Có rất nhiều rủi rỏ khi mua hàng qua web thương mại điện tử và với rất nhiều mối đe dọa từ các cuộc tấn công mạng vào nền tảng của trang web hay cổng thanh toán thì một điều rất quan trọng bạn phải làm để trấn an khách hàng của mình là triển khai và duy trì Payment Card Industry (PCI) Compliance (tạm dịch là Tuân thủ Công nghiệp thẻ thanh toán).  

Điều gì xảy ra nếu trang web bị xâm nhập?

Doanh số bán hàng của bạn giảm mạnh? Khách hàng có phàn nàn rằng thông tin thẻ tín dụng của họ đã bị đánh cắp sau khi mua hàng từ trang web của bạn? Khi trang web của bạn bị xâm nhập, hãy tìm hiểu làm thế nào mà việc xâm nhập xảy ra, việc làm này sẽ giúp bạn tìm ra đầu mối quan trọng để ngăn chặn những điều sắp xảy ra với trang web của mình. PCI Forensic Investigators (PFI) có thể giúp xác định khi nào và làm thế nào việc xâm nhập xảy ra. Một khi bạn hiểu được lỗ hổng, bạn có thể bắt đầu thực hiện các tiêu chuẩn PCI để bảo vệ bạn và khách hàng trong tương lai.

PCI Compliance là gì?

Bảo đảm thanh toán trực tuyến là những gì ngành công nghiệp thẻ thanh toán nhắm đến. Năm 2006, American Express, Discover, JCB International, MasterCard và Visa Inc. đã thành lập Hội đồng tiêu chuẩn bảo mật (PCI SSC) nhằm tạo ra một bộ tiêu chuẩn toàn diện và phát triển nhằm giúp các nhà cung cấp bảo vệ hệ thống thanh toán của họ. Tiêu chuẩn bảo mật dữ liệu PCI (PCI DSS) bao gồm các thông lệ chung, chẳng hạn như hạn chế thông tin chủ thẻ và nhu cầu tạo mật khẩu an toàn, không mặc định, cũng như thực hành chuyên sâu hơn như mã hóa và sử dụng tường lửa. 12 tiêu chuẩn bảo mật trong PCI DSS
Tìm hiểu về Payment Card Industry (PCI) Compliance
Các yêu cầu trên trang web tiêu chuẩn bảo mật PCI

Tầm quan trọng của tường lửa ứng dụng website

Bạn có thể thấy rằng yêu cầu số một trong tiêu chuẩn PCI là duy trì tường lửa để bảo vệ dữ liệu của chủ thẻ. Tường lửa ứng dụng web (Web Application Firewall – WAF) là một giải pháp nhằm bảo vệ cho ứng dụng web tránh khỏi các lỗi bảo mật. WAF là một thiết bị phần cứng hoặc phần mềm được cài lên máy chủ có chức năng theo dõi các thông tin được truyền qua giao thức http/https giữa trình duyệt của người dùng và máy chủ web tại lớp 7. Một WAF có khả năng thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng khác không làm được.

PCI và SSL

Với chứng chỉ SSL, trang web của bạn có thể tận dụng giao thức HTTPS để chuyển thông tin an toàn giữa điểm A và B. Điều này rất quan trọng khi chuyển thông tin nhạy cảm, như dữ liệu thẻ tín dụng trên trang thanh toán và thông tin nhận dạng cá nhân (PII) trên biểu mẫu đăng nhập và liên hệ. Chứng chỉ SSL sẽ xác nhận quyền sở hữu trang web và bảo mật dữ liệu của chủ thẻ, đây là yêu cầu thứ tư về tuân thủ PCI. Hãy cẩn thận: Mặc dù kết nối được mã hóa bảo đảm an toàn cho việc truyền dữ liệu nhưng bản thân trang web không được bảo vệ. An ninh trang web rất phức tạp và chứng chỉ SSL chỉ là một phần của bảo mật website. Giữ PCI compliance bằng cách sử dụng một chứng chỉ SSL, cũng như duy trì một môi trường trang web an toàn, tất cả các công việc được thực hiện đồng thời để tạo ra một mạng internet an toàn.

Kết luận

Ngăn chặn sự xâm nhập thay vì dọn dẹp sau khi bị xâm nhập có vẻ tiết kiệm nhiều thời gian và tiền bạc hơn nhiều – không chỉ cho bạn mà còn cho khách hàng của bạn. Bảo vệ uy tín thương hiệu và các sáng kiến ​​bán hàng của bạn bằng cách tuân thủ PCI Compliant và luôn có những đề án bảo mật tốt đối với website mình.

BÀI VIẾT LIÊN QUANXEM THÊM