PCI DSS (Payment Card Industry Data Security Standard) là một an ninh thông tin bắt buộc đối với các tổ chức có các hoạt động lưu trữ, xử lý, truyền tải dữ liệu thẻ thanh toán. Tiêu chuẩn này được 5 tổ chức thanh toán quốc tế là Visa, MasterCard, American Express, Discover và JCB ủy quyền quản lý cho Hội đồng Bảo mật Dữ liệu Thẻ thanh toán (Payment Card Industry Security Standard Council – PCI SSC).
Mục đích mà tiêu chuẩn này ra đời là để gia tăng kiểm soát dữ liệu của chủ thẻ thanh toán, hạn chế những gian lận, đánh cắp dữ liệu đối với: Số tài khoản (PAN); Mã bảo mật; Tên chủ tài khoản; Ngày hết hạn; Mã xác thực, Mã PIN;… Chứng nhận cho tiêu chuẩn này chỉ có thời hạn trong vòng một năm và cần được tái chứng nhận định kỳ.
Tiêu chuẩn PCI DSS được cấu thành bởi 12 yêu cầu:
- Xây dựng và duy trì hệ thống tường lửa nhằm bảo vệ dữ liệu thẻ thanh toán.
- Không dùng các tham số hoặc mật khẩu được thiết lập sẵn từ các nhà cung cấp hệ thống (thiết bị mạng, đường truyền Internet…)
- Bảo vệ dữ liệu thẻ thanh toán khi lưu trữ trên hệ thống
- Mã hóa thông tin thẻ trên đường truyền trong quá trình giao dịch
- Sử dụng và cập nhật thường xuyên phần mềm phòng chống virus
- Xây dựng – duy trì hệ thống và các ứng dụng đảm bảo an ninh mạng
- Hạn chế việc tiếp cận với dữ liệu thẻ thanh toán
- Cấp phát và theo dõi các tài khoản truy nhập hệ thống
- Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ
- Kiểm tra và lưu trữ tất cả các truy nhập vào hệ thống và dữ liệu thẻ
- Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống
- Xây dựng chính sách bảo vệ thông tin tại doanh nghiệp.
Reference: https://ecci.com.vn/pci-dss-la-gi-so-luoc-ve-pci-dss/