Tuân thủ PCI là gì
Tuân thủ ngành thẻ thanh toán (PCI) đề cập đến các tiêu chuẩn kỹ thuật và hoạt động mà doanh nghiệp phải tuân theo để đảm bảo dữ liệu thẻ tín dụng được cung cấp bởi chủ thẻ được bảo vệ. Việc tuân thủ PCI được thực thi bởi Hội đồng Tiêu chuẩn PCI và tất cả các doanh nghiệp lưu trữ, xử lý hoặc truyền dữ liệu thẻ tín dụng theo phương thức điện tử được yêu cầu phải tuân theo các nguyên tắc tuân thủ.
Hiểu về tuân thủ PCI
Các tiêu chuẩn tuân thủ ngành thẻ thanh toán (PCI) yêu cầu các thương nhân và các doanh nghiệp khác xử lý thông tin thẻ tín dụng một cách an toàn giúp giảm khả năng chủ thẻ bị đánh cắp dữ liệu tài chính nhạy cảm. Nếu thương nhân không xử lý thông tin thẻ tín dụng đúng cách, thông tin thẻ có thể bị hack và sử dụng để mua hàng gian lận. Ngoài ra, thông tin nhạy cảm về chủ thẻ có thể được sử dụng để gian lận danh tính.
Tuân thủ PCI có nghĩa là luôn tuân thủ một bộ hướng dẫn được đặt ra bởi các công ty phát hành thẻ tín dụng. Các hướng dẫn phác thảo một loạt các bước mà bộ xử lý thẻ tín dụng phải liên tục tuân theo. Các công ty trước tiên được yêu cầu đánh giá cơ sở hạ tầng công nghệ thông tin, quy trình kinh doanh và quy trình xử lý thẻ tín dụng của họ để giúp xác định các mối đe dọa tiềm ẩn có thể làm tổn hại dữ liệu thẻ tín dụng. Các công ty sau đó được yêu cầu giải quyết bất kỳ lỗ hổng nào trong bảo mật và để tránh lưu trữ thông tin chủ thẻ nhạy cảm, như số an toàn xã hội và số giấy phép lái xe, bất cứ khi nào có thể. Các công ty được yêu cầu cung cấp các báo cáo tuân thủ cho các thương hiệu thẻ mà họ làm việc cùng, chẳng hạn như American Express và VISA.
Tất cả các công ty xử lý thông tin thẻ tín dụng được yêu cầu duy trì tuân thủ PCI, bất kể quy mô hoặc số lượng giao dịch thẻ tín dụng mà họ xử lý. Tất cả các công ty được chia thành các cấp độ thương gia dựa trên số lượng giao dịch được xử lý trong một khoảng thời gian xác định. Việc tuân thủ PCI được điều chỉnh bởi Hội đồng Tiêu chuẩn An ninh Công nghiệp Thẻ Thanh toán, một tổ chức được thành lập năm 2006 với mục đích quản lý bảo mật thẻ tín dụng. Các yêu cầu, được gọi là Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS), được quản lý bởi các công ty thẻ tín dụng lớn, bao gồm VISA, American Express, Discover và MasterCard, trong số những người khác.
Tuân thủ dữ liệu và vi phạm dữ liệu
Nhiều vi phạm dữ liệu lớn nhất trong lịch sử có thể tránh được nếu các thương nhân hoặc tổ chức tài chính bị ảnh hưởng tuân thủ PCI. Dưới đây là một số điểm quan trọng trong Báo cáo bảo mật thanh toán của Verizon 2017, một nghiên cứu chuyên sâu về tuân thủ PCI DSS:
- Các tổ chức bán lẻ đã chứng minh tính bền vững tuân thủ PCI thấp nhất trong tất cả các ngành công nghiệp chính. Ngành dịch vụ CNTT đạt được sự tuân thủ đầy đủ cao nhất trong tất cả các nhóm ngành chính được nghiên cứu.77% công ty được đánh giá sau khi vi phạm dữ liệu không tuân thủ yêu cầu số một về PCI: cài đặt và duy trì cấu hình tường lửa. Nghiên cứu cho thấy "mối tương quan rõ ràng giữa các doanh nghiệp luôn cập nhật các tiêu chuẩn PCI và các doanh nghiệp đã tự bảo vệ thành công trước các mối đe dọa trên mạng. Số lượng doanh nghiệp tuân thủ 100% PCI là tăng trưởng đáng kể trên cơ sở hàng năm.
