Ngày 14 tháng 12 năm 2022Tin tức về hacker Bảo mật dữ liệu / Tuân thủ
Bảo vệ dữ liệu khách hàng là rất quan trọng đối với bất kỳ doanh nghiệp nào chấp nhận thông tin thanh toán trực tuyến. Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS), được tạo bởi các công ty thẻ tín dụng hàng đầu, thiết lập các phương pháp hay nhất để bảo vệ thông tin của người tiêu dùng. Bằng cách tuân thủ các tiêu chuẩn này, các doanh nghiệp có thể đảm bảo rằng thông tin cá nhân và tài chính của khách hàng của họ được an toàn.
Các tiêu chuẩn bảo mật PCI DSS áp dụng cho bất kỳ doanh nghiệp nào xử lý, lưu trữ hoặc truyền thông tin thẻ tín dụng. Việc không tuân thủ PCI DSS có thể dẫn đến các khoản tiền phạt và hình phạt tốn kém từ các công ty thẻ tín dụng. Nó cũng có thể dẫn đến sự mất lòng tin của khách hàng, điều này có thể tàn phá bất kỳ doanh nghiệp nào.
PCI DSS 4.0 được phát hành vào tháng 3 năm 2022 và sẽ thay thế tiêu chuẩn PCI DSS 3.2.1 hiện tại vào tháng 3 năm 2025. Điều đó mang lại khoảng thời gian chuyển tiếp ba năm để các tổ chức tuân thủ 4.0.
Phiên bản mới nhất của tiêu chuẩn sẽ mang lại một trọng tâm mới cho một lĩnh vực bảo mật bị bỏ qua nhưng cực kỳ quan trọng. Trong một thời gian dài, các mối đe dọa từ phía khách hàng, liên quan đến các sự cố và vi phạm bảo mật xảy ra trên máy tính của khách hàng thay vì trên máy chủ của công ty hoặc ở giữa hai bên, đã bị bỏ qua. Nhưng điều đó đang thay đổi với việc phát hành PCI DSS 4.0. Giờ đây, nhiều yêu cầu mới tập trung vào bảo mật phía máy khách.
Ví dụ: yêu cầu 6.3.2 hiện yêu cầu các công ty xác định và liệt kê tất cả phần mềm của họ, bao gồm mọi phần mềm của bên thứ ba được nhúng trong môi trường của họ. Yêu cầu 6.3.3 yêu cầu các bản cập nhật cho các lỗ hổng đã biết bằng cách sử dụng các bản cập nhật và bản vá bảo mật có sẵn. Yêu cầu 6.4.1 hướng dẫn các doanh nghiệp giải quyết các mối đe dọa và lỗ hổng mới liên quan đến các ứng dụng web công khai và giải quyết tất cả các mối đe dọa đã biết.
Ngoài ra, yêu cầu 6.4.2 nêu rõ rằng các ứng dụng web giao diện công cộng tự động phải được định cấu hình chính xác để phát hiện và ngăn chặn các cuộc tấn công dựa trên web. Nó cũng lưu ý rằng các cấu hình phải đang chạy tích cực, cập nhật và có thể chặn các cuộc tấn công hoặc tạo cảnh báo cho biết sự cố tiềm ẩn. Cuối cùng, yêu cầu 6.4.3 yêu cầu các tổ chức cho phép mọi tập lệnh được tải và thực thi trong trình duyệt của khách hàng.
Ngoài ra, phần 11 và 12 có ý nghĩa đối với bảo mật phía máy khách, bao gồm xác định, ưu tiên và giải quyết các lỗ hổng bên trong và bên ngoài cũng như phát hiện và ứng phó với sự xâm nhập mạng cũng như các thay đổi tệp không mong muốn.
Các yêu cầu có trong PCI DSS 4.0 có thể giúp ích rất nhiều trong việc giúp cải thiện bảo mật phía máy khách. Mặc dù các biện pháp kiểm soát bảo mật truyền thống, chẳng hạn như tường lửa ứng dụng web, bảo vệ chống lại một số mối đe dọa trực tuyến, nhưng chúng không mở rộng phạm vi tới trình duyệt của khách hàng. Do đó, phần mềm độc hại có tính năng lướt qua tinh vi, tấn công chuỗi cung ứng, tấn công sideloading và chainloading thường không bị phát hiện, khiến doanh nghiệp dễ bị tổn thương.
Mặc dù chính sách bảo mật nội dung có thể giúp đảm bảo tuân thủ, nhưng việc tạo và duy trì một chính sách không tự động hóa chỉ khả thi nếu các ứng dụng web và việc sử dụng trang web của bạn vẫn ổn định. Trong môi trường động, CSP thường bị lỗi và việc xác định lý do tại sao nó bị lỗi có thể là điều không thể do thiếu giải pháp hoạt động.
Để tuân thủ PCI DSS 4.0 sắp tới, các doanh nghiệp phải bắt đầu thực hiện các thay đổi. Điều đó bao gồm việc tìm ra nội dung web nào chúng có và chúng đến từ đâu, kiểm tra mã và tuân theo các phương pháp hay nhất do PCI 4.0 đặt ra. Điều này có thể gây ra vấn đề cho các doanh nghiệp lớn với hàng nghìn dòng tập lệnh đang được sử dụng. Đối với những công ty này, việc phân bổ thời gian để sàng lọc và gắn nhãn các dòng mã có thể mất hàng nghìn giờ.
Cùng với đó, các doanh nghiệp nên cân nhắc sử dụng các giải pháp bảo mật hiện đại để giúp họ tuân thủ PCI 4.0. Các chính sách bảo mật nội dung tự động có thể phát hiện tất cả các tập lệnh của bên thứ nhất và bên thứ ba, tài sản kỹ thuật số và dữ liệu mà họ có thể truy cập. Sau đó, họ có thể tạo các chính sách bảo mật nội dung có liên quan. Các tổ chức cũng có thể ngăn hoạt động web trái phép hoặc không mong muốn, chẳng hạn như chặn xuất dữ liệu chủ thẻ, chẳng hạn bằng cách sử dụng các công cụ quản lý và giám sát.
Những thay đổi trong phiên bản 4.0 của PCI DSS có nghĩa là các doanh nghiệp trực tuyến phải thực hiện thêm các bước để đảm bảo dữ liệu khách hàng của họ được an toàn. Các công ty muốn đi đầu trong đường cong tuân thủ nên bắt đầu thực hiện các thay đổi ngay bây giờ, bao gồm giải quyết các rủi ro bảo mật phổ biến phía máy khách trước khi những kẻ tấn công có thể khai thác chúng.
