Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (742.24 KB, 22 trang )
<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">
<i><small>Sinh viên thực hiện:</small></i>
</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3"><i><small>Tuesday, June 11, 2024 | Page 3</small></i>
<b>1.Khái niệm về PCI-DSS</b>
• Là viết tắt của "Payment Card Industry Data Security Standard" (Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh tốn).
• Mục tiêu: Bảo vệ thơng tin cá nhân và tài khoản của khách hàng sử dụng thẻ thanh tốn.
• Được phát triển bởi Hiệp hội Cơng nghiệp Thẻ Thanh toán (PCI SSC).
</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4"><i><small>Tuesday, June 11, 2024 | Page 4</small></i>
</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5"><i><small>Tuesday, June 11, 2024 | Page 5</small></i>
<i><b>3.Các yêu cầu PCI-DSS</b></i>
• Áp dụng cấu hình bảo mật cho tất cả các thành phần hệ thống.
• Bảo vệ dữ liệu tài khoản được lưu trữ.
• Xác định và giải quyết các lỗ hổng bảo mật.• Thực hiện các biện pháp kiểm sốt truy cập
mạnh mẽ.
</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6"><i><small>Tuesday, June 11, 2024 | Page 6</small></i>
<i><b>3.Các yêu cầu PCI-DSS</b></i>
• Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ.
• Thường xun kiểm tra tính bảo mật của hệ thống và mạng.
• Hỗ trợ bảo mật thơng tin bằng các chính sách và chương trình của tổ chức.
</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7"><i><small>Tuesday, June 11, 2024 | Page 7</small></i>
</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9"><i><small>Tuesday, June 11, 2024 | Page 9</small></i>
<b>1.Nguyên tắc cơ bản:Bảo vệ Dữ liệu:</b>
• Mã hóa dữ liệu cá nhân khi truyền và lưu trữ.• Loại bỏ hoặc giảm thiểu việc lưu trữ dữ liệu
khơng cần thiết.
• Bảo vệ dữ liệu thẻ thanh toán.
</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10"><i><small>Tuesday, June 11, 2024 | Page 10</small></i>
<b>1.Nguyên tắc cơ bản:Bảo vệ Hệ thống:</b>
• Xây dựng và duy trì mạng an tồn.
• Quản lý danh sách kiểm sốt truy cập.
<b>Quản lý Rủi ro:</b>
• Thiết lập chính sách và quy trình quản lý rủi ro.• Kiểm tra định kỳ.
</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11"><i><small>Tuesday, June 11, 2024 | Page 11</small></i>
<b>2. Yêu cầu về bảo mật dữ liệuMã hóa Dữ liệu:</b>
• Mã hóa dữ liệu thẻ thanh tốn khi truyền qua mạng cơng cộng.
• Mã hóa các dữ liệu cá nhân nhạy cảm được lưu trữ.
<b>Bảo vệ Thẻ Thanh tốn:</b>
• Giảm thiểu việc lưu trữ thơng tin thẻ thanh tốn.
• Bảo vệ thơng tin thẻ thanh tốn.
</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12"><i><small>Tuesday, June 11, 2024 | Page 12</small></i>
<b>3.Yêu cầu về bảo mật hệ thống:Bảo vệ Mạng:</b>
• Sử dụng tường lửa để bảo vệ mạng.
• Bảo mật các thiết bị mạng và điểm truy cập khơng dây.
<b>Quản lý Rủi ro:</b>
• Thiết lập quy trình quản lý rủi ro.
• Thực hiện kiểm tra bảo mật định kỳ.
</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13"><i><small>Tuesday, June 11, 2024 | Page 13</small></i>
<b>4.Yêu cầu về quản lý rủi ro:</b>
<b>Thiết lập Chính sách và Quy trình:</b>
• Xác định và thiết lập các chính sách và quy trình quản lý rủi ro.
<b>Thực hiện Đánh giá Rủi ro:</b>
• Tiến hành đánh giá rủi ro định kỳ.
<b>Phản ứng và Điều chỉnh:</b>
• Phản ứng nhanh chóng và hiệu quả với sự cố bảo mật.
• Điều chỉnh và cập nhật chính sách, quy trình và biện pháp kiểm soát.
</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15"><i><small>Tuesday, June 11, 2024 | Page 15</small></i>
<b>1.Tiêu chuẩn tuân thủ PCI-DSS:</b>
<b>Có hai con đường để đạt được tuân thủ PCI DSS:Do-it-Yourself (DIY):</b>
• Tự thực hiện đánh giá rủi ro, xác định và triển khai các biện pháp kiểm sốt, kiểm tra và xác minh
tn thủ.
• Phù hợp với các tổ chức có nguồn lực và chuyên môn về bảo mật.
</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16"><i><small>Tuesday, June 11, 2024 | Page 16</small></i>
</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17"><i><small>Tuesday, June 11, 2024 | Page 17</small></i>
<b>2.Quy trình thực hiện tuân thủ PCI-DSS:</b>
<small>-DIY vs. PCI dưới dạng Dịch vụ</small>
<small>-Tối thiểu, một doanh nghiệp lựa chọn phương pháp tự thực hiện sẽ cần hoàn thành các bước sau:</small>
<small>Bước 1. Tải xuống và đánh giá chi tiết PCI DSS từ Hội đồng Tiêu chuẩn Bảo mật.</small>
<small>Bước 2. Tiến hành đánh giá rủi ro để xác định các rủi ro và hiệu suất của biện pháp kiểm soát.</small>
<small>Bước 3. Xác định việc sử dụng tài nguyên hiện có và xác định những khoảng trống cần phải điền.</small>
<small>Bước 4. Tạo kế hoạch dự án với ngân sách và thời gian cụ thể.</small>
</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18"><i><small>Tuesday, June 11, 2024 | Page 18</small></i>
<b>2.Quy trình thực hiện tuân thủ PCI-DSS:</b>
<small>Bước 5. Thu thập tài nguyên và xây dựng hoặc tái xây dựng mạng.</small>
<small>Bước 6. Kiểm tra và xác minh hiệu quả của các biện pháp kiểm soát.</small>
<small>Bước 7. Triển khai giải pháp và điều chỉnh cho đến khi hoạt động như thiết kế.</small>
<small>Bước 8. Kiểm tra bởi một Đánh giá viên Bảo mật được chứng nhận.</small>
<small>Bước 9. Sửa đổi và cập nhật biện pháp kiểm soát và cơ sở hạ tầng dựa trên kết quả kiểm tra.</small>
</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19"><i><small>Tuesday, June 11, 2024 | Page 19</small></i>
</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20"><i><small>Tuesday, June 11, 2024 | Page 20</small></i>
<b>Phương pháp VGS:</b>
<b>Phương pháp VGS (Vector Generalized Semantics):</b>
• Sử dụng kỹ thuật Zero Data để bảo mật dữ liệu nhạy cảm.
• Chuyển đổi dữ liệu nhạy cảm thành dữ liệu tổng hợp vô nghĩa đối với kẻ tấn cơng.
• Giảm bớt gánh nặng tn thủ PCI DSS cho các tổ chức.
</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21"><i><small>Tuesday, June 11, 2024 | Page 21</small></i>
<b>Phương pháp VGS:</b>
<b>Các ưu điểm của PCI thông qua VGS</b>
</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22"><i><small>Tuesday, June 11, 2024 | Page 22</small></i>
<b>Ưu điểm của phương pháp VGS:</b>
</div>