HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÀI TẬP LỚN QUẢN LÝ & XÂY DỰNG CHÍNH SÁCH ATTT Đề tài 10 Tìm hiểu, ứng dụng tiêu chuẩn thẻ tín dụng PCI DSS Nhóm Giảng viên hướng dẫn: Nguyễn Thị Thu Thủy Sinh viên thực hiện: Đoàn Khắc Thành – AT150152 Đỗ Minh Quyết – AT150147 Lê Xuân Thiện – AT150254 Lê Văn Chiến – AT150106 Tạ Quang Hứa – AT150124 Hà Nội, 12-2021 MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ CÁC YÊU CẦU CỦA PCI 1.1 Giới thiệu 1.2 Tiêu chuẩn bảo mật PCI 1.3 Tiêu chuẩn bảo mật liệu PCI ( PCI DSS ) 1.4 Công cụ đánh giá tuân thủ với PCI DSS CHƯƠNG 2: QUY TRÌNH VÀ KIỂM SỐT BẢO MẬT CHO CÁC U CẦU CỦA PCI DSS 10 2.1 Khái qt quy trình kiểm sốt bảo mật 10 2.2 Mục tiêu quy trình, kiểm sốt PCI DSS 12 yêu cầu liên quan 11 CHƯƠNG 3: TUÂN THỦ VỚI PCI DSS 30 3.1 Quy trình tuân thủ PCI DSS 30 3.2 Yêu cầu chi tiết 31 CHƯƠNG 4: QUY TRÌNH CẤP CHỨNG CHỈ PCI DSS 40 4.1 Quy trình cấp chứng PCI DSS 40 DANH MỤC TÀI LIỆU THAM KHẢO 47 LỜI NĨI ĐẦU Ngày nay, thời đại thơng tin tri thức trở thành lực lượng sản xuất trực tiếp, thời đại xã hội thông tin kinh tế tri thức hình thành sở phát triển ứng dụng rộng rãi công nghệ thông tin truyền thông Cuộc cách mạng thông tin ảnh hưởng sâu sắc đến lĩnh vực đời sống kinh tế - xã hội, đưa người chuyển nhanh từ xã hội công nghiệp sang xã hội thông tin, từ kình tế cơng nghiệp sang kinh tế chi thức, lực cạnh tranh phụ thuộc chủ yếu vào lực sáng tạo, thu thập, lưu trữ, xử lý trao đổi thông tin Cùng với phát triển bùng nổ Internet, an tồn thơng tin vấn đề nóng hổi xã hội Nguy an tồn thơng tin nhiều ngun nhân, đối tượng công đa dạng … Thiệt hại từ vụ công mạng lớn, đặc biệt thông tin thuộc lĩnh vực kinh tế, an ninh, quốc phịng, … Do việc ngăn chặn truy cập trái phép trở thành nhu cầu cấp bách hoạt động truyền thông Trong môn học Quản lý xây dựng sách an tồn thơng tin, với mong muốn tìm hiểu sâu kiến thức môn học vận dụng kiến thức học thực tế, nhóm em xin chọn đề tài cho tiểu luân “ Tìm hiểu, ứng dụng tiêu chuẩn thẻ tín dụng PCI DSS “ CHƯƠNG 1: TỔNG QUAN VỀ CÁC YÊU CẦU CỦA PCI 1.1 Giới thiệu ❖ Lỗ hổng giao dịch thẻ toán: Theo thống kê trang PrivacyRights.org, từ tháng năm 2005 đến tháng năm 2018 có 10,9 tỷ ghi có thơng tin nhạy cảm bị vi phạm theo tiết lộ công khai ❖ Các lỗ hổng thường xuất dựa người bán hệ sinh thái xử lý thẻ như: thiết bị điểm bán hàng, điểm phát sóng khơng dây, ứng dụng mua sắm web, truyền liệu chủ thẻ đến nhà cung cấp dịch vụ, … Ngoài ra, lỗ hổng mở rộng đến hệ thống vận hành nhà cung cấp dịch vụ bên mua, tổ chức tài bắt đầu trì mối quan hệ với thương gia chấp nhận thẻ toán ❖ Với việc bảo mật lỏng lẻo phận người dùng cho phép bọn tội phạm dễ dàng lấy cắp sử dụng thơng tin tài cá nhân người tiêu dùng từ hệ thống xử lý giao dịch thẻ tốn ❖ Vì vậy, điều bắt buộc việc ngăn chặn hành vi trộm cắp liệu chủ thẻ sử dụng quy trình cơng nghệ bảo mật tiêu chuẩn Trong đó, tiêu chuẩn PCI DSS giúp giảm thiểu lỗ hổng bảo vệ liệu chủ thẻ Có ba bước liên tục để tuân thủ PCI DSS: ➢ Đánh giá: Xác định tất vị trí liệu chủ thẻ, kiểm kê tài sản CNTT quy trình kinh doanh bạn để xử lý thẻ tốn phân tích chúng để tìm lỗ hổng làm lộ liệu chủ thẻ ➢ Sửa chữa: Sửa lỗ hổng xác định, xóa an tồn liệu chủ thẻ khơng cần thiết thực quy trình kinh doanh an toàn ➢ Bản báo cáo: Lập hồ sơ chi tiết đánh giá khắc phục, đồng thời gửi báo cáo tuân thủ cho ngân hàng mua lại thương hiệu thẻ mà bạn kinh doanh ( pháp nhân yêu cầu khác bạn nhà cung cấp dịch vụ ) ❖ PCI DSS tuân theo bước thông thường phản ánh phương pháp bảo mật tốt PCI DSS toàn cầu áp dụng cho tất các thực thể lưu trữ, xử lý truyền liệu chủ thẻ / liệu xác thực nhạy cảm PCI DSS tiêu chuẩn bảo mật liên quan quản lý hội đồng tiêu chuẩn bảo mật PCI, thành lập American Express, Discover Financial Services, JCB International, MasterCard Worldwide Visa Inc Các tổ chức tham gia bao gồm người bán, ngân hàng phát hành thẻ toán, xử lý, nhà phát triển tổ chức khác nhà cung cấp 1.2 Tiêu chuẩn bảo mật PCI ❖ Tiêu chuẩn bảo mật PCI yêu cầu kỹ thuật hoạt động Hội đồng tiêu chuẩn bảo mật PCI (PCI SSC) đặt để bảo vệ liệu chủ thẻ Các tiêu chuẩn áp dụng cho tất thực thể lưu trữ, xử lý truyền liệu chủ thẻ - với yêu cầu nhà phát triển phần mềm nhà sản xuất ứng dụng thiết bị sử dụng giao dịch Hội đồng chịu trách nhiệm quản lý tiêu chuẩn bảo mật, việc tuân thủ tiêu chuẩn PCI thực thi thành viên sáng lập Hội đồng: American Express, Discover Financial Services, JCB, MasterCard Visa Inc ❖ Tiêu chuẩn bảo mật PCI bao gồm: ➢ Tiêu chuẩn bảo mật liệu PCI ( PCI DSS ): • PCI DSS áp dụng cho tất thực thể lưu trữ, xử lý / truyền liệu chủ thẻ Nó bao gồm thành phần hệ thống vận hành kỹ thuật bao gồm kết nối với liệu chủ thẻ Nếu bạn chấp nhận xử lý thẻ toán, PCI DSS áp dụng cho bạn ➢ Yêu cầu bảo mật giao dịch mã PIN ( PTS ): • PCI PTS tập hợp yêu cầu bảo mật tập trung vào đặc điểm quản lý thiết bị sử dụng để bảo vệ mã PIN chủ thẻ hoạt động liên quan đến xử lý toán khác Các tiêu chuẩn PTS bao gồm Yêu cầu bảo mật mã PIN, Yêu cầu bảo mật mô-đun Điểm tương tác (POI) Yêu cầu bảo mật mô-đun bảo mật phần cứng (HSM) Các yêu cầu thiết bị để nhà sản xuất tuân theo việc thiết kế, sản xuất vận chuyển thiết bị đến đơn vị thực Các tổ chức tài chính, xử lý, thương nhân nhà cung cấp dịch vụ nên sử dụng thiết bị thành phần PCI SSC kiểm tra phê duyệt ➢ Tiêu chuẩn bảo mật liệu ứng dụng tốn ( PA – DSS ): • PA-DSS dành cho nhà cung cấp phần mềm người khác phát triển ứng dụng toán lưu trữ, xử lý truyền liệu chủ thẻ / liệu xác thực nhạy cảm phần ủy quyền dàn xếp, ứng dụng bán, phân phối cấp phép cho bên thứ ba Hầu hết thương hiệu thẻ khuyến khích người bán sử dụng ứng dụng toán PCI SSC kiểm tra phê duyệt ➢ Tiêu chuẩn mã hóa điểm – điểm – điểm PCI ( P2PE ): • Tiêu chuẩn Mã hóa điểm - điểm (P2PE) cung cấp tập hợp toàn diện yêu cầu bảo mật cho nhà cung cấp giải pháp P2PE để xác thực giải pháp P2PE họ giúp giảm phạm vi PCI DSS người bán sử dụng giải pháp P2PE chương trình đa chức dẫn đến giải pháp xác thực kết hợp với Tiêu chuẩn PTS, PA-DSS, PCI DSS Tiêu chuẩn bảo mật mã PIN PCI 1.3 Tiêu chuẩn bảo mật liệu PCI ( PCI DSS ) ❖ PCI DSS tiêu chuẩn bảo mật liệu tồn cầu thương hiệu thẻ tốn áp dụng cho tất đơn vị xử lý, lưu trữ truyền liệu chủ thẻ / liệu xác thực nhạy cảm Nó bao gồm bước phản ánh phương pháp bảo mật tốt Mục đích Xây dựng trì hệ thống mạng an toàn Yêu cầu PCI DSS Cài đặt trì cấu hình tường lửa để bảo vệ liệu chủ thẻ Không sử dụng giá trị mặc định nhà cung cấp cung cấp cho mật hệ thống thông số bảo mật khác Bảo vệ liệu chủ thẻ Bảo vệ liệu chủ thẻ lưu trữ Mã hóa truyền liệu chủ thẻ qua mạng cơng cộng, mở Duy trì chương trình quản lý lỗ Bảo vệ tất hệ thống hổng bảo mật chống lại phần mềm độc hại thường xuyên cập nhật phần mềm chương trình chống vi-rút Phát triển trì hệ thống ứng dụng an tồn Thực biện pháp kiểm sốt truy cập mạnh mẽ Hạn chế truy cập liệu chủ thẻ doanh nghiệp cần biết Xác định xác thực quyền truy cập vào thành phần hệ thống Hạn chế quyền truy cập vật lý vào liệu chủ thẻ Thường xuyên theo dõi mạng 10 Theo dõi giám sát tất thử nghiệm truy cập vào tài nguyên mạng liệu chủ thẻ 11 Thường xuyên kiểm tra hệ thống quy trình bảo mật Duy trì Chính sách Bảo mật Thơng tin 12 Duy trì sách đề cập đến vấn đề bảo mật thông tin cho tất nhân viên 1.4 Công cụ đánh giá tuân thủ với PCI DSS ❖ PCI SSC đặt Tiêu chuẩn bảo mật PCI, thương hiệu thẻ tốn có chương trình riêng để tn thủ, mức độ xác thực thực thi Để biết thêm thơng tin chương trình tn thủ, liên hệ với thương hiệu toán ngân hàng mua bạn ❖ Hai cơng cụ chính: ➢ Người đánh giá có lực: • Hội đồng quản lý chương trình giúp tạo điều kiện thuận lợi cho việc đánh giá tuân thủ PCI DSS: Người đánh giá bảo mật đủ điều kiện (QSA) Nhà cung cấp dịch vụ quét chấp thuận (ASV) Các QSA Hội đồng phê duyệt để đánh giá tuân thủ với PCI DSS ASV Hội đồng phê duyệt để xác nhận việc tuân thủ yêu cầu quét PCI DSS cách thực quét lỗ hổng bảo mật môi trường tiếp xúc với Internet thương gia nhà cung cấp dịch vụ Hội đồng cung cấp đào tạo PCI DSS cho chuyên gia đánh giá an ninh nội (ISA) ➢ Bảng câu hỏi tự đánh giá: • Bảng câu hỏi tự đánh giá (SAQ) công cụ xác thực dành cho tổ chức đủ điều kiện tự đánh giá mức độ tuân thủ PCI DSS họ người không bắt buộc phải gửi Báo cáo tuân thủ (ROC) Các SAQ khác có sẵn cho môi trường kinh doanh khác Để xác định xem bạn có nên hồn thành SAQ hay khơng (và có nên làm nào), liên hệ với tổ chức tài mua lại thương hiệu thẻ toán tổ chức bạn CHƯƠNG 2: QUY TRÌNH VÀ KIỂM SỐT BẢO MẬT CHO CÁC YÊU CẦU CỦA PCI DSS 2.1 Khái quát quy trình kiểm sốt bảo mật ❖ Mục tiêu Tiêu chuẩn bảo mật liệu PCI (PCI DSS) bảo vệ liệu chủ thẻ liệu xác thực nhạy cảm nơi xử lý, lưu trữ truyền ❖ Các quy trình kiểm sốt bảo mật theo u cầu PCI DSS quan trọng để bảo vệ tất liệu tài khoản thẻ toán, bao gồm PAN - số tài khoản in mặt trước thẻ toán Người bán, nhà cung cấp dịch vụ tổ chức khác liên quan đến xử lý thẻ tốn khơng lưu trữ liệu xác thực nhạy cảm sau ủy quyền ❖ Điều bao gồm mã bảo mật chữ số in mặt trước mặt sau thẻ, liệu lưu trữ dải từ chip thẻ phần mềm khác không cài đặt trừ phần giải pháp khách hàng chấp thuận trước Các thử nghiệm không giải pháp ASV cho phép bao gồm từ chối dịch vụ, tràn đệm, cơng vũ phu dẫn đến khóa mật khẩu, sử dụng q nhiều băng thơng liên lạc có sẵn Giải pháp qt ASV bao gồm (các) quy trình cơng cụ quét, báo cáo quét liên quan quy trình trao đổi thông tin nhà cung cấp dịch vụ quét khách hàng quét ASV gửi báo cáo tuân thủ cho tổ chức mua lại thay mặt cho người bán nhà cung cấp dịch vụ, ASV khách hàng họ đồng ý c Phạm vi yêu cầu PCI DSS ❖ Bước PCI DSS xác định xác phạm vi mơi trường Q trình xác định phạm vi bao gồm xác định tất thành phần hệ thống nằm kết nối với môi trường liệu chủ thẻ Môi trường liệu chủ thẻ bao gồm người, quy trình cơng nghệ xử lý liệu chủ thẻ liệu xác thực nhạy cảm Các thành phần hệ thống bao gồm thiết bị mạng (cả có dây khơng dây), máy chủ, thiết bị tính tốn ứng dụng Các thành phần ảo hóa, chẳng hạn máy ảo, chuyển mạch / định tuyến ảo, thiết bị ảo, ứng dụng ảo / máy tính để bàn siêu giám sát, coi thành phần hệ thống PCI DSS ❖ Việc xác định phạm vi phải diễn hàng năm trước đánh giá hàng năm Người bán pháp nhân khác phải xác định tất vị trí luồng liệu chủ thẻ, đồng thời xác định tất hệ thống kết nối với bị xâm nhập ảnh hưởng đến CDE (ví dụ: máy chủ xác thực) để đảm bảo tất thành phần hệ thống áp dụng đưa vào phạm vi cho PCI DSS Tất loại hệ thống vị trí cần coi phần trình xác định phạm vi, bao gồm vị trí lưu / phục hồi hệ thống dự phịng ❖ Các thực thể phải xác nhận tính xác CDE xác định cách thực bước sau: ➢ Xác định ghi lại tồn tất liệu chủ thẻ mơi trường, để xác minh khơng có liệu chủ thẻ tồn bên ngồi mơi trường liệu chủ thẻ xác định (CDE) ➢ Sau tất vị trí liệu chủ thẻ xác định lập thành văn bản, xác minh phạm vi PCI DSS phù hợp (ví dụ: kết sơ đồ kiểm kê vị trí liệu chủ thẻ) ➢ Xem xét liệu chủ thẻ phát nằm phạm vi đánh giá PCI DSS phần CDE Nếu liệu xác định khơng có CDE, liệu phải xóa an tồn, di chuyển / hợp vào CDE xác định CDE xác định lại để bao gồm liệu ➢ Giữ lại tài liệu cho thấy cách xác định phạm vi PCI DSS Tài liệu giữ lại để đánh giá viên / để tham khảo hoạt động xác nhận phạm vi PCI DSS hàng năm ❖ Phân đoạn mạng ➢ Phạm vi giảm xuống với việc sử dụng phân đoạn, điều cô lập môi trường liệu chủ thẻ với phần lại mạng thực thể Giảm phạm vi giảm chi phí đánh giá PCI DSS, giảm chi phí khó khăn việc thực trì kiểm sốt PCI DSS, đồng thời giảm rủi ro cho đơn vị Để coi phạm vi PCI DSS, thành phần hệ thống phải cách ly (phân đoạn) khỏi CDE cách thích hợp, cho thành phần hệ thống phạm vi bị xâm phạm khơng thể ảnh hưởng đến bảo mật CDE Để biết thêm thông tin phạm vi, xem phần “Phân đoạn mạng” PCI DSS Phụ lục D: Phân đoạn lấy mẫu sở kinh doanh / thành phần hệ thống ❖ Lấy mẫu sở kinh doanh thành phần hệ thống ➢ Lấy mẫu lựa chọn cho người đánh giá để tạo điều kiện thuận lợi cho q trình đánh giá có số lượng lớn thành phần hệ thống Mặc dù người đánh giá chấp nhận lấy mẫu hệ thống phần trình đánh giá họ việc tuân thủ PCI DSS đơn vị, việc đơn vị áp dụng yêu cầu PCI DSS cho mẫu CDE họ chấp nhận để người đánh giá đánh giá mẫu yêu cầu PCI DSS để tuân thủ Người đánh giá lựa chọn độc lập mẫu đại diện sở kinh doanh thành phần hệ thống để đánh giá mức độ tuân thủ đơn vị yêu cầu PCI DSS PCI DSS không yêu cầu lấy mẫu Việc lấy mẫu không làm giảm phạm vi môi trường liệu chủ thẻ khả áp dụng yêu cầu PCI DSS Nếu sử dụng phương pháp lấy mẫu, mẫu phải đánh giá theo tất yêu cầu PCI DSS hành Mẫu phải đủ lớn để cung cấp cho người đánh giá đảm bảo biện pháp kiểm soát thực mong đợi Để biết thêm thông tin việc lấy mẫu, xem phần PCI DSS Dành cho Người đánh giá: Lấy mẫu Cơ sở Kinh doanh / Thành phần Hệ thống Phụ lục D: Phân đoạn Lấy mẫu Cơ sở Kinh doanh / Thành phần Hệ thống ❖ Sử dụng Nhà cung cấp / Gia công phần mềm bên thứ ba ➢ Nhà cung cấp dịch vụ người bán sử dụng dịch vụ bên thứ ba để thay mặt họ lưu trữ, xử lý truyền liệu chủ thẻ để quản lý thành phần CDE Các bên cần xác định rõ ràng dịch vụ thành phần hệ thống nằm phạm vi đánh giá PCI DSS chỗ hàng năm nhà cung cấp dịch vụ, yêu cầu PCI DSS cụ thể mà nhà cung cấp dịch vụ đề cập yêu cầu mà khách hàng nhà cung cấp dịch vụ có trách nhiệm đưa vào đánh giá PCI DSS riêng họ Nếu bên thứ ba thực đánh giá PCI DSS riêng họ, họ phải cung cấp đầy đủ chứng cho khách hàng để xác minh phạm vi đánh giá PCI DSS nhà cung cấp dịch vụ bao gồm dịch vụ áp dụng cho khách hàng yêu cầu PCI DSS liên quan kiểm tra xác định để chỗ Chứng nhận Tuân thủ nhà cung cấp dịch vụ bao gồm bảng tóm tắt yêu cầu PCI DSS đề cập (các) dịch vụ cụ thể đánh giá, cung cấp cho khách hàng làm chứng phạm vi đánh giá PCI DSS nhà cung cấp dịch vụ Tuy nhiên, loại chứng cụ thể mà nhà cung cấp dịch vụ cung cấp cho khách hàng họ phụ thuộc vào thỏa thuận / hợp đồng thực bên Người bán nhà cung cấp dịch vụ phải quản lý giám sát việc tuân thủ PCI DSS tất nhà cung cấp dịch vụ bên thứ ba liên quan có quyền truy cập vào liệu chủ thẻ loại chứng cụ thể mà nhà cung cấp dịch vụ cung cấp cho khách hàng họ phụ thuộc vào thỏa thuận / hợp đồng áp dụng bên Người bán nhà cung cấp dịch vụ phải quản lý giám sát việc tuân thủ PCI DSS tất nhà cung cấp dịch vụ bên thứ ba liên quan có quyền truy cập vào liệu chủ thẻ loại chứng cụ thể mà nhà cung cấp dịch vụ cung cấp cho khách hàng họ phụ thuộc vào thỏa thuận / hợp đồng áp dụng bên Người bán nhà cung cấp dịch vụ phải quản lý giám sát việc tuân thủ PCI DSS tất nhà cung cấp dịch vụ bên thứ ba liên quan có quyền truy cập vào liệu chủ thẻ d Sử dụng bảng câu hỏi tự đánh giá ( SAQ ) ❖ “SAQ” công cụ xác thực để thương gia nhà cung cấp dịch vụ báo cáo kết tự đánh giá PCI DSS họ, họ không bắt buộc phải gửi Báo cáo Tuân thủ (ROC) SAQ bao gồm loạt câu hỏi có khơng cho u cầu PCI DSS hành Nếu câu trả lời khơng, tổ chức u cầu nêu rõ ngày khắc phục tương lai hành động liên quan Có sẵn SAQ khác để đáp ứng môi trường buôn bán khác Nếu bạn khơng SAQ áp dụng cho mình, liên hệ với ngân hàng mua thương hiệu thẻ toán bạn để hỗ trợ e Báo cáo ❖ Báo cáo Đánh giá chế thức mà người bán tổ chức khác báo cáo trạng thái tuân thủ PCI DSS họ cho tổ chức tài mua lại thương hiệu thẻ toán tương ứng họ Tùy thuộc vào yêu cầu thương hiệu thẻ toán, người bán nhà cung cấp dịch vụ cần gửi SAQ để tự đánh giá Báo cáo tuân thủ để đánh giá chỗ Cũng phải gửi báo cáo hàng quý để quét mạng Cuối cùng, thương hiệu thẻ toán cá nhân yêu cầu nộp tài liệu khác; xem trang web họ để biết thêm thông tin ❖ Thơng tin có Báo cáo PCI DSS Tuân thủ ➢ Mẫu cho Báo cáo tuân thủ hàng năm tổ chức có sẵn Trang web PCI SSC bao gồm nội dung sau: ➢ Thông tin liên hệ ngày báo cáo ➢ Tóm tắt điều hành (mơ tả hoạt động kinh doanh thẻ toán đơn vị; sơ đồ mạng cấp cao) ➢ Mô tả phạm vi công việc phương pháp tiếp cận thực (mô tả cách thực đánh giá, môi trường, phân đoạn mạng sử dụng, chi tiết cho mẫu chọn thử nghiệm, tổ chức quốc tế sở hữu hoàn toàn yêu cầu tuân thủ PCI DSS, mạng khơng dây ứng dụng ảnh hưởng bảo mật liệu chủ thẻ, phiên PCI DSS sử dụng để thực đánh giá) ➢ Thông tin chi tiết Môi trường đánh giá (sơ đồ mạng, mô tả môi trường liệu chủ thẻ, danh sách tất phần cứng phần mềm CDE, nhà cung cấp dịch vụ sử dụng, ứng dụng toán bên thứ ba, cá nhân vấn, tài liệu xem xét, chi tiết đánh giá nhà cung cấp dịch vụ quản lý) ➢ Kết quét hàng quý (tóm tắt bốn kết quét ASV gần nhất) ➢ Phát Quan sát (phát chi tiết yêu cầu yêu cầu phụ, bao gồm giải thích tất phản hồi N / A xác nhận tất kiểm soát bù đắp) f Triển khai PCI DSS thành quy trình kinh doanh thường lệ ❖ Để đảm bảo biện pháp kiểm soát bảo mật tiếp tục thực cách, PCI DSS nên triển khai vào hoạt động kinh doanh thường lệ (BAU) phần chiến lược bảo mật tổng thể tổ chức Điều cho phép thực thể liên tục theo dõi tính hiệu biện pháp kiểm sốt bảo mật trì mơi trường tuân thủ PCI DSS lần đánh giá PCI DSS Ví dụ thực tiễn tốt cách kết hợp PCI DSS vào hoạt động BAU bao gồm (nhưng không giới hạn ở): ➢ Giám sát biện pháp kiểm soát an ninh để đảm bảo chúng hoạt động hiệu dự kiến ➢ Đảm bảo tất lỗi kiểm soát an ninh phát phản hồi kịp thời ➢ Xem xét thay đổi mơi trường (ví dụ: bổ sung hệ thống mới, thay đổi cấu hình hệ thống mạng) trước hoàn thành thay đổi để đảm bảo phạm vi PCI DSS cập nhật biện pháp kiểm sốt áp dụng thích hợp ➢ Những thay đổi cấu tổ chức (ví dụ: sáp nhập mua lại cơng ty) dẫn đến việc đánh giá thức tác động phạm vi yêu cầu PCI DSS ➢ Thực đánh giá liên lạc định kỳ để xác nhận yêu cầu PCI DSS tiếp tục áp dụng nhân viên tn thủ quy trình an tồn ➢ Đánh giá cơng nghệ phần cứng phần mềm hàng năm để xác nhận chúng tiếp tục nhà cung cấp hỗ trợ đáp ứng yêu cầu bảo mật tổ chức, bao gồm PCI DSS khắc phục thiếu sót thích hợp ❖ Các đơn vị xem xét việc thực tách bạch nhiệm vụ cho chức bảo mật họ để chức bảo mật / kiểm toán tách biệt khỏi chức vận hành CHƯƠNG 4: QUY TRÌNH CẤP CHỨNG CHỈ PCI DSS 4.1 Quy trình cấp chứng PCI DSS Đáp ứng 12 yêu cầu tiêu chuẩn PCI DSS Xác định nhu cầu tổ chức ❖ Theo mô tả Hội đồng PCI, có nhiều loại hình doanh nghiệp loại hình doanh nghiệp có u cầu khác ❖ Trước tiên, bạn cần xác định yêu cầu xác thực PCI-DSS mình, yêu cầu khác tùy thuộc vào mức độ giao dịch xử lý hàng năm Dưới tóm tắt cấp cao mức độ tuân thủ PCI: ➢ Mức 1: Giao dịch năm> triệu ➢ Mức 2: Giao dịch năm: Triệu - Triệu ➢ Mức 3: Giao dịch năm: 20.000 - Triệu ➢ Mức 4: Giao dịch năm