DAI HOC QUOC GIA THANH PHO HO CHi MINH
TRUONG DAI HQC KINH TE - LUAT
-k28C4 -
BÀI TẬP QUÁ TRÌNH 1 THANH TOÁN ĐIỆN TỬ
Trang 2Mục lục nội dung
I Tiêu chuẩn PCI DSS 2 1 Tiêu chuẩn PCI DSS là gì? 2 3 5
2 Phạm vi của Tiêu chuẩn PCI DSS:
3 Tiêu chuẩn khi áp dụng
7 cccccesscecse esse sees ssbssstvsstvisssistiississsiisssissssissssessisesitavtsseitssssscssesscseessees 12
1 Giao thire SSL/TLS 1a gi? 13
3 Chức năng và hoạt động 15
4.1 Ưu điểm (lợi ích) của chứng chỉ SSLL 5c n1 Hn2H HH g2 nen ru 15 4.2 Nhuge diém eta chitng chi SSLiv ccccccecccccsccescssvesessesevsscesnsesessesresecsrersessseveseesverevtverenteesetees 16
4.3 Nhiing kha nang bi t4n CONG cece cece ceccescesscssesssesssevessesversvssesevsvcsevessessesreresseressetveetevertevens 17
5 Cách thức hoạt động của SSL/TLS 18 5.1 Chủ thể tham gia 5s: c1 211 121121 1 10 21121 1 n0 110 ng ng nh gan grng 18
5.2 Cách thức hoạt động giao thức SSÌ - c0 1290011211 121151 1915111111011 011115111 0111 tk Hy 18 5.3 Cách thức hoạt động của giao thức TS Ì.3 .- 2L 0 2 1210111211 121101 1215111112011 Hà nà 20
IHL Giao thức 3D Secure 22 1 Giao thức 3D Secure là øi? 22 2 Quy trình của giao thức 3D Secure 22
3.3 Rúi ro khi thực hiện 3] Se€cufe ccccccccecesecsseceecuesesscecescestssseceveuessaseceseesneeecnesneesess 24
Trang 3I Tiêu chuẩn PCIDSS
1 Tiêu chuẩn PCI DSS là gì?
Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán PCI DSS (Payment Card Industry Data Security Standard) la tiéu chuan bảo mật được xác lập bởi Hội đồng Tiêu chuẩn Bao mat (PCI Security Standards Council) gém các thành viên: Visa, MasterCard, American Express, Discover Financial Services, JCB International
Tiêu chuẩn này được phát triển nhằm mục đích đảm bảo an ninh cho dữ liệu của thẻ thanh toán khi được xử lý và lưu trữ tại các ngân hàng, doanh nghiệp thanh toán điện tử PCI DSS sẽ giúp cho các doanh nghiệp hạn chế các lỗ hỗng bảo mật và rủi ro bị đánh cắp thông tin đồng thời chống lại việc xâm nhập và sử dụng dữ liệu trái phép
Hiệu lực của chứng chỉ: Chứng chỉ PCI DSS sẽ có hiệu lực trong một năm, và các doanh nghiệp phải thực hiện tái đánh giá định kỳ
Đề được cấp chứng chỉ này, nhà cung cấp dịch vụ phải kiém tra mang lưới hạ tầng hàng tháng Đồng thời, Hội đồng Tiêu chuẩn Bao mật tới kiểm tra bảo mật hàng nam, nham dam bảo đáp ứng và tuân thủ các nguyên tắc về bảo mật
Điều gì sẽ xảy ra nếu đoanh nghiệp không tuân thủ PCI DSS:
- _ Nếu một doanh nghiệp bị phát hiện không tuân thủ PCI DSS, các hình phạt bao gồm từ phạt tiền đến mất quyền chấp nhận thanh toán bằng thẻ tín dụng - _ Không thể chấp nhận thanh toán bằng thẻ tin dụng: đây là hình phạt nặng nhất
đối với nhiều đoanh nghiệp Vì nó có thê gây tốn thất lớn về tài chính, mắt thị phần và tôn hại danh tiếng
- Tiền phạt: mức phạt cho một trang doanh nghiệp không tuân thủ PCI thường
dao động từ 86.000 đô la đến 4 triệu đô la
- Trach nhiệm pháp lý: sau khi vi phạm bảo mật, một doanh nghiệp có thê bị kiện tụng vì trách nhiệm giữa an toàn thông tin nhạy cảm của khách hàng
Trang 42 Phạm vi của Tiêu chuẩn PCI DSS:
Yêu cầu PCI DSS được áp dụng cho:
¢ Môi trường dữ liệu của chủ thẻ (CDE), bao gồm:
Các thành phần hệ thống, người dùng và quy trình lưu trữ, xử lý và
truyền dữ liệu người giữ thẻ và/hoặc dữ liệu xác thực nhạy cảm Các thành phần hệ thống có thể không lưu trữ, xử lý hoặc truyền CHD/SAD nhưng có kết nối không hạn chế với các thành phần hệ thống lưu trữ, xử lý hoặc truyền CHD/SAD
¢ Các thành phần hệ thống, người đùng và quy trình có thê ảnh hưởng đến bảo mật của CDE "Các thành phần hệ thống" bao gồm các thiết bị mạng, máy chủ, thiết bị tính toán, thành phần ảo, thành phần đâm mây vả phần mềm Chăng hạn như:
Hệ thống lưu trữ, xử lý hoặc truyền đữ liệu tài khoản (ví dụ: các thiết
bị thanh toán, hệ thống xác nhận, hệ thống thanh toán, hệ thống phần mềm trung tâm thanh toán, giỏ hàng và hệ thống cửa hàng trực tuyến, hệ thống công thanh toán/chuyên đổi, hệ thông giám sát gian lận) Hệ thống cung cấp dịch vụ bảo mật (ví dụ: máy chủ xác thực, máy chủ kiểm soát truy cập, hệ thống quản lý sự kiện và thông tin bảo mật (SIEM), hé théng bảo mật vật lý (ví dụ: quyền truy cập thẻ hoặc CCTV), hệ thống xác thực đa yếu tố, hệ thống chỗng phần mềm độc hại)
Hệ thống hỗ trợ phân đoạn (ví dụ: hệ thống kiểm soát bảo mật mạng nội bộ)
Các hệ thống có thế ảnh hưởng đến bảo mật dữ liệu tài khoản hoặc CDE (ví dụ: độ phân giải tên, hoặc máy chủ định tuyến)
Các thành phần ảo như máy ảo, công tắc/bộ định tuyến ảo, thiết bị ảo, ứng dụng/ màn hình máy tính ảo và trình quản lý máy ảo
Trang 5Cơ sở hạ tầng và thành phần đám mây, cả trong nước và ngoài nước, bao gồm các phiên bản của các bộ chứa hoặc hình ảnh, mạng riêng ảo, quản lý danh tính và truy cập dựa trên đám mây, lưới dịch vụ với các ứng dụng được đóng gói theo container và các công cụ quản lý container
Các thành phần mạng, chăng hạn như các cơ chế bảo mật mạng, công tắc, bộ định tuyến, thiét bi mang VoIP, điểm truy cập không dây, thiết bị mạng và các thiết bị bảo mật khác
Các loại máy chủ, chăng hạn như các máy chủ web, ứng dụng, cơ sở dữ liệu, xác thực, mail, proxy, giao thức NTP (Network Time Protocol) và hệ thông phân giải tên miền (DNS)
Thiết bị người dùng cuối, chẳng hạn như máy tính, máy tính xách tay, máy trạm, máy trạm quản lý, máy tính bảng và thiết bị đi động Máy in và các thiết bị đa chức năng quét, in và fax
Lưu trữ đữ liệu tài khoản ở bất kỳ định đạng nảo (ví dụ: giấy tờ, tệp đữ liệu, âm thanh, hình ảnh, video)
Ứng dụng, phần mềm và các thành phần phần mềm, ứng dụng không máy chủ, bao gồm tất cả các phần mềm đã mua hoặc đăng ký, phần mềm đặc thù và tùy chỉnh, bao gồm ứng dụng nội bộ và bên ngoài Các công cụ, kho lưu trữ mã và các hệ thống quản lý cấu hình phần mềm hoặc triển khai đối tượng đến CDE hoặc đến các hệ thống khác có ảnh hưởng đến CDE
Trang 6System component stores,
processes or transmits CHD/SAD
Start Here
System component is on the same network as, or
has unrestricted connectivity to, system(s}
that store, process, or transmit CHD/SAD
directly connects to CDE
System component impacts configuration
or security of the CDE System component
segments CDE systems from out-of-
scope systems and networks
indirectly connects to CDE
System component provides security
to the CDE
System component supports PCI DSS
requirements
* Systems are considered to directly or indirectly connect to the
For systems to not directly or indirectly connect to the CDE,
controls must be specifically implemented and verified via penetration testing to confirm connections to the CDE are not
possible
Hinh 1: Cac yéu to can xem xét khi xac dinh pham vi cac thành phân hệ thông cho PCI DSS
3 Tiêu chuẩn khi áp dụng
Tiêu chuẩn bảo mật PCI DSS bao gồm 12 yêu cầu chính rất khắt khe Đây là một chứng chỉ tiêu chuẩn an ninh thông tin vô cùng quan trọng, được công nhận toàn cầu và là tiêu chuẩn bắt buộc đối với tất cả tô chức, doanh nghiệp có liên quan đến
nghiệp vụ xử lý, truyền tải và lưu trữ đữ liệu thẻ thanh toán
PCI DSS v3.2 gồm 12 yêu cầu chính về bảo mật thông tin như sau: a Xây dựng và duy trì hệ thống mạng bảo mật
e Yêu cầu l: Xây dựng và duy trì hệ thống tường lửa đề bảo vệ đữ liệu thẻ
Tất cả các hệ thống phải được bảo vệ khỏi truy cập trái phép từ các mạng không đáng tin cậy Tường lửa là một cơ chế bảo vệ quan trọng cho bất kỳ mạng máy tính nào Các thành phần hệ thống khác cũng có thế cung cấp chức năng như tường lửa, miền là chúng đáp ứng các yêu câu tôi thiêu về tường lửa
Trang 7Yêu cầu 2: Không sử dụng các tham số hoặc mật khâu có sẵn từ các nhà cung cấp hệ thống
Kẻ xấu thường sử dụng mật khâu mặc định của nhà cung cấp và các thiết lập mặc định khác của nhà cung cấp để xâm nhập vào hệ thống Những mật khâu và thiết lập này đã được các cộng đồng hacker biết rõ và có thế để dàng xác định thông qua thông tin công khai
b Bảo vệ dữ liệu thẻ thanh toán
Yêu cầu 3: Bảo vệ đữ liệu thẻ thanh toán khi lưu trên hệ thông
Các phương pháp bảo vệ như mã hóa, cắt bớt thông tin, che giấu và hàm băm (hash) đóng vai trò quan trọng trong việc bảo vệ dữ liệu của chủ thẻ Nếu một kẻ xâm nhập vượt qua các lớp bảo mật an ninh và tiếp cận dữ liệu đã được mã hóa, mà không có các khóa chính xác, dữ liệu sẽ không thể đọc và sử dụng được
Yêu cầu 4: Mã hóa thông tin thẻ trên đường truyền khi giao dịch
Thông tin nhạy cảm phải được mã hóa trong quá trình truyền dẫn qua các mang Cac mạng không dây được cấu hình sai và lỗ hỗng trong các giao thức mã hóa và xác thực kế thừa thường là những mục tiêu dễ bị người xấu khai thác dé có quyền truy cập đặc biệt vào môi trường dữ liệu của chủ thẻ
c Xây dựng và duy trì tình trạng đảm bảo an ninh mạng
Yêu cầu 5: Bảo vệ hệ thống khỏi phần mềm độc hại và cập nhật thường xuyên phần mềm diệt virus
Phần mềm độc hại xâm nhập vào mạng trong quá trình thực hiện nhiều hoạt động được phê duyệt trong doanh nghiệp, bao gồm việc sử dụng email của nhân viên và Internet, máy tính di động vả thiết bị lưu trữ, dẫn đến việc khai thác các lỗ hồng trong hệ thống Phần mềm chống virus phải được sử dụng trên tất cả các hệ thống thường bị ảnh hưởng bởi phần mềm độc hại để bảo vệ hệ thông khỏi các môi đe dọa
Yêu cầu 6: Xây đựng và duy trì hệ thống và ứng dụng đảm bảo an ninh mạng
Trang 8Tất cả các hệ thống phải thường xuyên cập nhật các bản vá phù hợp để bảo vệ hệ thống khỏi việc khai thác và xâm nhập vào dữ liệu của chủ thẻ bởi các cá nhân và phần mềm độc hại
d Xây dựng hệ thống kiểm soát xâm nhập e Yêu cầu 7: Hạn chế tiếp cận với dữ liệu thẻ thanh toán
Đề đảm bảo rằng đữ liệu quan trọng chỉ có thế được truy cập bởi nhân viên được ủy quyền, hệ thống và quy trình phải được thiết lập để giới hạn quyền truy cập dựa trên nhu câu và vị trí công việc
e Yêu cầu 8: Cấp và xác thực các tài khoản truy nhập hệ thống của nhân viên Việc gán một định đanh (ID) duy nhất cho mỗi người có quyền truy cập sẽ đảm bảo rằng mỗi cá nhân chịu trách nhiệm cho hành động của mình Khi trách nhiệm được thiết lập, các hành động được thực hiện trên dữ liệu và hệ thống sẽ có thê truy vết được
Hiệu quả của mật khâu phần lớn được xác định bởi thiết kế của hệ thống xác thực - đặc biệt là tần suất mà một kẻ tấn công có thể thử mật khẩu, cũng như là các phương pháp bảo mật để bảo vệ mật khâu của người dùng tại điểm nhập, trong quá trình truyền dẫn và khi được lưu trữ
e_ Yêu cầu 9: Giới hạn các phương pháp tiếp cận vật lý với đữ liệu thẻ
Bắt kỳ truy cập vật ly vào dữ liệu hoặc hệ thống lưu trữ dữ liệu của chủ thê đều là cơ hội cho kẻ xấu truy cập vào các thiết bị hoặc đữ liệu phải được hạn chế một cách phù hợp
e Theo đõi và đánh giá hệ thống thường xuyên
e Yéu cau 10: Kiém tra và lưu tất cả các truy nhập vào hệ thống và đữ liệu thẻ Cơ chế ghi lại và giám sát hoạt động của người dùng là rất quan trọng để ngăn chặn, phát hiện hoặc giảm thiêu rủi ro dữ liệu Bản ghi giúp theo dõi kỹ lưỡng, cảnh báo và phân tích khi có sự cô xảy ra Xác định nguyên nhân của l vụ đột
nhập là rất khó nếu như không có bản ghi hoạt động hệ thống
Trang 9e Yéu cau 11: Thwong xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống
Các thành phần hệ thống, quy trình và phần mềm tùy chỉnh phải được kiểm tra thường xuyên đề đảm bảo rằng các khâu bảo mật phù hợp với môi trường hiện tal
f Chính sách bảo vệ thông tin
® Yêu cầu l2: Xây đựng chính sách bảo vệ thông tin
Một chính sách bảo mật mạnh sẽ thiết lập một nền tảng bảo mật cho toàn bộ tô chức và cho nhân viên biết được những gì được mong đợi từ họ Tất cả nhân viên phải nhận thức được tính nhạy cảm của dữ liệu và trách nhiệm của họ trong việc bảo vệ nó
Build and Maintain
sát Tiêu chuân Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS), đã thông báo
về việc ban hành PCI DSS 4.0 thay thé phién ban 3.2.1 đã ban hành năm 2018 (có
hiệu lực vào ngày 31/3/2025) với những thay đổi được nhắn mạnh bao gồm:
Trang 101 Trién khai MFA (xác thực đa yếu tố) cho tất cả quyền truy cập vào môi trường dữ liệu của chủ thẻ
2 Thay thế thuật ngữ “tường lửa” bằng “mạng lưới an ninh” để hỗ trợ
nhiều loại công nghệ bảo mật hơn
3 Tăng tính linh hoạt cho các tô chức để chứng minh cách họ đang sử dụng các phương pháp khác nhau đề đạt được các mục tiêu bảo mật 4 Bồ sung các phân tích rủi ro được nhắm mục tiêu đề cho phép các thực
thể linh hoạt hơn trong việc xác định tần suất họ thực hiện các hoạt động nhất định, sao cho phù hợp nhất với nhu cầu kinh doanh và mức độ rủi ro của họ
PCI DSS v4.0 gồm 12 yêu câu chính sau:
a Xây dựng và duy trì hệ thống mạng bảo mật e_ Yêu cầu l: Xây dựng và duy trì mạng lưới an ninh
Các phương pháp kiêm soát an ninh mạng như tường lửa và các công nghệ an ninh mạng khác có chức năng điều khiển lưu lượng mạng giữa hai hoặc nhiều phân đoạn mạng logic hoặc vật lý dựa trên các chính sách hoặc quy tắc được
định sẵn
«Yêu cầu 2: Áp dụng các cấu hình an toàn cho tất cả các thành phần hệ thống Kẻ xấu thường sử dụng mật khâu và thiết lập mặc định để xâm nhập vào hệ thống vì những mật khẩu và thiết lập này đễ dàng xác định thông qua thông tin công khai Việc áp dụng các cầu hình bảo mật cho các thành phần hệ thống sẽ giảm khả năng của kẻ tân công xâm nhập vào hệ thông
b Bảo vệ dữ liệu thẻ
e _ Yêu cầu 3: Bảo vệ dữ liệu tài khoản được lưu trên hệ thống
Các phương pháp bảo vệ như mã hóa, cắt bớt thông tin, che giấu và hàm hash giúp bảo vệ đữ liệu của chủ thẻ Giả sử nêu một kẻ xâm nhập vượt qua được các lớp bảo mật vả tiếp cận dữ liệu tài khoản đã được mã hóa, dữ liệu sẽ không thé doc va str dung duoc nếu như không có khóa chính xác
9
Trang 11Yêu cầu 4: Mã hóa mạnh mẽ thông tin thẻ trên đường truyền qua mạng mở và công cộng khi giao dịch
Việc sử dụng mã hóa mạnh sẽ cung cấp độ tin cậy cao hơn trong việc bảo vệ tính bảo mật, toàn vẹn và chống thoái thác dữ liệu
c Xây dựng và duy trì tĩnh trạng đảm bảo an ninh mạng
Yêu cầu 5: Bảo vệ hệ thống khỏi phần mềm độc hại
Phần mềm độc hại (malware) là phần mềm được thiết kế đề xâm nhập hoặc gây hại cho hệ thống máy tính mà không có sự đồng ý của chủ sở hữu, với mục đích xâm phạm tính bảo mật, toàn vẹn hoặc khả dụng của dữ liệu, ứng dụng hoặc hệ điều hành của chủ sở hữu
Vi du: virus, worm, Trojan, spyware, ransomware, keyloggers va rootkit, ma độc, scrIpt, liên kết độc hại
Sử dụng các giải pháp chống phần mềm độc hại (anti-malware) sẽ giúp bảo vệ hệ thông khỏi các môi đe dọa từ phân mêm độc hại
Yêu cầu 6: Xây đựng và duy trì hệ thống và ứng dụng đảm bảo an ninh mạng Tất cả các hệ thống phải thường xuyên cập nhật các bản vá phù hợp đề ngăn
không cho kẻ xấu khai thác lỗ hồng bảo mật và xâm nhập vào hệ thống
d Xây dựng hệ thống kiểm soát xâm nhập
Yêu cầu 7: Hạn chế quyên truy cập vào các thành phần hệ thống và đữ liệu thẻ Các đối tượng không được cấp quyên có thê truy cập vào dữ liệu quan trong hoặc hệ thống đo các quy tắc và phương thức kiếm soát truy cập không hiệu qua Dé dam bao rang chi nhân viên được ủy quyền mới có thể truy cập vào đữ liệu quan trọng, hệ thống và quy trình phải được thiết lập để hạn chế quyên truy cập dựa trên nhu câu và vị trí công việc
Yêu cầu 8: Cấp và xác thực các tài khoản truy cập vào hệ thông
Việc định danh một cá nhân hoặc quy trình trên hệ thống được tiến hành bằng cách liên kết một danh tính với một người hoặc quy trình thông qua một nhân
10
Trang 12định, chắng hạn như một người dùng, hệ thống hoặc ID Việc gán một định danh (ID) duy nhất cho mỗi người có quyền truy cập sẽ đảm bảo rằng mỗi cá nhân chịu trách nhiệm cho hành động của mình Khi trách nhiệm được thiết lập, các hành động được thực hiện trên dữ liệu và hệ thống sẽ có thể truy vết được
Yếu tố được sử dụng đề chứng minh hoặc xác minh danh tính được gọi là yêu tố xác thực Các yếu tô xác thực bao gồm: L) điều gi đó bạn biết, chăng hạn như mật khẩu hoặc cụm từ mật khẩu, 2) điều gì đó bạn có, chăng hạn như thiết bị mã thông báo hoặc thẻ thông minh, hoặc 3) điều gì đó bạn là, chẳng hạn như yếu tổ sinh trắc học
ID và yếu tô xác thực được coi là thông tin xác thực và được sử dụng đề truy cập vào quyền và đặc quyền liên quan đến người đùng, ứng dụng, hệ thống hoặc tài khoản dịch vụ
e_ Yêu cầu 9: Giới hạn các phương pháp tiếp cận vật lý với đữ liệu thẻ
Bắt kỳ truy cập vật lý vào dữ liệu hoặc hệ thống lưu trữ dữ liệu của chủ thể đều là cơ hội cho kẻ xấu truy cập vào các thiết bị hoặc dữ liệu phải được hạn chế một cách phù hợp
e Theo đõi và đánh giá hệ thống thường xuyên
e Yéu cau 10: Kiém tra và lưu tất cả các truy cập vào hệ thông và dữ liệu thé Cơ chế ghi lại và giám sát hoạt động của người dùng là rất quan trọng để ngăn chặn, phát hiện hoặc giảm thiểu rủi ro đữ liệu Bản ghi giúp theo dõi kỹ lưỡng, cảnh báo và phân tích khi có sự cô xảy ra Xác định nguyên nhân của I vụ đột
nhập là rất khó hoặc gần như là không thể nếu như không có bản ghi hoạt động
hệ thống
e_ Yêu cầu L1: Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống
Trang 13Các thành phần hệ thống, quy trình và phần mềm tùy chỉnh phải được kiểm tra
thường xuyên để đảm bảo rằng các khâu bảo mật phù hợp với môi trường hiện
tal
f Chinh sach bao vé thong tin
Yêu cầu 12: Xây dựng các chính sách và chương trình đề bảo vệ thông tin Chính sách bảo mật thông tin của một tô chức sẽ là nền tảng cho hệ thống bảo mật của toàn bộ tô chức và giúp cho nhân viên biết được những gì được mong đợi từ họ Tất cả nhân viên phải nhận thức được tính nhạy cảm của dữ liệu và trách nhiệm của họ trong việc bảo vệ nó
._Ưu và nhược điểm của PCI DSS: 4.1 Ưu điểm:
Bảo vệ dữ liệu thẻ thanh toán: PCI DSS đặt các yêu cầu nghiêm ngặt về bảo mật thông tin thẻ thanh toán, giúp giảm nguy cơ lộ thông tin cá nhân và gian lận tài chính
Mức tuân thủ cao: PCI DSS giúp tổ chức xác định và triển khai các biện pháp bảo mật cần thiết đề bảo vệ dữ liệu khách hàng Điều nay giup tạo niém tin va dang tin cay cho khach hang
Giảm rủi ro pháp lý: Tuân thủ PCI DSS giúp giảm rủi ro pháp lý liên quan đến việc xử lý thông tin thẻ thanh toán
Nâng cao an ninh thông tin: Quá trình tuân thủ PCI DSS thường đòi hỏi kiếm tra, giám sát và cải thiện liên tục hệ thống bảo mật Điều nay có thể dẫn đến việc cải thiện tong thé về an ninh thông tin trong tổ chức
4.2 Nhược điểm:
Phức tạp vả tốn kém: Tuân thủ PCI DSS đòi hỏi sự đầu tư lớn về thời gian, tiền bạc và nguồn lực nhằm triển khai và duy trì các biện pháp bảo mật Các tô chức phải đảm bảo tuân thủ các yêu câu va chuan bi cho các kiêm tra định kỳ.