08 ĐIỀU CẦN FOCUS CỦA KHI TRIỂN KHAI PCI DSS

1511554_771657962845586_758488967_n

1. Triệt để remove các sensitive card infomation (PIN, PINBLOCK, Tracks,…) khỏi DB, bởi vì chắc chắn rằng “Remove thì đơn giản gấp tỷ lần giữ lại nó và bảo vệ nó”. Nếu có lưu trữ Thông tin thẻ (ví dụ PAN) thì phải bảo mật và đảm bảo dữ liệu chỉ đến với những người need-to-know , không share public.

2. Triệt để remove các thành phần không liên quan (mà vô tình bị lôi vào) ra khỏi danh sách các thành phần phải xử lý GAP. Đơn cử ví dụ sau, cả 1 công ty có 1 mạng LAN văn phòng, sau đó máy chủ CSDL, máy chủ ứng dụng (có chứa thông tin thẻ) được cắm vào mạng LAN đó thì vô hình chung toàn bộ hệ thống mạng sẽ phải tham gia vào quá trình đánh giá và xử lý GAP (bởi có kết nối và có thể truy cập với Thông tin thẻ). Vì vậy tìm mọi cách phân chia sao cho các thành phần bắt buộc phải tham gia vào quá trình triển khai PCI DSS nhỏ nhất, để giảm công sức, giảm tiền bạc và thời gian cho việc này (ví dụ tống các server liên quan vào 1 VLAN là đã khác nhiều rồi).

3. Triệt để áp dụng bảo mật cho các ứng dụng liên quan đến thanh toán Thẻ, và hạn chế lưu trữ thông tin thẻ, nếu có chăng, hãy lưu allias của thẻ mà thôi.

4. Triệt để giám sát và kiểm soát tốt truy cập vào hệ thống. Bao gồm cả phần mềm, phần cứng (như ID riêng cho mỗi người, rules trên Firewall…) và cả chính sách (ví dụ ra vào DC, truy cập kho lưu trữ…). Và nên nhớ “Cô lập không phải là an toàn, theo dõi và ghi log mới là quan trọng” 

5. Triệt để ghi nhớ rằng chúng ta xin một chứng chỉ cho hệ thống mềm (ứng dụng thanh toán , ví điện tử, cổng thanh toán) nhưng yếu tố cứng (mạng, máy chủ, FW,…) lại chiếm tỷ trọng khá lớn. Đừng chủ quan rồi đến lúc ngập trong GAP!

6. Triệt để ghi nhớ rằng chúng ta thuê công ty đối tác nhưng không phải ta phó mặc cho họ và nghĩ rằng đã thuê rồi là sau vài tháng sẽ có chứng chỉ PCI DSS. Thực chất, được hay ko là ở chúng ta, họ chỉ là tư vấn và hỗ trợ, họ ko thể hiểu doanh nghiệp chúng ta bằng chính chúng ta được. PCI DSS không nên hiểu là một dự án, nên hiểu nó là 1 chương trình triển khai tổng thể với nhiều dự án con bên trong (ví dụ: dự án nâng cấp hệ thống FW, dự án quy hoạch mạng, dự án trang bị bảo mật vân tay,….) để hoàn thành chương trình đó. Hãy nghĩ vậy để thấy tầm quan trọng của nó.

7. Triệt để ghi nhớ rằng PCI DSS chỉ có 2 kết quả: đạt hoặc không đạt, không có kiểu gần đạt, sắp đạt và xin xỏ để làm tròn thành đạt  như những món khác ở VN 

8. Triệt để quán triệt với toàn bộ hệ thống rằng PCI DSS không phải chỉ tập trung vào validation vào thời điểm triển khai là xong mà cần duy trì nó một cách liên tục và thường xuyên. Nhiều tổ chức tổ chức triển khai PCI DSS với tư tưởng “chống đối”, làm qua loa sao cho khi QSA sang validation thì pass cho xong để lấy chứng chỉ nhưng sau 1,2 năm thì những qua loa đó sẽ gây ra những lỗ hổng nghiêm trọng và để thay đổi lại nhằm đạt PCI DSS thì tốn kém rất nhiều công sức và tiền bạc.

Tóm lại , làm PCI DSS cần phải nói thật, làm thật vì đâu phải chỉ làm để khoe khách hàng, khoe đối tác mà nó chính là làm vì sự an toàn của chính tổ chức của bạn đó:)

Good luck!

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s