<![CDATA[Latest posts for the topic "Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#224121 /hvaonline/posts/list/36468.html#224121 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS vikjava, Một cách tổng quát, chuẩn PCI DSS cũng tương tự như bất kỳ các chuẩn quốc tế khác ở lộ trình lên kế hoạch xây dựng, triển khai và chứng nhận. Lộ trình thực hiện có thể vắn tắt như sau: trước tiên bạn nghiên cứu các tài liệu về requirements của PCI DSS, sau đó tiến hành triển khai hệ thống quy trình, tài liệu văn bản, cài đặt các biện pháp an ninh bảo vệ theo các requirements đó, và cuối cùng là mời tổ chức đánh giá tới kiểm định và chứng nhận.

vikjava wrote:
Hi all ! ... - Cho mình hỏi để triển khai PCI DSS thì ta cần phải qua những giai đoạn nào, quy trình thực hiện ra sao.  
Về các yêu cầu cụ thể để đạt chuẩn của PCI DSS cũng như quy cách đánh giá, bạn có thể tham khảo tài liệu (phiên bản 1.1) tại đây: https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf. Có lẽ tài liệu này đã được update phiên bản, nhưng mình nghĩ đây là những yêu cầu chung nhất về qui cách đánh giá & quy trình thực hiện.
- Theo checklist của PCI DSS v2.0 thì mình thấy nó tương tự như các policy? Vậy một tổ chức có các policy và thực hiện các policy đáp ứng đúng các yêu cầu thì sẽ OK ?  
Chính xác là vậy. Như tớ đã nói ở phần đầu, một mặt mình cần hệ thống các policies, processes, procedures hỗ trợ, một mặt mình phải triển khai thực hiện thật sự. Khi kiểm định viên tới kiểm tra, họ sẽ theo các requirements của PCI DSS để check xem chúng ta đã thực thi đúng những gì mà PCI DSS yêu cầu hay không. Và điều quan trọng là tổ chức của bạn phải chứng minh được đã triển khai đầy đủ các hạng mục :). Ví dụ, PCI DSS yêu cầu tổ chức phải cài đặt, cấu hình & vận hành hệ thống tường lửa bảo vệ mạng lưu trữ thông tin dữ liệu chủ thẻ, thì cty bạn phải thực hiện điều này, phải chỉ ra được cty bạn đã trang bị hệ thống tường lửa theo cách mà PCI DSS đề nghị :).
- Làm thế nào đề đạt được chứng nhận này, ai là người xác nhận công ty bạn đạt chuẩn PCI DSS :-/  
Hiện nay, theo mình biết thì PCI DSS do tổ chức PCI SECURITY STANDARDS COUNCIL đánh giá và chứng nhận. Ở Việt Nam, có lẽ OnePay là một trong số ít các doanh nghiệp đã đạt được chứng nhận này, bạn có thể liên lạc thêm với OnePay v/v này nhé. Chúc bạn thành công. --pr0f ]]>
/hvaonline/posts/list/36468.html#224279 /hvaonline/posts/list/36468.html#224279 GMT
Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#224291 /hvaonline/posts/list/36468.html#224291 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#224394 /hvaonline/posts/list/36468.html#224394 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS

lQ wrote:
àh không rõ sếp của vikjava có hỏi triển khai PCI DSS thì có thu được lợi lộc gì ko nhể???  
hi anh lQ sếp bảo đông á chưa triển khai, mình triển khai thành công thì có thể nâng cao uy tín . Thời buồi này không có cá lớn nuốt cá bé mà chỉ có cá nhanh thắng cá chậm :| . Em cũng chẳng hiểu mấy vụ này, nhưng có việc để làm thì càng tốt, mai mốt thất nghiệp qua đông á nộp hồ sơ ghi thêm dòng đã triền khai PCI DSS chắc cũng được ưu tiến tí đĩnh. #:S p/s: đông á về dịch vụ sản phẩm và công nghệ luôn đi đầu mà anh. Cái vụ cho atm chạy trên xe tải dong á cũng áp dụng đầu tiên, tiếc rằng bị nhà nước không cho phép :) ]]>
/hvaonline/posts/list/36468.html#224396 /hvaonline/posts/list/36468.html#224396 GMT
Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#224445 /hvaonline/posts/list/36468.html#224445 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS vikjava: hôm nay vô tình lục lại kho ebook của mình, thấy còn lưu cuốn PCI DSS handbook @ 2009, cũng khá hữu ích. Nếu bạn quan tâm, thì PM cho tớ nhé. Tớ sẽ gởi link download để bạn tham khảo thêm khi cần. To anh conmale: Hoàn toàn nhất trí với anh. Theo em thì có thể tóm gọn như thế này: nếu việc xây dựng & triển khai các tiêu chuẩn an ninh khó khăn 1, thì việc duy trì nó khó khăn 10 :).]]> /hvaonline/posts/list/36468.html#224472 /hvaonline/posts/list/36468.html#224472 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS

conmale wrote:
PCI DSS đưa ra 12 điểm ngắn gọn và đây cũng là một "subset" của bất cứ một tiêu chuẩn dành cho "information security" hiện tại. Anh thấy, điểm khó khăn của việc khai triển và áp dụng bất cứ tiêu chuẩn nào nằm ở chỗ duy trì nó chớ không nằm ở chỗ triển khai nó. Có rất nhiều công ty sẵn sàng bỏ ra bạc triệu để triển khai rồi lấy "con dấu" xong là xong. Đây là biểu hiện nguy hiểm bởi vì tiêu chuẩn đặt ra mà không duy trì thì nó chết. PCI DSS có cái lợi là giúp cho những nhà băng hoặc tổ chức tài chánh có hệ thống thanh toán bằng thẻ tín dụng chưa có tiêu chuẩn hoặc chưa có nền tảng gì về bảo mật thông tin làm điểm tựa để khởi đầu nhưng giá trị thật sự của nó chỉ tồn tại nếu như công ty ấy có biện pháp và cơ chế duy trì. 
1. Install and maintain a firewall configuration to protect cardholder data. 2. Do not use vendor-supplied defaults for system passwords and other security parameters. 3. Protect stored cardholder data. 4. Encrypt transmission of cardholder data across open, public networks. 5. Use and regularly update anti-virus software. 6. Develop and maintain secure systems and applications. 7. Restrict access to cardholder data by business need-to-know. 8. Assign a unique ID to each person with computer access. 9. Restrict physical access to cardholder data. 10. Track and monitor all access to network resources and cardholder data. 11. Regularly test security systems and processes. 12. Maintain a policy that addresses information security. Về tiêu chuẩn thì phần này nó chưa có tiêu chuẩn cụ thể, vẫn nằm trong các guidance của PCI và JTC (Joined Technical Committee) của ISO và IEC. @vikjava cứ triển khai 27K trước đi bồ. Giải thích thêm cho bồ hiểu: PCI nó là một dạng council để negotiate những vấn đề chung trong các tổ chức lớn với nhau, đại loại giống như các technical committee. Tuy nhiên uy tín và tầm ảnh hưởng của các tổ chức cỡ này đều có khả năng ban hành tiêu chuẩn và bắt các tổ chức khác tuân theo. Để triển khai PCI DSS thì tốt nhất nên làm 27K trước để duy trì nền tảng cho nó. Trong bộ 27K nó chưa có phần của banking nên áp dụng PCI DSS thay thế. PCI DSS nó giốnng như là policy nhưng việc triển khai không đơn giản như những cái policy đó. Trên phương diện chứng nhận PCI DSS chia ra làm 2 phần: Assessor và Vendor. Assessor thì tương tự như 27K còn Vendor thì phức tạp hơn một chút. Cả Assessor và Vendor đều được approved bởi PCI (Hình như Việt Nam chưa có đồng chí nào). Sau khi hoàn tất quá trình đánh giá thì được xem là PCI compliant. ]]>
/hvaonline/posts/list/36468.html#224539 /hvaonline/posts/list/36468.html#224539 GMT
Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#231655 /hvaonline/posts/list/36468.html#231655 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#231667 /hvaonline/posts/list/36468.html#231667 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#231679 /hvaonline/posts/list/36468.html#231679 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#232171 /hvaonline/posts/list/36468.html#232171 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#263446 /hvaonline/posts/list/36468.html#263446 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#264213 /hvaonline/posts/list/36468.html#264213 GMT Quy trình triển khai PCI DSS và đạt chứng nhận PCI DSS /hvaonline/posts/list/36468.html#264396 /hvaonline/posts/list/36468.html#264396 GMT