Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	02/11/2010 20:10:39 (+0700) \| #1 \| 224121

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Hi all !

Thông tin về PCI DSS v2.0 vài ngày trở lại đây xuất hiện trên các trang thông tin công nghệ khá nhiều.

PCI DSS là gì?

PCI DSS được đưa ra bởi PCI Security Standards Council (bao gồm các thành viên là các tổ chức thẻ quốc tế: Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International). Mục đích của PCI DSS bảo đảm an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng hoặc doanh nghiệp thanh toán. PCI DSS giúp đưa ra những chuẩn mực về bảo mật thông tin thẻ và được áp dụng trên toàn cầu.

PCI DSS là là một hệ thống các yêu cầu để đáp ứng các chuẩn mực về an ninh, chính sách, quy trình, cấu trúc mạng, hệ thống phần mềm và một số yếu tố khác. Tập hợp các chuẩn mực này định hướng cho các ngân hàng hoặc doanh nghiệp về thanh toán đảm bảo an ninh cho dữ liệu của thẻ thanh toán.

*********************

- Cho mình hỏi để triển khai PCI DSS thì ta cần phải qua những giai đoạn nào, quy trình thực hiện ra sao.
- Theo checklist của PCI DSS v2.0 thì mình thấy nó tương tự như các policy? Vậy một tổ chức có các policy và thực hiện các policy đáp ứng đúng các yêu cầu thì sẽ OK ?
- Làm thế nào đề đạt được chứng nhận này, ai là người xác nhận công ty bạn đạt chuẩn PCI DSS smilie

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	05/11/2010 08:45:29 (+0700) \| #2 \| 224279

prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline

Hello vikjava,

Một cách tổng quát, chuẩn PCI DSS cũng tương tự như bất kỳ các chuẩn quốc tế khác ở lộ trình lên kế hoạch xây dựng, triển khai và chứng nhận. Lộ trình thực hiện có thể vắn tắt như sau: trước tiên bạn nghiên cứu các tài liệu về requirements của PCI DSS, sau đó tiến hành triển khai hệ thống quy trình, tài liệu văn bản, cài đặt các biện pháp an ninh bảo vệ theo các requirements đó, và cuối cùng là mời tổ chức đánh giá tới kiểm định và chứng nhận.

vikjava wrote:

Hi all !

...

- Cho mình hỏi để triển khai PCI DSS thì ta cần phải qua những giai đoạn nào, quy trình thực hiện ra sao.

Về các yêu cầu cụ thể để đạt chuẩn của PCI DSS cũng như quy cách đánh giá, bạn có thể tham khảo tài liệu (phiên bản 1.1) tại đây: https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf. Có lẽ tài liệu này đã được update phiên bản, nhưng mình nghĩ đây là những yêu cầu chung nhất về qui cách đánh giá & quy trình thực hiện.

- Theo checklist của PCI DSS v2.0 thì mình thấy nó tương tự như các policy? Vậy một tổ chức có các policy và thực hiện các policy đáp ứng đúng các yêu cầu thì sẽ OK ?

Chính xác là vậy. Như tớ đã nói ở phần đầu, một mặt mình cần hệ thống các policies, processes, procedures hỗ trợ, một mặt mình phải triển khai thực hiện thật sự. Khi kiểm định viên tới kiểm tra, họ sẽ theo các requirements của PCI DSS để check xem chúng ta đã thực thi đúng những gì mà PCI DSS yêu cầu hay không. Và điều quan trọng là tổ chức của bạn phải chứng minh được đã triển khai đầy đủ các hạng mục smilie

. Ví dụ, PCI DSS yêu cầu tổ chức phải cài đặt, cấu hình & vận hành hệ thống tường lửa bảo vệ mạng lưu trữ thông tin dữ liệu chủ thẻ, thì cty bạn phải thực hiện điều này, phải chỉ ra được cty bạn đã trang bị hệ thống tường lửa theo cách mà PCI DSS đề nghị smilie

- Làm thế nào đề đạt được chứng nhận này, ai là người xác nhận công ty bạn đạt chuẩn PCI DSS

Hiện nay, theo mình biết thì PCI DSS do tổ chức PCI SECURITY STANDARDS COUNCIL đánh giá và chứng nhận. Ở Việt Nam, có lẽ OnePay là một trong số ít các doanh nghiệp đã đạt được chứng nhận này, bạn có thể liên lạc thêm với OnePay v/v này nhé.

Chúc bạn thành công.

--pr0f

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	05/11/2010 11:11:01 (+0700) \| #3 \| 224291

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Cảm ơn anh prof. Em đã liên lạc kỹ thuật bên onepay rùi, họ bảo có gì họ tư vấn triển khai cho( miễn phí hay tính tiền thì chưa biết smilie

)

Có một điều thắc mắc nữa là tại sao ở vietnam có rất ít công ty đạt chứng nhận này, hình như ngay cả ngân hàng đông á rất mạnh về security vẫn không đạt( có thể không thèm đạt smilie

). Lý do là gì thế ah?

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	06/11/2010 21:50:21 (+0700) \| #4 \| 224394

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

sao lúc nào vikjava đăng bài cũng lôi đông á vào vậy smilie

???

chủ quan của lQ là các cty thanh toán dù sao thì cũng đơn giản hơn so với các ngân hàng. Số lượng sản phẩm dịch vụ tăng thì độ phức tạp để triển khai cũng tăng và tăng theo cấp số nhân. Và ko thể chỉ một mình security làm là xong đâu cho nên đừng đem đội security của cty này kia ra so sánh smilie

.

àh không rõ sếp của vikjava có hỏi triển khai PCI DSS thì có thu được lợi lộc gì ko nhể???

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	07/11/2010 05:59:38 (+0700) \| #5 \| 224396

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

lQ wrote:

àh không rõ sếp của vikjava có hỏi triển khai PCI DSS thì có thu được lợi lộc gì ko nhể???

hi anh lQ

sếp bảo đông á chưa triển khai, mình triển khai thành công thì có thể nâng cao uy tín . Thời buồi này không có cá lớn nuốt cá bé mà chỉ có cá nhanh thắng cá chậm smilie

. Em cũng chẳng hiểu mấy vụ này, nhưng có việc để làm thì càng tốt, mai mốt thất nghiệp qua đông á nộp hồ sơ ghi thêm dòng đã triền khai PCI DSS chắc cũng được ưu tiến tí đĩnh. smilie

p/s: đông á về dịch vụ sản phẩm và công nghệ luôn đi đầu mà anh. Cái vụ cho atm chạy trên xe tải dong á cũng áp dụng đầu tiên, tiếc rằng bị nhà nước không cho phép smilie

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	08/11/2010 03:31:28 (+0700) \| #6 \| 224445

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Hello vikjava,

Anh cũng làm cho nhà băng và cũng có dính tới phần PCI DSS. Theo anh thấy, PCI DSS thật ra cũng chỉ là một tập họp các quy chế bảo mật khá căn bản. Nó gần như là một thứ khuôn dấu để khách hàng (những ai quan tâm) cảm thấy an tâm mà thôi.

PCI DSS đưa ra 12 điểm ngắn gọn và đây cũng là một "subset" của bất cứ một tiêu chuẩn dành cho "information security" hiện tại. Anh thấy, điểm khó khăn của việc khai triển và áp dụng bất cứ tiêu chuẩn nào nằm ở chỗ duy trì nó chớ không nằm ở chỗ triển khai nó. Có rất nhiều công ty sẵn sàng bỏ ra bạc triệu để triển khai rồi lấy "con dấu" xong là xong. Đây là biểu hiện nguy hiểm bởi vì tiêu chuẩn đặt ra mà không duy trì thì nó chết. PCI DSS có cái lợi là giúp cho những nhà băng hoặc tổ chức tài chánh có hệ thống thanh toán bằng thẻ tín dụng chưa có tiêu chuẩn hoặc chưa có nền tảng gì về bảo mật thông tin làm điểm tựa để khởi đầu nhưng giá trị thật sự của nó chỉ tồn tại nếu như công ty ấy có biện pháp và cơ chế duy trì.

What bringing us together is stronger than what pulling us apart.

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	08/11/2010 10:24:41 (+0700) \| #7 \| 224472

prof
Moderator

Joined: 23/11/2004 01:08:55
Messages: 205
Offline

To vikjava: hôm nay vô tình lục lại kho ebook của mình, thấy còn lưu cuốn PCI DSS handbook @ 2009, cũng khá hữu ích. Nếu bạn quan tâm, thì PM cho tớ nhé. Tớ sẽ gởi link download để bạn tham khảo thêm khi cần.

To anh conmale: Hoàn toàn nhất trí với anh. Theo em thì có thể tóm gọn như thế này: nếu việc xây dựng & triển khai các tiêu chuẩn an ninh khó khăn 1, thì việc duy trì nó khó khăn 10 smilie

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	09/11/2010 08:35:39 (+0700) \| #8 \| 224539

louisnguyen27
Member

Joined: 12/08/2008 18:04:41
Messages: 321
Offline

conmale wrote:

PCI DSS đưa ra 12 điểm ngắn gọn và đây cũng là một "subset" của bất cứ một tiêu chuẩn dành cho "information security" hiện tại. Anh thấy, điểm khó khăn của việc khai triển và áp dụng bất cứ tiêu chuẩn nào nằm ở chỗ duy trì nó chớ không nằm ở chỗ triển khai nó. Có rất nhiều công ty sẵn sàng bỏ ra bạc triệu để triển khai rồi lấy "con dấu" xong là xong. Đây là biểu hiện nguy hiểm bởi vì tiêu chuẩn đặt ra mà không duy trì thì nó chết. PCI DSS có cái lợi là giúp cho những nhà băng hoặc tổ chức tài chánh có hệ thống thanh toán bằng thẻ tín dụng chưa có tiêu chuẩn hoặc chưa có nền tảng gì về bảo mật thông tin làm điểm tựa để khởi đầu nhưng giá trị thật sự của nó chỉ tồn tại nếu như công ty ấy có biện pháp và cơ chế duy trì.

1. Install and maintain a firewall configuration to protect cardholder data.
2. Do not use vendor-supplied defaults for system passwords and other security parameters.
3. Protect stored cardholder data.
4. Encrypt transmission of cardholder data across open, public networks.
5. Use and regularly update anti-virus software.
6. Develop and maintain secure systems and applications.
7. Restrict access to cardholder data by business need-to-know.
8. Assign a unique ID to each person with computer access.
9. Restrict physical access to cardholder data.
10. Track and monitor all access to network resources and cardholder data.
11. Regularly test security systems and processes.
12. Maintain a policy that addresses information security.
Về tiêu chuẩn thì phần này nó chưa có tiêu chuẩn cụ thể, vẫn nằm trong các guidance của PCI và JTC (Joined Technical Committee) của ISO và IEC.
@vikjava cứ triển khai 27K trước đi bồ.
Giải thích thêm cho bồ hiểu: PCI nó là một dạng council để negotiate những vấn đề chung trong các tổ chức lớn với nhau, đại loại giống như các technical committee. Tuy nhiên uy tín và tầm ảnh hưởng của các tổ chức cỡ này đều có khả năng ban hành tiêu chuẩn và bắt các tổ chức khác tuân theo.
Để triển khai PCI DSS thì tốt nhất nên làm 27K trước để duy trì nền tảng cho nó. Trong bộ 27K nó chưa có phần của banking nên áp dụng PCI DSS thay thế.
PCI DSS nó giốnng như là policy nhưng việc triển khai không đơn giản như những cái policy đó. Trên phương diện chứng nhận PCI DSS chia ra làm 2 phần: Assessor và Vendor. Assessor thì tương tự như 27K còn Vendor thì phức tạp hơn một chút.
Cả Assessor và Vendor đều được approved bởi PCI (Hình như Việt Nam chưa có đồng chí nào). Sau khi hoàn tất quá trình đánh giá thì được xem là PCI compliant.

Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!!

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	22/02/2011 16:22:12 (+0700) \| #9 \| 231655

punkrock
Member

Joined: 22/03/2007 19:15:25
Messages: 9
Offline

Xin chào các bro,
Em đang tìm hiểu về giải pháp bảo mật trong TMDT. Cụ thể là em đang tìm hiểu về PCI-DSS và 3-D Secure. PCI-DSS thì em biết nó là cái gì rồi, còn 3-D Secure thì em chưa rõ lắm.
3-D Secure là một chương trình của Visa (VbV) hay MasterCard (MastercardSecureCode), như vậy nếu em muốn có logo Verified by Visa thì em phải tích hợp chương trình của Visa vào, nhưng nó là chương trình thế nào đấy ạ? smilie

kiểu code ah? hay là em chỉ cần đăng kí j j đó với bọn Visa? hay là Accquirer Bank mà em liên kết?
Rõ ràng nếu Payment Gateway của em xử lý, lưu trữ thông tin credit card thì em mới cần PCI-DSS compliance, vậy tức là nếu em muốn kết nối đến Visa, Master thì em phải đưa ra giấy chứng nhận PCI-DSS của em ah? hay là đưa ra cho Accquirer bank nội địa issued credit card? Cái này em cũng chưa rõ.
@vikjava: mình cũng thử liên lạc với Onepay.vn hỏi xem tư vấn triển khai PCI-DSS như thế nào, mà không thấy họ trả lời j cả smilie

. Bro có thông tin gì chia sẻ với mình phát smilie

. (qua tìm hiểu, em được biết Onepay là partner của Trustwave.com, một trong các SQA PCI compliance khá nối tiếng, vậy tức là OnePay nó cũng có thể cấp chứng nhận PCI-DSS cho các đơn vị ở VN mình đc ạ?)
Thanks!

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	22/02/2011 19:48:15 (+0700) \| #10 \| 231667

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

onepay ko cấp chứng nhận PCI DSS bạn ơi.

Bạn liên hệ với tư cách cá nhân hay là công ty smilie

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	22/02/2011 21:52:31 (+0700) \| #11 \| 231679

punkrock
Member

Joined: 22/03/2007 19:15:25
Messages: 9
Offline

Mình mới chỉ email đến các địa chỉ support với tư cách cá nhân, nhưng chắc phải với tư cách merchant đi mua service của họ thì họ mới niềm nở tiếp đón smilie

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	28/02/2011 16:57:36 (+0700) \| #12 \| 232171

punkrock
Member

Joined: 22/03/2007 19:15:25
Messages: 9
Offline

hic, em đã liên lạc với onepay, mà nó không hỗ trợ j cả, chỉ vì em làm cho viettel T__T. bác nào làm bảo mật cho CTT rồi giúp em về giải pháp với ạ smilie

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	18/05/2012 10:54:22 (+0700) \| #13 \| 263446

baze
Member

Joined: 02/05/2012 11:07:52
Messages: 4
Offline

Ở Việt Nam đã có bank nào làm PCI DSS chưa nhỉ? Bro nào biết có thể cung cấp thông tin để cùng trao đổi học hỏi kinh nghiệm được không? Thanks

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	29/05/2012 15:18:26 (+0700) \| #14 \| 264213

mysun
Member

Joined: 09/07/2008 13:58:58
Messages: 4
Offline

Hi.
Trước khi triển khai PCI-DSS tôi đã ngồi đưa bản so sánh PCI-DSS và ISO 27001. (Thực ra nó giống nhau khá nhiều), Nếu bạn triển khai một chuẩn nào bất kỳ trước , thì khi triển khai chuẩn sau sẽ giảm khối lượng công việc 70%.
PCI-DSS là yêu cầu bắc buộc triển khai nếu một tổ chức muốn tham gia thành viên của Visa, Mater....Vì vậy đây là điều tất yếu của Bank khi muốn tham gia thẻ quốc tế này, hiện mình biết bank đã triển khai các bạn lên google cũng biết một vài bank.
Đúng như mọi người thảo luận 12 yêu cầu PCI chỉ là những yêu cầu cơ bản về security. Nhưng khi triển khai khá nhiều đầu việc cần phải làm, cần phải chính sửa để phù hợp với chuẩn. Những đầu việc cần làm cũng xoay quanh thói quen của doanh nghiệp VN đó là thói quen làm việc không chuẩn của người dùng. Đặc biệt khi triển khai tiêu chuẩn này ngoài gặp yêu cầu về security cơ bản như cài , cập nhật virus trên máy chủ, máy chạm, không dùng tài khoản mặt định.... bạn sẽ gặp yêu cầu như không lưu dữ liệu thẻ trên máy tính cá nhân, khi truy cập từ xa vào hệ thống bắt buộc xác thực 2 yếu tố, fix scan VA, đảm bảo integrity hệ thống, syslog, mash số thẻ. Ngoài ra chính sách, quy trình,checklist, cấu hình chuẩn về security là yếu tố bắc buộc. Nếu bên nào đã triển khai ISO 27001 thì phần policy sẽ được map giữa 2 chuẩn này, công việc thực hiện sẽ giảm khá nhiều vì tổ chức đố đã có thói quen thực hiện theo chuẩn. PCI-DSS hướng kỹ thuật cụ thể hơn, ISO 27001 hướng tới tổng quan hơn và thiên chính sách quy trình để quan lý.

[Discussion] Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS	01/06/2012 12:32:09 (+0700) \| #15 \| 264396

Kihote
Member

Joined: 27/10/2008 17:00:46
Messages: 24
Offline

Theo mình được biết , đúng là có ngân hàng ở VN đã triển khai và được tổ chức thẻ chứng nhận đạt chuẩn , ví dụ anh ở một ngân hàng khác cũng muốn chứng nhận đạt chuẩn như vậy thì có thể liên hệ ngân hàng đạt chuẩn đó . hỗ trợ , tư vấn cho anh.
Đó thông tin bên lề em nghe vậy thôi . Con ngân hàng nào , thì pm cho em chỉ tên ngân hàng đó , rồi anh tự liên hệ nhé.

Go to:

Users currently in here
1 Anonymous