Tăng cường tuân thủ PCI DSS 4.0.1 với YubiKey

Sẵn sàng cho giai đoạn phát triển tiếp theo của PCI DSS

Hội đồng Tiêu chuẩn Bảo mật PCI (PCI Security Standards Council – SSC) là đơn vị ban hành Bộ tiêu chuẩn bảo mật dữ liệu PCI (PCI DSS). PCI SSC tiếp tục thể hiện sự đầu tư và chuyên môn sâu rộng khi nâng cấp tiêu chuẩn cốt lõi 4.0 bằng bản cập nhật 4.0.1. PCI DSS yêu cầu các tổ chức trên toàn thế giới phải triển khai mức độ an ninh mạng cao hơn nhằm bảo vệ dữ liệu nhạy cảm và toàn bộ hệ sinh thái thanh toán — tác động đến mọi ngành nghề.

Các tổ chức hiện lưu trữ khối lượng lớn dữ liệu thẻ thanh toán (PCI) cũng như thông tin định danh của nhân viên và khách hàng (PII), điều này đòi hỏi các biện pháp an ninh mạng mạnh mẽ hơn, bắt đầu từ xác thực người dùng. Trên thực tế, 90% các vụ vi phạm an ninh mạng bắt nguồn từ việc đánh cắp thông tin đăng nhập, mật khẩu hoặc các phương thức xác thực yếu khác. Mặc dù mọi hình thức xác thực đa yếu tố (MFA) đều mang lại lợi ích đáng kể so với mô hình chỉ sử dụng tên đăng nhập và mật khẩu truyền thống, nhưng không phải tất cả MFA đều có mức độ hiệu quả như nhau.

Các phương thức xác thực đời cũ dựa trên thiết bị di động như SMS, OTP và ứng dụng thông báo đẩy không có khả năng chống phishing và còn tạo ra rủi ro gián đoạn hoạt động với chi phí cao cho tổ chức. Không phải mọi giải pháp MFA đều được xây dựng với cùng mức độ bảo mật.

PCI DSS 4.0.1 định nghĩa MFA như thế nào

Ngôn ngữ trong tiêu chuẩn đã trực tiếp tham chiếu đến Liên minh FIDO khi lựa chọn các yếu tố xác thực và Tài liệu hướng dẫn Special Publication (Ấn phẩm đặc biệt SP) 800-63 của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (National Institute of Standards and Technology – NIST) liên quan đến MFA chống phishing. Theo đó, mọi quy trình MFA sử dụng chia sẻ bí mật đều dễ bị tấn công phishing bao gồm: mật khẩu, câu hỏi bảo mật, xác thực dựa trên thiết bị di động (SMS) và thẻ từ.

Theo NIST SP 800-63B, hiện chỉ có hai hình thức xác thực đáp ứng tiêu chuẩn MFA chống phishing: Smart Card/PIV và FIDO2/WebAuthn.

Cụ thể trong phiên bản v4.0.1:

  • Requirement 8.X nâng cao yêu cầu MFA bằng cách bắt buộc ít nhất một yếu tố xác thực cho người dùng và quản trị viên, đồng thời yêu cầu tối thiểu hai yếu tố MFA cho mọi truy cập vào môi trường dữ liệu chủ thẻ (Cardholder Data Environment – CDE) và các hệ thống liên quan.
  • Requirement 12.X nhấn mạnh nhu cầu tập trung vào trải nghiệm người dùng nhằm khuyến khích việc sử dụng MFA một cách dễ dàng, đồng thời chú trọng đào tạo và nâng cao nhận thức người dùng.

Điều này có ý nghĩa gì đối với chiến lược xác thực của bạn

Mức độ bảo mật MFA càng yếu thì gánh nặng tuân thủ càng lớn: nhiều chính sách hơn, yêu cầu đào tạo người dùng nhiều hơn và cần thêm nhiều lớp kiểm soát để quản lý rủi ro.

Giải pháp là triển khai MFA chống phishing mạnh mẽ và không mật khẩu cho toàn bộ người  dùng. Với sự gia tăng của các cuộc tấn công phishing được hỗ trợ bởi AI, QR phishing (Quishing) và nhiều hình thức tấn công kỹ thuật khác, nhu cầu về xác thực chống phishing ngày càng trở nên cấp thiết nhằm đối phó với bối cảnh đe dọa ngày càng tinh vi.

Vì sao nên lựa chọn YubiKey cho xác thực chống phishing?

  • Với YubiKey, doanh nghiệp có thể triển khai chiến lược passkey bảo mật nhất hiện nay: passkey gắn chặt với thiết bị (device-bound), được thiết kế chuyên biệt cho bảo mật, đạt chứng nhận FIPS 140-2 và tuân thủ Authenticator Assurance (Đảm bảo xác thực) Level 3 (AAL3).
  • Tạo cầu nối đến tương lai passwordless hiện đại nhờ hỗ trợ đa giao thức gồm Smart Card/PIV, FIDO2/WebAuthn, FIDO U2F và OTP trên cùng một khóa bảo mật.
  • Xây dựng lực lượng người dùng có khả năng chống phishing xuyên suốt toàn bộ vòng đời xác thực từ đăng ký nhân viên mới trên thiết bị mới, xác thực hằng ngày cho đến quy trình khôi phục tài khoản.
  • Đăng nhập không cần mật khẩu bằng xác thực FIDO2 chống phishing để cung cấp mức độ bảo vệ mạnh nhất với YubiKey bởi những gì không tồn tại thì không thể bị đánh cắp hay xâm phạm.
  • Giảm 99,99% nguy cơ đánh cắp thông tin xác thực và ngăn chặn hoàn toàn các vụ chiếm đoạt tài khoản, đồng thời mang lại ROI lên tới 265%.
  • Cung cấp khả năng truy cập bảo mật ở quy mô lớn trên mọi thiết bị với trải nghiệm người dùng tối ưu nhất.
  • Đảm bảo tính liên tục trong kinh doanh, đồng thời đáp ứng yêu cầu từ bảo hiểm an ninh mạng và các quy định quản lý.
  • Đảm bảo mọi cuộc tấn công mạng từ xa đều thất bại vì YubiKey yêu cầu sự hiện diện thực tế của con người khi gửi thông tin xác thực để đăng nhập.

Bắt đầu ngay hôm nay và triển khai YubiKey một cách liền mạch

Với YubiKey as a Service, các tổ chức có thể triển khai YubiKey trên phạm vi toàn cầu một cách đơn giản và linh hoạt cho nhân viên, chuỗi cung ứng và khách hàng cuối. YubiKey as a Service cung cấp nhiều tùy chọn form factor, kho thiết bị thay thế và dịch vụ hỗ trợ khách hàng ưu tiên – tất cả với chi phí thấp hơn giá một ly cà phê mỗi tháng. Các dịch vụ Đăng ký (Enrollment) và Vận chuyển (Delivery) giúp đội ngũ IT nhanh chóng onboarding người dùng với YubiKey để đẩy nhanh lộ trình chống phishing, đồng thời phân phối YubiKey tới người dùng cuối trên toàn thế giới, bao gồm cả địa chỉ doanh nghiệp và địa chỉ cá nhân. Người dùng thậm chí có thể tự đặt hàng YubiKey thông qua hình thức self-service, cho phép họ chủ động lựa chọn địa chỉ nhận thiết bị bất cứ khi nào cần. Khách hàng sử dụng YubiKey as a Service cũng liên tục nhận được các cải tiến mới về dịch vụ, giúp đảm bảo khoản đầu tư bảo mật luôn thông minh và sẵn sàng cho tương lai.

Tại thị trường Việt Nam, do một số đặc thù về pháp lý, dịch vụ YubiKey as a Service không được triển khai. Sản phẩm YubiKey được phân phối trực tiếp tại DigiBit – đối tác cấp cao của Yubico. DigiBit đồng hành cùng doanh nghiệp ở mọi giai đoạn trên hành trình an ninh mạng, đồng thời giúp củng cố khả năng tuân thủ để đáp ứng các yêu cầu bảo mật của hiện tại và tương lai.

Giỏ hàng0
Không có sản phẩm nào trong giỏ hàng!
Tiếp tục mua hàng