BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO
QUẢN LÝ AN TOÀN THÔNG TIN
ĐỀ TÀI : TÌM HIỂU, ỨNG DỤNG TIÊU CHUẨN TÍN DỤNG PCI-DSS
Ngành: An toàn thông tinMã số: 7.48.02.02
Sinh viên thực hiện:
Đặng Xuân Đức MSV: AT170612Trần Anh Tuấn MSV:AT170654Trần Đức Thắng MSV:AT170646Nguyễn Đan Trường MSV:AT170653
HÀ NỘI – 2024
Trang 2BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO
QUẢN LÝ AN TOÀN THÔNG TIN
ĐỀ TÀI : TÌM HIỂU, ỨNG DỤNG TIÊU CHUẨN TÍN DỤNG PCI-DSS
Ngành: An toàn thông tinMã số: 7.48.02.02
Sinh viên thực hiện:
Đặng Xuân Đức MSV: AT170612Trần Anh Tuấn MSV:AT170654Trần Đức Thắng MSV:AT170646Nguyễn Đan Trường MSV:AT170653
HÀ NỘI – 2024
Trang 3DANH MỤC HÌNH ẢNH 5
LỜI CẢM ƠN 6
LỜI MỞ ĐẦU 7
CHƯƠNG 1 : CƠ SỞ LÝ THUYẾT 1
1.Khái niệm về PCI-DSS 1
2.Lịch sử và Phát triển của PCI-DSS 2
3.Các yêu cầu và tiêu chí của PCI-DSS 3
Các yêu cầu PCI-DSS 3
Tiêu chí của PCI-DSS 7
CHƯƠNG 2 : CÁC NGUYÊN TẮC VÀ YÊU CẦU CƠ BẢN CỦA PCI-DSS .91.Nguyên tắc cơ bản 9
2.Yêu cầu về bảo mật dữ liệu 10
3.Yêu cầu về bảo mật hệ thống 10
4 Yêu cầu về quản lý rủi ro 11
CHƯƠNG 3 : ỨNG DỤNG VÀ THỰC HIỆN PCI-DSS 13
1.Tiêu chuẩn và quy trình tuân thủ PCI-DSS 13
Tiêu chuẩn tuân thủ PCI-DSS 13
Quy trình thực hiện tuân thủ PCI-DSS : 15
Nhược điểm của DIY 16
Phương pháp VGS 17
2.Ứng dụng thực tiễn 20
3.Thách thức và Cơ hội từ PCI-DSS 23
KẾT LUẬN 24
Trang 4DANH MỤC HÌNH ẢNH
Hình 1: PCI-DSS 1
Hình 1 2 : Các tiêu chí PCI-DSS 7
Hình 1 3 : Oleg Murasko, Phó Chủ tịch Kỹ thuật, TransferGo 13
Hình 1 4 : Các cấp độ tiêu chuẩn PCI-DSS 14
Hình 1 5 : Lợi ích chính của VGS 19
Hình 1 6 : Ưu điểm của PCI thông qua VGS 19
Hình 1 7 : 8 năm liên tiếp Sacombank đạt chứng nhận PCI DSS về bảo mật thẻ 21
Trang 5LỜI CẢM ƠN
Chúng em xin chân thành cảm ơn giảng viên hướng dẫn cô Dương Thị - Khoa AnToàn Thông Tin - Học Viện Kĩ Thuật Mật Mã đã tận tình giúp đỡ và hướng dẫn nhómchúng em trong suốt quá trình học tập và nghiên cứu để hoàn thành bản báo cáo này.
Nhóm chúng em đã tập trung và cố gắng để hoàn thành bản báo cáo, xong chúng emvẫn còn nhiều thiếu sót trong quá trình tìm hiểu, nghiên cứu đề tài này Chúng em rất mongnhận được những ý kiến đóng góp quý báu của thầy để bản báo cáo được hoàn thiện tốt hơnnữa.
Chúng em xin chân thành cảm ơn cô!
Nhóm sinh viên thực hiện đề tài.
Trang 6LỜI MỞ ĐẦU
Trong thời đại của sự kết nối toàn cầu và sự phát triển không ngừng của côngnghệ thông tin, việc bảo vệ thông tin cá nhân và tài khoản tài chính trở nên cực kỳquan trọng Trong lĩnh vực thanh toán điện tử, việc duy trì một môi trường an toànvà đáng tin cậy là điều không thể phủ nhận Chính vì vậy, các tiêu chuẩn bảo mậtnhư PCI-DSS (Payment Card Industry Data Security Standard) đã trở thành mộtphần không thể thiếu của ngành công nghiệp thanh toán điện tử.
Phần nói đầu này sẽ giới thiệu tổng quan về PCI-DSS, bao gồm khái niệm cơbản, lịch sử và phát triển của tiêu chuẩn, cùng với các yêu cầu và tiêu chí mà các tổchức cần tuân thủ để đảm bảo an toàn thông tin và giao dịch của khách hàng.
Đồng thời, chúng tôi sẽ đi sâu vào các nguyên tắc và yêu cầu cơ bản củaPCI-DSS, từ việc bảo vệ dữ liệu đến bảo mật hệ thống và quản lý rủi ro Bằng cáchnày, bạn sẽ hiểu rõ hơn về những nguyên lý cơ bản mà PCI-DSS đặt ra và cách ápdụng chúng vào môi trường thực tế.
Cuối cùng, chúng tôi sẽ đề cập đến việc ứng dụng thực tế của PCI-DSS, baogồm các tiêu chuẩn và quy trình tuân thủ, công cụ và kỹ thuật hỗ trợ thực hiện,cũng như các trường hợp thực tế và kinh nghiệm trong việc áp dụng tiêu chuẩn này.Hy vọng rằng thông qua nỗ lực nghiên cứu và thảo luận trong đề tài này,chúng ta sẽ có cái nhìn tổng quan và sâu sắc hơn về vai trò quan trọng của PCI-DSS trong việc bảo vệ thông tin và tạo niềm tin cho người dùng trong môi trườngthanh toán điện tử ngày nay.
Trang 7CHƯƠNG 1 : CƠ SỞ LÝ THUYẾT1 Khái niệm về PCI-DSS
Trang 8PCI DSS là viết tắt của "Payment Card Industry Data Security Standard" (Tiêuchuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán), là một bộ tiêu chuẩn bảo mậtdành cho tổ chức và doanh nghiệp xử lý thông tin thanh toán, nhằm bảo vệ thôngtin cá nhân và tài khoản của khách hàng sử dụng thẻ thanh toán Tiêu chuẩn nàyđược phát triển bởi Hiệp hội Công nghiệp Thẻ Thanh toán (PCI SSC), một tổ chức
phi lợi nhuận thành lập bởi các công ty thẻ thanh toán hàng đầu như Visa,MasterCard, American Express, Discover và JCB.
PCI DSS cung cấp một bộ các yêu cầu bảo mật mà các tổ chức phải tuân thủ đểbảo vệ dữ liệu thanh toán, bao gồm các biện pháp về mạng lưới, mã hóa, kiểm soáttruy cập, giám sát, kiểm tra an ninh và các biện pháp bảo vệ khác Mục tiêu củaPCI DSS là ngăn chặn việc sự cố bảo mật, gian lận và vi phạm quyền riêng tư trongquá trình xử lý và lưu trữ thông tin thanh toán Tuân thủ PCI DSS là bắt buộc đối
Hình 1: PCI-DSS
Trang 9với tất cả các tổ chức và doanh nghiệp mà xử lý, lưu trữ hoặc truyền thông tinthanh toán của các loại thẻ tín dụng và thẻ ghi nợ hàng đầu.
2 Lịch sử và Phát triển của PCI-DSS
Tiêu chuẩn PCI-DSS đã trải qua một quá trình phát triển đáng chú ý từ khi đượcthành lập Dưới đây là một cái nhìn tổng quan về lịch sử và phát triển của tiêuchuẩn này:
Thành lập và Phát triển Ban đầu (1996-2004):
- PCI-DSS được thiết lập bởi Hiệp hội Ngành Thẻ Thanh toán (PCI SSC) vàonăm 2004.
- Ban đầu, các công ty thẻ thanh toán hàng đầu như Visa, MasterCard,American Express, Discover và JCB đã hợp tác để tạo ra một tiêu chuẩnchung nhằm bảo vệ thông tin cá nhân và giao dịch thanh toán trực tuyến. Các Phiên Bản Sơ Khai (2004-2006):
- Phiên bản đầu tiên của PCI-DSS, phiên bản 1.0, được phát hành vào năm2004.
- Các phiên bản sơ khai tiếp theo được phát triển trong những năm tiếp theo,với việc cập nhật và điều chỉnh các yêu cầu và tiêu chuẩn bảo mật.
Trang 10- PCI-DSS không ngừng phát triển để thích ứng với sự thay đổi của môitrường an ninh mạng và để bảo vệ thông tin cá nhân và giao dịch thanh toántrực tuyến một cách hiệu quả nhất.
Thông qua các giai đoạn phát triển này, PCI-DSS đã trở thành một tiêu chuẩn bảomật quan trọng và được công nhận trên toàn cầu trong ngành công nghiệp thanhtoán.
3 Các yêu cầu và tiêu chí của PCI-DSS
Các yêu cầu PCI-DSS
1) Áp dụng cấu hình bảo mật cho tất cả các thành phần hệ thống:Tài khoản mặc định của nhà cung cấp phải được quản lý như sau:
Nếu tài khoản mặc định của nhà cung cấp được sử dụng, mật khẩu mặcđịnh phải được thay đổi theo Yêu cầu 8.3.6.
Nếu tài khoản mặc định của nhà cung cấp không được sử dụng, tài khoảnđó phải được xóa hoặc vô hiệu hóa.
2) Bảo vệ dữ liệu tài khoản được lưu trữ:
- Các quy trình và cơ chế bảo vệ dữ liệu tài khoản được lưu trữ phải: Được ghi chép.
Được cập nhật thường xuyên.
Được thông báo cho tất cả các bên liên quan. Được thực hiện.
- Việc lưu trữ dữ liệu tài khoản phải được thực hiện với ít nhất các biện phápsau:
Bảo vệ cho tất cả các vị trí lưu trữ dữ liệu tài khoản.
Bảo vệ cho mọi dữ liệu xác thực nhạy cảm (SAD) được lưu trữ trước khihoàn thành quá trình ủy quyền.
Trang 11 Giới hạn lưu trữ dữ liệu và thời gian lưu giữ chỉ vào mức cần thiết chocác yêu cầu pháp lý hoặc quy định và/hoặc kinh doanh.
3) Xác định và giải quyết các lỗ hổng bảo mật:
a) Các lỗ hổng bảo mật phải được xác định và quản lý như sau:
- Các lỗ hổng bảo mật mới phải được xác định bằng cách sử dụng cácnguồn thông tin về lỗ hổng bảo mật được công nhận trong ngành, baogồm cả cảnh báo từ các tổ chức phản ứng khẩn cấp máy tính quốc gia vàquốc tế (CERT).
- Các lỗ hổng phải được xếp hạng rủi ro dựa trên các phương pháp thựchành tốt nhất trong ngành và xem xét tác động tiềm ẩn.
b) Tất cả các thành phần hệ thống phải được bảo vệ khỏi các lỗ hổng đã biếtbằng cách cài đặt các bản vá/cập nhật bảo mật hiện hành.
- Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ:
Xác định người dùng và xác thực quyền truy cập vào các thành phần hệthống.
Nhận dạng người dùng và các tài khoản liên quan dành cho người dùngvà quản trị viên phải được quản lý chặt chẽ trong suốt vòng đời của tàikhoản.
Tài khoản nhóm, tài khoản dùng chung hoặc thông tin xác thực dùngchung chỉ được sử dụng khi cần thiết và được quản lý chặt chẽ.
Xác thực mạnh mẽ cho người dùng và quản trị viên phải được thiết lập vàquản lý.
Mật khẩu/cụm mật khẩu được sử dụng làm yếu tố xác thực phải đáp ứngcác yêu cầu phức tạp tối thiểu.
Mật khẩu/cụm mật khẩu phải được thay đổi định kỳ và không được tái sửdụng.
Trang 12 Nếu mật khẩu/cụm mật khẩu được sử dụng làm yếu tố xác thực duy nhất,chúng phải được thay đổi định kỳ và có sự kiểm tra bảo mật thườngxuyên.
- Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ:
Phương tiện chứa dữ liệu chủ thẻ phải được lưu trữ, truy cập, phân phốivà hủy một cách an toàn.
Tất cả các phương tiện chứa dữ liệu chủ thẻ phải được bảo mật về mặt vậtlý và được phân loại đúng cách.
- Thường xuyên kiểm tra tính bảo mật của hệ thống và mạng:
Các lỗ hổng bên ngoài và bên trong phải được xác định, ưu tiên và giảiquyết thường xuyên.
Quét lỗ hổng bên ngoài phải được thực hiện ít nhất ba tháng một lần bởiNhà cung cấp dịch vụ quét được phê duyệt PCI SSC (ASV).
Quét lại phải được thực hiện khi có thay đổi quan trọng hoặc khi cần thiếtđể xác nhận rằng các lỗ hổng đã được giải quyết.
- Hỗ trợ bảo mật thông tin bằng các chính sách và chương trình của tổ
Một quy trình phải được thiết lập và triển khai để thu hút TPSP, bao gồmthẩm định phù hợp trước khi tham gia.
Trang 13 Thỏa thuận bằng văn bản phải được duy trì với tất cả TPSP dữ liệu tàikhoản nào được chia sẻ hoặc dữ liệu đó có thể ảnh hưởng đến tính bảomật của CDE.
Một chương trình phải được triển khai để giám sát tuân thủ PCI DSS củaTPSP ít nhất 12 tháng một lần.
Thông tin về các yêu cầu PCI DSS được mỗi TPSP quản lý phải được duytrì và chia sẻ giữa TPSP và thực thể.
Các sự cố bảo mật nghi ngờ và đã xác nhận phải được phản hồi ngay lậptức Kế hoạch ứng phó sự cố cần được thiết lập và sẵn sàng kích hoạttrong trường hợp sự cố bảo mật đáng ngờ hoặc đã được xác nhận, baogồm:
Vai trò, trách nhiệm và chiến lược liên lạc trong trường hợp sự cố bảomật.
Quy trình ứng phó cụ thể cho các hoạt động ngăn chặn và giảm thiểu rủiro.
Các thủ tục phục hồi và duy trì hoạt động kinh doanh.
Quy trình sao lưu dữ liệu.
Phân tích các yêu cầu pháp lý đối với việc báo cáo các thỏa thuận.
Phạm vi bao phủ và phản hồi của tất cả các thành phần hệ thống quantrọng.
Thông tin này cung cấp một cái nhìn tổng quan về các yêu cầu và tiêu chícủa PCI-DSS đối với bảo mật thông tin và quản lý rủi ro trong môi trườngthanh toán.
Trang 14 Tiêu chí của PCI-DSS
Hình 1 2 : Các tiêu chí PCI-DSS
Tiêu chuẩn PCI-DSS đặt ra một chuẩn mực cao về bảo mật thông tin cá nhânvà giao dịch thanh toán trực tuyến Mỗi tiêu chí trong PCI-DSS được thiết kế đểđảm bảo rằng các tổ chức xử lý thông tin thanh toán có các biện pháp bảo mật cầnthiết để bảo vệ dữ liệu khách hàng và ngăn chặn các cuộc tấn công mạng.
Một trong những tiêu chí quan trọng của PCI-DSS là mã hóa dữ liệu Tiêuchuẩn này yêu cầu việc sử dụng mã hóa mạnh mẽ để bảo vệ dữ liệu cá nhân trongquá trình truyền và lưu trữ Bằng cách này, thông tin nhạy cảm như thông tin thẻthanh toán và thông tin cá nhân của khách hàng được bảo vệ một cách an toàn,ngay cả khi nó bị đánh cắp.
Ngoài ra, tiêu chuẩn cũng đặt ra các yêu cầu về bảo vệ mạng Các tổ chứccần cài đặt các biện pháp bảo vệ mạng như tường lửa và kiểm soát quyền truy cập
Trang 15để ngăn chặn truy cập trái phép vào hệ thống Điều này giúp giảm thiểu nguy cơ vềviệc dữ liệu bị đánh cắp hoặc bị sửa đổi một cách trái phép.
Tiêu chuẩn PCI-DSS cũng đòi hỏi việc thiết lập và duy trì các chính sách vàquy trình quản lý rủi ro Điều này giúp các tổ chức đánh giá và giảm thiểu các mốiđe dọa tiềm ẩn đối với an toàn thông tin, đồng thời tăng cường khả năng phát hiệnvà ứng phó với các sự cố bảo mật một cách hiệu quả.
Những tiêu chuẩn và yêu cầu của PCI-DSS đóng vai trò quan trọng trongviệc xây dựng một môi trường an toàn và đáng tin cậy cho các giao dịch thanh toántrực tuyến Tuân thủ các tiêu chí này không chỉ là một nghĩa vụ pháp lý mà còn làmột biện pháp cần thiết để bảo vệ thông tin cá nhân của khách hàng và duy trì uytín của tổ chức.
Trang 16CHƯƠNG 2 : CÁC NGUYÊN TẮC VÀ YÊU CẦU CƠ BẢN CỦAPCI-DSS
1 Nguyên tắc cơ bản- Bảo vệ Dữ liệu:
Mã hóa dữ liệu cá nhân khi truyền và lưu trữ: Sử dụng các thuật
toán mã hóa để bảo vệ thông tin cá nhân khi di chuyển qua mạng và lưu trữ trênhệ thống Điều này giúp ngăn chặn người không được ủy quyền truy cập vàothông tin nhạy cảm.
Loại bỏ hoặc giảm thiểu việc lưu trữ dữ liệu không cần thiết: Việc
giảm thiểu dữ liệu không cần thiết giảm bớt nguy cơ mất mát hoặc truy cập tráiphép thông tin cá nhân Các tổ chức nên xác định và loại bỏ những dữ liệukhông cần thiết hoặc không cần lưu trữ.
Bảo vệ dữ liệu thẻ thanh toán: Thông tin thẻ thanh toán là một mục
tiêu phổ biến của các cuộc tấn công Do đó, việc áp dụng các biện pháp bảo vệđặc biệt như mã hóa, kiểm soát truy cập và quản lý chính sách là rất quan trọng.
- Bảo vệ Hệ thống:
Xây dựng và duy trì mạng an toàn: Cài đặt và duy trì tường lửa để
ngăn chặn truy cập trái phép, sử dụng các biện pháp bảo mật mạng không dây,và bảo vệ các thiết bị mạng và ứng dụng an toàn.
Quản lý danh sách kiểm soát truy cập: Xác định và giám sát người
dùng được ủy quyền truy cập vào tài nguyên nhạy cảm của hệ thống Điều nàybao gồm việc xác minh danh tính, kiểm soát quyền truy cập và theo dõi các hoạtđộng trên hệ thống.
Trang 17 Thiết lập chính sách và quy trình quản lý rủi ro: Xác định và đánh
giá các rủi ro bảo mật, và thiết lập các biện pháp kiểm soát và quản lý để giảmthiểu các rủi ro này Quy trình này cần phải được thiết kế để phù hợp với môitrường cụ thể của từng tổ chức.
Kiểm tra định kỳ: Thực hiện kiểm tra bảo mật định kỳ để phát hiện
sớm các lỗ hổng bảo mật và xử lý chúng trước khi trở thành vấn đề lớn.
2 Yêu cầu về bảo mật dữ liệu
- Mã hóa Dữ liệu:
Yêu cầu mã hóa dữ liệu thẻ thanh toán khi truyền qua mạng côngcộng: Đảm bảo rằng thông tin thẻ thanh toán không thể đọc được khi truyền qua
mạng công cộng, ngăn chặn truy cập trái phép.
Mã hóa các dữ liệu cá nhân nhạy cảm được lưu trữ: Sử dụng mã
hóa để bảo vệ các dữ liệu cá nhân nhạy cảm lưu trữ trên các hệ thống nội bộ.Điều này giúp đảm bảo rằng ngay cả khi bị tấn công, thông tin vẫn được bảo vệ.- Bảo vệ Thẻ Thanh toán:
Giảm thiểu việc lưu trữ thông tin thẻ thanh toán: Loại bỏ hoặc
giảm thiểu dữ liệu không cần thiết liên quan đến thanh toán Điều này giảmthiểu nguy cơ mất thông tin thẻ thanh toán khi hệ thống bị tấn công.
Bảo vệ thông tin thẻ thanh toán: Sử dụng các biện pháp bảo mật như
mã hóa và kiểm soát truy cập để bảo vệ thông tin thẻ thanh toán khỏi truy cậptrái phép.
3 Yêu cầu về bảo mật hệ thống
- Bảo vệ Mạng:
Trang 18 Sử dụng tường lửa để bảo vệ mạng: Ngăn chặn truy cập trái phép
vào mạng và các dịch vụ, đồng thời giúp kiểm soát lưu lượng mạng.
Bảo mật các thiết bị mạng và điểm truy cập không dây: Đảm bảo
rằng các thiết bị mạng và điểm truy cập không dây được cấu hình và quản lýmột cách an toàn để ngăn chặn các mối đe dọa từ bên ngoài.
- Quản lý Rủi ro:
Thiết lập quy trình quản lý rủi ro: Đánh giá, giảm thiểu và quản lý
các mối đe dọa tiềm ẩn đối với an ninh thông tin và giao dịch thanh toán Quytrình này bao gồm việc xác định, đánh giá và ưu tiên hóa các rủi ro, đồng thờithiết lập các biện pháp kiểm soát để giảm thiểu hoặc loại trừ chúng.
Thực hiện kiểm tra bảo mật định kỳ: Việc thực hiện kiểm tra bảo mật định kỳ
giúp phát hiện sớm các lỗ hổng bảo mật và xử lý chúng trước khi trở thành vấnđề lớn Những kiểm tra này có thể bao gồm kiểm tra phân tích mã độc, kiểm trabảo mật mạng, kiểm tra phản ứng và khả năng khôi phục sau sự cố.
4 Yêu cầu về quản lý rủi ro
- Thiết lập Chính sách và Quy trình:
Xác định và thiết lập các chính sách và quy trình quản lý rủi ro:
Các tổ chức cần xác định các chính sách và quy trình rõ ràng để quản lý rủi robảo mật Điều này bao gồm việc xác định các trách nhiệm, quyền hạn và cácquy trình để xử lý các rủi ro.
- Thực hiện Đánh giá Rủi ro:
Tiến hành đánh giá rủi ro định kỳ: Các tổ chức cần thường xuyên
đánh giá các rủi ro bảo mật để xác định các vấn đề tiềm ẩn và ưu tiên hóa cácbiện pháp kiểm soát Đánh giá rủi ro cần được thực hiện bởi các chuyên gia