CHƯƠNG 3 : TUÂN THỦ VỚI PCI DSS
3.2 Yêu cầu chi tiết
a. Chọn một chuyên gia đánh giá bảo mật đủ điều kiện
❖ Chuyên gia đánh giá bảo mật đủ điều kiện (QSA) là công ty bảo mật
dữ liệu được Hội đồng tiêu chuẩn bảo mật PCI đủ điều kiện để thực hiện đánh giá PCI DSS tại chỗ. QSA sẽ:
➢ Xác minh tất cả thông tin kỹ thuật do người bán hoặc nhà cung
cấp dịch vụ cung cấp
➢ Sử dụng đánh giá độc lập để xác nhận tiêu chuẩn đã được đáp
➢ Cung cấp hỗ trợ và hướng dẫn trong quá trình tuân thủ ➢ Có mặt tại chỗ trong thời gian đánh giá theo yêu cầu ➢ Tuân thủ các Quy trình Đánh giá Bảo mật PCI DSS ➢ Xác thực phạm vi đánh giá
➢ Đánh giá các biện pháp kiểm soát bù đắp ➢ Tạo báo cáo cuối cùng
❖ QSA bạn chọn phải có hiểu biết vững chắc về doanh nghiệp của bạn và
có kinh nghiệm trong việc đánh giá tính bảo mật của các tổ chức tương tự. Kiến thức đó giúp QSA hiểu rõ các lĩnh vực kinh doanh, các sắc thái cụ thể của việc bảo mật dữ liệu chủ thẻ theo PCI DSS. Ngồi ra, hãy tìm kiếm sự phù hợp tốt với văn hóa của cơng ty bạn. Đánh giá sẽ kết luận liệu bạn có đáp ứng các u cầu hay khơng - nhưng QSA cũng có thể làm việc với tổ chức của bạn để giúp bạn hiểu cách đạt được và duy trì sự tuân thủ hàng ngày. Nhiều QSA cũng có thể cung cấp các dịch vụ bổ sung liên quan đến bảo mật như đánh giá và khắc phục lỗ hổng bảo mật đang diễn ra.
b. Chọn nhà cung cấp dịch vụ quét được chập thuận
❖ Nhà cung cấp dịch vụ quét được chấp thuận (ASV) là công ty bảo mật
dữ liệu sử dụng giải pháp quét để xác định xem khách hàng có đáp ứng yêu cầu qt lỗ hổng bên ngồi PCI DSS hay khơng. ASV được Hội đồng Tiêu chuẩn Bảo mật PCI đủ điều kiện để thực hiện quét hệ thống và mạng bên ngồi theo u cầu của PCI DSS. ASV có thể sử dụng phần mềm của chính nó hoặc một giải pháp thương mại hoặc mã nguồn mở đã được phê duyệt. Các giải pháp ASV phải không gây gián đoạn cho hệ thống và dữ liệu của khách hàng - chúng không bao giờ được khởi động lại hệ thống, can thiệp hoặc thay đổi việc định tuyến, chuyển mạch hoặc phân giải địa chỉ của máy chủ tên miền (DNS). Root-kits
hoặc phần mềm khác không được cài đặt trừ khi là một phần của giải pháp và được khách hàng chấp thuận trước. Các thử nghiệm không được giải pháp ASV cho phép bao gồm từ chối dịch vụ, tràn bộ đệm, tấn công vũ phu dẫn đến khóa mật khẩu, hoặc sử dụng quá nhiều băng thơng liên lạc có sẵn. Giải pháp qt ASV bao gồm (các) quy trình và cơng cụ qt, báo cáo quét liên quan và quy trình trao đổi thông tin giữa nhà cung cấp dịch vụ quét và khách hàng quét. ASV có thể gửi báo cáo tuân thủ cho tổ chức mua lại thay mặt cho người bán hoặc nhà cung cấp dịch vụ, nếu được ASV và khách hàng của họ đồng ý.
c. Phạm vi yêu cầu của PCI DSS
❖ Bước đầu tiên của PCI DSS là xác định chính xác phạm vi của mơi
trường. Q trình xác định phạm vi bao gồm xác định tất cả các thành phần hệ thống nằm trong hoặc được kết nối với môi trường dữ liệu của chủ thẻ. Môi trường dữ liệu chủ thẻ bao gồm con người, quy trình và cơng nghệ xử lý dữ liệu chủ thẻ hoặc dữ liệu xác thực nhạy cảm. Các thành phần hệ thống bao gồm thiết bị mạng (cả có dây và khơng dây), máy chủ, thiết bị tính tốn và ứng dụng. Các thành phần ảo hóa, chẳng hạn như máy ảo, bộ chuyển mạch / bộ định tuyến ảo, thiết bị ảo, ứng dụng ảo / máy tính để bàn và bộ siêu giám sát, cũng được coi là các thành phần hệ thống trong PCI DSS.
❖ Việc xác định phạm vi phải diễn ra ít nhất hàng năm và trước khi đánh
giá hàng năm. Người bán và các pháp nhân khác phải xác định tất cả các vị trí và luồng dữ liệu chủ thẻ, đồng thời xác định tất cả các hệ thống được kết nối với hoặc nếu bị xâm nhập có thể ảnh hưởng đến CDE (ví dụ: máy chủ xác thực) để đảm bảo tất cả các thành phần hệ thống áp dụng được đưa vào phạm vi cho PCI DSS. Tất cả các loại hệ
thống và vị trí cần được coi là một phần của quá trình xác định phạm vi, bao gồm các vị trí sao lưu / phục hồi và hệ thống dự phòng.
❖ Các thực thể phải xác nhận tính chính xác của CDE đã xác định bằng
cách thực hiện các bước sau:
➢ Xác định và ghi lại sự tồn tại của tất cả dữ liệu chủ thẻ trong môi
trường, để xác minh rằng khơng có dữ liệu chủ thẻ nào tồn tại bên ngồi mơi trường dữ liệu chủ thẻ được xác định hiện tại (CDE).
➢ Sau khi tất cả các vị trí của dữ liệu chủ thẻ được xác định và lập
thành văn bản, hãy xác minh rằng phạm vi PCI DSS là phù hợp (ví dụ: kết quả có thể là sơ đồ hoặc bản kiểm kê các vị trí dữ liệu chủ thẻ).
➢ Xem xét bất kỳ dữ liệu chủ thẻ nào được phát hiện nằm trong
phạm vi đánh giá PCI DSS và một phần của CDE. Nếu dữ liệu được xác định là hiện khơng có trong CDE, thì dữ liệu đó phải được xóa an tồn, di chuyển / hợp nhất vào CDE hiện được xác định hoặc CDE được xác định lại để bao gồm những dữ liệu này.
➢ Giữ lại tài liệu cho thấy cách xác định phạm vi PCI DSS. Tài liệu
được giữ lại để đánh giá viên và / hoặc để tham khảo trong hoạt động xác nhận phạm vi PCI DSS hàng năm tiếp theo.
❖ Phân đoạn mạng
➢ Phạm vi có thể được giảm xuống với việc sử dụng phân đoạn,
điều này cô lập môi trường dữ liệu của chủ thẻ với phần còn lại của mạng thực thể. Giảm phạm vi có thể giảm chi phí đánh giá PCI DSS, giảm chi phí và khó khăn trong việc thực hiện và duy trì các kiểm sốt PCI DSS, đồng thời giảm rủi ro cho đơn vị. Để được coi là ngoài phạm vi đối với PCI DSS, một thành phần hệ
thống phải được cách ly (phân đoạn) khỏi CDE một cách thích hợp, sao cho ngay cả khi thành phần hệ thống ngoài phạm vi bị xâm phạm thì nó cũng khơng thể ảnh hưởng đến bảo mật của CDE. Để biết thêm thông tin về phạm vi, hãy xem phần “Phân đoạn mạng” PCI DSS và Phụ lục D: Phân đoạn và lấy mẫu các cơ sở kinh doanh / thành phần hệ thống.
❖ Lấy mẫu các cơ sở kinh doanh và các thành phần hệ thống
➢ Lấy mẫu là một lựa chọn cho người đánh giá để tạo điều kiện
thuận lợi cho q trình đánh giá khi có số lượng lớn các thành phần của hệ thống. Mặc dù người đánh giá có thể chấp nhận lấy mẫu các hệ thống như một phần trong quá trình đánh giá của họ về việc tuân thủ PCI DSS của một đơn vị, nhưng việc một đơn vị chỉ áp dụng các yêu cầu của PCI DSS cho một mẫu CDE của họ là không thể chấp nhận được hoặc để một người đánh giá chỉ đánh giá mẫu các yêu cầu của PCI DSS để tuân thủ. Người đánh giá có thể lựa chọn độc lập các mẫu đại diện của các cơ sở kinh doanh và các thành phần hệ thống để đánh giá mức độ tuân thủ của đơn vị đối với các yêu cầu PCI DSS. PCI DSS không yêu cầu lấy mẫu. Việc lấy mẫu không làm giảm phạm vi của môi trường dữ liệu chủ thẻ hoặc khả năng áp dụng các yêu cầu của PCI DSS. Nếu sử dụng phương pháp lấy mẫu, mỗi mẫu phải được đánh giá theo tất cả các yêu cầu PCI DSS hiện hành. Mẫu phải đủ lớn để cung cấp cho người đánh giá sự đảm bảo rằng các biện pháp kiểm soát được thực hiện như mong đợi. Để biết thêm thông tin về việc lấy mẫu, hãy xem phần PCI DSS Dành cho Người đánh giá: Lấy mẫu Cơ sở Kinh doanh / Thành phần Hệ thống và Phụ lục D: Phân đoạn và Lấy mẫu Cơ sở Kinh doanh / Thành phần Hệ thống.
❖ Sử dụng các Nhà cung cấp / Gia công phần mềm bên thứ ba
➢ Nhà cung cấp dịch vụ hoặc người bán có thể sử dụng dịch vụ của
bên thứ ba để thay mặt họ lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ hoặc để quản lý các thành phần CDE. Các bên cần xác định rõ ràng các dịch vụ và thành phần hệ thống nằm trong phạm vi đánh giá PCI DSS tại chỗ hàng năm của nhà cung cấp dịch vụ, các yêu cầu PCI DSS cụ thể mà nhà cung cấp dịch vụ đề cập và bất kỳ yêu cầu nào mà khách hàng của nhà cung cấp dịch vụ có trách nhiệm đưa vào trong đánh giá PCI DSS của riêng họ. Nếu bên thứ ba thực hiện đánh giá PCI DSS của riêng họ, họ phải cung cấp đầy đủ bằng chứng cho khách hàng của mình để xác minh rằng phạm vi đánh giá PCI DSS của nhà cung cấp dịch vụ bao gồm các dịch vụ áp dụng cho khách hàng và các yêu cầu PCI DSS liên quan đã được kiểm tra và xác định để được tại chỗ. Chứng nhận Tuân thủ của nhà cung cấp dịch vụ bao gồm một bảng tóm tắt các yêu cầu PCI DSS được đề cập và (các) dịch vụ cụ thể được đánh giá, và có thể được cung cấp cho khách hàng làm bằng chứng về phạm vi đánh giá PCI DSS của nhà cung cấp dịch vụ. Tuy nhiên, loại bằng chứng cụ thể mà nhà cung cấp dịch vụ cung cấp cho khách hàng của họ sẽ phụ thuộc vào các thỏa thuận / hợp đồng được thực hiện giữa các bên đó. Người bán và nhà cung cấp dịch vụ phải quản lý và giám sát việc tuân thủ PCI DSS của tất cả các nhà cung cấp dịch vụ bên thứ ba liên quan có quyền truy cập vào dữ liệu chủ thẻ. loại bằng chứng cụ thể mà nhà cung cấp dịch vụ cung cấp cho khách hàng của họ sẽ phụ thuộc vào các thỏa thuận / hợp đồng được áp dụng giữa các bên đó. Người bán và nhà cung cấp dịch vụ phải quản lý và giám sát việc tuân thủ PCI DSS của tất cả các nhà cung cấp dịch vụ bên thứ ba liên quan có quyền truy cập vào dữ liệu chủ thẻ. loại bằng chứng cụ thể mà
nhà cung cấp dịch vụ cung cấp cho khách hàng của họ sẽ phụ thuộc vào các thỏa thuận / hợp đồng được áp dụng giữa các bên đó. Người bán và nhà cung cấp dịch vụ phải quản lý và giám sát việc tuân thủ PCI DSS của tất cả các nhà cung cấp dịch vụ bên thứ ba liên quan có quyền truy cập vào dữ liệu chủ thẻ.
d. Sử dụng bảng câu hỏi tự đánh giá ( SAQ )
❖ “SAQ” là một công cụ xác thực để các thương gia và nhà cung cấp dịch
vụ báo cáo kết quả tự đánh giá PCI DSS của họ, nếu họ không bắt buộc phải gửi Báo cáo về Tuân thủ (ROC). SAQ bao gồm một loạt câu hỏi có hoặc khơng cho mỗi u cầu PCI DSS hiện hành. Nếu câu trả lời là khơng, tổ chức có thể được yêu cầu nêu rõ ngày khắc phục trong tương lai và các hành động liên quan. Có sẵn các SAQ khác nhau để đáp ứng các môi trường buôn bán khác nhau. Nếu bạn không chắc SAQ nào sẽ áp dụng cho mình, hãy liên hệ với ngân hàng mua hoặc thương hiệu thẻ thanh toán của bạn để được hỗ trợ.
e. Báo cáo
❖ Báo cáo Đánh giá là cơ chế chính thức mà người bán và các tổ chức
khác báo cáo trạng thái tuân thủ PCI DSS của họ cho các tổ chức tài chính mua lại hoặc thương hiệu thẻ thanh toán tương ứng của họ. Tùy thuộc vào các yêu cầu về thương hiệu thẻ thanh toán, người bán và nhà cung cấp dịch vụ có thể cần gửi SAQ để tự đánh giá hoặc Báo cáo về sự tuân thủ để đánh giá tại chỗ. Cũng có thể phải gửi báo cáo hàng quý để quét mạng. Cuối cùng, các thương hiệu thẻ thanh tốn cá nhân có thể yêu cầu nộp các tài liệu khác; xem các trang web của họ để biết thêm thơng tin.
❖ Thơng tin có trong Báo cáo PCI DSS về Tuân thủ
➢ Mẫu cho Báo cáo tuân thủ hàng năm của một tổ chức có sẵn trên
➢ 1. Thông tin liên hệ và ngày báo cáo
➢ 2. Tóm tắt điều hành (mơ tả hoạt động kinh doanh thẻ thanh toán
của đơn vị; sơ đồ mạng cấp cao)
➢ 3. Mô tả phạm vi công việc và phương pháp tiếp cận đã thực hiện
(mô tả cách thực hiện đánh giá, môi trường, phân đoạn mạng được sử dụng, chi tiết cho từng bộ mẫu được chọn và thử nghiệm, các tổ chức quốc tế hoặc sở hữu hoàn toàn yêu cầu tuân thủ PCI DSS, mạng khơng dây hoặc ứng dụng có thể ảnh hưởng bảo mật dữ liệu chủ thẻ, phiên bản PCI DSS được sử dụng để thực hiện đánh giá)
➢ 4. Thông tin chi tiết về Môi trường được đánh giá (sơ đồ của từng
mạng, mô tả về môi trường dữ liệu của chủ thẻ, danh sách tất cả phần cứng và phần mềm trong CDE, các nhà cung cấp dịch vụ được sử dụng, ứng dụng thanh toán của bên thứ ba, các cá nhân được phỏng vấn, tài liệu được xem xét, chi tiết về đánh giá của các nhà cung cấp dịch vụ được quản lý)
➢ 5. Kết quả quét hàng quý (tóm tắt bốn kết quả quét ASV gần đây
nhất)
➢ 6. Phát hiện và Quan sát (phát hiện chi tiết về từng yêu cầu và yêu
cầu phụ, bao gồm giải thích về tất cả các phản hồi N / A và xác nhận của tất cả các kiểm soát bù đắp)
f. Triển khai PCI DSS thành các quy trình kinh doanh như thường lệ
❖ Để đảm bảo các biện pháp kiểm soát bảo mật tiếp tục được thực hiện
đúng cách, PCI DSS nên được triển khai vào các hoạt động kinh doanh như thường lệ (BAU) như một phần của chiến lược bảo mật tổng thể của một tổ chức. Điều này cho phép một thực thể liên tục theo dõi tính hiệu quả của các biện pháp kiểm sốt bảo mật và duy trì mơi trường tuân thủ PCI DSS giữa các lần đánh giá PCI DSS. Ví dụ về các thực
tiễn tốt nhất về cách kết hợp PCI DSS vào các hoạt động BAU bao gồm (nhưng không giới hạn ở):
➢ 1. Giám sát các biện pháp kiểm soát an ninh để đảm bảo chúng
đang hoạt động hiệu quả và đúng như dự kiến.
➢ 2. Đảm bảo rằng tất cả các lỗi trong kiểm soát an ninh đều được
phát hiện và phản hồi kịp thời.
➢ 3. Xem xét các thay đổi đối với mơi trường (ví dụ: bổ sung hệ
thống mới, thay đổi cấu hình hệ thống hoặc mạng) trước khi hoàn thành thay đổi để đảm bảo phạm vi PCI DSS được cập nhật và các biện pháp kiểm sốt được áp dụng khi thích hợp.
➢ 4. Những thay đổi đối với cơ cấu tổ chức (ví dụ: sáp nhập hoặc
mua lại cơng ty) dẫn đến việc đánh giá chính thức về tác động đối với phạm vi và các yêu cầu của PCI DSS.
➢ 5. Thực hiện đánh giá và liên lạc định kỳ để xác nhận rằng các
yêu cầu của PCI DSS tiếp tục được áp dụng và nhân viên đang tn thủ các quy trình an tồn.
➢ 6. Đánh giá công nghệ phần cứng và phần mềm ít nhất hàng năm
để xác nhận rằng chúng tiếp tục được nhà cung cấp hỗ trợ và có thể đáp ứng các yêu cầu bảo mật của tổ chức, bao gồm cả PCI DSS và khắc phục các thiếu sót khi thích hợp.
❖ Các đơn vị cũng có thể xem xét việc thực hiện tách bạch các nhiệm vụ