Tuesday, June 11, 2024 | Page 3CƠ SỞ LÝ THUYẾT1.Khái niệm về PCI-DSS• Là viết tắt của "Payment Card Industry Data Security Standard" Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán.•
Trang 1Sinh viên thực hiện:
Trang 3Tuesday, June 11, 2024 | Page 3
CƠ SỞ LÝ THUYẾT
1.Khái niệm về PCI-DSS
• Là viết tắt của "Payment Card Industry Data Security Standard" (Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán).
• Mục tiêu: Bảo vệ thông tin cá nhân và tài khoản của khách hàng sử dụng thẻ thanh toán.
• Được phát triển bởi Hiệp hội Công nghiệp Thẻ Thanh toán (PCI SSC).
Trang 4Tuesday, June 11, 2024 | Page 4
Trang 5Tuesday, June 11, 2024 | Page 5
CƠ SỞ LÝ THUYẾT
3.Các yêu cầu PCI-DSS
• Áp dụng cấu hình bảo mật cho tất cả các thành phần hệ thống.
• Bảo vệ dữ liệu tài khoản được lưu trữ.
• Xác định và giải quyết các lỗ hổng bảo mật.• Thực hiện các biện pháp kiểm soát truy cập
mạnh mẽ.
Trang 6Tuesday, June 11, 2024 | Page 6
CƠ SỞ LÝ THUYẾT
3.Các yêu cầu PCI-DSS
• Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ.
• Thường xuyên kiểm tra tính bảo mật của hệ thống và mạng.
• Hỗ trợ bảo mật thông tin bằng các chính sách và chương trình của tổ chức.
Trang 7Tuesday, June 11, 2024 | Page 7
Trang 9Tuesday, June 11, 2024 | Page 9
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
1.Nguyên tắc cơ bản:Bảo vệ Dữ liệu:
• Mã hóa dữ liệu cá nhân khi truyền và lưu trữ.• Loại bỏ hoặc giảm thiểu việc lưu trữ dữ liệu
không cần thiết.
• Bảo vệ dữ liệu thẻ thanh toán.
Trang 10Tuesday, June 11, 2024 | Page 10
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
1.Nguyên tắc cơ bản:Bảo vệ Hệ thống:
• Xây dựng và duy trì mạng an toàn.
• Quản lý danh sách kiểm soát truy cập.
Quản lý Rủi ro:
• Thiết lập chính sách và quy trình quản lý rủi ro.• Kiểm tra định kỳ.
Trang 11Tuesday, June 11, 2024 | Page 11
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
2 Yêu cầu về bảo mật dữ liệuMã hóa Dữ liệu:
• Mã hóa dữ liệu thẻ thanh toán khi truyền qua mạng công cộng.
• Mã hóa các dữ liệu cá nhân nhạy cảm được lưu trữ.
Bảo vệ Thẻ Thanh toán:
• Giảm thiểu việc lưu trữ thông tin thẻ thanh toán.
• Bảo vệ thông tin thẻ thanh toán.
Trang 12Tuesday, June 11, 2024 | Page 12
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
3.Yêu cầu về bảo mật hệ thống:Bảo vệ Mạng:
• Sử dụng tường lửa để bảo vệ mạng.
• Bảo mật các thiết bị mạng và điểm truy cập không dây.
Quản lý Rủi ro:
• Thiết lập quy trình quản lý rủi ro.
• Thực hiện kiểm tra bảo mật định kỳ.
Trang 13Tuesday, June 11, 2024 | Page 13
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
4.Yêu cầu về quản lý rủi ro:
Thiết lập Chính sách và Quy trình:
• Xác định và thiết lập các chính sách và quy trình quản lý rủi ro.
Thực hiện Đánh giá Rủi ro:
• Tiến hành đánh giá rủi ro định kỳ.
Phản ứng và Điều chỉnh:
• Phản ứng nhanh chóng và hiệu quả với sự cố bảo mật.
• Điều chỉnh và cập nhật chính sách, quy trình và biện pháp kiểm soát.
Trang 15Tuesday, June 11, 2024 | Page 15
Ứng dụng và thực hiện PCI-DSS
1.Tiêu chuẩn tuân thủ PCI-DSS:
Có hai con đường để đạt được tuân thủ PCI DSS:Do-it-Yourself (DIY):
• Tự thực hiện đánh giá rủi ro, xác định và triển khai các biện pháp kiểm soát, kiểm tra và xác minh
tuân thủ.
• Phù hợp với các tổ chức có nguồn lực và chuyên môn về bảo mật.
Trang 16Tuesday, June 11, 2024 | Page 16
Trang 17Tuesday, June 11, 2024 | Page 17
Ứng dụng và thực hiện PCI-DSS
2.Quy trình thực hiện tuân thủ PCI-DSS:
-DIY vs PCI dưới dạng Dịch vụ
-Tối thiểu, một doanh nghiệp lựa chọn phương pháp tự thực hiện sẽ cần hoàn thành các bước sau:
Bước 1 Tải xuống và đánh giá chi tiết PCI DSS từ Hội đồng Tiêu chuẩn Bảo mật.
Bước 2 Tiến hành đánh giá rủi ro để xác định các rủi ro và hiệu suất của biện pháp kiểm soát.
Bước 3 Xác định việc sử dụng tài nguyên hiện có và xác định những khoảng trống cần phải điền.
Bước 4 Tạo kế hoạch dự án với ngân sách và thời gian cụ thể.
Trang 18Tuesday, June 11, 2024 | Page 18
Ứng dụng và thực hiện PCI-DSS
2.Quy trình thực hiện tuân thủ PCI-DSS:
Bước 5 Thu thập tài nguyên và xây dựng hoặc tái xây dựng mạng.
Bước 6 Kiểm tra và xác minh hiệu quả của các biện pháp kiểm soát.
Bước 7 Triển khai giải pháp và điều chỉnh cho đến khi hoạt động như thiết kế.
Bước 8 Kiểm tra bởi một Đánh giá viên Bảo mật được chứng nhận.
Bước 9 Sửa đổi và cập nhật biện pháp kiểm soát và cơ sở hạ tầng dựa trên kết quả kiểm tra.
Trang 19Tuesday, June 11, 2024 | Page 19
Trang 20Tuesday, June 11, 2024 | Page 20
Ứng dụng và thực hiện PCI-DSS
Phương pháp VGS:
Phương pháp VGS (Vector Generalized Semantics):
• Sử dụng kỹ thuật Zero Data để bảo mật dữ liệu nhạy cảm.
• Chuyển đổi dữ liệu nhạy cảm thành dữ liệu tổng hợp vô nghĩa đối với kẻ tấn công.
• Giảm bớt gánh nặng tuân thủ PCI DSS cho các tổ chức.
Trang 21Tuesday, June 11, 2024 | Page 21
Ứng dụng và thực hiện PCI-DSS
Phương pháp VGS:
Các ưu điểm của PCI thông qua VGS
Trang 22Tuesday, June 11, 2024 | Page 22
III Ứng dụng và thực hiện PCI-DSS
Ưu điểm của phương pháp VGS: