PCI-DSS · Hub

PCI-DSS 12 Requirements: Tổng Quan Đầy Đủ

PCI-DSS Là Gì Và Tại Sao Doanh Nghiệp Cần Quan Tâm

PCI-DSS (Payment Card Industry Data Security Standard) là bộ tiêu chuẩn bảo mật do PCI Security Standards Council ban hành, áp dụng cho mọi tổ chức xử lý, lưu trữ hoặc truyền tải dữ liệu thẻ thanh toán. Phiên bản hiện hành PCI-DSS v4.0 tổ chức toàn bộ yêu cầu xung quanh 12 requirements cốt lõi, phân thành 6 nhóm kiểm soát lớn. Với doanh nghiệp Việt Nam đang mở rộng kênh thanh toán trực tuyến hoặc tích hợp payment gateway, hiểu rõ cấu trúc này là bước đầu tiên để xây dựng lộ trình compliance thực tế.

12 Requirements: Cấu Trúc Theo 6 Nhóm Kiểm Soát

Nhóm 1, Build and Maintain a Secure Network and Systems

  • Requirement 1: Cài đặt và duy trì network security controls, bao gồm firewall rules, network segmentation, và tài liệu hóa toàn bộ traffic flow vào/ra môi trường chứa cardholder data (CDE).
  • Requirement 2: Áp dụng secure configurations cho tất cả system components, loại bỏ default credentials, tắt các service không cần thiết, và duy trì configuration standards nhất quán.

Nhóm 2, Protect Account Data

  • Requirement 3: Bảo vệ stored account data, xác định dữ liệu nào cần lưu, áp dụng encryption hoặc truncation với PAN (Primary Account Number), và giới hạn thời gian lưu trữ.
  • Requirement 4: Bảo vệ cardholder data khi truyền qua mạng công cộng, yêu cầu TLS mạnh, cấm các protocol lỗi thời như SSL/TLS 1.0, và kiểm soát certificate management.

Nhóm 3, Maintain a Vulnerability Management Program

  • Requirement 5: Bảo vệ toàn bộ system components khỏi malware, bao gồm anti-malware solution, quét định kỳ, và xử lý các môi trường không phải Windows được đánh giá rủi ro malware.
  • Requirement 6: Phát triển và duy trì secure systems và software, áp dụng patch management có ưu tiên theo severity, tích hợp secure development practices (SAST, DAST, code review), và quản lý web-facing applications qua WAF hoặc automated scanning.

Nhóm 4, Implement Strong Access Control Measures

  • Requirement 7: Giới hạn quyền truy cập vào system components và cardholder data theo nguyên tắc least privilege, role-based access control (RBAC) với tài liệu hóa rõ từng business need.
  • Requirement 8: Xác thực danh tính người dùng và quản lý authentication, yêu cầu multi-factor authentication (MFA) cho mọi truy cập không phải từ console vào CDE, quản lý password policy và account lifecycle.
  • Requirement 9: Kiểm soát truy cập vật lý vào cardholder data, bao gồm physical access logs, visitor management, và bảo vệ thiết bị POI (point-of-interaction) khỏi tampering.

Nhóm 5, Regularly Monitor and Test Networks

  • Requirement 10: Log và giám sát toàn bộ truy cập vào system components và cardholder data, yêu cầu audit log đầy đủ, time synchronization (NTP), log retention tối thiểu 12 tháng với 3 tháng sẵn sàng để phân tích.
  • Requirement 11: Kiểm tra bảo mật định kỳ, bao gồm internal và external vulnerability scanning (ASV), penetration testing theo định kỳ, và phát hiện rogue wireless access points.

Nhóm 6, Maintain an Information Security Policy

  • Requirement 12: Duy trì information security policy phủ toàn bộ tổ chức, bao gồm risk assessment hàng năm, security awareness training, incident response plan, và quản lý third-party service providers (TPSP).

Điểm Mới Quan Trọng Trong PCI-DSS v4.0

PCI-DSS v4.0 đưa ra một số thay đổi đáng chú ý so với v3.2.1. Khái niệm customized approach cho phép tổ chức có security program trưởng thành tự thiết kế controls để đáp ứng objective của từng requirement, thay vì phải tuân theo prescribed approach cứng nhắc. Ngoài ra, v4.0 mở rộng phạm vi MFA, bắt buộc áp dụng cho tất cả tài khoản quản trị truy cập CDE, không chỉ từ remote access. Requirement 6 cũng tăng cường yêu cầu với client-side scripts trên payment pages, yêu cầu tổ chức có inventory và integrity checks cho toàn bộ scripts đang chạy.

Xác Định Phạm Vi (Scoping) Trước Khi Bắt Đầu

Một trong những bước quan trọng nhất trước khi triển khai PCI-DSS là xác định chính xác cardholder data environment (CDE): tức là toàn bộ hệ thống, con người và quy trình có liên quan đến dữ liệu thẻ. Scoping không chính xác là nguyên nhân phổ biến khiến doanh nghiệp tốn nguồn lực vào các controls không cần thiết, hoặc ngược lại bỏ sót rủi ro thực sự. Network segmentation hợp lý có thể giảm đáng kể phạm vi audit và công sức duy trì compliance.

Câu Hỏi Thường Gặp

PCI-DSS áp dụng cho doanh nghiệp Việt Nam không xử lý trực tiếp thẻ quốc tế không? Có. Bất kỳ tổ chức nào tích hợp với payment gateway, lưu trữ token hoặc xử lý dữ liệu liên quan đến thẻ Visa/Mastercard, dù gián tiếp, đều có thể nằm trong phạm vi yêu cầu của card brands và đối tác acquirer.

Doanh nghiệp nhỏ có phải thuê QSA để đánh giá không? Không nhất thiết. Tùy theo merchant level (xác định bởi volume giao dịch hàng năm), nhiều doanh nghiệp chỉ cần hoàn thành Self-Assessment Questionnaire (SAQ) phù hợp với mô hình xử lý thẻ của mình.

Customized approach có phù hợp với doanh nghiệp mới bắt đầu không? Thường không. Customized approach yêu cầu tổ chức có security program đủ trưởng thành để tự định nghĩa và chứng minh controls. Doanh nghiệp đang xây dựng compliance từ đầu nên bắt đầu với defined approach để có nền tảng rõ ràng hơn.


Nếu bạn đang lập kế hoạch triển khai hoặc duy trì PCI-DSS compliance, pTrackly hỗ trợ doanh nghiệp Việt Nam map 12 requirements vào các controls cụ thể, theo dõi tiến độ và chuẩn bị tài liệu cho audit, từ scoping đến reporting.

pTrackly giúp bạn triển khai PCI-DSS nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo