PCI DSS (Payment Card Industry Data Security Standard) là tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán. Tiêu chuẩn này do Hội đồng tiêu chuẩn bảo mật PCI Security Standards Council thiết lập, quản lý bởi 5 tổ chức thanh toán quốc tế uy tín gồm Visa, Master Card, American Express, Discover Financial Services và JCB International.
Để đạt được chứng chỉ này, các đơn vị phải tuân thủ 12 yêu cầu khắt khe dành cho hệ thống gồm quy trình xử lý dữ liệu, kiểm soát xâm nhập, chính sách an ninh thông tin,… nhằm đảm bảo an toàn cho dữ liệu thẻ trong suốt quá trình xử lý và lưu trữ tại các ngân hàng hoặc các đơn vị có chức năng thanh toán trực tuyến.
Data Center mới khai trương ngày 07/12/2017 của CMC Telecom đạt tiêu chuẩn Tier 3, có diện tích 1.200m2 với sức chứa hơn 220 rack. Để được công nhận chứng chỉ PCI DSS, CMC Telecom phải tuân theo quy trình bảo mật thông tin về kiểm soát vào – ra, hệ thống giám sát camera không điểm chết kèm dữ liệu lưu trữ 90 ngày, quản trị phòng ngừa rủi ro cho hệ thống, quy trình quản lý, lưu trữ và hủy bỏ thông tin nghiêm ngặt.
PCI DSS được quốc tế coi là chứng chỉ thể hiện năng lực hạn chế các lỗ hổng bảo mật cùng rủi ro bị đánh cắp thông tin, đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ và giao dịch thanh toán thẻ cho khách hàng trên những hệ thống liên quan đến thanh toán thẻ như ngân hàng, ví điện tử, cổng thanh toán, website thương mại điện tử,.. Khi đã có hạ tầng bảo mật đảm bảo tiêu chuẩn PCI DSS, khách hàng có thể yên tâm tập trung nguồn lực để phát triển các hoạt động kinh doanh cốt lõi.
Đối tác chiến lược của CMC Telecom là TIME dotCom hiện cũng là một trong những tập đoàn viễn thông uy tín tại châu Á sở hữu các Data Center đạt chuẩn PCI DSS.
12 yêu cầu về bảo mật thông tin của PCI DSS:
1. Xây dựng và duy trì hệ thống tường lửa nhằm bảo vệ dữ liệu thẻ thanh toán
2. Không dùng các tham số hoặc mật khẩu được thiết lập sẵn từ các nhà cung cấp hệ thống (thiết bị mạng, đường truyền Internet…)
3. Bảo vệ dữ liệu thẻ thanh toán khi lưu trữ trên hệ thống
4. Mã hóa thông tin thẻ trên đường truyền trong quá trình giao dịch
5. Sử dụng và cập nhật thường xuyên phần mềm phòng chống virus
6. Xây dựng - duy trì hệ thống và các ứng dụng đảm bảo an ninh mạng
7. Hạn chế việc tiếp cận với dữ liệu thẻ thanh toán
8. Cấp phát và theo dõi các tài khoản truy nhập hệ thống
9. Giới hạn các phương pháp tiếp cận vật lý với dữ liệu thẻ
10. Kiểm tra và lưu trữ tất cả các truy nhập vào hệ thống và dữ liệu thẻ
11. Thường xuyên đánh giá và thử nghiệm lại quy trình an ninh hệ thống
12. Xây dựng chính sách bảo vệ thông tin tại doanh nghiệp.