Khi sử dụng các loại thẻ thanh toán nói chung, chủ thẻ cũng như các tổ chức tín dụng có thể gặp nhiều rủi ro và tổn thất do vấn đề gian lận, vi phạm bảo mật thông tin. Để đối phó với sự gia tăng mạnh mẽ của các vi phạm này, các tổ chức thẻ thanh toán lớn trên thế giới đã thành lập một Hội đồng, được gọi là Hội đồng Tiêu chuẩn Bảo mật Thẻ thanh toán (Payment Card Industry Security Standard Council – PCI SSC).
Với mong muốn nâng cao bảo mật dữ liệu của chủ thẻ, cũng như bảo mật dữ liệu tài khoản thanh toán toàn cầu, PCI SSC đã ban hành tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard) và tiêu chuẩn PA DSS (Payment Application Data Security Standard) cũng như yêu cầu các doanh nghiệp, tổ chức hoạt động trong việc xử lý giao dịch từ thẻ tín dụng và thẻ ghi nợ tuân thủ.
Tuy nhiên, dường như các tổ chức trong ngành tín dụng có sự bối rối khi thực hiện áp dụng cho một hay có khi cả hai tiêu chuẩn. Bài viêt sẽ đề cập đến sự khác biệt giữa hai tiêu chuẩn này, với mục đích giúp các bên liên quan hiểu rõ tiêu chuẩn nào phù hợp với tổ chức của mình.
Tiêu chuẩn PCI DSS là bộ tiêu chuẩn bảo mật được hình thành năm 2004, bởi 5 tổ chức cung cấp thẻ thanh toán phổ biến là Visa, MasterCard, Discover Financial Services, JCB International và American Express và được điều chỉnh bởi PCI SSC. Tiêu chuẩn này được thiết lập với mục đích bảo mật các giao dịch thẻ tín dụng và thẻ ghi nợ chống lại các vi phạm, đánh cắp hay gian lận về dữ liệu. Tuân thủ PCI DSS là điều kiện cần để các tổ chức tín dụng bảo vệ các dữ liệu nhạy cảm cũng như tạo được sự tín nhiệm từ khách hàng của họ.
PA DSS hay còn được biết là PABB (Payment Application Best Practice) là một tiêu chuẩn an toàn dữ liệu được đưa ra cho các nhà cung cấp ứng dụng thanh toán, khi bán, phân phối hoặc cấp phép ứng dụng thanh toán cho bên thứ ba. Đối với các ứng dụng thanh toán nội bộ, không cung cấp cho bên thứ ba, mặc dù không yêu cầu tuân thủ tiêu chuẩn PA DSS, tuy nhiên vẫn phải tuân thủ yêu cầu của tiêu chuẩn PCI DSS. PA DSS được quản lý bởi PCI SSC và được giám sát bởi Visa Inc.
Sự khác biệt quan trọng giữa PCI DSS và PA DSS
| PCI DSS | PA DSS | |
| Mục đích | Xây dựng và duy trì mạng lưới bảo mật, bảo vệ dữ liệu của chủ thẻ. | Giúp các nhà cung cấp phần mềm thanh toán phát triển ứng dụng của mình một cách an toàn. |
| Phạm vi yêu cầu áp dụng | Yêu cầu áp dụng đối với tất cả các tổ chức có một hay toàn bộ hoạt động liên quan đến quá trình xử lý, lưu trữ và truyền dữ liệu của chủ thẻ tín dụng hoặc thẻ ghi nợ. | Yêu cầu áp dụng hay không áp dụng được xác định dựa trên chủ thể sử dụng ứng dụng.Áp dụng cho các nhà sản xuất, phát triển, tích hợp ứng dụng thanh toán nếu ứng dụng này được cung cấp cho bên thứ 3.Không áp dụng đối với các ứng dụng chỉ thanh toán nội bộ, không cung cấp cho bên thứ 3. |
| Tập trung vào việc hỗ trợ, bảo mật hệ thống thanh toán cũng như các thiết bị xử lý thẻ thanh toán khác. | Tập trung vào việc bảo mật các ứng dụng thanh toán sử dụng thẻ để hỗ trợ thanh toán an toàn. | |
| Giám sát | Được ủy quyền bởi 5 tổ chức thẻ thanh toán là Visa, MasterCard, JCB, American Express, Discover Financial Services và được quản lý bởi PCI SSC. | Trước đây được PCI SSC quản lý dưới sự giám sát của Visa Inc. |
Sự tương quan giữa PCI DSS và PA DSS
Việc tuân thủ PA DSS không đồng nghĩa với việc tuân thủ PCI DSS. Vì yêu cầu tuân thủ đối với PA DSS chỉ bắt nguồn một phần từ yêu cầu của PCI DSS, ngoài ra còn bắt nguồn từ Quy trình đánh giá an ninh (Security Assessment Procedures).
Ngược lại, tiêu chuẩn PCI DSS đã bao hàm cả tiêu chuẩn PA DSS. Khi đánh giá PCI DSS sẽ đánh giá cả các ứng dụng đã được xác nhận tuân thủ PA DSS, nếu các ứng dụng này có chức năng lưu trữ, xử lý và truyền đi dữ liệu của chủ thẻ,
Tiêu chuẩn PCI DSS có thể sẽ không được yêu cầu trực tiếp đối với các tổ chức cung cấp ứng dụng thanh toán, nếu họ không lưu trữ, xử lý hoặc truy cập vào dữ liệu của chủ thẻ, mà yêu cầu đối với bên thứ 3 là khách hàng của các tổ chức này. Vì thể, các ứng dụng thanh toán này không nên gây cản trở cho khách hàng trong việc tuân thủ PCI DSS.
Như vậy, thông qua bài viết, các tổ chức trong ngành tín dụng có thể xem xét tiêu chuẩn nào thực sự cần phải được tuân thủ đối với hoạt động của tổ chức mình. Đối với các chủ thể có các ứng dụng thanh toán nội bộ, mặc dù không được yêu cầu, nhưng không nên bỏ qua các yêu cầu tuân thủ đối với PA DSS. Đây sẽ là một hướng dẫn đánh giá và kiểm tra để nhóm bảo mật phát triển ứng dụng nội bộ đáp ứng yêu cầu an toàn dữ liệu thẻ.