BÁO CÁO QUẢN LÝ AN TOÀN THÔNG TIN ĐỀ TÀI TÌM HIỂU, ỨNG DỤNG TIÊU CHUẨN TÍN DỤNG PCI-DSS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (452.31 KB, 32 trang )

Trang 1<div class="page_container" data-page="1">

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

BÁO CÁO

QUẢN LÝ AN TỒN THƠNG TIN

ĐỀ TÀI : TÌM HIỂU, ỨNG DỤNG TIÊU CHUẨN TÍN DỤNG PCI-DSS

Ngành: An tồn thơng tinMã số: 7.48.02.02

Sinh viên thực hiện:

Đặng Xuân Đức MSV: AT170612Trần Anh Tuấn MSV:AT170654Trần Đức Thắng MSV:AT170646Nguyễn Đan Trường MSV:AT170653

HÀ NỘI – 2024

</div>Trang 2<div class="page_container" data-page="2">

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

BÁO CÁO

QUẢN LÝ AN TỒN THƠNG TIN

ĐỀ TÀI : TÌM HIỂU, ỨNG DỤNG TIÊU CHUẨN TÍN DỤNG PCI-DSS

Ngành: An tồn thơng tinMã số: 7.48.02.02

Sinh viên thực hiện:

Đặng Xuân Đức MSV: AT170612Trần Anh Tuấn MSV:AT170654Trần Đức Thắng MSV:AT170646Nguyễn Đan Trường MSV:AT170653

HÀ NỘI – 2024

</div>Trang 3<div class="page_container" data-page="3">

DANH MỤC HÌNH ẢNH...5

LỜI CẢM ƠN...6

LỜI MỞ ĐẦU...7

CHƯƠNG 1 : CƠ SỞ LÝ THUYẾT...1

1.Khái niệm về PCI-DSS...1

2.Lịch sử và Phát triển của PCI-DSS...2

3.Các yêu cầu và tiêu chí của PCI-DSS...3

Các yêu cầu PCI-DSS...3

Tiêu chí của PCI-DSS...7

CHƯƠNG 2 : CÁC NGUYÊN TẮC VÀ YÊU CẦU CƠ BẢN CỦA PCI-DSS. .91.Nguyên tắc cơ bản...9

2.Yêu cầu về bảo mật dữ liệu...10

3.Yêu cầu về bảo mật hệ thống...10

4. Yêu cầu về quản lý rủi ro...11

CHƯƠNG 3 : ỨNG DỤNG VÀ THỰC HIỆN PCI-DSS...13

1.Tiêu chuẩn và quy trình tuân thủ PCI-DSS...13

Tiêu chuẩn tuân thủ PCI-DSS...13

Quy trình thực hiện tuân thủ PCI-DSS :...15

Nhược điểm của DIY...16

Phương pháp VGS...17

2.Ứng dụng thực tiễn...20

3.Thách thức và Cơ hội từ PCI-DSS...23

KẾT LUẬN...24

</div>Trang 4<div class="page_container" data-page="4">

DANH MỤC HÌNH ẢNH

Hình 1: PCI-DSS...1

Hình 1 2 : Các tiêu chí PCI-DSS...7

Hình 1 3 : Oleg Murasko, Phó Chủ tịch Kỹ thuật, TransferGo...13

Hình 1 4 : Các cấp độ tiêu chuẩn PCI-DSS...14

Hình 1 5 : Lợi ích chính của VGS...19

Hình 1 6 : Ưu điểm của PCI thơng qua VGS...19

Hình 1 7 : 8 năm liên tiếp Sacombank đạt chứng nhận PCI DSS về bảo mật thẻ...21

</div>Trang 5<div class="page_container" data-page="5">

LỜI CẢM ƠN

Chúng em xin chân thành cảm ơn giảng viên hướng dẫn cơ Dương Thị - Khoa AnTồn Thơng Tin - Học Viện Kĩ Thuật Mật Mã đã tận tình giúp đỡ và hướng dẫn nhómchúng em trong suốt quá trình học tập và nghiên cứu để hồn thành bản báo cáo này.

Nhóm chúng em đã tập trung và cố gắng để hoàn thành bản báo cáo, xong chúng emvẫn cịn nhiều thiếu sót trong q trình tìm hiểu, nghiên cứu đề tài này. Chúng em rất mongnhận được những ý kiến đóng góp quý báu của thầy để bản báo cáo được hoàn thiện tốt hơnnữa.

Chúng em xin chân thành cảm ơn cơ!

Nhóm sinh viên thực hiện đề tài.

</div>Trang 6<div class="page_container" data-page="6">

LỜI MỞ ĐẦU

Trong thời đại của sự kết nối tồn cầu và sự phát triển khơng ngừng của côngnghệ thông tin, việc bảo vệ thông tin cá nhân và tài khoản tài chính trở nên cực kỳquan trọng. Trong lĩnh vực thanh toán điện tử, việc duy trì một mơi trường an tồnvà đáng tin cậy là điều khơng thể phủ nhận. Chính vì vậy, các tiêu chuẩn bảo mậtnhư PCI-DSS (Payment Card Industry Data Security Standard) đã trở thành mộtphần không thể thiếu của ngành công nghiệp thanh tốn điện tử.

Phần nói đầu này sẽ giới thiệu tổng quan về PCI-DSS, bao gồm khái niệm cơbản, lịch sử và phát triển của tiêu chuẩn, cùng với các yêu cầu và tiêu chí mà các tổchức cần tn thủ để đảm bảo an tồn thơng tin và giao dịch của khách hàng.

Đồng thời, chúng tôi sẽ đi sâu vào các nguyên tắc và yêu cầu cơ bản củaPCI-DSS, từ việc bảo vệ dữ liệu đến bảo mật hệ thống và quản lý rủi ro. Bằng cáchnày, bạn sẽ hiểu rõ hơn về những nguyên lý cơ bản mà PCI-DSS đặt ra và cách ápdụng chúng vào môi trường thực tế.

Cuối cùng, chúng tôi sẽ đề cập đến việc ứng dụng thực tế của PCI-DSS, baogồm các tiêu chuẩn và quy trình tn thủ, cơng cụ và kỹ thuật hỗ trợ thực hiện,cũng như các trường hợp thực tế và kinh nghiệm trong việc áp dụng tiêu chuẩn này.Hy vọng rằng thông qua nỗ lực nghiên cứu và thảo luận trong đề tài này,chúng ta sẽ có cái nhìn tổng quan và sâu sắc hơn về vai trị quan trọng của PCI-DSS trong việc bảo vệ thông tin và tạo niềm tin cho người dùng trong môi trườngthanh toán điện tử ngày nay.

</div>Trang 7<div class="page_container" data-page="7">

CHƯƠNG 1 : CƠ SỞ LÝ THUYẾT

1. Khái niệm về PCI-DSS

</div>Trang 8<div class="page_container" data-page="8">

PCI DSS là viết tắt của "Payment Card Industry Data Security Standard" (Tiêuchuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán), là một bộ tiêu chuẩn bảo mậtdành cho tổ chức và doanh nghiệp xử lý thông tin thanh tốn, nhằm bảo vệ thơngtin cá nhân và tài khoản của khách hàng sử dụng thẻ thanh toán. Tiêu chuẩn nàyđược phát triển bởi Hiệp hội Công nghiệp Thẻ Thanh toán (PCI SSC), một tổ chức

phi lợi nhuận thành lập bởi các công ty thẻ thanh toán hàng đầu như Visa,MasterCard, American Express, Discover và JCB.

PCI DSS cung cấp một bộ các yêu cầu bảo mật mà các tổ chức phải tuân thủ đểbảo vệ dữ liệu thanh toán, bao gồm các biện pháp về mạng lưới, mã hóa, kiểm sốttruy cập, giám sát, kiểm tra an ninh và các biện pháp bảo vệ khác. Mục tiêu củaPCI DSS là ngăn chặn việc sự cố bảo mật, gian lận và vi phạm quyền riêng tư trongquá trình xử lý và lưu trữ thơng tin thanh tốn. Tn thủ PCI DSS là bắt buộc đối

Hình 1: PCI-DSS

</div>Trang 9<div class="page_container" data-page="9">

với tất cả các tổ chức và doanh nghiệp mà xử lý, lưu trữ hoặc truyền thơng tinthanh tốn của các loại thẻ tín dụng và thẻ ghi nợ hàng đầu.

2. Lịch sử và Phát triển của PCI-DSS

Tiêu chuẩn PCI-DSS đã trải qua một quá trình phát triển đáng chú ý từ khi đượcthành lập. Dưới đây là một cái nhìn tổng quan về lịch sử và phát triển của tiêuchuẩn này:

 Thành lập và Phát triển Ban đầu (1996-2004):

- PCI-DSS được thiết lập bởi Hiệp hội Ngành Thẻ Thanh toán (PCI SSC) vàonăm 2004.

- Ban đầu, các công ty thẻ thanh toán hàng đầu như Visa, MasterCard,American Express, Discover và JCB đã hợp tác để tạo ra một tiêu chuẩnchung nhằm bảo vệ thông tin cá nhân và giao dịch thanh toán trực tuyến. Các Phiên Bản Sơ Khai (2004-2006):

- Phiên bản đầu tiên của PCI-DSS, phiên bản 1.0, được phát hành vào năm2004.

- Các phiên bản sơ khai tiếp theo được phát triển trong những năm tiếp theo,với việc cập nhật và điều chỉnh các yêu cầu và tiêu chuẩn bảo mật.

</div>Trang 10<div class="page_container" data-page="10">

- PCI-DSS khơng ngừng phát triển để thích ứng với sự thay đổi của môitrường an ninh mạng và để bảo vệ thông tin cá nhân và giao dịch thanh tốntrực tuyến một cách hiệu quả nhất.

Thơng qua các giai đoạn phát triển này, PCI-DSS đã trở thành một tiêu chuẩn bảomật quan trọng và được công nhận trên tồn cầu trong ngành cơng nghiệp thanhtốn.

3. Các u cầu và tiêu chí của PCI-DSS

 Các yêu cầu PCI-DSS

1) Áp dụng cấu hình bảo mật cho tất cả các thành phần hệ thống:Tài khoản mặc định của nhà cung cấp phải được quản lý như sau:

 Nếu tài khoản mặc định của nhà cung cấp được sử dụng, mật khẩu mặcđịnh phải được thay đổi theo Yêu cầu 8.3.6.

 Nếu tài khoản mặc định của nhà cung cấp không được sử dụng, tài khoảnđó phải được xóa hoặc vơ hiệu hóa.

2) Bảo vệ dữ liệu tài khoản được lưu trữ:

- Các quy trình và cơ chế bảo vệ dữ liệu tài khoản được lưu trữ phải: Được ghi chép.

 Được cập nhật thường xuyên.

 Được thông báo cho tất cả các bên liên quan. Được thực hiện.

- Việc lưu trữ dữ liệu tài khoản phải được thực hiện với ít nhất các biện phápsau:

 Bảo vệ cho tất cả các vị trí lưu trữ dữ liệu tài khoản.

 Bảo vệ cho mọi dữ liệu xác thực nhạy cảm (SAD) được lưu trữ trước khihồn thành q trình ủy quyền.

</div>Trang 11<div class="page_container" data-page="11">

 Giới hạn lưu trữ dữ liệu và thời gian lưu giữ chỉ vào mức cần thiết chocác yêu cầu pháp lý hoặc quy định và/hoặc kinh doanh.

3) Xác định và giải quyết các lỗ hổng bảo mật:

a) Các lỗ hổng bảo mật phải được xác định và quản lý như sau:

- Các lỗ hổng bảo mật mới phải được xác định bằng cách sử dụng cácnguồn thông tin về lỗ hổng bảo mật được công nhận trong ngành, baogồm cả cảnh báo từ các tổ chức phản ứng khẩn cấp máy tính quốc gia vàquốc tế (CERT).

- Các lỗ hổng phải được xếp hạng rủi ro dựa trên các phương pháp thựchành tốt nhất trong ngành và xem xét tác động tiềm ẩn.

b) Tất cả các thành phần hệ thống phải được bảo vệ khỏi các lỗ hổng đã biếtbằng cách cài đặt các bản vá/cập nhật bảo mật hiện hành.

- Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ:

 Xác định người dùng và xác thực quyền truy cập vào các thành phần hệthống.

 Nhận dạng người dùng và các tài khoản liên quan dành cho người dùngvà quản trị viên phải được quản lý chặt chẽ trong suốt vòng đời của tàikhoản.

 Tài khoản nhóm, tài khoản dùng chung hoặc thơng tin xác thực dùngchung chỉ được sử dụng khi cần thiết và được quản lý chặt chẽ.

 Xác thực mạnh mẽ cho người dùng và quản trị viên phải được thiết lập vàquản lý.

 Mật khẩu/cụm mật khẩu được sử dụng làm yếu tố xác thực phải đáp ứngcác yêu cầu phức tạp tối thiểu.

 Mật khẩu/cụm mật khẩu phải được thay đổi định kỳ và không được tái sửdụng.

</div>Trang 12<div class="page_container" data-page="12">

 Nếu mật khẩu/cụm mật khẩu được sử dụng làm yếu tố xác thực duy nhất,chúng phải được thay đổi định kỳ và có sự kiểm tra bảo mật thườngxuyên.

- Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ:

 Phương tiện chứa dữ liệu chủ thẻ phải được lưu trữ, truy cập, phân phốivà hủy một cách an toàn.

 Tất cả các phương tiện chứa dữ liệu chủ thẻ phải được bảo mật về mặt vậtlý và được phân loại đúng cách.

- Thường xuyên kiểm tra tính bảo mật của hệ thống và mạng:

 Các lỗ hổng bên ngoài và bên trong phải được xác định, ưu tiên và giảiquyết thường xuyên.

 Quét lỗ hổng bên ngồi phải được thực hiện ít nhất ba tháng một lần bởiNhà cung cấp dịch vụ quét được phê duyệt PCI SSC (ASV).

 Quét lại phải được thực hiện khi có thay đổi quan trọng hoặc khi cần thiếtđể xác nhận rằng các lỗ hổng đã được giải quyết.

- Hỗ trợ bảo mật thơng tin bằng các chính sách và chương trình của tổ

 Một quy trình phải được thiết lập và triển khai để thu hút TPSP, bao gồmthẩm định phù hợp trước khi tham gia.

</div>Trang 13<div class="page_container" data-page="13">

 Thỏa thuận bằng văn bản phải được duy trì với tất cả TPSP dữ liệu tàikhoản nào được chia sẻ hoặc dữ liệu đó có thể ảnh hưởng đến tính bảomật của CDE.

 Một chương trình phải được triển khai để giám sát tuân thủ PCI DSS củaTPSP ít nhất 12 tháng một lần.

 Thông tin về các yêu cầu PCI DSS được mỗi TPSP quản lý phải được duytrì và chia sẻ giữa TPSP và thực thể.

Các sự cố bảo mật nghi ngờ và đã xác nhận phải được phản hồi ngay lậptức. Kế hoạch ứng phó sự cố cần được thiết lập và sẵn sàng kích hoạttrong trường hợp sự cố bảo mật đáng ngờ hoặc đã được xác nhận, baogồm:

 Vai trò, trách nhiệm và chiến lược liên lạc trong trường hợp sự cố bảomật.

 Quy trình ứng phó cụ thể cho các hoạt động ngăn chặn và giảm thiểu rủiro.

 Các thủ tục phục hồi và duy trì hoạt động kinh doanh.

 Quy trình sao lưu dữ liệu.

 Phân tích các yêu cầu pháp lý đối với việc báo cáo các thỏa thuận.

 Phạm vi bao phủ và phản hồi của tất cả các thành phần hệ thống quantrọng.

Thông tin này cung cấp một cái nhìn tổng quan về các yêu cầu và tiêu chícủa PCI-DSS đối với bảo mật thơng tin và quản lý rủi ro trong mơi trườngthanh tốn.

</div>Trang 14<div class="page_container" data-page="14">

 Tiêu chí của PCI-DSS

Hình 1 2 : Các tiêu chí PCI-DSS

Tiêu chuẩn PCI-DSS đặt ra một chuẩn mực cao về bảo mật thông tin cá nhânvà giao dịch thanh tốn trực tuyến. Mỗi tiêu chí trong PCI-DSS được thiết kế đểđảm bảo rằng các tổ chức xử lý thông tin thanh tốn có các biện pháp bảo mật cầnthiết để bảo vệ dữ liệu khách hàng và ngăn chặn các cuộc tấn cơng mạng.

Một trong những tiêu chí quan trọng của PCI-DSS là mã hóa dữ liệu. Tiêuchuẩn này yêu cầu việc sử dụng mã hóa mạnh mẽ để bảo vệ dữ liệu cá nhân trongquá trình truyền và lưu trữ. Bằng cách này, thông tin nhạy cảm như thơng tin thẻthanh tốn và thơng tin cá nhân của khách hàng được bảo vệ một cách an toàn,ngay cả khi nó bị đánh cắp.

Ngồi ra, tiêu chuẩn cũng đặt ra các yêu cầu về bảo vệ mạng. Các tổ chứccần cài đặt các biện pháp bảo vệ mạng như tường lửa và kiểm soát quyền truy cập

</div>Trang 15<div class="page_container" data-page="15">

để ngăn chặn truy cập trái phép vào hệ thống. Điều này giúp giảm thiểu nguy cơ vềviệc dữ liệu bị đánh cắp hoặc bị sửa đổi một cách trái phép.

Tiêu chuẩn PCI-DSS cũng đòi hỏi việc thiết lập và duy trì các chính sách vàquy trình quản lý rủi ro. Điều này giúp các tổ chức đánh giá và giảm thiểu các mốiđe dọa tiềm ẩn đối với an tồn thơng tin, đồng thời tăng cường khả năng phát hiệnvà ứng phó với các sự cố bảo mật một cách hiệu quả.

Những tiêu chuẩn và yêu cầu của PCI-DSS đóng vai trị quan trọng trongviệc xây dựng một mơi trường an tồn và đáng tin cậy cho các giao dịch thanh tốntrực tuyến. Tn thủ các tiêu chí này không chỉ là một nghĩa vụ pháp lý mà cịn làmột biện pháp cần thiết để bảo vệ thơng tin cá nhân của khách hàng và duy trì uytín của tổ chức.

</div>Trang 16<div class="page_container" data-page="16">

CHƯƠNG 2 : CÁC NGUYÊN TẮC VÀ YÊU CẦU CƠ BẢN CỦAPCI-DSS

1. Nguyên tắc cơ bản- Bảo vệ Dữ liệu:

 Mã hóa dữ liệu cá nhân khi truyền và lưu trữ: Sử dụng các thuật

tốn mã hóa để bảo vệ thơng tin cá nhân khi di chuyển qua mạng và lưu trữ trênhệ thống. Điều này giúp ngăn chặn người không được ủy quyền truy cập vàothông tin nhạy cảm.

 Loại bỏ hoặc giảm thiểu việc lưu trữ dữ liệu không cần thiết: Việc

giảm thiểu dữ liệu không cần thiết giảm bớt nguy cơ mất mát hoặc truy cập tráiphép thông tin cá nhân. Các tổ chức nên xác định và loại bỏ những dữ liệukhông cần thiết hoặc không cần lưu trữ.

 Bảo vệ dữ liệu thẻ thanh tốn: Thơng tin thẻ thanh toán là một mục

tiêu phổ biến của các cuộc tấn cơng. Do đó, việc áp dụng các biện pháp bảo vệđặc biệt như mã hóa, kiểm sốt truy cập và quản lý chính sách là rất quan trọng.

- Bảo vệ Hệ thống:

 Xây dựng và duy trì mạng an tồn: Cài đặt và duy trì tường lửa để

ngăn chặn truy cập trái phép, sử dụng các biện pháp bảo mật mạng không dây,và bảo vệ các thiết bị mạng và ứng dụng an tồn.

 Quản lý danh sách kiểm sốt truy cập: Xác định và giám sát người

dùng được ủy quyền truy cập vào tài nguyên nhạy cảm của hệ thống. Điều nàybao gồm việc xác minh danh tính, kiểm soát quyền truy cập và theo dõi các hoạtđộng trên hệ thống.

</div>Trang 17<div class="page_container" data-page="17">

 Thiết lập chính sách và quy trình quản lý rủi ro: Xác định và đánh

giá các rủi ro bảo mật, và thiết lập các biện pháp kiểm soát và quản lý để giảmthiểu các rủi ro này. Quy trình này cần phải được thiết kế để phù hợp với môitrường cụ thể của từng tổ chức.

 Kiểm tra định kỳ: Thực hiện kiểm tra bảo mật định kỳ để phát hiện

sớm các lỗ hổng bảo mật và xử lý chúng trước khi trở thành vấn đề lớn.

2. Yêu cầu về bảo mật dữ liệu

- Mã hóa Dữ liệu:

 Yêu cầu mã hóa dữ liệu thẻ thanh tốn khi truyền qua mạng cơngcộng: Đảm bảo rằng thơng tin thẻ thanh tốn khơng thể đọc được khi truyền qua

mạng công cộng, ngăn chặn truy cập trái phép.

 Mã hóa các dữ liệu cá nhân nhạy cảm được lưu trữ: Sử dụng mã

hóa để bảo vệ các dữ liệu cá nhân nhạy cảm lưu trữ trên các hệ thống nội bộ.Điều này giúp đảm bảo rằng ngay cả khi bị tấn công, thông tin vẫn được bảo vệ.- Bảo vệ Thẻ Thanh toán:

 Giảm thiểu việc lưu trữ thơng tin thẻ thanh tốn: Loại bỏ hoặc

giảm thiểu dữ liệu không cần thiết liên quan đến thanh tốn. Điều này giảmthiểu nguy cơ mất thơng tin thẻ thanh tốn khi hệ thống bị tấn cơng.

 Bảo vệ thơng tin thẻ thanh tốn: Sử dụng các biện pháp bảo mật như

mã hóa và kiểm sốt truy cập để bảo vệ thơng tin thẻ thanh tốn khỏi truy cậptrái phép.

3. Yêu cầu về bảo mật hệ thống

- Bảo vệ Mạng:

</div>Trang 18<div class="page_container" data-page="18">

 Sử dụng tường lửa để bảo vệ mạng: Ngăn chặn truy cập trái phép

vào mạng và các dịch vụ, đồng thời giúp kiểm soát lưu lượng mạng.

 Bảo mật các thiết bị mạng và điểm truy cập không dây: Đảm bảo

rằng các thiết bị mạng và điểm truy cập khơng dây được cấu hình và quản lýmột cách an toàn để ngăn chặn các mối đe dọa từ bên ngoài.

- Quản lý Rủi ro:

 Thiết lập quy trình quản lý rủi ro: Đánh giá, giảm thiểu và quản lý

các mối đe dọa tiềm ẩn đối với an ninh thơng tin và giao dịch thanh tốn. Quytrình này bao gồm việc xác định, đánh giá và ưu tiên hóa các rủi ro, đồng thờithiết lập các biện pháp kiểm soát để giảm thiểu hoặc loại trừ chúng.

 Thực hiện kiểm tra bảo mật định kỳ: Việc thực hiện kiểm tra bảo mật định kỳ

giúp phát hiện sớm các lỗ hổng bảo mật và xử lý chúng trước khi trở thành vấnđề lớn. Những kiểm tra này có thể bao gồm kiểm tra phân tích mã độc, kiểm trabảo mật mạng, kiểm tra phản ứng và khả năng khôi phục sau sự cố.

4. Yêu cầu về quản lý rủi ro

- Thiết lập Chính sách và Quy trình:

 Xác định và thiết lập các chính sách và quy trình quản lý rủi ro:

Các tổ chức cần xác định các chính sách và quy trình rõ ràng để quản lý rủi robảo mật. Điều này bao gồm việc xác định các trách nhiệm, quyền hạn và cácquy trình để xử lý các rủi ro.

- Thực hiện Đánh giá Rủi ro:

 Tiến hành đánh giá rủi ro định kỳ: Các tổ chức cần thường xuyên

đánh giá các rủi ro bảo mật để xác định các vấn đề tiềm ẩn và ưu tiên hóa cácbiện pháp kiểm sốt. Đánh giá rủi ro cần được thực hiện bởi các chuyên gia

</div>