Tuesday, June 11, 2024 | Page 3CƠ SỞ LÝ THUYẾT1.Khái niệm về PCI-DSS• Là viết tắt của "Payment Card Industry Data Security Standard" Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán.•
Trang 1Sinh viên thực hiện:
AT170646 – Trần Đức Thắng
AT170653 – Nguyễn Đan Trường
AT170654 – Trần Anh Tuấn
AT170612 – Đặng Xuân Đức
ĐỀ TÀI : TÌM HIỂU, ỨNG DỤNG TIÊU CHUẨN TÍN DỤNG PCI-DSS
Trang 3Tuesday, June 11, 2024 | Page 3
CƠ SỞ LÝ THUYẾT
1.Khái niệm về PCI-DSS
• Là viết tắt của "Payment Card Industry Data
Security Standard" (Tiêu chuẩn Bảo mật Dữ liệu
của Ngành Thẻ Thanh toán)
• Mục tiêu: Bảo vệ thông tin cá nhân và tài khoản
của khách hàng sử dụng thẻ thanh toán
• Được phát triển bởi Hiệp hội Công nghiệp Thẻ
Thanh toán (PCI SSC)
Trang 4Tuesday, June 11, 2024 | Page 4
CƠ SỞ LÝ THUYẾT
2.Lịch sử và Phát triển:
• Ra đời năm 2004 bởi các công ty thẻ thanh toán
hàng đầu
• Trải qua nhiều phiên bản cập nhật để thích ứng
với môi trường an ninh mạng
• Đã trở thành tiêu chuẩn bảo mật quốc tế trong
ngành công nghiệp thanh toán
Trang 5Tuesday, June 11, 2024 | Page 5
CƠ SỞ LÝ THUYẾT
3.Các yêu cầu PCI-DSS
• Áp dụng cấu hình bảo mật cho tất cả các thành
phần hệ thống
• Bảo vệ dữ liệu tài khoản được lưu trữ
• Xác định và giải quyết các lỗ hổng bảo mật
• Thực hiện các biện pháp kiểm soát truy cập
mạnh mẽ
Trang 6Tuesday, June 11, 2024 | Page 6
CƠ SỞ LÝ THUYẾT
3.Các yêu cầu PCI-DSS
• Hạn chế quyền truy cập vật lý vào dữ liệu chủ
Trang 7Tuesday, June 11, 2024 | Page 7
• Thiết lập và duy trì các chính sách và quy trình
quản lý rủi ro
Trang 9Tuesday, June 11, 2024 | Page 9
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
1.Nguyên tắc cơ bản:
Bảo vệ Dữ liệu:
• Mã hóa dữ liệu cá nhân khi truyền và lưu trữ
• Loại bỏ hoặc giảm thiểu việc lưu trữ dữ liệu
không cần thiết
• Bảo vệ dữ liệu thẻ thanh toán
Trang 10Tuesday, June 11, 2024 | Page 10
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
1.Nguyên tắc cơ bản:
Bảo vệ Hệ thống:
• Xây dựng và duy trì mạng an toàn
• Quản lý danh sách kiểm soát truy cập
Quản lý Rủi ro:
• Thiết lập chính sách và quy trình quản lý rủi ro
• Kiểm tra định kỳ
Trang 11Tuesday, June 11, 2024 | Page 11
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
2 Yêu cầu về bảo mật dữ liệu
Bảo vệ Thẻ Thanh toán:
• Giảm thiểu việc lưu trữ thông tin thẻ thanh
toán
• Bảo vệ thông tin thẻ thanh toán
Trang 12Tuesday, June 11, 2024 | Page 12
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
3.Yêu cầu về bảo mật hệ thống:
Bảo vệ Mạng:
• Sử dụng tường lửa để bảo vệ mạng
• Bảo mật các thiết bị mạng và điểm truy cập
không dây
Quản lý Rủi ro:
• Thiết lập quy trình quản lý rủi ro
• Thực hiện kiểm tra bảo mật định kỳ
Trang 13Tuesday, June 11, 2024 | Page 13
Các nguyên tắc và yêu cầu cơ bản của PCI-DSS
4.Yêu cầu về quản lý rủi ro:
Thiết lập Chính sách và Quy trình:
• Xác định và thiết lập các chính sách và quy
trình quản lý rủi ro
Thực hiện Đánh giá Rủi ro:
• Tiến hành đánh giá rủi ro định kỳ
Trang 15Tuesday, June 11, 2024 | Page 15
Ứng dụng và thực hiện PCI-DSS
1.Tiêu chuẩn tuân thủ PCI-DSS:
Có hai con đường để đạt được tuân thủ PCI DSS:
Do-it-Yourself (DIY):
• Tự thực hiện đánh giá rủi ro, xác định và triển khai
các biện pháp kiểm soát, kiểm tra và xác minh tuân thủ
• Phù hợp với các tổ chức có nguồn lực và chuyên
môn về bảo mật
Trang 16Tuesday, June 11, 2024 | Page 16
Trang 17Tuesday, June 11, 2024 | Page 17
Ứng dụng và thực hiện PCI-DSS
2.Quy trình thực hiện tuân thủ PCI-DSS:
- DIY vs PCI dưới dạng Dịch vụ
- Tối thiểu, một doanh nghiệp lựa chọn phương pháp tự thực hiện
sẽ cần hoàn thành các bước sau:
Bước 1 Tải xuống và đánh giá chi tiết PCI DSS từ Hội đồng Tiêu
chuẩn Bảo mật.
Bước 2 Tiến hành đánh giá rủi ro để xác định các rủi ro và hiệu
suất của biện pháp kiểm soát.
Bước 3 Xác định việc sử dụng tài nguyên hiện có và xác định
những khoảng trống cần phải điền.
Bước 4 Tạo kế hoạch dự án với ngân sách và thời gian cụ thể.
Trang 18Tuesday, June 11, 2024 | Page 18
Ứng dụng và thực hiện PCI-DSS
2.Quy trình thực hiện tuân thủ PCI-DSS:
Bước 5 Thu thập tài nguyên và xây dựng hoặc tái xây dựng
Bước 9 Sửa đổi và cập nhật biện pháp kiểm soát và cơ sở hạ
tầng dựa trên kết quả kiểm tra.
Trang 19Tuesday, June 11, 2024 | Page 19
Ứng dụng và thực hiện PCI-DSS
2 Ưu điểm và nhược điểm của phương pháp DIY:
Ưu điểm:
• Kiểm soát và tùy chỉnh cao hơn
• Tiết kiệm chi phí trong dài hạn
Trang 20Tuesday, June 11, 2024 | Page 20
Ứng dụng và thực hiện PCI-DSS
Phương pháp VGS:
Phương pháp VGS (Vector Generalized Semantics):
• Sử dụng kỹ thuật Zero Data để bảo mật dữ liệu nhạy
cảm
• Chuyển đổi dữ liệu nhạy cảm thành dữ liệu tổng hợp
vô nghĩa đối với kẻ tấn công
• Giảm bớt gánh nặng tuân thủ PCI DSS cho các tổ
chức
Trang 21Tuesday, June 11, 2024 | Page 21
Ứng dụng và thực hiện PCI-DSS
Phương pháp VGS:
Các ưu điểm của PCI thông qua VGS
Trang 22Tuesday, June 11, 2024 | Page 22
III Ứng dụng và thực hiện PCI-DSS
Ưu điểm của phương pháp VGS: