Hội đồng tiêu chuẩn bảo mật an ninh thẻ thanh toán (PCI SSC) đã công bố một bản cập nhật về chuẩn bảo mật an ninh dữ liệu toàn cầu của mình. Phiên bản 3.2 thay thế cho phiên bản 3.1 để giải quyết các mối đe dọa ngày càng tăng về thông tin thanh toán của khách hàng.
Sự xác thực đa yếu tố – Multi-factor Authentication
Theo chia sẻ của Troy Leach – Giám đốc công nghệ PCI SSC: PCI SSC nhìn thấy sự gia tăng các cuộc tấn công, phá vỡ “a single point of failure” – đây là một phần của hệ thống có thể là một ứng dụng, hệ thống công nghiệp, hoặc một thực thể kinh doanh, nếu bị phá hủy thì sẽ làm ngừng hoạt động của toàn bộ hệ thống cho phép tội phạm truy cập hệ thống mà không bị phát hiện và làm tổn thương đến dữ liệu thẻ. Một trong những thay đổi lớn trong phiên bản PCI DSS 3.2 bao gồm xác thực đa yếu tố (multi-factor Authentication), phương thức này yêu cầu phải có hai hoặc nhiều hơn hai thông tin xác thực để truy cập vào dữ liệu và hệ thống thẻ thanh toán.
PCI DSS 3.2 đề xuất sự xác thực đa yếu tố đối với bất kỳ nhân sự nào muốn truy cập quản trị vào các môi trường xử lý dữ liệu chủ thẻ, qua đó chỉ có password không thôi sẽ không đủ thông tin để xác thực nhận dạng người dùng và truy cập và các nguồn thông tin nhạy cảm.
Chấp nhận bổ sung các đối tượng chỉ định – Designated Entities Supplemental Valisdation
PCI DSS 3.2 còn bao gồm các tiêu chí “Chấp nhận bổ sung các đối tượng chỉ định – Designated Entities Supplemental Valisdation đã được giới thiệu vào năm ngoái qua các văn bản công bố riêng. Tiêu chí này giúp các nhà cung cấp dịch vụ dễ dàng nhận diện các thách thức chính yếu trong việc tiếp tục duy trì các nỗ lực anh ninh, bao gồm các hoạt động giám sát sự tuân thủ hiệu quả, xác định chính xác môi trường dữ liệu chủ thẻ CDE và triển khia một số cảnh báo hiệu quả nhằm phát hiện lỗi trong việc kiểm soát an ninh.
Một số yêu cầu mới dành cho các doanh nghiệp – Trách nhiệm điều hành lãnh đạo – New service provider requirements – Executive leadership accountability
Một vài yêu cầu mới được giới thiệu trong phiên bản 3.2 dành cho các nhà cung cấp dịch vụ bởi vì hơn ai hết, họ đóng vai trò vô cùng quan trọng trong việc đảm bảo an toàn thông tin cho nguồn dữ liệu thẻ thanh toán của khách hàng.
Các yêu cầu này buộc doanh nghiệp phải gia tăng phát triển tài liệu hóa mô tả kiến trúc mật mã và thường xuyên báo cáo lỗi hệ thống và giám sát an ninh. Ngoài ra còn có một yêu cầu dành cho các nhà quản lý điều hành trong việc đảm nhận trách nhiệm bảo vệ dữ liệu chủ thẻ. Nếu nhân sự nằm trong Ban lãn đạo của Doanh nghiệp và được giao phó nhiệm vụ bảo vệ dữ liệu chủ thẻ của khách hàng, nhân sự này phải nhận thức một các đầy đủ về các nhiệm vụ PCI DSS.
Phiên bản PCI DSS 3.1 sẽ hết hạn vào ngày 31/10/2016. Các hướng dẫn trước đây về việc chuyển từ cách thức SSL qua TLS vẫn được áp dụng.
Tham khảo paymentcardmobile.com và itgovernance.co.uk
