhận của Hội đồng Tiêu chuẩn Bảo mật PCI và các tổ chức thẻ thanh toán, chúng tôi được ủy quyền hỗ trợ doanh nghiệp trong tất cả các khía cạnh để đạt được chứng nhận PCI.

LẮNG NGHE TỪ KHÁCH HÀNG CỦA CHÚNG TÔI

“Kể từ năm 2022, Ayoconnect đã hợp tác với TÜV SÜD để cấp chứng nhận PCI DSS và đó thực sự là một trải nghiệm hữu ích. Chúng tôi rất hài lòng về chuyên môn và sự hỗ trợ mà đơn vị đã cung cấp, điều này đóng vai trò quan trọng trong việc giúp chúng tôi triển khai kiểm soát bảo mật tốt hơn trong quá trình đánh giá. 

Là một doanh nghiệp công nghệ tài chính tại Indonesia, chứng nhận này đã giúp chúng tôi rất nhiều trong việc bảo vệ và cải thiện bảo mật hệ thống thông tin, cho phép chúng tôi cung cấp dịch vụ tốt hơn cho người dùng. Chúng tôi hy vọng sẽ tiếp tục hợp tác trong tương lai.” 

Jason Ong
Chuyên viên tuân thủ CNTT, Ayoconnect 

câu hỏi thường gặp