# PCI DSS

### 🔒 **Giới thiệu Chuẩn bảo mật PCI DSS**

**PCI DSS (Payment Card Industry Data Security Standard)** là **chuẩn bảo mật quốc tế** do Hội đồng Tiêu chuẩn Bảo mật PCI (PCI Security Standards Council) ban hành. Chuẩn này được xây dựng nhằm bảo vệ **dữ liệu thẻ thanh toán** (Visa, MasterCard, American Express, JCB, Discover) trong suốt vòng đời xử lý — từ lưu trữ, truyền tải đến giao dịch.

#### 🎯 **Mục tiêu chính của PCI DSS**

1. **Ngăn chặn rò rỉ thông tin thẻ** và gian lận tài chính.
2. **Chuẩn hóa các yêu cầu an ninh** cho mọi tổ chức xử lý giao dịch thẻ.
3. **Nâng cao mức độ an toàn** cho hệ thống thanh toán toàn cầu.

***

### 🔑 **6 Nhóm yêu cầu cốt lõi của PCI DSS**

PCI DSS bao gồm hơn 300 tiêu chí, nhưng được gói gọn trong 6 nhóm lớn:

#### **1. Xây dựng và duy trì hệ thống mạng an toàn**

* Tường lửa bảo vệ dữ liệu chủ thẻ
* Không dùng mật khẩu mặc định

#### **2. Bảo vệ dữ liệu chủ thẻ (Cardholder Data)**

* Mã hóa mạnh AES/TLS
* Ẩn PAN theo chuẩn

#### **3. Duy trì chương trình quản lý lỗ hổng**

* Cập nhật bản vá bảo mật
* Chống phần mềm độc hại

#### **4. Thực thi biện pháp kiểm soát truy cập mạnh**

* Phân quyền theo nguyên tắc tối thiểu
* MFA cho truy cập hệ thống nhạy cảm

#### **5. Theo dõi và giám sát tất cả truy cập vào mạng/lưu trữ dữ liệu thẻ**

* Lưu log đúng chuẩn
* SIEM, cảnh báo bất thường

#### **6. Chính sách an ninh thông tin**

* Vai trò, trách nhiệm rõ ràng
* Quy trình phản ứng sự cố

***

### 🧩 **Các đối tượng bắt buộc tuân thủ PCI DSS**

* Ngân hàng
* Cổng thanh toán (Payment Gateway)
* Ví điện tử
* Merchant xử lý giao dịch thẻ
* Hệ thống eCommerce có chấp nhận thanh toán thẻ

***

### 🚀 **Lợi ích khi tuân thủ PCI DSS**

* **Tăng độ tin cậy với khách hàng**
* **Giảm rủi ro gian lận & tấn công mạng**
* **Đáp ứng tiêu chuẩn toàn cầu**
* **Dễ dàng hợp tác với ngân hàng, đối tác quốc tế**