12 yêu cầu
Tiêu chuẩn PCI DSS được hình thành bởi Hội đồng Tiêu chuẩn Bảo mật (Security Standards Council) dành cho thẻ thanh toán, bao gồm các thành viên ban đầu như: Visa, MasterCard, American Express (AMEX), Discover Financial Services, JCB International. Đây là các tổ chức cung cấp thẻ thanh toán quốc tế phổ biến trên thế giới.
Các doanh nghiệp (DN) muốn áp dụng tiêu chuẩn bảo mật PCI DSS phải sẵn sàng đáp ứng 12 yêu cầu dành cho hệ thống. Đó là các yêu cầu về chính sách an ninh thông tin, quy trình xử lý dữ liệu, cấu trúc mạng máy tính… nhằm đáp ứng các chuẩn mực về an ninh (Security).
Yêu cầu trên nhằm đảm bảo an toàn cho dữ liệu thẻ trong suốt quá trình xử lý và lưu trữ tại các ngân hàng hoặc các đơn vị có chức năng thanh toán trực tuyến. Đây là tiêu chuẩn về bảo mật thông tin thẻ thanh toán và được áp dụng trên toàn cầu với sự hỗ trợ từ Hội đồng Tiêu chuẩn Bảo mật các loại thẻ thanh toán PCI (Payment Card Industry).
Theo kết quả khảo sát của Viện Nghiên cứu Ponemon (Mỹ), trong 2009 – 2010 các tổ chức/doanh nghiệp áp dụng chuẩn bảo mật PCI DSS đã giảm thiểu số lần bị đánh cắp dữ liệu so với trước kia. Khoảng 64% DN có áp dụng chuẩn này cho biết họ đã không bị tấn công về dữ liệu thẻ thanh toán trong vòng 2 năm vừa qua. Trong khi đó, chỉ có 38% DN không áp dụng chuẩn PCI DSS cho biết họ không bị tấn công.
Lợi ích của PCI DSS?
Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp cho các DN hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ. Tiêu chuẩn này được áp dụng cho tất cả các tổ chức có lưu trữ, xử lý hoặc truyền tải dữ liệu lưu trữ trên thẻ và các tổ chức này bắt buộc phải bảo vệ dữ liệu lưu trên thẻ khi họ thực hiện giao dịch.
Ông Walter Lee, Tổng Giám đốc Công ty e-Cop Group (Singapore), nhà cung cấp giải pháp bảo mật thông tin nói: việc tuân thủ PCI DSS là một quá trình liên tục và các DN phải thường xuyên áp dụng các chính sách – quy định về an toàn thông tin đã đặt ra theo tiêu chuẩn. Các DN muốn áp dụng tiêu chuẩn cũng không cần sử dụng phần mềm của đơn vị thứ 3 vì e-Cop có phát triển các phần mềm dành cho hệ thống bảo mật theo tiêu chuẩn PCI DSS.
Với tiêu chuẩn PCI DSS, DN tăng cường mức độ an toàn khi giao dịch trực tuyến thông qua các thẻ thanh toán quốc tế thông dụng |
Tổ chức thẻ thanh toán quốc tế Visa đã đưa ra kỳ hạn áp dụng tiêu chuẩn PCI DSS đối với các thành viên của hệ thống thanh toán thẻ VisaNet cùng các đối tác kết nối trực tiếp với VisaNet là 30/9/2010. Hiện nay, hầu hết các đơn vị có hoạt động thanh toán trực tuyến tại Việt Nam đều chưa áp dụng tiêu chuẩn PCI DSS và vượt quá kỳ hạn này.
Theo ông Nguyễn Việt Phương, Phó Giám đốc Trung tâm Tư vấn ngân hàng FIS Bank (thuộc Tập đoàn FPT): Các đơn vị chưa kịp áp dụng tiêu chuẩn PCI DSS có thể bị xử phạt đến 500.000 USD (trên 10 tỉ đồng) tuỳ theo tính chất vụ việc; hoặc xử phạt 90 – 300 USD (1,8 triệu - 6 triệu đồng) cho mỗi dữ liệu thẻ thanh toán bị đánh cắp. Các thành viên chấp nhận hệ thống thẻ thanh toán VisaNet Processors phải chứng minh các dữ liệu thẻ nhạy cảm được bảo vệ an toàn trước thời hạn 30/9/2010. Và đến 30/9/2011 phải gửi báo cáo mức độ đáp ứng với tiêu chuẩn PCI DSS.
|
Áp dụng ra sao?
Chi hội An toàn Thông tin (VNISA) phía Nam trong tháng 5/2011 đã tổ chức hội thảo giới thiệu về Tiêu chuẩn Bảo mật PCI DSS. Ông Euegene Chai, Giám đốc Phát triển Kinh doanh của Vectra Information Security, đơn vị tư vấn về PCI DSS cho biết: PCI DSS đề cập đến các nhóm vấn đề như: Xây dựng và duy trì hệ thống bảo mật; Bảo vệ dữ liệu thẻ thanh toán; Theo dõi và đánh giá hệ thống… Các tổ chức/doanh nghiệp có thể mất khoảng 2-4 năm cho việc đánh giá hệ thống, xử lý các vấn đề bảo mật, triển khai tiêu chuẩn PCI DSS...
Các DN muốn áp dụng tiêu chuẩn PCI DSS cần tiến hành đánh giá môi trường làm việc và xác định việc tuân thủ các quy định về bảo mật. Kế đến, phải dựa trên kết quả đánh giá của các chuyên gia kiểm định hệ thống thông tin (Auditor) để vá các lỗ hổng bảo mật (nếu có). Sau đó, DN bắt đầu triển khai các chính sách an toàn thông tin, xây dựng tường lửa bảo vệ dữ liệu thẻ, thiết lập hệ thống phòng chống xâm nhập trái phép…
Từ cuối năm 2008, các ngân hàng thành viên của hệ thống Smartlink tại Việt Nam đã kết nối với hệ thống thanh toán thẻ quốc tế VisaNet. Điều này giúp cho cả 2 hệ thống thanh toán có thể tận dụng số lượng trạm rút tiền tự động bằng thẻ ATM và thẻ tín dụng hiện có. Đây cũng là một điều kiện cần để hướng đến việc các ngân hàng Việt Nam bắt đầu áp dụng tiêu chuẩn PCI DSS.
Theo ông Phương, FIS Bank: Các ngân hàng tại Việt Nam cần quyết định sớm trong việc triển khai tiêu chuẩn bảo mật PCI DSS. Họ có thể xác định chiến lược triển khai và sắp xếp thứ tự ưu tiên cho từng giai đoạn thiết lập hệ thống bảo mật. Để triển khai PCI DSS thành công, cần có sự cam kết và hỗ trợ mạnh mẽ từ các cấp lãnh đạo các ngân hàng.