PCI compliance cho thanh toán thẻ là gì?

PCI compliance là quy trình đáp ứng Chuẩn Bảo mật Dữ liệu Thẻ Thanh toán, hay PCI DSS. Đây là các quy tắc bảo mật được tạo ra bởi các thương hiệu thẻ lớn nhằm giảm rủi ro dữ liệu thẻ bị lộ hoặc bị sử dụng sai mục đích.

Nếu doanh nghiệp của bạn chấp nhận thanh toán bằng thẻ tín dụng hoặc thẻ ghi nợ, kể cả thỉnh thoảng, PCI có thể áp dụng cho bạn. Điều này bao gồm thanh toán trực tiếp tại quầy, thanh toán trực tuyến, thiết bị đọc thẻ trên điện thoại, cổng/terminal thanh toán ảo (virtual terminal), và đôi khi là thanh toán định kỳ.

Với đa số doanh nghiệp nhỏ, PCI compliance thường có nghĩa là sử dụng các công cụ thanh toán được phê duyệt, giới hạn nơi dữ liệu thẻ được chạm vào hệ thống của bạn, cập nhật thường xuyên thiết bị và phần mềm, đồng thời hoàn thành các biểu mẫu mà bộ xử lý thanh toán hoặc ngân hàng yêu cầu. Các bước cụ thể sẽ phụ thuộc vào cách bạn chấp nhận thẻ.

NodeBridge IT không cung cấp dịch vụ PCI compliance và cũng không truy cập vào hệ thống của bạn. Chúng tôi cung cấp kiến thức giáo dục chung và có thể giúp bạn tìm một nhà cung cấp dịch vụ IT quản trị độc lập (MSP) nếu bạn muốn được hỗ trợ hiểu rõ các lựa chọn của mình.

PCI quan trọng vì dữ liệu thẻ là loại dữ liệu nhạy cảm. Nếu thông tin thanh toán được xử lý cẩu thả, có thể dẫn đến gian lận, tranh chấp/chargeback, các vấn đề về tài khoản, tiền phạt từ các đối tác thanh toán và một quá trình khắc phục kéo dài. Không có nhà cung cấp nào làm ăn đàng hoàng lại hứa rằng mạng “không thể bị tấn công”, nhưng các thực hành tốt có thể giảm rủi ro.

PCI cũng quan trọng vì bộ xử lý thanh toán, công ty dịch vụ thương gia (merchant services company), ngân hàng thanh toán (acquiring bank) hoặc các đối tác thẻ của bạn có thể yêu cầu bạn xác nhận trạng thái PCI của mình. Nói đơn giản, họ muốn biết liệu doanh nghiệp bạn có xử lý dữ liệu thẻ theo cách an toàn và được kiểm soát tốt hơn không.

Với chủ doanh nghiệp nhỏ, mục tiêu thường là thực tế chứ không phải kỹ thuật. Hãy dùng các phương thức thanh toán giúp giảm mức độ phơi nhiễm, giữ hệ thống hoạt động ổn định, và tránh lưu trữ số thẻ trừ khi có lý do thật sự, đồng thời thiết lập phải được thiết kế cho việc đó.

Nếu bạn chưa chắc bắt đầu từ đâu, trang answers của chúng tôi bao phủ các chủ đề IT và an ninh mạng phổ biến theo cách dễ hiểu.

Công việc có thể đơn giản hoặc phức tạp hơn tùy theo cách doanh nghiệp bạn thiết lập thanh toán. Một quán cà phê dùng riêng một thiết bị quẹt thẻ (standalone card terminal) thường có “gánh nặng PCI” rất khác so với một phòng khám, nhà bán lẻ hoặc cửa hàng trực tuyến có hệ thống tích hợp.

Một doanh nghiệp chuyển khách sang trang thanh toán được lưu trữ (hosted checkout page) có thể có phạm vi ít hơn. “Scope” (phạm vi) nghĩa là những người, thiết bị, hệ thống và quy trình có thể ảnh hưởng đến dữ liệu thẻ. Phạm vi càng ít thường kéo theo yêu cầu càng ít.

Một doanh nghiệp nhập thẻ trực tiếp trên máy tính văn phòng, lưu chi tiết thanh toán, vận hành một website thương mại điện tử, hoặc kết nối công cụ thanh toán với các hệ thống kinh doanh khác có thể có phạm vi lớn hơn. Thông thường điều này đồng nghĩa với việc phải có nhiều tài liệu hơn, nhiều lớp kiểm soát hơn và cần chú ý thường xuyên hơn.

Yêu cầu cũng có thể khác nhau theo ngành và theo bang, cũng như theo quy định của các đối tác thanh toán. PCI không giống HIPAA, là Đạo luật về Trợ giúp Bảo hiểm Y tế và Khả năng Truyền tải (Health Insurance Portability and Accountability Act) áp dụng cho dữ liệu y tế, hay các quy tắc PCI liên quan đến phí ngân hàng. Ở đây, chúng tôi đang nói về các yêu cầu bảo mật đối với thẻ thanh toán.

Thực hành PCI tốt thường bắt đầu từ việc giảm độ phức tạp. Nhiều doanh nghiệp nhỏ sẽ có lợi hơn khi sử dụng các công cụ thanh toán uy tín giúp hạn chế tối đa việc dữ liệu thẻ nằm trên máy tính và mạng nội bộ của chính bạn. Nếu ít hệ thống của bạn chạm tới dữ liệu thẻ hơn thì sẽ có ít thứ phải quản lý hơn.

Thực hành tốt cũng là kỷ luật cơ bản về IT. Giữ thiết bị doanh nghiệp luôn được cập nhật. Thay thế bộ định tuyến, máy tính và phần cứng thanh toán cũ khi chúng không còn được hỗ trợ. Dùng mật khẩu mạnh và duy nhất, và bật MFA (multi-factor authentication, xác thực đa yếu tố) cho các tài khoản thanh toán và quản trị khi có thể.

Nếu nhân viên sử dụng các máy tính có thể truy cập hệ thống thanh toán, các thiết bị đó cần được quản lý cẩn thận. Có thể bao gồm việc cập nhật bản vá (patching), tức là cài đặt các bản cập nhật bảo mật và phần mềm; dùng phần mềm diệt virus hoặc một công cụ bảo vệ/cảnh báo nâng cao hơn về phát hiện và phản hồi tại điểm cuối, gọi là EDR; và thiết lập quyền người dùng rõ ràng. “Endpoint” (điểm cuối) là bất kỳ thiết bị nào như laptop, máy tính để bàn hoặc điện thoại kết nối với hệ thống của doanh nghiệp bạn.

Tài liệu tốt cũng rất quan trọng. Bạn cần biết nhà cung cấp nào xử lý thanh toán cho bạn, ai có thể truy cập các công cụ thanh toán, biên lai và báo cáo được lưu ở đâu, và cần làm gì nếu có điều gì đó có vẻ sai. Một nhà cung cấp vững chắc cũng có thể giúp bạn cân nhắc phương án sao lưu. Bạn có thể nghe cụm “3-2-1 backup”, nghĩa là giữ 3 bản sao của dữ liệu quan trọng trên 2 loại hình thức lưu trữ khác nhau, với 1 bản sao được lưu ngoài địa điểm. Việc này không tự nó làm cho việc lưu trữ dữ liệu thẻ trở nên “ổn” về mặt tuân thủ, nhưng nó là một phần trong vận hành doanh nghiệp lành mạnh.

Một MSP (managed IT services provider, nhà cung cấp dịch vụ IT quản trị) có thể giúp bạn hiểu phần kỹ thuật liên quan đến PCI. Điều này có thể bao gồm việc rà soát môi trường của bạn, giúp giảm phạm vi PCI, cải thiện quản lý thiết bị, phối hợp với các nhà cung cấp thanh toán của bạn, và đảm bảo rằng các tác vụ định kỳ không bị bỏ sót.

Bạn cũng có thể nghe các thuật ngữ như RMM và vCIO. RMM là remote monitoring and management (giám sát và quản lý từ xa), là phần mềm mà nhiều nhà cung cấp dùng để theo dõi tình trạng thiết bị và thực hiện cập nhật trên máy tính doanh nghiệp. vCIO là virtual Chief Information Officer (giám đốc công nghệ thông tin ảo), là một người giúp lập kế hoạch IT và ưu tiên cho doanh nghiệp không có lãnh đạo IT làm việc toàn thời gian.

Một số nhà cung cấp cũng giúp bạn hiểu các điều khoản dịch vụ. Ví dụ, SLA là service level agreement (thỏa thuận mức dịch vụ). SLA mô tả mục tiêu phản hồi, những gì được bao gồm và những gì không được bao gồm. SLA không phải là cam kết rằng sẽ không bao giờ mất kết nối/ngừng hoạt động hoặc bảo mật hoàn hảo.

NodeBridge IT không phải là MSP và không quản trị, giám sát, bảo mật, sửa chữa hoặc truy cập vào hệ thống của bạn. Nếu bạn cần hỗ trợ, chúng tôi có thể kết nối bạn với một nhà cung cấp độc lập phù hợp với quy mô, nhu cầu và khu vực của bạn.

Hãy bắt đầu bằng cách hỏi một câu cơ bản: dữ liệu thẻ đang di chuyển qua doanh nghiệp tôi như thế nào hiện tại? Hãy liệt kê mọi nơi khách hàng thanh toán, mọi thiết bị tham gia và mọi nhà cung cấp chạm tới các khoản thanh toán đó. Bài tập này thường giúp làm rõ rất nhiều thứ.

Sau đó, kiểm tra xem bộ xử lý thanh toán hoặc ngân hàng của bạn yêu cầu bạn hoàn thành điều gì. Thông thường họ sẽ cung cấp một bảng câu hỏi hoặc cổng thông tin. Nếu các câu hỏi gây khó hiểu, có thể đã đến lúc trao đổi với một nhà cung cấp IT độc lập hiểu về môi trường doanh nghiệp nhỏ.

Bạn không cần trở thành chuyên gia bảo mật. Nhưng bạn cần có một bức tranh rõ ràng về thiết lập thanh toán, các công cụ được hỗ trợ, và loại hỗ trợ thực tế khi cần. Nếu bạn muốn, bạn có thể được ghép nối với một nhà cung cấp dịch vụ IT quản trị độc lập. Dịch vụ ghép nối của chúng tôi miễn phí cho doanh nghiệp và chúng tôi chỉ thu thập thông tin cơ bản về doanh nghiệp và liên hệ.