PCI-DSS · Hub

Cardholder Data Và SAD: Dữ Liệu Nào Được Phép Lưu

CHD và SAD Là Gì?

Trong PCI-DSS, dữ liệu liên quan đến thẻ thanh toán được phân thành hai nhóm rõ ràng: Cardholder Data (CHD)Sensitive Authentication Data (SAD). Hiểu sự khác biệt giữa hai nhóm này là bước đầu tiên để xây dựng kiến trúc lưu trữ đúng chuẩn, vì PCI-DSS không cấm lưu mọi thứ, nhưng có những dữ liệu tuyệt đối không được tồn tại trên hệ thống sau khi giao dịch hoàn tất.

Cardholder Data (CHD): Dữ Liệu Được Phép Lưu Có Điều Kiện

CHD bao gồm các trường thông tin gắn với chủ thẻ:

  • Primary Account Number (PAN): dãy số thẻ (thường 16 chữ số)
  • Cardholder Name: tên chủ thẻ in trên thẻ
  • Expiration Date: ngày hết hạn
  • Service Code: mã dịch vụ trên magnetic stripe

PCI-DSS cho phép lưu các trường CHD này, nhưng phải đáp ứng điều kiện bảo vệ. Cụ thể, PAN nếu lưu phải được mã hóa hoặc tokenize, không thể tồn tại dưới dạng plaintext trong database. Cardholder Name, Expiration Date và Service Code cũng cần được bảo vệ, nhưng không bắt buộc phải mã hóa ở mức độ tương đương PAN.

Một kỹ thuật phổ biến là truncation: chỉ hiển thị 4-6 chữ số cuối của PAN (ví dụ: **** **** **** 4321). Kết hợp với tokenization, thay thế PAN thực bằng một token ngẫu nhiên không có giá trị thực, doanh nghiệp có thể thực hiện các tác vụ nghiệp vụ như tra cứu giao dịch mà không cần giữ PAN gốc trong hệ thống vận hành.

Sensitive Authentication Data (SAD): Tuyệt Đối Không Lưu Sau Authorization

SAD là nhóm dữ liệu nhạy cảm nhất, và PCI-DSS có quy định cứng: SAD không được lưu sau khi quá trình authorization hoàn tất, dù đã mã hóa hay chưa. Các trường thuộc SAD bao gồm:

  • Full magnetic stripe data (track data), toàn bộ dữ liệu từ băng từ hoặc chip
  • CAV2 / CVC2 / CVV2 / CID: mã xác thực thẻ in mặt sau (hoặc mặt trước với AmEx)
  • PIN / PIN block: mã PIN và khối mã PIN mã hóa

Lý do SAD bị kiểm soát chặt đến vậy: nếu magnetic stripe data bị lộ, attacker có thể clone thẻ vật lý. CVV2 là lớp xác thực cho giao dịch card-not-present (online). PIN block cho phép thực hiện giao dịch rút tiền. Đây là những thông tin đủ để thực hiện gian lận trực tiếp mà không cần thêm bất kỳ yếu tố nào khác.

Trong quá trình pre-authorization (trước khi authorization hoàn tất), SAD có thể tồn tại tạm thời trong memory hoặc buffer để xử lý, điều này được PCI-DSS chấp nhận. Nhưng ngay khi authorization response trả về, SAD phải được xóa sạch và không được persist vào bất kỳ storage nào.

Lỗi Phổ Biến Khi Phân Loại Dữ Liệu Thẻ

Nhiều team kỹ thuật gặp vấn đề ở đây vì dữ liệu thẻ thường đi qua nhiều layer: payment gateway logs, application logs, debug outputs, analytics pipelines, data warehouses. SAD có thể vô tình bị ghi vào:

  • Debug logs khi developer log toàn bộ request/response từ payment processor
  • Database audit trails khi hệ thống ghi lại mọi trường trong form submit
  • Cache layers như Redis hoặc Memcached khi session data không được sanitize đúng cách
  • Backup files từ các bản sao lưu database thời điểm SAD còn trong transaction pipeline

Kiểm soát SAD không chỉ là vấn đề của application layer. Cần rà soát toàn bộ data flow, từ điểm nhập dữ liệu đến mọi điểm có thể persist.

FAQ

PAN đã tokenize có còn thuộc phạm vi PCI-DSS không? Token thay thế PAN thường không được xem là cardholder data nếu không thể dùng token để suy ngược ra PAN gốc mà không qua hệ thống tokenization vault. Tuy nhiên, chính vault đó vẫn thuộc phạm vi PCI-DSS và cần được bảo vệ tương đương.

CVV2 có thể lưu nếu đã mã hóa không? Không. PCI-DSS cấm lưu SAD sau authorization bất kể trạng thái mã hóa. Ngay cả khi CVV2 được mã hóa hoàn toàn, việc lưu trữ vẫn là vi phạm.

Nếu chỉ lưu 4 số cuối của PAN, có cần bảo vệ thêm không? 4-6 số cuối của PAN (truncated PAN) được PCI-DSS xem là dữ liệu đã được bảo vệ đầy đủ và không yêu cầu mã hóa thêm, miễn là phần còn lại của PAN không tồn tại ở bất kỳ đâu trong cùng hệ thống.


Việc phân loại đúng CHD và SAD là nền tảng để xác định phạm vi compliance (scope) chính xác, scope càng hẹp, chi phí và công sức duy trì PCI-DSS càng giảm. pTrackly hỗ trợ doanh nghiệp map data flow, xác định điểm lưu trữ tiềm ẩn và theo dõi trạng thái kiểm soát SAD liên tục theo thời gian thực.

pTrackly giúp bạn triển khai PCI-DSS nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo