Tuân thủ PCI là gì và 12 Yêu cầu PCI là gì?

Việc chấp nhận thanh toán bằng thẻ tín dụng cho phép người mua hàng thanh toán cho các sản phẩm của bạn thông qua nhiều phương thức thanh toán như ví di động và các giao dịch không xuất trình bằng thẻ.

Nhưng xử lý thanh toán bằng thẻ có nghĩa là xử lý dữ liệu chủ thẻ, điều này đòi hỏi bạn phải thực hiện các biện pháp bảo mật cụ thể để bảo vệ khách hàng và doanh nghiệp của bạn. 

Trong khi người tiêu dùng đang sử dụng các cách khác nhau để thanh toán bằng thẻ tín dụng, đặc biệt là thông qua thanh toán chạm để thanh toán và thanh toán không tiếp xúc, các chủ doanh nghiệp nhỏ thường gặp khó khăn trong việc tìm hiểu cách đáp ứng các yêu cầu tuân thủ PCI. 

Cho dù đó là lần đầu tiên bạn chấp nhận thẻ tín dụng hay bạn đã quen với việc thanh toán bằng thẻ tín dụng, việc hiểu và đáp ứng các yêu cầu tuân thủ PCI là rất phức tạp. Bạn sẽ tìm hiểu chính xác tuân thủ PCI là gì và cách đáp ứng các yêu cầu trong bài viết này.

Tuân thủ PCI là gì?

Tuân thủ Ngành thẻ thanh toán (PCI) là một tập hợp các yêu cầu bảo mật dành cho các tổ chức xử lý các giao dịch thẻ ghi nợ và thẻ tín dụng. Sự tuân thủ của Ngành thẻ thanh toán bao gồm các yêu cầu kỹ thuật và hoạt động mà các doanh nghiệp phải đáp ứng để bảo vệ dữ liệu thẻ tín dụng được chia sẻ bởi chủ thẻ. 

Tiêu chuẩn này được tạo ra bởi Hội đồng Tiêu chuẩn Bảo mật PCI để tăng cường kiểm soát xung quanh dữ liệu thanh toán nhằm ngăn chặn gian lận.

Xem thêm:  Cái chết của quảng cáo như chúng ta đã biết

Ai phải tuân thủ PCI?

Nếu doanh nghiệp của bạn chấp nhận thẻ tín dụng làm hình thức thanh toán, thì phần mềm và dịch vụ lưu trữ của bạn phải tuân thủ PCI.

Bất kỳ loại hình kinh doanh nào xử lý, chấp nhận, truyền hoặc lưu trữ dữ liệu thẻ thanh toán, bất kể quy mô hoặc khối lượng xử lý, đều phải tuân thủ PCI.

Ngay cả khi bạn chỉ xử lý hai giao dịch thẻ tín dụng mỗi tháng, bạn phải tuân thủ các yêu cầu của PCI. 

Nếu bạn vận hành bộ xử lý thanh toán của bên thứ ba, bạn phải tuân thủ các tiêu chuẩn PCI. Ngay cả khi bạn không lưu trữ dữ liệu thẻ tín dụng, nhưng nó đi qua máy chủ của bạn, bạn vẫn cần tuân thủ các yêu cầu của PCI. 

Bằng cách không tuân thủ PCI, các công ty sẽ khiến khách hàng và doanh nghiệp của họ gặp rủi ro. Nếu không có sự bảo vệ tuân thủ PCI, doanh nghiệp của bạn có thể gặp nguy cơ bị tấn công và vi phạm dữ liệu đắt tiền.

Yêu cầu về tuân thủ PCI

Tuân thủ PCI là một quá trình liên tục đòi hỏi phải đánh giá thường xuyên các hệ thống và thông lệ bảo mật hiện tại của bạn. Nó không phải là một quá trình “tuân thủ một lần và sau đó quên nó”. Thay vào đó, đó là một nỗ lực dài hạn liên tục để giữ an toàn cho dữ liệu khách hàng. 

Mặc dù việc tuân thủ PCI có thể phức tạp đối với các doanh nghiệp bán lẻ, nhưng không nhất thiết phải như vậy. Shopify được chứng nhận tuân thủ PCI DSS Cấp độ 1. Nếu bạn lưu trữ cửa hàng của mình trên Shopify, chứng nhận tuân thủ này sẽ mở rộng theo mặc định cho doanh nghiệp của bạn. 

Bộ tiêu chuẩn bảo mật mới nhất, PCI DSS phiên bản 4.0, bao gồm 12 yêu cầu chính với hơn 300 yêu cầu phụ. Dưới đây là các yêu cầu tuân thủ PCI chính mà doanh nghiệp phải tuân theo:

1. Sử dụng tường lửa
2. Cài đặt bảo vệ bằng mật khẩu
3. Bảo vệ dữ liệu chủ thẻ
4. Mã hóa dữ liệu chủ thẻ đã truyền
5. Sử dụng phần mềm chống vi-rút
6. Cập nhật phần mềm thường xuyên
7. Hạn chế quyền truy cập dữ liệu của chủ thẻ
8. ID duy nhất để truy cập dữ liệu
9. Hạn chế quyền truy cập vật lý vào dữ liệu
10. Tạo và duy trì nhật ký truy cập
11. Thường xuyên kiểm tra hệ thống bảo mật
12. Tạo và lập tài liệu các chính sách

1. Sử dụng tường lửa

Cài đặt tường lửa giúp bạn xây dựng và duy trì một mạng an toàn. Tuân thủ PCI yêu cầu người bán phải cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ. 

2. Cài đặt bảo vệ bằng mật khẩu

Người bán cần bảo vệ dữ liệu thẻ nhạy cảm bằng mật khẩu bảo vệ mạnh mẽ. Tránh sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các biện pháp bảo mật khác. Thiết lập mật khẩu duy nhất của riêng bạn mà kẻ tấn công sẽ khó đoán. 

3. Bảo vệ dữ liệu chủ thẻ

Chủ doanh nghiệp cần thực hiện tất cả các biện pháp phòng ngừa để bảo vệ dữ liệu của chủ thẻ khỏi bị đánh cắp hoặc tấn công. Dữ liệu phải được lưu trữ ở một nơi an toàn không dễ bị vi phạm. Hướng dẫn tất cả các thành viên trong nhóm về bảo mật và cách bảo vệ dữ liệu của chủ thẻ. 

4. Mã hóa dữ liệu chủ thẻ đã truyền

Để ngăn chặn tốt hơn việc đánh cắp và tấn công dữ liệu, người bán phải mã hóa việc truyền dữ liệu của chủ thẻ qua các mạng công cộng và mở. Bằng cách đó, nếu kẻ tấn công nắm được dữ liệu của bạn, chúng không thể sử dụng nó. 

5. Sử dụng phần mềm chống vi-rút

Cài đặt phần mềm chống vi-rút trên máy tính của bạn và thường xuyên cập nhật phần mềm đó để bảo vệ phần cứng của bạn khỏi vi-rút. Thường xuyên kiểm tra xem phần mềm chống vi-rút của bạn có đang hoạt động hay không.

6. Cập nhật phần mềm thường xuyên

Các nhà cung cấp phần mềm thường cập nhật phần mềm của họ để bao gồm các tính năng bảo mật mới. Sử dụng các bản cập nhật phần mềm mới nhất giúp đảm bảo bạn đang bảo vệ dữ liệu nhạy cảm theo khả năng của mình. 

7. Hạn chế quyền truy cập dữ liệu của chủ thẻ

Hạn chế quyền truy cập vào dữ liệu chủ thẻ đối với những người thực sự cần nó. Thay vì cấp cho toàn bộ nhóm của bạn quyền truy cập vào dữ liệu chủ thẻ, hãy chỉ cấp thông tin xác thực quyền truy cập cho những người làm việc trong bộ

phận tài chính. 

Xem thêm:  6 Ví dụ về Đánh bạc Bán lẻ để Tăng cường Tương tác và Bán hàng

8. ID duy nhất để truy cập dữ liệu

Cung cấp một ID duy nhất cho mỗi người có quyền truy cập dữ liệu. Khi nhân viên nghỉ việc, hãy đảm bảo thay đổi tên người dùng và mật khẩu ngay lập tức để ngăn chặn rò rỉ dữ liệu. Đặt mật khẩu phức tạp cho nhân viên của bạn để ngăn mọi người đoán thông tin đăng nhập. 

9. Hạn chế quyền truy cập vật lý vào dữ liệu

Giới hạn quyền truy cập vật lý vào dữ liệu đối với những thành viên trong nhóm yêu cầu quyền truy cập cho công việc của họ. Tránh lưu trữ dữ liệu nhạy cảm của chủ thẻ trên máy tính hoặc trên giấy. 

10. Tạo và duy trì nhật ký truy cập

Theo dõi và giám sát tất cả các truy cập vào tài nguyên mạng và dữ liệu chủ thẻ với nhật ký truy cập cập nhật. Bằng cách đó, nếu bạn bị vi phạm dữ liệu, việc truy tìm nguồn gốc của nó có thể dễ dàng hơn.

11. Thường xuyên kiểm tra hệ thống bảo mật

Trước khi bạn gặp phải vi phạm hoặc đánh cắp dữ liệu, hãy biết hệ thống bảo mật của bạn mạnh hay yếu để có thể thực hiện những thay đổi cần thiết trước khi quá muộn. Thường xuyên kiểm tra hệ thống bảo mật của bạn với các chuyên gia an ninh mạng để đánh giá liệu chúng có thể chống lại được một cuộc tấn công có chủ đích hay không. 

12. Tạo và lập tài liệu các chính sách

Duy trì một bộ chính sách hoàn chỉnh giải thích cách tiếp cận của doanh nghiệp bạn đối với bảo mật thông tin cho nhân viên và nhà thầu. Cập nhật các chính sách thường xuyên để tất cả các thành viên trong nhóm biết và hiểu được các kỳ vọng khi nói đến bảo mật dữ liệu. 

Tầm quan trọng của việc tuân thủ PCI

• Duy trì hệ thống an toàn
• Bảo vệ dữ liệu và sự tin cậy của khách hàng
• Chuẩn bị tốt hơn cho các quy định bổ sung
• Giảm vi phạm dữ liệu và tiền phạt

Mặc dù tuân thủ PCI không phải là luật, nhưng việc không đáp ứng các yêu cầu có thể dẫn đến tiền phạt đắt đỏ, mất danh tiếng và tổn hại đến mối quan hệ với khách hàng.

55% người tiêu dùng nói rằng một khi một công ty đã vi phạm lòng tin của họ, họ sẽ không bao giờ cho nó hoạt động kinh doanh nữa.

Việc tuân thủ PCI có thể phát sinh một số chi phí trong thời gian đầu, nhưng nó sẽ giúp bạn không phải trả tiền phạt hoặc mất khách hàng do thiếu tin tưởng. 

Dưới đây là những lý do hàng đầu để tuân thủ PCI. 

Duy trì hệ thống an toàn

Trong báo cáo bảo mật dữ liệu mới nhất của mình, hãng công nghệ Thales của Pháp cho biết 71% tổ chức bán lẻ được khảo sát cho biết họ đã bị vi phạm tại một thời điểm nào đó và 39% bị ảnh hưởng trong 12 tháng qua. 

Hầu hết các thương gia không phải là chuyên gia an ninh mạng và có thể không chắc chắn về nơi bắt đầu khi nói đến việc tạo và duy trì các hệ thống an toàn. Tuân theo các yêu cầu tuân thủ PCI có thể giúp các doanh nghiệp xây dựng nền tảng bảo mật vững chắc và giảm nguy cơ vi phạm dữ liệu.

Bảo vệ dữ liệu và sự tin cậy của khách hàng

Bạn có mua sắm tại một cơ sở kinh doanh nếu bạn biết rằng có khả năng thông tin thẻ tín dụng của bạn sẽ bị đánh cắp không? Chắc là không. Niềm tin và sự tự tin của khách hàng có thể ảnh hưởng đến lợi nhuận của doanh nghiệp bạn. Mọi người ít có khả năng mua sắm với bạn hơn nếu họ không cảm thấy tin tưởng vào khả năng bảo vệ dữ liệu của họ. 

Nếu bạn bị vi phạm dữ liệu hoặc khách hàng không cảm thấy tin tưởng vào khả năng bảo mật của bạn, bạn có thể mất doanh số bán hàng. Trên thực tế, 66% khách hàng sẽ ngừng mua hàng nếu các công ty gặp sự cố vi phạm dữ liệu. 

Tuân thủ PCI và chia sẻ điều đó với khách hàng cho người mua hàng thấy rằng bạn nghiêm túc về bảo mật và bạn đang thực hiện các bước để bảo vệ dữ liệu thanh toán của họ. Nó mang lại cho cả hai bạn sự an tâm. 

Chuẩn bị tốt hơn cho các quy định bổ sung

Nếu bạn đã tuân thủ PCI, việc đáp ứng các yêu cầu bảo mật dữ liệu trong tương lai sẽ dễ dàng hơn. Lần tới khi các quy định bổ sung có hiệu lực, sẽ là trường hợp bạn phải thực hiện các điều chỉnh đối với khung bảo mật hiện tại của bạn thay vì bắt đầu lại từ đầu. 

Giảm vi phạm dữ liệu và tiền phạt

Tuân theo từng yêu cầu trong số 12 yêu cầu tuân thủ PCI giúp bạn ngăn chặn vi phạm dữ liệu ngay từ đầu. Nhưng nếu bạn tuân thủ và doanh nghiệp của bạn vẫn bị vi phạm dữ liệu, tiền phạt và hình phạt thường liên quan đến vi phạm sẽ thấp hơn nhiều. 

Việc vi phạm dữ liệu có thể khiến doanh nghiệp của bạn phải trả giá rất nhiều cả về tiền bạc và lòng tin của khách hàng.

Giữa chi phí thay thế thẻ tín dụng, trả tiền phạt, bồi thường cho những gì khách hàng đã mất và điều tra, vi phạm dữ liệu trung bình khiến các doanh nghiệp bán lẻ thiệt hại 3,27 triệu đô la vào năm 2021.

Điều đó đủ để nhấn chìm hầu hết các doanh nghiệp nhỏ lẻ. 

Cách đáp ứng các yêu cầu của PCI DSS

Khi đã đến lúc đáp ứng các yêu cầu của PCI DSS, bạn có thể chọn từ ba tùy chọn: 

• Hoàn thành bảng câu hỏi tự đánh giá
• Người đánh giá bảo mật đủ điều kiện 
• Người đánh giá an ninh nội bộ

Trước khi bạn chọn một trong ba tùy chọn, hãy xem xét ngân sách và mục tiêu bảo mật của doanh nghiệp bạn.

Hoàn thành bảng câu hỏi tự đánh giá

Bảng câu hỏi tự đánh giá (SAQ) thường ít tốn kém và tốn thời gian hơn các lựa chọn khác. Đối với các chủ doanh nghiệp bán lẻ, những người cảm thấy tự tin khi kiểm tra hệ thống bảo mật của mình và thực hiện các cập nhật cần thiết, việc tự đánh giá có thể là lựa chọn phù hợp. 

Tùy thuộc vào quy mô và loại hình doanh nghiệp của bạn, bạn sẽ phải chọn SAQ phù hợp. 

David Lee, người sáng lập công ty kinh doanh máy nhân bản trực tuyến Neutypechic, thích sử dụng SAQ vì nó trấn an ông rằng không có dữ liệu khách hàng nào của ông bị rò rỉ.

Tôi liên tục kiểm tra xem tường lửa của mình có an toàn hay không, vì vậy không có thông tin tài chính nào của khách hàng của tôi bị rò rỉ. Điều này đã cho phép tôi đáp ứng hiệu quả các giao thức bảo mật và giám sát máy chủ trực tuyến của mình.

Tương tự, Jon Lynn, người sáng lập My Office Pod, thích sử dụng SAQ vì chúng giúp nhận thức về các giao thức hiện tại của họ dễ dàng hơn và thực hiện các bước phù hợp để cải thiện chúng. Để họ không hoàn toàn phụ thuộc vào đánh giá của chính mình, doanh nghiệp cũng làm việc với một chuyên gia tuân thủ.

Chúng tôi đánh giá tất cả các giao thức bảo mật của mình và điền vào bảng câu hỏi phù hợp. Chúng tôi cũng có một chuyên gia tuân thủ chịu trách nhiệm về tất cả các đánh giá, SAQ và báo cáo. Chúng tôi đã chọn sử dụng SAQ vì nó cho phép chúng tôi tự nhận thức về các giao thức bảo mật của mình. Để nó cho một người đánh giá sẽ giống như bỏ qua trách nhiệm của chúng tôi.

Người đánh giá bảo mật đủ điều kiện

Chuyên gia đánh giá bảo mật đủ điều kiện  là một chuyên gia bên thứ ba bên ngoài , người được đào tạo để đánh giá tính bảo mật của doanh nghiệp của bạn. Họ sẽ cung cấp một báo cáo chi tiết về những phát hiện của họ và đưa ra các khuyến nghị để thực hiện các cải tiến.

Đối với các doanh nghiệp bán lẻ muốn đánh giá độc lập hệ thống bảo mật của họ hoặc những người vận hành các hệ thống phức tạp, Chuyên gia đánh giá bảo mật đủ điều kiện có thể là lựa chọn phù hợp. 

Người đánh giá an ninh nội bộ 

Chuyên gia đánh giá an ninh nội bộ là một nhân viên trong doanh nghiệp của bạn , người chịu trách nhiệm đánh giá và giảm thiểu rủi ro bảo mật. Tùy chọn này là tốt nhất cho các doanh nghiệp muốn có người chuyên về tuân thủ PCI trong tổ chức của họ. 

Các doanh nghiệp bán lẻ lớn hơn có hệ thống và quy trình bảo mật được thiết lập có thể thích sử dụng Chuyên gia đánh giá an ninh nội bộ. Lợi ích của việc đáp ứng tuân thủ PCI thông qua chuyên gia đánh giá bảo mật nội bộ là họ đã biết các hệ thống và quy trình bảo mật của doanh nghiệp bạn. 

Bằng cách sử dụng Chuyên gia đánh giá bảo mật nội bộ, bạn có thể đánh giá hệ thống bảo mật của doanh nghiệp mình thường xuyên hơn, điều này sẽ giúp bạn ngăn chặn vi phạm dữ liệu. 

Xem thêm:  14 quảng cáo video kết hợp suy nghĩ của chúng tôi trong năm 2015

Đảm bảo doanh nghiệp bán lẻ của bạn tuân thủ PCI

Cho dù bạn đang mở một cửa hàng truyền thống hay thiết lập một cửa hàng pop-up, vào một thời điểm nào đó, bạn sẽ có những khách hàng muốn thanh toán bằng thẻ tín dụng. Để chấp nhận thanh toán bằng thẻ tín dụng, bạn cần phải tuân thủ PCI. Để làm cho việc tuân thủ PCI dễ dàng hơn, hãy chọn một nhà cung cấp POS đã tuân thủ PCI.