CƠ SỞ LÝ THUYẾT
Khái niệm về PCI-DSS
PCI DSS là viết tắt của "Payment Card Industry Data Security Standard" (Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán), là một bộ tiêu chuẩn bảo mật dành cho tổ chức và doanh nghiệp xử lý thông tin thanh toán, nhằm bảo vệ thông tin cá nhân và tài khoản của khách hàng sử dụng thẻ thanh toán Tiêu chuẩn này được phát triển bởi Hiệp hội Công nghiệp Thẻ Thanh toán (PCI SSC), một tổ chức phi lợi nhuận thành lập bởi các công ty thẻ thanh toán hàng đầu như Visa, MasterCard, American Express, Discover và JCB.
PCI DSS cung cấp các yêu cầu bảo mật cho tổ chức nhằm bảo vệ dữ liệu thanh toán, bao gồm an ninh mạng, mã hóa, kiểm soát truy cập, giám sát, kiểm tra bảo mật và các biện pháp phòng ngừa khác Mục tiêu của PCI DSS là ngăn chặn vi phạm an ninh, gian lận và quyền riêng tư khi xử lý và lưu trữ thông tin thanh toán Việc tuân thủ PCI DSS là bắt buộc đối
Hình 1: PCI-DSS với tất cả các tổ chức và doanh nghiệp mà xử lý, lưu trữ hoặc truyền thông tin thanh toán của các loại thẻ tín dụng và thẻ ghi nợ hàng đầu.
Lịch sử và Phát triển của PCI-DSS
Tiêu chuẩn PCI-DSS đã trải qua một quá trình phát triển đáng chú ý từ khi được thành lập Dưới đây là một cái nhìn tổng quan về lịch sử và phát triển của tiêu chuẩn này:
Thành lập và Phát triển Ban đầu (1996-2004):
- PCI-DSS được thiết lập bởi Hiệp hội Ngành Thẻ Thanh toán (PCI SSC) vào năm 2004.
- Ban đầu, các công ty thẻ thanh toán hàng đầu như Visa, MasterCard, American Express, Discover và JCB đã hợp tác để tạo ra một tiêu chuẩn chung nhằm bảo vệ thông tin cá nhân và giao dịch thanh toán trực tuyến.
Các Phiên Bản Sơ Khai (2004-2006):
- Phiên bản đầu tiên của PCI-DSS, phiên bản 1.0, được phát hành vào năm 2004.
- Các phiên bản sơ khai tiếp theo được phát triển trong những năm tiếp theo, với việc cập nhật và điều chỉnh các yêu cầu và tiêu chuẩn bảo mật.
Sự Phổ Biến và Tuân Thủ (2006-2010):
- PCI-DSS trở nên phổ biến rộng rãi trong ngành thẻ thanh toán và trở thành một tiêu chuẩn bảo mật quốc tế.
- Doanh nghiệp trên khắp thế giới bắt đầu tuân thủ PCI-DSS để đảm bảo rằng họ đáp ứng các yêu cầu bảo mật cho việc xử lý thông tin thanh toán.
Các Cập Nhật và Nâng Cấp (2010-nay):
Các phiên bản mới của PCI-DSS được phát hành định kỳ với mục đích cập nhật liên tục để tiếp tục phản ánh các thách thức mới liên quan đến an ninh dữ liệu cũng như các kỹ thuật tấn công tinh vi của tin tặc.
- PCI-DSS không ngừng phát triển để thích ứng với sự thay đổi của môi trường an ninh mạng và để bảo vệ thông tin cá nhân và giao dịch thanh toán trực tuyến một cách hiệu quả nhất.
Thông qua các giai đoạn phát triển này, PCI-DSS đã trở thành một tiêu chuẩn bảo mật quan trọng và được công nhận trên toàn cầu trong ngành công nghiệp thanh toán.
Các yêu cầu và tiêu chí của PCI-DSS
Các yêu cầu PCI-DSS
1) Áp dụng cấu hình bảo mật cho tất cả các thành phần hệ thống:
Tài khoản mặc định của nhà cung cấp phải được quản lý như sau:
Nếu tài khoản mặc định của nhà cung cấp được sử dụng, mật khẩu mặc định phải được thay đổi theo Yêu cầu 8.3.6.
Nếu tài khoản mặc định của nhà cung cấp không được sử dụng, tài khoản đó phải được xóa hoặc vô hiệu hóa.
2) Bảo vệ dữ liệu tài khoản được lưu trữ:
- Các quy trình và cơ chế bảo vệ dữ liệu tài khoản được lưu trữ phải:
Được cập nhật thường xuyên.
Được thông báo cho tất cả các bên liên quan.
- Việc lưu trữ dữ liệu tài khoản phải được thực hiện với ít nhất các biện pháp sau:
Bảo vệ cho tất cả các vị trí lưu trữ dữ liệu tài khoản.
Bảo vệ cho mọi dữ liệu xác thực nhạy cảm (SAD) được lưu trữ trước khi hoàn thành quá trình ủy quyền.
Giới hạn lưu trữ dữ liệu và thời gian lưu giữ chỉ vào mức cần thiết cho các yêu cầu pháp lý hoặc quy định và/hoặc kinh doanh.
3) Xác định và giải quyết các lỗ hổng bảo mật: a) Các lỗ hổng bảo mật phải được xác định và quản lý như sau:
- Các lỗ hổng bảo mật mới phải được xác định bằng cách sử dụng các nguồn thông tin về lỗ hổng bảo mật được công nhận trong ngành, bao gồm cả cảnh báo từ các tổ chức phản ứng khẩn cấp máy tính quốc gia và quốc tế (CERT).
- Các lỗ hổng phải được xếp hạng rủi ro dựa trên các phương pháp thực hành tốt nhất trong ngành và xem xét tác động tiềm ẩn. b) Tất cả các thành phần hệ thống phải được bảo vệ khỏi các lỗ hổng đã biết bằng cách cài đặt các bản vá/cập nhật bảo mật hiện hành.
- Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ:
Xác định người dùng và xác thực quyền truy cập vào các thành phần hệ thống.
Nhận dạng người dùng và các tài khoản liên quan dành cho người dùng và quản trị viên phải được quản lý chặt chẽ trong suốt vòng đời của tài khoản.
Tài khoản nhóm, tài khoản dùng chung hoặc thông tin xác thực dùng chung chỉ được sử dụng khi cần thiết và được quản lý chặt chẽ.
Xác thực mạnh mẽ cho người dùng và quản trị viên phải được thiết lập và quản lý.
Mật khẩu/cụm mật khẩu được sử dụng làm yếu tố xác thực phải đáp ứng các yêu cầu phức tạp tối thiểu.
Mật khẩu/cụm mật khẩu phải được thay đổi định kỳ và không được tái sử dụng.
Nếu mật khẩu/cụm mật khẩu được sử dụng làm yếu tố xác thực duy nhất, chúng phải được thay đổi định kỳ và có sự kiểm tra bảo mật thường xuyên.
- Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ:
Phương tiện chứa dữ liệu chủ thẻ phải được lưu trữ, truy cập, phân phối và hủy một cách an toàn.
Tất cả các phương tiện chứa dữ liệu chủ thẻ phải được bảo mật về mặt vật lý và được phân loại đúng cách.
- Thường xuyên kiểm tra tính bảo mật của hệ thống và mạng:
Các lỗ hổng bên ngoài và bên trong phải được xác định, ưu tiên và giải quyết thường xuyên.
Quét lỗ hổng bên ngoài phải được thực hiện ít nhất ba tháng một lần bởi Nhà cung cấp dịch vụ quét được phê duyệt PCI SSC (ASV).
Quét lại phải được thực hiện khi có thay đổi quan trọng hoặc khi cần thiết để xác nhận rằng các lỗ hổng đã được giải quyết.
- Hỗ trợ bảo mật thông tin bằng các chính sách và chương trình của tổ chức:
Rủi ro đối với tài sản thông tin liên quan đến mối quan hệ với nhà cung cấp dịch vụ bên thứ ba (TPSP) phải được quản lý.
Danh sách các nhà cung cấp dịch vụ bên thứ ba (TPSP) phải được chia sẻ dữ liệu tài khoản hoặc có thể ảnh hưởng đến tính bảo mật của dữ liệu tài khoản, bao gồm mô tả cho từng dịch vụ được cung cấp.
Một quy trình phải được thiết lập và triển khai để thu hút TPSP, bao gồm thẩm định phù hợp trước khi tham gia.
Thỏa thuận bằng văn bản phải được duy trì với tất cả TPSP dữ liệu tài khoản nào được chia sẻ hoặc dữ liệu đó có thể ảnh hưởng đến tính bảo mật của CDE.
Một chương trình phải được triển khai để giám sát tuân thủ PCI DSS của TPSP ít nhất 12 tháng một lần.
Thông tin về các yêu cầu PCI DSS được mỗi TPSP quản lý phải được duy trì và chia sẻ giữa TPSP và thực thể.
Các sự cố bảo mật nghi ngờ và đã xác nhận phải được phản hồi ngay lập tức Kế hoạch ứng phó sự cố cần được thiết lập và sẵn sàng kích hoạt trong trường hợp sự cố bảo mật đáng ngờ hoặc đã được xác nhận, bao gồm:
Vai trò, trách nhiệm và chiến lược liên lạc trong trường hợp sự cố bảo mật.
Quy trình ứng phó cụ thể cho các hoạt động ngăn chặn và giảm thiểu rủi ro.
Các thủ tục phục hồi và duy trì hoạt động kinh doanh.
Quy trình sao lưu dữ liệu.
Phân tích các yêu cầu pháp lý đối với việc báo cáo các thỏa thuận.
Phạm vi bao phủ và phản hồi của tất cả các thành phần hệ thống quan trọng.
Bài viết này cung cấp cái nhìn toàn diện về các tiêu chí và yêu cầu của chuẩn PCI-DSS đối với bảo mật thông tin và quản lý rủi ro trong lĩnh vực thanh toán.
Tiêu chí của PCI-DSS
Hình 1 2 : Các tiêu chí PCI-DSS
Tiêu chuẩn PCI-DSS đặt ra một chuẩn mực cao về bảo mật thông tin cá nhân và giao dịch thanh toán trực tuyến Mỗi tiêu chí trong PCI-DSS được thiết kế để đảm bảo rằng các tổ chức xử lý thông tin thanh toán có các biện pháp bảo mật cần thiết để bảo vệ dữ liệu khách hàng và ngăn chặn các cuộc tấn công mạng.
Một trong những tiêu chí quan trọng của PCI-DSS là mã hóa dữ liệu Tiêu chuẩn này yêu cầu việc sử dụng mã hóa mạnh mẽ để bảo vệ dữ liệu cá nhân trong quá trình truyền và lưu trữ Bằng cách này, thông tin nhạy cảm như thông tin thẻ thanh toán và thông tin cá nhân của khách hàng được bảo vệ một cách an toàn, ngay cả khi nó bị đánh cắp.
Ngoài ra, tiêu chuẩn cũng đặt ra các yêu cầu về bảo vệ mạng Các tổ chức cần cài đặt các biện pháp bảo vệ mạng như tường lửa và kiểm soát quyền truy cập để ngăn chặn truy cập trái phép vào hệ thống Điều này giúp giảm thiểu nguy cơ về việc dữ liệu bị đánh cắp hoặc bị sửa đổi một cách trái phép.
Tiêu chuẩn PCI-DSS bao gồm việc thiết lập và duy trì các chính sách, quy trình quản lý rủi ro để đánh giá và giảm thiểu các mối đe dọa bảo mật Việc này giúp tăng cường khả năng phát hiện và phản ứng hiệu quả đối với các sự cố bảo mật.
Những tiêu chuẩn và yêu cầu của PCI-DSS đóng vai trò quan trọng trong việc xây dựng một môi trường an toàn và đáng tin cậy cho các giao dịch thanh toán trực tuyến Tuân thủ các tiêu chí này không chỉ là một nghĩa vụ pháp lý mà còn là một biện pháp cần thiết để bảo vệ thông tin cá nhân của khách hàng và duy trì uy tín của tổ chức.
CÁC NGUYÊN TẮC VÀ YÊU CẦU CƠ BẢN CỦA PCI-DSS .9 1 Nguyên tắc cơ bản
Yêu cầu về bảo mật dữ liệu
Yêu cầu mã hóa dữ liệu thẻ thanh toán khi truyền qua mạng công cộng giúp bảo mật thông tin thẻ không bị đánh cắp khi giao dịch trực tuyến Bằng cách mã hóa dữ liệu, thông tin nhạy cảm như số thẻ, ngày hết hạn và mã xác thực sẽ được biến đổi thành dạng không thể đọc được, ngăn chặn khả năng truy cập trái phép từ những kẻ tấn công trên mạng.
Mã hóa các dữ liệu cá nhân nhạy cảm được lưu trữ: Sử dụng mã hóa để bảo vệ các dữ liệu cá nhân nhạy cảm lưu trữ trên các hệ thống nội bộ. Điều này giúp đảm bảo rằng ngay cả khi bị tấn công, thông tin vẫn được bảo vệ.
- Bảo vệ Thẻ Thanh toán:
Giảm thiểu việc lưu trữ thông tin thẻ thanh toán: Loại bỏ hoặc giảm thiểu dữ liệu không cần thiết liên quan đến thanh toán Điều này giảm thiểu nguy cơ mất thông tin thẻ thanh toán khi hệ thống bị tấn công.
Bảo vệ thông tin thẻ thanh toán: Sử dụng các biện pháp bảo mật như mã hóa và kiểm soát truy cập để bảo vệ thông tin thẻ thanh toán khỏi truy cập trái phép.
Yêu cầu về bảo mật hệ thống
Sử dụng tường lửa để bảo vệ mạng: Ngăn chặn truy cập trái phép vào mạng và các dịch vụ, đồng thời giúp kiểm soát lưu lượng mạng.
Bảo mật các thiết bị mạng và điểm truy cập không dây: Đảm bảo rằng các thiết bị mạng và điểm truy cập không dây được cấu hình và quản lý một cách an toàn để ngăn chặn các mối đe dọa từ bên ngoài.
Thiết lập quy trình quản lý rủi ro: Đánh giá, giảm thiểu và quản lý các mối đe dọa tiềm ẩn đối với an ninh thông tin và giao dịch thanh toán Quy trình này bao gồm việc xác định, đánh giá và ưu tiên hóa các rủi ro, đồng thời thiết lập các biện pháp kiểm soát để giảm thiểu hoặc loại trừ chúng.
Thực hiện kiểm tra bảo mật định kỳ: Việc thực hiện kiểm tra bảo mật định kỳ giúp phát hiện sớm các lỗ hổng bảo mật và xử lý chúng trước khi trở thành vấn đề lớn Những kiểm tra này có thể bao gồm kiểm tra phân tích mã độc, kiểm tra bảo mật mạng, kiểm tra phản ứng và khả năng khôi phục sau sự cố.
Yêu cầu về quản lý rủi ro
- Thiết lập Chính sách và Quy trình:
Xác định và thiết lập các chính sách và quy trình quản lý rủi ro:
Các tổ chức cần xác định các chính sách và quy trình rõ ràng để quản lý rủi ro bảo mật Điều này bao gồm việc xác định các trách nhiệm, quyền hạn và các quy trình để xử lý các rủi ro.
- Thực hiện Đánh giá Rủi ro:
Tiến hành đánh giá rủi ro định kỳ: Các tổ chức cần thường xuyên đánh giá các rủi ro bảo mật để xác định các vấn đề tiềm ẩn và ưu tiên hóa các biện pháp kiểm soát Đánh giá rủi ro cần được thực hiện bởi các chuyên gia
- Phản ứng và Điều chỉnh:
Phản ứng nhanh chóng và hiệu quả: Khi phát hiện sự cố bảo mật hoặc vi phạm, tổ chức cần phản ứng nhanh chóng và hiệu quả để ngăn chặn sự kiện xấu hơn Điều này bao gồm việc triển khai các biện pháp khẩn cấp và thông báo cho các bên liên quan.
Căn cứ vào kết quả đánh giá rủi ro và kinh nghiệm thực tế, các tổ chức cần điều chỉnh, cập nhật các chính sách, quy trình và biện pháp kiểm soát để nâng cao khả năng phòng ngừa và ứng phó với những mối đe dọa mới hiệu quả hơn.
Quản lý rủi ro không chỉ là một phần quan trọng của tuân thủ PCI-DSS mà còn là một phần thiết yếu của việc bảo vệ thông tin cá nhân và giao dịch thanh toán của mọi tổ chức Để đảm bảo sự an toàn và tuân thủ PCI-DSS, các tổ chức cần áp dụng một cách chặt chẽ và liên tục các nguyên tắc và yêu cầu bảo mật này.
ỨNG DỤNG VÀ THỰC HIỆN PCI-DSS
Tiêu chuẩn và quy trình tuân thủ PCI-DSS
Tiêu chuẩn tuân thủ PCI-DSS
Có hai con đường để đạt được tuân thủ PCI DSS: Do-it-Yourself (DIY) hoặc sử dụng một nhà cung cấp chuyên nghiệp để hỗ trợ
BigCommerce là một tùy chọn tuân thủ PCI SaaS hỗ trợ các doanh nghiệp thực hiện một số bước tuân thủ Tuy nhiên, trách nhiệm về chứng nhận và xử lý vi phạm vẫn thuộc về doanh nghiệp.
Nếu bạn chọn tự làm tất cả mọi thứ, việc đạt được tuân thủ PCI bao gồm việc xác định nơi mà tất cả dữ liệu thẻ tín dụng chảy qua và được lưu trữ, sau đó tuân thủ các bước cần thiết để đảm bảo an ninh của thông tin đó Điều này có thể bao gồm các cuộc kiểm toán, kiểm tra xâm nhập và công việc kỹ thuật đáng kể để xây dựng và duy trì một môi trường tuân thủ. Để bắt đầu, một doanh nghiệp trước hết cần xác định cấp độ tuân thủ PCI DSS mà hoạt động của họ cần đạt được.
Các cấp độ tuân thủ PCI-DSS :
"Những thời gian đó mà chúng ta sẽ dành để xây dựng cơ sở hạ tầng và trải qua cuộc kiểm toán PCI DSS trên chính mình, chúng ta có thể dành để xây dựng một sản phẩm tốt hơn hoặc mở rộng vào các thị trường mới."
Oleg Murasko, Phó Chủ tịch Kỹ thuật, TransferGo
Hình 3 : Oleg Murasko, Phó Chủ tịch Kỹ thuật,
Hình 3 : Oleg Murasko, Phó Chủ tịch Kỹ thuật,
TransferGo Hình 1 3 : Oleg Murasko, Phó Chủ tịch Kỹ thuật,
Cấp độ tuân thủ mà tổ chức của bạn cần đạt phụ thuộc vào số lượng giao dịch mà công ty của bạn xử lý hàng năm Các công ty có thể đạt một trong bốn cấp độ của PCI DSS được định nghĩa ở mức cao như sau:
Hình 1 4 : Các cấp độ tiêu chuẩn PCI-DSS Điều quan trọng cần lưu ý là trong khi Visa, MasterCard và American Express đều xác định các cấp độ một cách rất tương tự, nhưng vẫn có những khác biệt nhỏ. Những khác biệt này trở nên rõ ràng hơn khi đến American Express và JCB Bạn có thể tìm hiểu thêm từ các nhà phát hành thẻ trực tiếp.
Khi bạn đã hiểu được cấp độ tuân thủ PCI mà doanh nghiệp của bạn cần đạt được, bạn có thể tiến lên bằng cách hoàn thành các bước cần thiết
Quy trình thực hiện tuân thủ PCI-DSS :
- DIY vs PCI dưới dạng Dịch vụ
Tuân thủ PCI tự thực hiện
Tối thiểu, một doanh nghiệp lựa chọn phương pháp tự thực hiện sẽ cần hoàn thành các bước sau:
Bước đầu tiên trong việc tuân thủ PCI DSS là tải xuống hướng dẫn chi tiết từ Hội đồng Tiêu chuẩn Bảo mật Tài liệu này cung cấp thông tin toàn diện về các yêu cầu của tiêu chuẩn, giúp bạn nắm được những thách thức tiềm ẩn trong quá trình tuân thủ.
Bước 2: Tiến hành một đánh giá rủi ro để xác định rủi ro của bạn và tính mạnh của các biện pháp kiểm soát của bạn Không phải tất cả các biện pháp kiểm soát đều áp dụng cho mọi môi trường Sử dụng các rủi ro của bạn để tìm ra những khoảng trống bạn cần điền Có thể hữu ích khi làm việc với một chuyên gia cho bước này Công nghệ bảo mật cũng có thể hữu ích nhưng thường vượt quá nhu cầu của các doanh nghiệp nhỏ (chưa kể đến ngân sách) Nhưng mà, thiếu kinh nghiệm, nhân viên không đào tạo thường gặp khó khăn trong việc xác định những biện pháp kiểm soát nào không áp dụng hoặc cách bù đắp cho chúng.
Bước 3: Xem xét các nguồn lực hiện tại của bạn để tận dụng cho các biện pháp kiểm soát được xác định trong đánh giá rủi ro Sau đó, xác định những khoảng trống đòi hỏi phải có nguồn lực mới như máy chủ, bộ định tuyến, thiết bị truyền thông, bảo mật vật lý và nhân sự toàn thời gian.
Bước 4: Tạo kế hoạch dự án với ngân sách và thời gian/chặng đường Hãy cẩn thận khi ước lượng thời gian mà bạn sẽ cần để tuân thủ Tùy thuộc vào doanh nghiệp của bạn và cấp độ PCI bạn cần đạt được, quá trình này sẽ mất từ 3 tháng đến một năm đầy đủ Điều này cũng sẽ đòi hỏi sự tư vấn đáng kể từ các chuyên gia và công nghệ đắt đỏ, bao gồm tường lửa, hệ thống kiểm soát truy cập, dịch vụ hoặc công cụ quét lỗ hổng, và nhiều hơn nữa.
Bước 5: Thu thập tài nguyên của bạn và xây dựng hoặc tái xây dựng mạng của bạn Có lẽ bạn sẽ cần ít nhất một nhân viên toàn thời gian để quản lý mạng của bạn để tuân thủ PCI DSS.
Bước 6: Kiểm tra và xác minh rằng các biện pháp kiểm soát của bạn giảm thiểu rủi ro bạn đã xác định như mong đợi Các biện pháp kiểm soát không luôn hoạt động như dự kiến do công nghệ thay đổi nhanh chóng Phương pháp bạn chọn vài tháng trước có thể đã lỗi thời.
Bước 7: Triển khai giải pháp của bạn và hy vọng nó hoạt động như thiết kế.
Có thể không, nhưng bạn sẽ điều chỉnh nó cho đến khi nó hoạt động.
Bước 8: Máy của bạn được kiểm tra bởi một Đánh giá viên Bảo mật được chứng nhận được liệt kê trên trang web của Hội đồng Tiêu chuẩn Bảo mật PCI Bạn sẽ không biết bạn đã làm tốt đến mức nào cho đến khi bạn được kiểm tra (trừ khi bạn gặp một việc vi phạm, trong trường hợp đó, bạn đã làm kém).
Bước 9: Sửa lại các biện pháp kiểm soát hoặc cơ sở hạ tầng dựa trên các kết quả kiểm tra Là một phần của các biện pháp tốt nhất, không chờ đợi cho đến khi có kết quả kiểm tra Sửa đổi và cập nhật bất cứ khi nào có sự thay đổi đối với mạng/ cơ sở hạ tầng.
Sau khi hoàn thành tất cả 9 bước này, việc duy trì và kiểm tra liên tục là cần thiết, bao gồm khi bạn thay đổi hệ thống - điều mà dẫn dắt một cách tốt đẹp vào chủ đề tiếp theo của chúng tôi
Ứng dụng thực tiễn
Chuẩn PCI DSS được Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) gồm các thành viên: American Express, Discover Financial Services, JCB International, Mastercard và Visa Inc thiết lập Sacombank luôn đạt được chứng nhận này, là minh chứng cho nỗ lực nâng cấp hạ tầng công nghệ thông tin để đảm bảo tuân thủ các nguyên tắc bảo mật dữ liệu thẻ.
Bên cạnh những nỗ lực trong công tác bảo mật thông tin thẻ cho khách hàng, Sacombank cũng triển khai nhiều sản phẩm dịch vụ khác để giúp khách hàng yên tâm trong việc sử dụng thẻ, đặc biệt là giao dịch thẻ online.
Hình 1 7 : 8 năm liên tiếp Sacombank đạt chứng nhận PCI DSS về bảo mật thẻ
Cuối năm 2020, Sacombank là một trong những ngân hàng đầu tiên phối hợp với tổ chức thẻ quốc tế Visa và Mastercard nâng cấp hệ thống bảo vệ đa cấp 3D- Secure phiên bản 1.0 lên phiên bản 2.0 theo tiêu chuẩn EMV cho các dòng thẻ này nhằm tăng cường độ an toàn đối với các giao dịch thẻ trực tuyến, đẩy nhanh tiến trình giao dịch và giúp khách hàng dễ dàng trải nghiệm dịch vụ ngân hàng hiện đại.
Tháng 05/2021, Sacombank và tổ chức thẻ quốc tế Mastercard đã ra mắt tính năng bảo hiểm mua sắm (Purchase Protection) và bảo hiểm rủi ro sử dụng ATM (ATM Protection) cho thẻ thanh toán Sacombank Mastercard Trước đó, thẻ thanh toán Sacombank Mastercard đã được tích hợp 2 tính năng ưu việt khác là bảo vệ thông tin cá nhân toàn cầu (ID Theft Protection - Alert) và bảo hiểm mua sắm trực tuyến (E-commerce Protection) Với 4 tính năng trên, chủ thẻ thanh toán Sacombank Mastercard sẽ được bảo vệ toàn diện cả về thông tin cá nhân cũng như các giao dịch thẻ Đặc biệt, tính đến thời điểm hiện tại, Sacombank là ngân hàng đầu tiên tại Việt Nam hợp tác với Công ty công nghệ thanh toán điện tử Visa và Mastercard trong việc triển khai công nghệ chấp nhận thanh toán không tiếp xúc bằng điện thoại di động (Tap To Phone) kết hợp với giải pháp phê duyệt nhà bán hàng siêu tốc(Rapid Seller Onboarding) Với hai giải pháp này, Sacombank đã ra mắt giải pháp trọn gói dành cho doanh nghiệp có nhu cầu triển khai dịch vụ chấp nhận thanh toán thẻ với độ bảo mật cao, góp phần thúc đẩy công tác số hóa tại các doanh nghiệp.Theo đó, sau khi đăng ký trở thành đơn vị chấp nhận thanh toán thẻ của Sacombank trên website https://card.sacombank.com.vn thành công, doanh nghiệp có thể tải ứng dụng mMerchant của Sacombank trên Apple Store/Google Play để sử dụng điện thoại di động như một máy POS chấp nhận thanh toán thẻ không tiếp xúc (Tap ToPhone) Hiện Tap To Phone đã được áp dụng đối với các thiết bị di động hệ điều hành Android 8.0 trở lên có hỗ trợ công nghệ kết nối không dây tầm ngắn NFC và trong tương lai sẽ được mở rộng thêm đối với hệ điều hành IOS.
Ngoài ra, Sacombank còn mở rộng chứng nhận PCI DSS năm 2021 đối với ứng dụng quản lý tài chính Sacombank Pay, giúp khách hàng an tâm tuyệt đối khi giao dịch và lưu trữ thông tin thanh toán trên ứng dụng.
Trong thời gian tới, Sacombank tiếp tục hoàn thiện và nâng cấp hệ thống cũng như công nghệ bảo mật để đem lại sự an toàn cao nhất và tiện lợi nhất cho khách hàng.
Thách thức và Cơ hội từ PCI-DSS
Thách thức và Cơ hội từ PCI-DSS đều đóng vai trò quan trọng trong việc quản lý bảo mật thông tin và phát triển kinh doanh của một tổ chức.
Việc tuân thủ PCI-DSS đặt ra các thách thức về mặt nguồn lực và chi phí Các doanh nghiệp phải đầu tư thời gian và tiền bạc đáng kể vào quá trình kiểm định, duy trì tuân thủ Ngoài ra, việc triển khai các công nghệ phức tạp và đảm bảo môi trường kinh doanh đa dạng tuân thủ các yêu cầu được đưa ra đòi hỏi chuyên môn và kỹ năng kỹ thuật cao.
Tuy nhiên, việc thực hiện PCI-DSS mang lại nhiều cơ hội và lợi ích Đầu tiên, nó tạo ra một môi trường kinh doanh an toàn và đáng tin cậy, tăng cảm giác an tâm cho khách hàng và đối tác kinh doanh Ngoài ra, tuân thủ PCI-DSS cũng cải thiện uy tín và hình ảnh của tổ chức trong mắt công chúng Việc giảm thiểu rủi ro và sự cố bảo mật cũng là một lợi ích quan trọng, giúp bảo vệ thông tin cá nhân và duy trì sự tin cậy của khách hàng Cuối cùng, việc tuân thủ PCI-DSS có thể mở ra cơ hội mở rộng hoạt động kinh doanh, giúp tổ chức tiếp cận các thị trường mới và tăng cơ hội hợp tác với các đối tác kinh doanh khác.
