Phạm vi của Tiêu chuẩn PCI DSS: Yêu cầu PCI DSS được áp dụng cho:Môi trường dữ liệu của chủ thẻ CDE, bao gồm:- Các thành phần hệ thống, người dùng và quy trình lưu trữ, xử lý vàtruyền dữ
Trang 1ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
Trang 2Mục lục nội dung
I Tiêu chuẩn PCI DSS 2
1 Tiêu chuẩn PCI DSS là gì? 2
2 Phạm vi của Tiêu chuẩn PCI DSS: 3
3 Tiêu chuẩn khi áp dụng 5
4 Ưu và nhược điểm của PCI DSS: 12
4.1 Ưu điểm: 12
4.2 Nhược điểm: 12
II Giao thức SSL/ TLS 13
1 Giao thức SSL/TLS là gì? 13
2 Chứng chỉ SSL/TLS 14
3 Chức năng và hoạt động 15
4 Ưu và nhược điểm 15
4.1 Ưu điểm (lợi ích) của chứng chỉ SSL 15
4.2 Nhược điểm của chứng chỉ SSL 16
4.3 Những khả năng bị tấn công 17
5 Cách thức hoạt động của SSL/TLS 18
5.1 Chủ thể tham gia 18
5.2 Cách thức hoạt động giao thức SSL 18
5.3 Cách thức hoạt động của giao thức TLS 1.3 20
III Giao thức 3D Secure 22
1 Giao thức 3D Secure là gì? 22
2 Quy trình của giao thức 3D Secure 22
3 Ưu và nhược điểm của 3D Secure: 23
3.1 Ưu điểm: 23
3.2 Nhược điểm: 24
3.3 Rủi ro khi thực hiện 3D Secure 24
References 25
Trang 3I Tiêu chuẩn PCI DSS
1 Tiêu chuẩn PCI DSS là gì?
Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán PCI DSS (Payment Card Industry Data Security Standard) là tiêu chuẩn bảo mật được xác lập bởi Hội
đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) gồm các thành viên:Visa, MasterCard, American Express, Discover Financial Services, JCBInternational
Tiêu chuẩn này được phát triển nhằm mục đích đảm bảo an ninh cho dữ liệu củathẻ thanh toán khi được xử lý và lưu trữ tại các ngân hàng, doanh nghiệp thanhtoán điện tử PCI DSS sẽ giúp cho các doanh nghiệp hạn chế các lỗ hổng bảo mật
và rủi ro bị đánh cắp thông tin đồng thời chống lại việc xâm nhập và sử dụng dữliệu trái phép
Hiệu lực của chứng chỉ: Chứng chỉ PCI DSS sẽ có hiệu lực trong một năm, và cácdoanh nghiệp phải thực hiện tái đánh giá định kỳ
Để được cấp chứng chỉ này, nhà cung cấp dịch vụ phải kiểm tra mạng lưới hạ tầnghàng tháng Đồng thời, Hội đồng Tiêu chuẩn Bảo mật tới kiểm tra bảo mật hàngnăm, nhằm đảm bảo đáp ứng và tuân thủ các nguyên tắc về bảo mật
Điều gì sẽ xảy ra nếu doanh nghiệp không tuân thủ PCI DSS:
- Nếu một doanh nghiệp bị phát hiện không tuân thủ PCI DSS, các hình phạt baogồm từ phạt tiền đến mất quyền chấp nhận thanh toán bằng thẻ tín dụng
- Không thể chấp nhận thanh toán bằng thẻ tín dụng: đây là hình phạt nặng nhấtđối với nhiều doanh nghiệp Vì nó có thể gây tổn thất lớn về tài chính, mất thịphần và tổn hại danh tiếng
- Tiền phạt: mức phạt cho một trang doanh nghiệp không tuân thủ PCI thườngdao động từ 86.000 đô la đến 4 triệu đô la
- Trách nhiệm pháp lý: sau khi vi phạm bảo mật, một doanh nghiệp có thể bịkiện tụng vì trách nhiệm giữa an toàn thông tin nhạy cảm của khách hàng
Trang 42 Phạm vi của Tiêu chuẩn PCI DSS:
Yêu cầu PCI DSS được áp dụng cho:
Môi trường dữ liệu của chủ thẻ (CDE), bao gồm:
- Các thành phần hệ thống, người dùng và quy trình lưu trữ, xử lý vàtruyền dữ liệu người giữ thẻ và/hoặc dữ liệu xác thực nhạy cảm
- Các thành phần hệ thống có thể không lưu trữ, xử lý hoặc truyềnCHD/SAD nhưng có kết nối không hạn chế với các thành phần hệthống lưu trữ, xử lý hoặc truyền CHD/SAD
Các thành phần hệ thống, người dùng và quy trình có thể ảnh hưởng đến bảomật của CDE "Các thành phần hệ thống" bao gồm các thiết bị mạng, máychủ, thiết bị tính toán, thành phần ảo, thành phần đám mây và phần mềm.Chẳng hạn như:
- Hệ thống lưu trữ, xử lý hoặc truyền dữ liệu tài khoản (ví dụ: các thiết
bị thanh toán, hệ thống xác nhận, hệ thống thanh toán, hệ thống phầnmềm trung tâm thanh toán, giỏ hàng và hệ thống cửa hàng trực tuyến,
hệ thống cổng thanh toán/chuyển đổi, hệ thống giám sát gian lận)
- Hệ thống cung cấp dịch vụ bảo mật (ví dụ: máy chủ xác thực, máychủ kiểm soát truy cập, hệ thống quản lý sự kiện và thông tin bảo mật(SIEM), hệ thống bảo mật vật lý (ví dụ: quyền truy cập thẻ hoặcCCTV), hệ thống xác thực đa yếu tố, hệ thống chống phần mềm độchại)
- Hệ thống hỗ trợ phân đoạn (ví dụ: hệ thống kiểm soát bảo mật mạngnội bộ)
- Các hệ thống có thể ảnh hưởng đến bảo mật dữ liệu tài khoản hoặcCDE (ví dụ: độ phân giải tên, hoặc máy chủ định tuyến)
- Các thành phần ảo như máy ảo, công tắc/bộ định tuyến ảo, thiết bị ảo,ứng dụng/ màn hình máy tính ảo và trình quản lý máy ảo
Trang 5- Cơ sở hạ tầng và thành phần đám mây, cả trong nước và ngoài nước,bao gồm các phiên bản của các bộ chứa hoặc hình ảnh, mạng riêng
ảo, quản lý danh tính và truy cập dựa trên đám mây, lưới dịch vụ vớicác ứng dụng được đóng gói theo container và các công cụ quản lýcontainer
- Các thành phần mạng, chẳng hạn như các cơ chế bảo mật mạng, côngtắc, bộ định tuyến, thiết bị mạng VoIP, điểm truy cập không dây, thiết
bị mạng và các thiết bị bảo mật khác
- Các loại máy chủ, chẳng hạn như các máy chủ web, ứng dụng, cơ sở
dữ liệu, xác thực, mail, proxy, giao thức NTP (Network TimeProtocol) và hệ thống phân giải tên miền (DNS)
- Thiết bị người dùng cuối, chẳng hạn như máy tính, máy tính xách tay,máy trạm, máy trạm quản lý, máy tính bảng và thiết bị di động
- Máy in và các thiết bị đa chức năng quét, in và fax
- Lưu trữ dữ liệu tài khoản ở bất kỳ định dạng nào (ví dụ: giấy tờ, tệp
dữ liệu, âm thanh, hình ảnh, video)
- Ứng dụng, phần mềm và các thành phần phần mềm, ứng dụng khôngmáy chủ, bao gồm tất cả các phần mềm đã mua hoặc đăng ký, phầnmềm đặc thù và tùy chỉnh, bao gồm ứng dụng nội bộ và bên ngoài
- Các công cụ, kho lưu trữ mã và các hệ thống quản lý cấu hình phầnmềm hoặc triển khai đối tượng đến CDE hoặc đến các hệ thống khác
có ảnh hưởng đến CDE
Trang 6Hình 1: Các yếu tố cần xem xét khi xác định phạm vi các thành phần hệ thống
cho PCI DSS
3 Tiêu chuẩn khi áp dụng
Tiêu chuẩn bảo mật PCI DSS bao gồm 12 yêu cầu chính rất khắt khe Đây là mộtchứng chỉ tiêu chuẩn an ninh thông tin vô cùng quan trọng, được công nhận toàncầu và là tiêu chuẩn bắt buộc đối với tất cả tổ chức, doanh nghiệp có liên quan đếnnghiệp vụ xử lý, truyền tải và lưu trữ dữ liệu thẻ thanh toán
PCI DSS v3.2.1 gồm 12 yêu cầu chính về bảo mật thông tin như sau:
a Xây dựng và duy trì hệ thống mạng bảo mật
Tất cả các hệ thống phải được bảo vệ khỏi truy cập trái phép từ các mạngkhông đáng tin cậy Tường lửa là một cơ chế bảo vệ quan trọng cho bất kỳmạng máy tính nào Các thành phần hệ thống khác cũng có thể cung cấp chứcnăng như tường lửa, miễn là chúng đáp ứng các yêu cầu tối thiểu về tường lửa
Trang 7Recommended for you
Document continues below Tài liệu không có tiêu đề
Trang 8● Yêu cầu 2: Không sử dụng các tham số hoặc mật khẩu có sẵn từ các nhà cungcấp hệ thống.
Kẻ xấu thường sử dụng mật khẩu mặc định của nhà cung cấp và các thiết lậpmặc định khác của nhà cung cấp để xâm nhập vào hệ thống Những mật khẩu
và thiết lập này đã được các cộng đồng hacker biết rõ và có thể dễ dàng xácđịnh thông qua thông tin công khai
b Bảo vệ dữ liệu thẻ thanh toán
Các phương pháp bảo vệ như mã hóa, cắt bớt thông tin, che giấu và hàm băm(hash) đóng vai trò quan trọng trong việc bảo vệ dữ liệu của chủ thẻ Nếu một
kẻ xâm nhập vượt qua các lớp bảo mật an ninh và tiếp cận dữ liệu đã được mãhóa, mà không có các khóa chính xác, dữ liệu sẽ không thể đọc và sử dụngđược
Thông tin nhạy cảm phải được mã hóa trong quá trình truyền dẫn qua cácmạng Các mạng không dây được cấu hình sai và lỗ hổng trong các giao thức
mã hóa và xác thực kế thừa thường là những mục tiêu dễ bị người xấu khaithác để có quyền truy cập đặc biệt vào môi trường dữ liệu của chủ thẻ
c Xây dựng và duy trì tình trạng đảm bảo an ninh mạng
phần mềm diệt virus
Phần mềm độc hại xâm nhập vào mạng trong quá trình thực hiện nhiều hoạtđộng được phê duyệt trong doanh nghiệp, bao gồm việc sử dụng email củanhân viên và Internet, máy tính di động và thiết bị lưu trữ, dẫn đến việc khaithác các lỗ hổng trong hệ thống Phần mềm chống virus phải được sử dụng trêntất cả các hệ thống thường bị ảnh hưởng bởi phần mềm độc hại để bảo vệ hệthống khỏi các mối đe dọa
Trang 9Tất cả các hệ thống phải thường xuyên cập nhật các bản vá phù hợp để bảo vệ
hệ thống khỏi việc khai thác và xâm nhập vào dữ liệu của chủ thẻ bởi các cánhân và phần mềm độc hại
d Xây dựng hệ thống kiểm soát xâm nhập
Để đảm bảo rằng dữ liệu quan trọng chỉ có thể được truy cập bởi nhân viênđược ủy quyền, hệ thống và quy trình phải được thiết lập để giới hạn quyềntruy cập dựa trên nhu cầu và vị trí công việc
Việc gán một định danh (ID) duy nhất cho mỗi người có quyền truy cập sẽ đảmbảo rằng mỗi cá nhân chịu trách nhiệm cho hành động của mình Khi tráchnhiệm được thiết lập, các hành động được thực hiện trên dữ liệu và hệ thống sẽ
có thể truy vết được
Hiệu quả của mật khẩu phần lớn được xác định bởi thiết kế của hệ thống xácthực - đặc biệt là tần suất mà một kẻ tấn công có thể thử mật khẩu, cũng như làcác phương pháp bảo mật để bảo vệ mật khẩu của người dùng tại điểm nhập,trong quá trình truyền dẫn và khi được lưu trữ
Bất kỳ truy cập vật lý vào dữ liệu hoặc hệ thống lưu trữ dữ liệu của chủ thể đều
là cơ hội cho kẻ xấu truy cập vào các thiết bị hoặc dữ liệu phải được hạn chếmột cách phù hợp
e Theo dõi và đánh giá hệ thống thường xuyên
Cơ chế ghi lại và giám sát hoạt động của người dùng là rất quan trọng để ngănchặn, phát hiện hoặc giảm thiểu rủi ro dữ liệu Bản ghi giúp theo dõi kỹ lưỡng,cảnh báo và phân tích khi có sự cố xảy ra Xác định nguyên nhân của 1 vụ độtnhập là rất khó nếu như không có bản ghi hoạt động hệ thống
Trang 10● Yêu cầu 11: Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệthống
Các thành phần hệ thống, quy trình và phần mềm tùy chỉnh phải được kiểm trathường xuyên để đảm bảo rằng các khâu bảo mật phù hợp với môi trường hiệntại
f Chính sách bảo vệ thông tin
● Yêu cầu 12: Xây dựng chính sách bảo vệ thông tin
Một chính sách bảo mật mạnh sẽ thiết lập một nền tảng bảo mật cho toàn bộ tổchức và cho nhân viên biết được những gì được mong đợi từ họ Tất cả nhânviên phải nhận thức được tính nhạy cảm của dữ liệu và trách nhiệm của họtrong việc bảo vệ nó
Hình 2: 12 yêu cầu đối với việc bảo vệ dữ liệu thẻ của tiêu chuẩn PCI DSS 3.2
Cuối tháng 3/2022, Hội đồng Tiêu chuẩn Bảo mật PCI (SSC), tổ chức giámsát Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS), đã thông báo
hiệu lực vào ngày 31/3/2025) với những thay đổi được nhấn mạnh bao gồm:
Trang 111 Triển khai MFA (xác thực đa yếu tố) cho tất cả quyền truy cập vàomôi trường dữ liệu của chủ thẻ.
2 Thay thế thuật ngữ “tường lửa” bằng “mạng lưới an ninh” để hỗ trợnhiều loại công nghệ bảo mật hơn
3 Tăng tính linh hoạt cho các tổ chức để chứng minh cách họ đang sửdụng các phương pháp khác nhau để đạt được các mục tiêu bảo mật
4 Bổ sung các phân tích rủi ro được nhắm mục tiêu để cho phép các thựcthể linh hoạt hơn trong việc xác định tần suất họ thực hiện các hoạt độngnhất định, sao cho phù hợp nhất với nhu cầu kinh doanh và mức độ rủi
ro của họ
PCI DSS v4.0 gồm 12 yêu cầu chính sau:
a Xây dựng và duy trì hệ thống mạng bảo mật
Các phương pháp kiểm soát an ninh mạng như tường lửa và các công nghệ an ninh mạng khác có chức năng điều khiển lưu lượng mạng giữa hai hoặc nhiều phân đoạn mạng logic hoặc vật lý dựa trên các chính sách hoặc quy tắc được định sẵn
Kẻ xấu thường sử dụng mật khẩu và thiết lập mặc định để xâm nhập vào hệ thống vì những mật khẩu và thiết lập này dễ dàng xác định thông qua thông tin công khai Việc áp dụng các cấu hình bảo mật cho các thành phần hệ thống sẽ giảm khả năng của kẻ tấn công xâm nhập vào hệ thống
b Bảo vệ dữ liệu thẻ
Các phương pháp bảo vệ như mã hóa, cắt bớt thông tin, che giấu và hàm hash giúp bảo vệ dữ liệu của chủ thẻ Giả sử nếu một kẻ xâm nhập vượt qua được các lớp bảo mật và tiếp cận dữ liệu tài khoản đã được mã hóa, dữ liệu sẽ không thể đọc và sử dụng được nếu như không có khóa chính xác
Trang 12● Yêu cầu 4: Mã hóa mạnh mẽ thông tin thẻ trên đường truyền qua mạng mở và công cộng khi giao dịch.
Việc sử dụng mã hóa mạnh sẽ cung cấp độ tin cậy cao hơn trong việc bảo vệ tính bảo mật, toàn vẹn và chống thoái thác dữ liệu
c Xây dựng và duy trì tình trạng đảm bảo an ninh mạng
Phần mềm độc hại (malware) là phần mềm được thiết kế để xâm nhập hoặc gâyhại cho hệ thống máy tính mà không có sự đồng ý của chủ sở hữu, với mục đích xâm phạm tính bảo mật, toàn vẹn hoặc khả dụng của dữ liệu, ứng dụng hoặc hệ điều hành của chủ sở hữu
Ví dụ: virus, worm, Trojan, spyware, ransomware, keyloggers và rootkit, mã độc, script, liên kết độc hại,
Sử dụng các giải pháp chống phần mềm độc hại (anti-malware) sẽ giúp bảo vệ
hệ thống khỏi các mối đe dọa từ phần mềm độc hại
Tất cả các hệ thống phải thường xuyên cập nhật các bản vá phù hợp để ngăn không cho kẻ xấu khai thác lỗ hổng bảo mật và xâm nhập vào hệ thống
d Xây dựng hệ thống kiểm soát xâm nhập
Các đối tượng không được cấp quyền có thể truy cập vào dữ liệu quan trọng hoặc hệ thống do các quy tắc và phương thức kiểm soát truy cập không hiệu quả Để đảm bảo rằng chỉ nhân viên được ủy quyền mới có thể truy cập vào dữ liệu quan trọng, hệ thống và quy trình phải được thiết lập để hạn chế quyền truycập dựa trên nhu cầu và vị trí công việc
Việc định danh một cá nhân hoặc quy trình trên hệ thống được tiến hành bằng cách liên kết một danh tính với một người hoặc quy trình thông qua một nhân
Trang 13định, chẳng hạn như một người dùng, hệ thống hoặc ID.Việc gán một định danh (ID) duy nhất cho mỗi người có quyền truy cập sẽ đảm bảo rằng mỗi cá nhân chịu trách nhiệm cho hành động của mình Khi trách nhiệm được thiết lập, các hành động được thực hiện trên dữ liệu và hệ thống sẽ có thể truy vết được.
Yếu tố được sử dụng để chứng minh hoặc xác minh danh tính được gọi là yếu
tố xác thực Các yếu tố xác thực bao gồm: 1) điều gì đó bạn biết, chẳng hạn như mật khẩu hoặc cụm từ mật khẩu, 2) điều gì đó bạn có, chẳng hạn như thiết
bị mã thông báo hoặc thẻ thông minh, hoặc 3) điều gì đó bạn là, chẳng hạn như yếu tố sinh trắc học
ID và yếu tố xác thực được coi là thông tin xác thực và được sử dụng để truy cập vào quyền và đặc quyền liên quan đến người dùng, ứng dụng, hệ thống hoặc tài khoản dịch vụ
Bất kỳ truy cập vật lý vào dữ liệu hoặc hệ thống lưu trữ dữ liệu của chủ thể đều
là cơ hội cho kẻ xấu truy cập vào các thiết bị hoặc dữ liệu phải được hạn chế một cách phù hợp
e Theo dõi và đánh giá hệ thống thường xuyên
Cơ chế ghi lại và giám sát hoạt động của người dùng là rất quan trọng để ngăn chặn, phát hiện hoặc giảm thiểu rủi ro dữ liệu Bản ghi giúp theo dõi kỹ lưỡng, cảnh báo và phân tích khi có sự cố xảy ra Xác định nguyên nhân của 1 vụ đột nhập là rất khó hoặc gần như là không thể nếu như không có bản ghi hoạt động
hệ thống
thống
Trang 14Các thành phần hệ thống, quy trình và phần mềm tùy chỉnh phải được kiểm tra thường xuyên để đảm bảo rằng các khâu bảo mật phù hợp với môi trường hiện tại.
f Chính sách bảo vệ thông tin
● Yêu cầu 12: Xây dựng các chính sách và chương trình để bảo vệ thông tinChính sách bảo mật thông tin của một tổ chức sẽ là nền tảng cho hệ thống bảo mật của toàn bộ tổ chức và giúp cho nhân viên biết được những gì được mong đợi từ họ Tất cả nhân viên phải nhận thức được tính nhạy cảm của dữ liệu và trách nhiệm của họ trong việc bảo vệ nó
4 Ưu và nhược điểm của PCI DSS:
4.1 Ưu điểm:
● Bảo vệ dữ liệu thẻ thanh toán: PCI DSS đặt các yêu cầu nghiêm ngặt về bảo mật thông tin thẻ thanh toán, giúp giảm nguy cơ lộ thông tin cá nhân và gian lận tài chính
● Mức tuân thủ cao: PCI DSS giúp tổ chức xác định và triển khai các biện pháp bảo mật cần thiết để bảo vệ dữ liệu khách hàng Điều này giúp tạo niềm tin và đáng tin cậy cho khách hàng
● Giảm rủi ro pháp lý: Tuân thủ PCI DSS giúp giảm rủi ro pháp lý liên quan đến việc xử lý thông tin thẻ thanh toán
● Nâng cao an ninh thông tin: Quá trình tuân thủ PCI DSS thường đòi hỏi kiểm tra, giám sát và cải thiện liên tục hệ thống bảo mật Điều này có thể dẫn đến việc cải thiện tổng thể về an ninh thông tin trong tổ chức
4.2 Nhược điểm:
● Phức tạp và tốn kém: Tuân thủ PCI DSS đòi hỏi sự đầu tư lớn về thời gian, tiềnbạc và nguồn lực nhằm triển khai và duy trì các biện pháp bảo mật Các tổ chứcphải đảm bảo tuân thủ các yêu cầu và chuẩn bị cho các kiểm tra định kỳ