Công việc của chúng tôi

Công việc của chúng tôi

Lợi ích của việc tuân thủ PCI DSS


Là nhà kinh doanh hoặc một nhà cung cấp dịch vụ

Giảm nguy cơ vi phạm bảo mật

Tăng sự tin tưởng từ khách hàng của bạn

Tránh được các khoản phạt từ các thương hiệu thanh toán

Giảm nguy cơ vi phạm bảo mật

Tăng sự tin tưởng từ khách hàng của bạn

Tránh được các khoản phạt từ các thương hiệu thanh toán

Bạn có cần PCI DSS không?


Nếu doanh nghiệp của bạn giao dịch qua thẻ thanh toán, bạn phải tuân thủ PCI DSS. Có 12 yêu cầu tuân thủ để giải quyết mối đe dọa ngày càng tăng đối với thông tin thanh toán của khách hàng. Các tổ chức không tuân thủ tiêu chuẩn có thể bị phạt từ 5.000 USD – 100.000 USD cùng với các các hình phạt khác.

Chuyên gia Đánh giá Bảo mật Đủ tiêu chuẩn PCI


Các chuyên gia của MXC được Hội đồng Tiêu chuẩn Bảo mật PCI công nhận là đủ điều kiện làm chuyên gia đánh giá của PCI DSS còn được gọi là Chuyên gia Đánh giá Bảo mật Đủ tiêu chuẩn PCI (QSA). Với tư cách là QSA, chúng tôi có thể hỗ trợ các thương gia và nhà cung cấp dịch vụ tuân thủ PCI trên Bảng câu hỏi tự đánh giá (SAQ) và Báo cáo về sự tuân thủ (ROC) với Chứng nhận Tuân thủ (AOC).

Tại sao các công ty được chứng nhận PCI lại bị tấn công

Tại sao các công ty được chứng nhận PCI lại bị tấn công

Các công ty được chứng nhận PCI có an toàn không?


Một trong những quan niệm sai lầm lớn về việc tuân thủ PCI DSS là các công ty được chứng nhận bởi PCI DSS sẽ an toàn hoặc chống lại được hacker. Điều này có nghĩa là nhiều doanh nghiệp đang đánh dấu các ô tuân thủ PCI DSS ra khỏi danh sách của họ, hoặc thậm chí chỉ thực hiện các biện pháp kiểm soát bù trừ trong thời gian kiểm tra PCI QSA, và sau đó quên mất bảo vệ an ninh là một công việc toàn thời gian liên tục. Danh sách sau đây minh họa các trường hợp mà phương pháp QSA kém có thể dẫn đến đánh giá sai sót:

  • Các QSA chủ yếu dựa vào các tuyên bố của người được phỏng vấn để xác nhận sự tuân thủ
  • Các QSA chỉ dựa vào bằng chứng do tổ chức cung cấp
  • Các QSA dành ít hoặc không tốn thời gian để đánh giá, tư vấn và kiểm toán
  • Các QSA không lấy mẫu đại diện cho các thành phần hệ thống
  • QSA đang xác thực các mặt tích cực thay vì phủ định

Mức độ thành thạo & kinh nghiệm của Công ty QSA / nhân viên QSA cũng có thể là một yếu tố có thể dẫn đến việc các tổ chức không tuân thủ vượt qua các bài đánh giá của họ, ví dụ:

  • Các QSA không xác định được phạm vi tuân thủ phù hợp cho một tổ chức
  • QSA không phải là chuyên gia về các sản phẩm hoặc công nghệ bảo mật cụ thể
  • Các QSA không quen thuộc với các kỹ thuật hack hoặc các hướng tấn công mà tin tặc sử dụng để xâm phạm tổ chức

PCI đã đưa ra mức phạt lên đến 500.000 đô la cho mỗi sự cố đối với vi phạm bảo mật khi các thương nhân không tuân thủ PCI. Ngoài ra, yêu cầu tất cả các cá nhân có thông tin được cho là đã bị xâm phạm phải được thông báo bằng văn bản để cảnh giác với các cáo buộc gian lận. Do đó, chi phí tiềm ẩn của một vi phạm bảo mật có thể vượt xa 500.000 đô la khi tính toán chi phí thông báo và khắc phục của khách hàng. Và chi phí bổ sung tiềm năng khác cho vi phạm dữ liệu là:

  • Tăng yêu cầu kiểm toán
  • Khả năng ngưng các hoạt động thẻ trên toàn hệ thống
  • Chi phí và thời gian tiếp tục đến giai đoạn trước khi xảy ra sự cố
  • Chi phí thực hiện PR và Quản lý sự cố
  • Chi phí thời gian của nhân viên (trả lương) trong quá trình khôi phục an ninh
  • Chi phí kinh doanh bị mất trong quá trình đăng ký hoặc đóng cửa cửa hàng và thời gian xử lý
  • Doanh số bán hàng giảm sút do hình ảnh công chúng bị hoen ố và mất niềm tin của khách hàng

Ví dụ điển hình


Hack dữ liệu du lịch khiến các ngân hàng Hy Lạp hủy bỏ hàng nghìn thẻ tài khoản. Tất cả bốn tổ chức ngân hàng chính của Hy Lạp đã ban hành các giao thức bảo mật sau khi vi phạm dữ liệu và do đó đã hủy 15.000 thẻ tiêu dùng. Sau khi thông tin người tiêu dùng bị xâm phạm trên một trang web du lịch, Alpha Bank, Piraeus Bank, Eurobank và Ngân hàng Quốc gia Hy Lạp đã hủy thẻ tín dụng và thẻ ghi nợ cho khách hàng. Trang web du lịch cho phép khách hàng mua tất cả các phương thức di chuyển, cùng với đặt phòng khách sạn và bảo hiểm. Các công ty thẻ tín dụng lớn, chẳng hạn như Visa và Mastercard. Do đó, bất kỳ thẻ ngân hàng nào được sử dụng trên cổng thông tin du lịch đã bị hủy và được thay thế.

Tại sao chọn MXC Security làm Cố vấn An ninh Thông tin và Cố vấn An ninh Mạng lâu dài của bạn?

  • Hơn 15 năm kinh nghiệm trong tư vấn bảo mật thông tin và tư vấn ISO 27001 ISMS cho nhiều MNC và FSI; Với điều này chắc chắn có thể cung cấp lời khuyên phù hợp với mục đích và khuyến nghị kiểm soát để đáp ứng không chỉ mẫu / danh sách kiểm tra PCI DSS mà còn các phương pháp tốt nhất như ISO 27001 ISMS, NIST và các trải nghiệm quy định phù hợp;
  • Đánh giá sự tuân thủ PCI DSS không chỉ là một bài tập đánh giá dựa trên danh sách kiểm tra. Nó đòi hỏi một đánh giá viên có kinh nghiệm để quản lý cuộc đánh giá và đạt được tình thế đôi bên cùng có lợi. MXC QSA là Kiểm toán viên chính của IRCA ISMS và kiểm toán viên IS giàu kinh nghiệm với hơn 15 năm kinh nghiệm kiểm toán, những người biết cách quản lý nhịp điệu của cuộc đánh giá và tối ưu hóa kết quả
  • Cố vấn An ninh nội địa của Việt Nam đóng vai trò là người hỗ trợ và điều phối để tạo điều kiện cho việc phối hợp kịp thời và hiệu quả. Văn hóa CNTT và an toàn thông tin nội địa của Việt Nam cũng có thể được coi là một yếu tố thành công quan trọng và được hài hòa trong đánh giá này
  • Các Chuyên gia toàn thời gian tại Nội địa / Khu vực sẽ được phân bổ cho dự án này
  • Chuyên gia kiểm thử thâm nhập có trình độ cao với 6 chứng nhận CREST / OSCP (Lưu ý * A)
  • Công ty được CREST công nhận – Kiểm thử thâm nhập
  • Nhà cung cấp dịch vụ Kiểm thử thâm nhập trong 16 năm trở lên
  • Các thành viên trong nhóm chuyên nghiệp tại Việt Nam và nói được cả tiếng Việt / tiếng Anh

Lưu ý * A: Rủi ro khi dùng dịch vụ kiểm thử thâm nhập kém hiệu quả: Kiểm thử thâm nhập dựa trên công cụ / tự động không phải là kiểm thử thâm nhập thực sự Có rất nhiều công cụ chạy dịch vụ kiểm thử thâm nhập (chủ yếu là phần mềm miễn phí, một số công cụ thương mại) làm cốt lõi của cuộc kiểm thử. Tuy nhiên, nó không phải là một cuộc kiểm thử thâm nhập đủ tiêu chuẩn thực sự. Công cụ không phải là yếu tố thành công then chốt của việc hack, mà chính kỹ năng của người đánh giá mới là người phát hiện ra các lỗ hổng. Chúng tôi có một số ví dụ rằng các lỗ hổng bảo mật Rủi ro nghiêm trọng và Nguy cơ cao chỉ có thể được phát hiện bằng cách kiểm tra thủ công, không phải các công cụ tự động. Nếu bạn nhận được báo cáo với kết quả chủ yếu do các công cụ tạo ra, bạn có nguy cơ bị tấn công bởi một tin tặc thực sự, và thậm chí một tin tặc bình thường có thể phát hiện ra các lỗ hổng mà các công cụ không tìm thấy.

Đánh giá từ khách hàng


Cách tiếp cận


Phương pháp của chúng tôi về nghiệp vụ tư vấn PCI DSS

Giai đoạn 0 – Khởi tạo và tham vấn dự án

Nhóm PCI DSS QSA của chúng tôi bắt đầu dự án thông qua một buổi gặp mặt và tiến hành liệt kê lịch trình dự án và thỏa thuận.

Giai đoạn 1 – khám phá

Trong giai đoạn này, nhóm giám sát chất lượng bảo mật PCI DSS(QSA) sẽ thu thập tài liệu để xác nhận phạm vi và kiểm tra ban đầu.

Giai đoạn 2 – yêu cầu kiểm tra PCI DSS

Trong giai đoạn này, nhóm QSA sẽ kiểm tra mức độ sẵn sàng và kiểm tra yêu cầu của PCI DSS để đánh giá trạng thái tuân thủ đối với các yêu cầu của PCI DSS. Kiểm tra mức độ sẵn sàng của PCI DSS đóng vai trò là kiểm tra sơ bộ trước khi kiểm tra yêu cầu chính thức.

Giai đoạn 3 – Dịch vụ tư vấn và xử lý sửa chửa

Dựa vào kết quả đã kiểm tra, Maximus cung cấp tư vấn và hỗ trợ khách hàng khắc phục và tuân thủ theo các yêu cầu của PCI DSS. Maximus sẽ soạn thảo tất cả các thủ tục liên quan đến hệ thống quản lý PCI DSS và hỗ trợ khách hàng xem xét và hoàn thiện các thủ tục đó. Điều này có thể giảm thiểu công sức của khách hàng trong việc thiết lập các chính sách và thủ tục ngay từ đầu.

Giai đoạn 4 – Tổng hợp báo cáo

Đội ngủ QSA sẽ phân tích trên bằng chứng đã thu thập được từ cuộc kiểm tra yêu cầu PCI DSS và chuẩn bị cho bản báo cáo cuối cùng.

Giai đoạn 5 – Quản lý chất lượng

Trước khi giao bản báo cáo, nhóm QSA sẽ thực hiện đánh giá nội bộ để đảm bảo báo cáo đáp ứng các tiêu chí nội bộ. Khi cuộc đánh giá kết thúc, nhóm quản lý chất lượng sẽ hoàn thiện ROC và AOC để giao cho khách hàng.

Giai đoạn 6 – Kết thúc

Một cuộc họp kết thúc sẽ được sắp xếp với các bên liên quan của khách hàng để cung cấp báo cáo và trình bày kết quả của cuộc kiểm tra.