pci-dss

CHD

Cardholder Data

Dữ liệu chủ thẻ trong PCI-DSS, bao gồm PAN (Primary Account Number), tên chủ thẻ, ngày hết hạn, service code.

CHD (Cardholder Data), Dữ liệu Chủ Thẻ trong PCI-DSS

Định nghĩa

CHD, viết tắt của Cardholder Data, là tập hợp các thông tin liên quan trực tiếp đến chủ thẻ thanh toán. Theo chuẩn PCI-DSS (Payment Card Industry Data Security Standard), CHD bao gồm bốn thành phần chính:

  • PAN (Primary Account Number): Dãy số thẻ in trên bề mặt thẻ, thường từ 13 đến 19 chữ số.
  • Tên chủ thẻ (Cardholder Name): Họ tên được in hoặc lưu trữ gắn với thẻ.
  • Ngày hết hạn (Expiration Date): Tháng và năm thẻ hết hiệu lực.
  • Service Code: Mã ba chữ số nằm trong dải từ ký trong thẻ, xác định các điều kiện giao dịch được phép (ví dụ: cho phép hay cấm giao dịch quốc tế).

Cần phân biệt CHD với SAD (Sensitive Authentication Data), nhóm dữ liệu nhạy cảm hơn gồm CVV/CVC, dữ liệu track đầy đủ và PIN. Trong khi SAD bị cấm lưu trữ sau khi ủy quyền giao dịch, một số thành phần CHD có thể được lưu nếu tổ chức áp dụng đúng biện pháp bảo vệ theo yêu cầu PCI-DSS.

Tại Sao CHD Quan Trọng

CHD là mục tiêu hàng đầu của các cuộc tấn công vào hệ thống thanh toán. Khi dữ liệu này bị rò rỉ, chủ thẻ đối mặt với nguy cơ gian lận tài chính trực tiếp, còn tổ chức xử lý thẻ phải chịu trách nhiệm pháp lý, phí phạt từ các tổ chức thẻ (Visa, Mastercard), và tổn hại uy tín lâu dài. Chính vì vậy, PCI-DSS đặt ra toàn bộ khung kiểm soát xoay quanh việc bảo vệ CHD trong suốt vòng đời của nó: từ lúc thu thập, truyền tải, lưu trữ cho đến khi xóa bỏ.

Áp Dụng trong PCI-DSS

PCI-DSS yêu cầu tổ chức xác định rõ phạm vi môi trường có tiếp xúc với CHD, còn gọi là Cardholder Data Environment (CDE). Toàn bộ hệ thống, ứng dụng, và con người trong CDE phải tuân thủ các kiểm soát kỹ thuật và quy trình vận hành nghiêm ngặt:

  • Mã hóa CHD khi lưu trữ (Requirement 3) và khi truyền qua mạng công cộng (Requirement 4).
  • Hạn chế truy cập vào CHD theo nguyên tắc least privilege (Requirement 7).
  • Ghi nhật ký và giám sát mọi truy cập vào CHD (Requirement 10).
  • Tokenization hoặc truncation PAN để giảm thiểu lượng CHD thực sự được lưu trữ.

Ví Dụ Thực Tế

Một nền tảng thương mại điện tử cho phép khách hàng lưu thẻ để mua hàng nhanh. Thay vì lưu PAN đầy đủ, hệ thống sử dụng token, một chuỗi ký tự không có giá trị thực bên ngoài hệ thống, để đại diện cho thẻ. Khi khách checkout, token được gửi đến payment gateway, nơi duy nhất lưu trữ ánh xạ token-PAN trong môi trường được bảo vệ theo PCI-DSS. Nhờ đó, nền tảng thương mại điện tử gần như không tiếp xúc trực tiếp với CHD, thu hẹp đáng kể phạm vi CDE và giảm gánh nặng compliance.

Liên Quan đến Compliance Automation

Quản lý CHD không chỉ là bài toán kỹ thuật mà còn là bài toán vận hành liên tục: các kiểm soát phải được kiểm tra định kỳ, bằng chứng phải được thu thập và lưu giữ cho kỳ audit, và bất kỳ thay đổi nào trong hệ thống xử lý thẻ đều cần được đánh giá lại phạm vi CDE. Các nhóm compliance thường mất nhiều công sức thủ công để theo dõi trạng thái của từng kiểm soát liên quan đến CHD, từ chính sách mã hóa, log retention, đến access review.

pTrackly giúp các nhóm compliance tự động hóa việc thu thập bằng chứng và theo dõi trạng thái kiểm soát PCI-DSS liên quan đến CHD, giảm thiểu công việc thủ công trong quá trình chuẩn bị audit.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo