Chúng tôi có cần tuân thủ PCI DSS nếu chúng tôi sử dụng Cổng thanh toán cho các cửa hàng trực tuyến không?

Cổng thanh toán là một dịch vụ cho phép người bán thuộc nhiều loại hình doanh nghiệp khác nhau chấp nhận thanh toán. Họ đảm bảo an toàn cho khoản thanh toán, cũng như thông tin nhạy cảm của giao dịch và xử lý nó thông qua một trạm ảo hoặc một trang web thương mại điện tử. Tất cả các giao dịch được thực hiện và được bảo vệ bởi Tuân thủ PCI DSS. Do đó, Cổng thanh toán PCI DSS là gì và tại sao chúng ta cần nó khi sử dụng cổng thanh toán? Chúng ta hãy tìm hiểu thêm về điều đó.

Hãy cùng tìm hiểu thêm về Cổng thanh toán PCI DSS.

1. Tuân thủ PCI là gì?

Visa, MasterCard, Discover Financial Services, JCB International và American Express đã thiết lập Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) vào năm 2004. Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) giám sát kế hoạch tuân thủ, nỗ lực bảo vệ tín dụng và ghi nợ giao dịch thẻ chống trộm cắp và gian lận dữ liệu.

Mặc dù PCI SSC không có thẩm quyền pháp lý bắt buộc tuân thủ, nhưng mọi doanh nghiệp thực hiện các giao dịch thẻ tín dụng hoặc thẻ ghi nợ đều phải tuân thủ. Chứng chỉ PCI cũng được coi là kỹ thuật hiệu quả nhất để bảo vệ dữ liệu và thông tin nhạy cảm, cho phép các doanh nghiệp thiết lập mối quan hệ lâu dài và tin cậy với khách hàng của họ.

FYI: Tuân thủ PCI DSS 101- Tuân thủ PCI là gì?

1.1. Chứng nhận PCI DSS

Thông qua một loạt các yêu cầu do PCI SSC thiết lập, chứng chỉ PCI đảm bảo tính bảo mật của dữ liệu thẻ tại tổ chức của bạn. Trong số này có một số phương pháp hay nhất nổi tiếng, chẳng hạn như:

• Tường lửa nên được cài đặt.
• Mã hóa truyền tải dữ liệu
• Phần mềm chống vi rút được sử dụng.

Bảo mật tuân thủ PCI là một tài sản quan trọng đảm bảo cho khách hàng rằng hoạt động kinh doanh với bạn được an toàn. Ngược lại, chi phí tài chính và uy tín của việc không tuân thủ phải đủ để thuyết phục bất kỳ chủ sở hữu doanh nghiệp nào coi trọng vấn đề bảo mật dữ liệu.

1.2. Mức độ tuân thủ PCI DSS

Dựa trên khối lượng giao dịch thẻ tín dụng hoặc thẻ ghi nợ hàng năm mà một công ty xử lý, việc tuân thủ PCI được phân thành bốn cấp độ. Những gì một tổ chức phải làm để duy trì sự tuân thủ được xác định bởi cấp độ phân loại.

Đo lường Tuân thủ PCI DSS

1.3. Kết quả chính của PCI DSS:

• Quản lý luồng dữ liệu thẻ tín dụng từ khách hàng, tức là, đảm bảo rằng thông tin thẻ nhạy cảm được thu thập và phân phối một cách an toàn.
• Mã hóa, giám sát liên tục và kiểm tra bảo mật khi truy cập vào dữ liệu thẻ chỉ là một vài trong số 12 lĩnh vực bảo mật được mô tả trong tiêu chuẩn PCI.
• Xác thực rằng các biện pháp kiểm soát bảo mật cần thiết được thực hiện hàng năm, có thể bao gồm biểu mẫu, bảng câu hỏi, dịch vụ quét lỗ hổng bảo mật bên ngoài và kiểm tra của bên thứ ba.

2. Cổng thanh toán PCI DSS là gì?

Tuân thủ PCI DSS cho cổng thanh toán, là một hệ thống thanh toán tuân thủ Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI). Tuân thủ PCI đề cập đến việc tuân theo một loạt các nguyên tắc bảo mật được thiết kế để bảo vệ thông tin thẻ trong và sau một giao dịch tài chính.

Là cấp cơ bản của cổng thanh toán, Cổng thanh toán PCI DSS thực hiện những việc sau:

• Nó tích hợp với tài khoản người bán. Nó cung cấp cho doanh nghiệp một hoặc nhiều cách để tích hợp khả năng xử lý thẻ trực tuyến với tài khoản doanh nghiệp người bán.
• Nó ghi lại các chi tiết thanh toán cho các giao dịch của khách hàng. Người bán gửi thông tin của người mua hàng đến cổng thanh toán thông qua các công cụ của nhà cung cấp cổng. Để truyền thông tin theo cách an toàn nhất, cổng sẽ mã hóa thông tin thanh toán trong quá trình truyền.
• Nó định tuyến thông tin đó đến bộ xử lý thanh toán hoặc ngân hàng mua. Ngân hàng mua lại tiếp quản điểm này. Nó thực hiện một số sàng lọc gian lận và sau đó gửi giao dịch đó đến các mạng thẻ.
• Nó sẽ gửi lại thông báo chấp thuận hoặc từ chối cho người bán. Người bán gửi trực tiếp cho người mua hàng của họ xác nhận về thông báo từ chối, dựa trên phản hồi có hoặc không của họ. Họ có thể yêu cầu người mua hàng của họ cho một hình thức thanh toán khác.

2.1. Tuân thủ PCI DSS cho cổng thanh toán: Yêu cầu

Cổng thanh toán PCI là một hệ thống thanh toán tuân thủ Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI).

Tuân thủ PCI đề cập đến việc tuân theo một loạt các nguyên tắc bảo mật được thiết kế để bảo vệ thông tin thẻ trong và sau một giao dịch tài chính.

Tuân thủ PCI bao gồm sáu yêu cầu chính, nhà cung cấp phải có khả năng:

• Tạo và quản lý một mạng an toàn.
• Để bảo vệ dữ liệu của chủ thẻ, hãy thiết lập và duy trì cấu hình tường lửa.
• Đối với mật khẩu hệ thống và các thông số bảo mật khác, không sử dụng giá trị mặc định do nhà cung cấp cung cấp.
• Trong cổng thanh toán PCI, bảo vệ dữ liệu của chủ thẻ.
• Bảo vệ thông tin về chủ thẻ đã được lưu trữ.
• Mã hóa truyền dữ liệu chủ thẻ qua mạng công cộng, mở.
• Giữ một chương trình quản lý lỗ hổng bảo mật tại chỗ.
• Phần mềm chống vi-rút nên được sử dụng và cập nhật thường xuyên.
• Các hệ thống và ứng dụng an toàn phải được phát triển và duy trì.
• Đưa ra các biện pháp kiểm soát truy cập nghiêm ngặt.
• Quyền truy cập vào dữ liệu chủ thẻ nên bị hạn chế dựa trên yêu cầu kinh doanh
• Mỗi người có quyền truy cập máy tính phải được cấp một ID duy nhất.
• Quyền truy cập vật lý vào dữ liệu chủ thẻ nên bị hạn chế.
• Giám sát và kiểm tra mạng một cách thường xuyên.
• Tất cả các truy cập vào tài nguyên mạng và dữ liệu chủ thẻ phải được theo dõi và giám sát.
• Thường xuyên xác thực các hệ thống và quy trình bảo mật của cổng thanh toán PCI.
• Giữ một chính sách bảo mật thông tin tại chỗ.
• Giữ nguyên một chính sách về bảo mật dữ liệu.

3. Tại sao chúng ta cần Tuân thủ PCI?

Nếu một cửa hàng không sử dụng các phương pháp tuân thủ PCI DSS và dữ liệu của họ bị đánh cắp, họ sẽ phải chịu những hậu quả nghiêm trọng.

Khi doanh nghiệp không bảo vệ được thông tin thanh toán của khách hàng, họ có nguy cơ bị ảnh hưởng thêm.

Tuân thủ PCI giữ cho cổng thanh toán an toàn - Cổng thanh toán được chứng nhận PCI DSS

3.1. Sự uy tín.

Các cửa hàng sẽ phải đối mặt với một thảm họa về quan hệ công chúng cùng với tổn thất tài chính. Sẽ không ai muốn mua sắm tại trang web của bạn nếu bạn đưa ra tiêu đề về việc làm rò rỉ thông tin thẻ tín dụng của khách hàng cho tin tặc. Mọi thứ quá dễ dàng với thương mại điện tử, thậm chí là ăn cắp thông tin. Những tên trộm chỉ có thể lấy trộm một chiếc túi hoặc thẻ tín dụng của khách hàng trong một cửa hàng thông thường. Nhưng bạn đang nói về các cửa hàng trực tuyến ở đây. Trong nháy mắt, tất cả thông tin của người tiêu dùng, bao gồm cả số thẻ tín dụng, đều có thể bị lấy mất. Có hàng nghìn khách hàng ở đây, không chỉ hai hoặc ba.

3.2. Hoạt động.

Do vi phạm bảo mật, các ngân hàng và bộ xử lý thanh toán có thể sẽ chấm dứt tài khoản người bán của bạn. Bạn sẽ không thể chấp nhận bất kỳ khoản thanh toán nào bằng thẻ cho đến khi bạn có tài khoản người bán. Tệ nhất là bạn sẽ bị đưa vào danh sách đen trong "Tệp người bán bị chấm dứt", khiến bạn không thể có được tài khoản người bán khác trong vài năm. Thậm chí không tính đến việc tranh thủ sự trợ giúp của bạn bè, gia đình hoặc đối tác kinh doanh. Rốt cuộc, thông tin của công ty bạn đã được thêm vào danh sách đen.

Tóm lại, nếu bạn không đáp ứng Tuân thủ PCI, bạn có thể phải chịu những hậu quả sau:

• Làm mất lòng tin và sự bảo vệ của khách hàng.
• Doanh số bán hàng đang giảm.
• Hình phạt.
• Tranh chấp pháp lý.
• Quyền chấp nhận thẻ tín dụng đã bị thu hồi.
• Mất việc làm.
• Phá sản.

4. Lợi ích của việc tuân thủ PCI

PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) là tiêu chuẩn bảo mật thông tin bao gồm các tiêu chí ngăn chặn gian lận thẻ thanh toán trong doanh nghiệp.

PCI DSS cho cổng thanh toán, áp dụng cho tất cả người bán và nhà cung cấp dịch vụ xử lý, truyền hoặc lưu trữ dữ liệu chủ thẻ, mặc dù các yêu cầu khác nhau tùy thuộc vào số lượng giao dịch mà họ thực hiện.

5. Chúng tôi có cần Tuân thủ PCI nếu chúng tôi sử dụng cổng thanh toán không?

Các tài liệu PCI DSS hiện tại có thể được tìm thấy trên trang web của Hội đồng Tiêu chuẩn Bảo mật PCI. Khách hàng sử dụng tùy chọn thanh toán được lưu trữ sẽ được chuyển đến trang web được lưu trữ trên cổng thanh toán.

• Trang web của người bán gửi chỉ thị chuyển hướng đến trình duyệt của khách hàng.
• Cổng thanh toán sẽ gửi một hình thức thanh toán đến trình duyệt của khách hàng.
• Khi cổng thanh toán nhận được yêu cầu, nó sẽ gửi lại hình thức thanh toán cho trình duyệt của khách hàng.
• Khách hàng sẽ nhập thông tin thẻ tín dụng của họ vào biểu mẫu thanh toán trên trình duyệt của họ. Thông tin sẽ được trả về cổng thanh toán.
• Cổng thanh toán lấy thông tin thẻ và gửi đến hệ thống thanh toán để xử lý.

Người bán thu thập thông tin thẻ bằng cổng thanh toán được lưu trữ / chuyển hướng phải tuân thủ mức tuân thủ PCI thấp nhất và sử dụng biểu mẫu SAQ A.

Phương thức thu thập thông tin thẻ này sẽ an toàn nhất vì tất cả thông tin sẽ được lưu trữ và gửi đến máy chủ của bên thứ ba để xử lý. Hầu hết các vấn đề tuân thủ có thể tránh được bằng cách sử dụng trang thanh toán được lưu trữ.

Chúng tôi cần PCI DSS khi chúng tôi sử dụng Cổng thanh toán - Tuân thủ PCI khi sử dụng cổng thanh toán

6. Tuân thủ PCI DSS cho cổng thanh toán

Một tiêu chuẩn cơ bản về bảo mật dữ liệu đã được phát triển để thúc đẩy bảo mật dữ liệu của khách hàng và sự tin tưởng vào hệ sinh thái thanh toán. PayCEC - Cổng thanh toán đã đạt được và duy trì Tuân thủ PCI DSS.

Các dịch vụ của PayCEC tuân thủ PCI DSS Cấp độ 1 (Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán). Tiêu chuẩn bảo mật quan trọng nhất cho ngành thanh toán thẻ là PCI DSS, bao gồm một tập hợp toàn diện các yêu cầu về quản lý bảo mật, chính sách, quy trình, kiến trúc mạng, thiết kế phần mềm và các biện pháp bảo vệ quan trọng khác.

PCI DSS cho cổng thanh toán được phát triển bởi American Express, Discover Financial Services, JCB International, MasterCard Worldwide và Visa Inc. để hỗ trợ việc áp dụng toàn cầu các biện pháp bảo mật dữ liệu nhất quán.

PayCEC đảm bảo thanh toán an toàn - Cổng thanh toán tuân thủ PCI