PCI DSS là gì
PCI DSS (Payment Card Industry Data Security Standard) là bộ tiêu chuẩn kỹ thuật và vận hành dành cho mọi tổ chức lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ thanh toán. Tiêu chuẩn này do PCI SSC (Payment Card Industry Security Standards Council) ban hành và duy trì. PCI SSC được thành lập năm 2006 bởi năm thương hiệu thẻ lớn: Visa, Mastercard, American Express, Discover và JCB.
PCI DSS không phải luật liên bang Mỹ và cũng không phải luật của bất kỳ quốc gia nào. Đây là yêu cầu hợp đồng do các thương hiệu thẻ áp đặt thông qua ngân hàng thanh toán (acquiring bank). Nếu vi phạm, phạt tiền đến từ ngân hàng thanh toán của bạn, không phải từ chính phủ. Các khoản phạt này hoàn toàn có thể gây thiệt hại nặng, đặc biệt sau một sự cố rò rỉ dữ liệu thẻ.
Phiên bản hiện hành là v4.0.1, công bố tháng 3 năm 2024. Tài liệu chính thức có tại thư viện tài liệu của PCI SSC: pcisecuritystandards.org/document_library.
Ai phải tuân thủ PCI DSS
Theo định nghĩa của PCI SSC, bất kỳ tổ chức nào "stores, processes, or transmits cardholder data" đều thuộc phạm vi PCI DSS, không phân biệt quy mô, ngành nghề hay vị trí địa lý. Một startup thương mại điện tử có 500 đơn hàng/tháng và một ngân hàng xử lý hàng triệu giao dịch/ngày đều phải tuân thủ, chỉ khác nhau ở mức độ yêu cầu kiểm tra và xác nhận.
Các thương hiệu thẻ phân loại merchant theo bốn cấp độ dựa trên số lượng giao dịch mỗi năm. Visa định nghĩa bốn mức như sau:
Level 1 áp dụng cho merchant xử lý trên 6 triệu giao dịch Visa mỗi năm, hoặc bất kỳ merchant nào từng bị xâm phạm dữ liệu thẻ.
Level 2 áp dụng cho merchant xử lý từ 1 triệu đến 6 triệu giao dịch Visa mỗi năm.
Level 3 áp dụng cho merchant thương mại điện tử xử lý từ 20.000 đến 1 triệu giao dịch Visa mỗi năm.
Level 4 áp dụng cho merchant thương mại điện tử xử lý dưới 20.000 giao dịch Visa mỗi năm, hoặc các merchant khác xử lý dưới 1 triệu giao dịch Visa mỗi năm.
Nguồn: Visa merchant levels, usa.visa.com/support/small-business/security-compliance.html.
Ngoài merchant, service provider (đơn vị cung cấp dịch vụ liên quan đến thẻ cho merchant khác) cũng được phân thành hai cấp độ tương tự. Nếu bạn xây dựng hoặc vận hành hạ tầng xử lý thanh toán cho khách hàng khác, bạn có thể rơi vào phân loại service provider.
Với các công ty Việt Nam: nếu bạn xử lý thẻ Visa, Mastercard hoặc Amex của khách hàng quốc tế, hoặc xây dựng hệ thống xử lý thanh toán cho công ty nước ngoài làm điều đó, PCI DSS áp dụng cho bạn. Chứng nhận PCI DSS không chỉ là yêu cầu từ đối tác nước ngoài mà ngày càng được Ngân hàng Nhà nước Việt Nam (NHNN) đề cập trong các quy định về bảo mật hệ thống thanh toán.
12 yêu cầu PCI DSS
PCI DSS phiên bản 4.0.1 tổ chức các yêu cầu kỹ thuật và vận hành theo sáu nhóm mục tiêu bảo mật, gồm 12 yêu cầu cụ thể.
Hai yêu cầu đầu thuộc nhóm xây dựng và duy trì hệ thống mạng bảo mật. Yêu cầu 1 quy định việc cài đặt và duy trì kiểm soát bảo mật mạng, bao gồm firewall và các thiết bị tương đương để ngăn truy cập trái phép vào môi trường thẻ. Yêu cầu 2 yêu cầu tổ chức phải thay đổi các thông số mặc định từ nhà cung cấp (vendor defaults) như mật khẩu mặc định và các cài đặt bảo mật không cần thiết trước khi đưa hệ thống vào hoạt động.
Yêu cầu 3 và 4 liên quan đến bảo vệ dữ liệu thẻ. Yêu cầu 3 quy định bảo vệ dữ liệu thẻ được lưu trữ (stored cardholder data), bao gồm các quy tắc về dữ liệu nào được phép lưu, lưu bao lâu, và phải mã hóa hoặc render unreadable khi lưu. Yêu cầu 4 yêu cầu mã hóa dữ liệu thẻ khi truyền qua các mạng công cộng mở (open public networks), bao gồm sử dụng TLS phiên bản mạnh và loại bỏ các giao thức cũ như SSL và TLS 1.0.
Yêu cầu 5 và 6 thuộc nhóm quản lý lỗ hổng bảo mật. Yêu cầu 5 yêu cầu triển khai và duy trì phần mềm chống malware trên tất cả hệ thống thường bị nhắm đến, đồng thời cập nhật định kỳ. Yêu cầu 6 yêu cầu phát triển và duy trì hệ thống và phần mềm bảo mật, bao gồm quy trình quản lý vá lỗi (patch management) và bảo mật trong vòng đời phát triển phần mềm.
Ba yêu cầu tiếp theo, từ 7 đến 9, thuộc nhóm kiểm soát truy cập. Yêu cầu 7 yêu cầu giới hạn quyền truy cập vào tài nguyên hệ thống và dữ liệu thẻ theo nguyên tắc least privilege, chỉ cấp quyền khi có lý do nghiệp vụ cụ thể. Yêu cầu 8 yêu cầu xác định và xác thực danh tính của tất cả người dùng, bao gồm triển khai multi-factor authentication (MFA) cho mọi truy cập vào CDE. Yêu cầu 9 quy định kiểm soát truy cập vật lý vào các thiết bị lưu trữ hoặc hiển thị dữ liệu thẻ, bao gồm bảo vệ các thiết bị POS tránh bị giả mạo (tampering) hoặc thay thế.
Yêu cầu 10 và 11 thuộc nhóm giám sát và kiểm tra. Yêu cầu 10 yêu cầu ghi log và giám sát mọi truy cập vào tài nguyên mạng và dữ liệu thẻ, bao gồm duy trì log tối thiểu 12 tháng (3 tháng phải truy xuất được ngay). Yêu cầu 11 yêu cầu kiểm tra bảo mật định kỳ bao gồm quét lỗ hổng bảo mật (vulnerability scan) bởi ASV (Approved Scanning Vendor) hàng quý và penetration testing hàng năm.
Yêu cầu 12 đứng riêng, yêu cầu xây dựng và duy trì chính sách bảo mật thông tin toàn diện, bao gồm quản lý rủi ro, đào tạo nhân viên, và quy trình ứng phó sự cố.
PCI DSS Level 1, 2, 3, 4: ý nghĩa thực tế
Merchant level quyết định cách bạn chứng minh tuân thủ, không chỉ là con số phân loại.
Merchant Level 1 phải trải qua quy trình xác nhận nghiêm ngặt nhất. Cụ thể, họ phải thuê QSA (Qualified Security Assessor), một tổ chức được PCI SSC chứng nhận, để thực hiện ROC (Report on Compliance) hàng năm. ROC là báo cáo kiểm tra toàn diện tất cả 12 yêu cầu PCI DSS. Ngoài ra, họ phải thực hiện quét mạng hàng quý bởi ASV.
Merchant Level 2, 3 và 4 có thể tự điền SAQ (Self-Assessment Questionnaire), tức bảng tự đánh giá tuân thủ. Không phải mọi merchant Level 2-4 đều điền cùng một loại SAQ. PCI SSC định nghĩa nhiều loại SAQ khác nhau tùy theo cách bạn tích hợp thanh toán.
SAQ A dành cho merchant chuyển toàn bộ việc xử lý thẻ sang bên thứ ba và không lưu, xử lý hay truyền tải dữ liệu thẻ dưới dạng điện tử. Đây là loại SAQ đơn giản nhất, chỉ khoảng 22 câu hỏi.
SAQ A-EP dành cho merchant thương mại điện tử dùng checkout redirect nhưng website của họ vẫn tác động đến luồng thanh toán.
SAQ D là loại đầy đủ nhất, áp dụng cho merchant lưu trữ dữ liệu thẻ hoặc không đáp ứng tiêu chí của các loại SAQ khác. Gồm hơn 300 câu hỏi.
Ngay cả khi bạn được phép dùng SAQ, bạn vẫn phải quét ASV hàng quý nếu có địa chỉ IP công cộng trong phạm vi CDE.
Cardholder Data Environment (CDE) là gì
CDE (Cardholder Data Environment) là toàn bộ hệ thống lưu trữ, xử lý hoặc truyền tải cardholder data, cộng với mọi hệ thống kết nối hoặc có thể tác động đến bảo mật của những hệ thống đó.
Cardholder data bao gồm: Primary Account Number (PAN, tức số thẻ 16 chữ số), tên chủ thẻ, ngày hết hạn, và service code. Sensitive Authentication Data (SAD), bao gồm CVV và dữ liệu từ magnetic stripe hoặc chip, không được phép lưu trữ sau khi giao dịch được authorized, ngay cả khi được mã hóa.
Phạm vi PCI DSS bằng phạm vi CDE cộng các hệ thống kết nối. Một server chỉ ghi log hoặc cung cấp DNS cho hệ thống xử lý thẻ cũng có thể rơi vào phạm vi PCI DSS nếu server đó kết nối với CDE.
Giảm phạm vi CDE là cách phổ biến nhất để giảm chi phí và công sức tuân thủ. Hai cách được dùng nhiều nhất là tokenization và redirect checkout.
Tokenization thay thế dữ liệu thẻ thật bằng một token không có giá trị khai thác bên ngoài hệ thống. Hệ thống của bạn chỉ lưu token, không lưu số thẻ thật. Token hóa đúng cách loại bỏ hầu hết hệ thống ra khỏi CDE.
Redirect checkout hoạt động theo cách khác: thay vì thu thập thông tin thẻ trên website của bạn, bạn chuyển hướng người dùng sang trang thanh toán của payment processor (như Stripe, Braintree, hoặc PayPal). Dữ liệu thẻ không đi qua server của bạn.
PCI DSS v4.0.1: thay đổi chính
PCI SSC phát hành PCI DSS v4.0 vào tháng 3 năm 2022 và v4.0.1 vào tháng 6 năm 2024 để sửa các lỗi biên tập nhỏ. Phiên bản 3.2.1 hết hiệu lực vào ngày 31 tháng 3 năm 2024.
Thay đổi rõ nhất trong v4.0 là mở rộng phạm vi bắt buộc MFA. Yêu cầu 8.4 và 8.5 không còn giới hạn MFA cho remote access: mọi truy cập vào CDE từ bên trong mạng nội bộ cũng phải qua MFA. Tổ chức nào trước đây chỉ áp MFA cho VPN và admin từ xa sẽ cần thay đổi kiến trúc xác thực.
v4.0 cũng giới thiệu Customized Approach lần đầu tiên. Thay vì chỉ có một cách thực hiện mỗi yêu cầu (Defined Approach), tổ chức có thể đề xuất biện pháp thay thế nếu biện pháp đó đáp ứng cùng mục tiêu bảo mật. Customized Approach đòi hỏi tài liệu chi tiết và chỉ phù hợp với tổ chức có đội ngũ bảo mật đủ mạnh để thiết kế và bảo vệ phương án thay thế trước QSA.
Ngoài ra, v4.0 có một số yêu cầu "future-dated" với mốc thực hiện là 31 tháng 3 năm 2025, bao gồm: xác thực tất cả phần mềm và script trước khi thực thi trên các trang thanh toán (Req 6.4.3), kiểm tra tính toàn vẹn của script bên thứ ba (Req 11.6.1), và quản lý rủi ro từ phần mềm và thư viện mã nguồn mở. Tất cả các yêu cầu này đã trở thành bắt buộc kể từ ngày 31 tháng 3 năm 2025.
Tài liệu đầy đủ có tại: pcisecuritystandards.org/document_library.
PCI DSS tại Việt Nam: bức tranh hiện tại
Từ năm 2023 đến nay, một số công ty Việt Nam công khai thông báo đạt chứng nhận PCI DSS, gồm AppotaPay, ezCloud, Bizfly Cloud, 9Pay, LPBank, OCB, Vietbank và MobiFone. Danh sách này không toàn diện và có thể thay đổi. Điểm đáng chú ý là chứng nhận này không còn chỉ xuất hiện ở các ngân hàng lớn mà lan sang cả công ty fintech và nhà cung cấp hạ tầng.
Về phía cơ quan quản lý, NHNN yêu cầu các tổ chức trung gian thanh toán phải đáp ứng các tiêu chuẩn bảo mật quốc tế, trong đó PCI DSS được đề cập cụ thể trong một số văn bản hướng dẫn liên quan đến bảo mật hệ thống thẻ.
Với ngành IT outsourcing, câu hỏi thực tế là liệu phạm vi PCI DSS của khách hàng có mở rộng sang hệ thống của bạn không. Nếu bạn xây dựng và vận hành cổng thanh toán, hệ thống lõi xử lý giao dịch, hoặc lưu trữ dữ liệu thẻ thay mặt khách hàng nước ngoài, bạn nhiều khả năng là service provider trong phạm vi PCI DSS của họ. Khách hàng Mỹ và EU thường yêu cầu nhà thầu phụ ký Attestation of Compliance (AOC) hoặc cung cấp bằng chứng tuân thủ tương đương trước khi ký hợp đồng.
Ngay cả khi bạn không xử lý trực tiếp dữ liệu thẻ, nếu hệ thống của bạn kết nối với CDE của khách hàng, ví dụ qua dịch vụ monitoring, logging, hoặc quản lý hạ tầng, bạn có thể rơi vào phạm vi đánh giá PCI DSS của họ.
Bước tiếp theo nếu bạn mới bắt đầu
Câu hỏi đầu tiên cần trả lời là: hệ thống của bạn có thực sự trong phạm vi PCI DSS không? Cụ thể, hệ thống có lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ không, hoặc có kết nối với hệ thống nào làm điều đó không?
Nếu có, xác định merchant level hoặc service provider level dựa trên số lượng giao dịch mỗi năm. Level sẽ quyết định cách bạn chứng minh tuân thủ.
Nếu bạn không phải Level 1, xác định loại SAQ phù hợp. Loại SAQ phụ thuộc vào kiến trúc hệ thống thanh toán của bạn, không phải chỉ dựa trên khối lượng giao dịch. Điền sai loại SAQ là lỗi phổ biến và có thể dẫn đến không hợp lệ khi có sự cố.
Sau đó thực hiện gap assessment: so sánh trạng thái hiện tại của hệ thống với từng yêu cầu PCI DSS để xác định khoảng cách cụ thể. Đội nội bộ có thể tự thực hiện với checklist từ PCI SSC, hoặc thuê QSA tư vấn nếu cần đánh giá chính thức.
Tài liệu tham khảo chính thức: PCI SSC document library tại pcisecuritystandards.org/document_library và hướng dẫn merchant level của Visa tại usa.visa.com/support/small-business/security-compliance.html.