PCI-DSS là gì + ai phải tuân thủ
PCI-DSS = Payment Card Industry Data Security Standard. Visa/Master/Amex tạo. Bất kỳ doanh nghiệp xử lý thẻ tín dụng (collect, store, transmit) → phải tuân thủ. E-commerce VN chấp nhận thẻ quốc tế phải comply.
4 level PCI-DSS
- Level 1 (> 6M card transaction/năm): audit độc lập + ROC report. Cost: 200-500tr/năm.
- Level 2 (1M-6M): annual self-assessment + onsite audit recommend. Cost: 100-200tr.
- Level 3 (20k-1M): annual SAQ (Self-Assessment Questionnaire). Cost: 50-100tr.
- Level 4 (< 20k): SAQ basic. Cost: 30-60tr.
12 yêu cầu chính
- Install + maintain firewall.
- Không dùng default password.
- Protect stored cardholder data (encryption).
- Encrypt transmission of cardholder data (TLS).
- Use + update anti-virus.
- Develop + maintain secure systems (patch, code review).
- Restrict access to cardholder data by need-to-know.
- Identify + authenticate access to systems (unique ID).
- Restrict physical access to cardholder data.
- Track + monitor all access (audit log).
- Regularly test security systems (pentest hằng năm).
- Maintain information security policy (document).
Trick giảm scope: tokenization
Dùng payment gateway (Stripe, VNPay, Adyen). User nhập thẻ trong iframe của gateway → bạn không touch card data → bạn không lưu card data → scope giảm 80%.
Cost giảm: từ 100tr → 30tr/năm cho cùng level. ROI cao + bảo mật tốt hơn.
Self-assessment SAQ types
- SAQ A: dùng gateway, không touch card data. Easiest, 22 question.
- SAQ A-EP: e-commerce với iframe gateway. 191 question.
- SAQ D: full processing, store data. Complex, 329 question.
Đa số e-commerce VN: SAQ A hoặc A-EP qua gateway tokenization.
Cost breakdown Level 4
- Vulnerability scan quarterly: 6-12tr/năm.
- Self-assessment + report: 8-15tr.
- Security tools (firewall, antivirus, monitoring): 12-25tr/năm.
- Pentest annual: 30-80tr.
- Compliance consultant (1 lần): 20-50tr.
- Total: 30-100tr/năm.
Khi không compliance, hậu quả
- Fine từ Visa/Master: $5,000-100,000/tháng.
- Liability nếu breach: $50-90/card holder bị lộ.
- Visa/Master có thể terminate merchant agreement.
- Brand damage + lawsuit.
E-commerce VN cần audit PCI-DSS? Alodev hợp tác với compliance consultant. /lien-he