PVcomBank đạt chứng chỉ bảo mật quốc tế PCI DSS ở cấp độ cao nhất
Vượt qua 12 yêu cầu khắt khe trong tiêu chuẩn bảo mật dữ liệu thẻ thanh toán, Ngân hàng TMCP Đại Chúng Việt Nam (PVcomBank) đã nhận được chứng chỉ bảo mật quốc tế PCI DSS năm đầu tiên. Chứng chỉ là phiên bản 3.2.1 ở cấp độ cao nhất (level 1), được cấp bởi Công ty TNHH Hệ thống Thông tin FPT (FPT IS), có hiệu lực trong vòng 1 năm.
Bắt đầu từ 7/2022, PVcomBank đã trải qua quá trình đánh giá luồng nghiệp vụ thẻ, hiện trạng hệ thống công nghệ thông tin, và thực hiện các giải pháp kỹ thuật, công nghệ, cũng như thay đổi chính sách, quy định để đáp ứng tuân thủ các yêu cầu nghiêm ngặt mà tiêu chuẩn PCI DSS đề ra với sự hỗ trợ từ FPT IS.
Chỉ sau 10 tháng, FPT IS xác nhận PVcomBank đã đáp ứng đầy đủ 6 nhóm mục tiêu với 12 yêu cầu khắt khe của tiêu chuẩn PCI DSS như: Xây dựng, duy trì hệ thống tường lửa bảo vệ dữ liệu thẻ; mã hóa thông tin trên đường truyền dữ liệu khi giao dịch; định kỳ kiểm thử cho ứng dụng và hệ thống; bảo mật đối với các tổ chức, doanh nghiệp có liên quan đến nghiệp vụ xử lý, truyền tải và lưu trữ dữ liệu thẻ quốc tế; duy trì chính sách an toàn thông tin cho các cá nhân liên quan;… Việc FPT IS trao chứng chỉ PCI DSS 3.2.1 level 1 đã khẳng định những nỗ lực của PVcomBank trong hành trình kiện toàn các tiêu chuẩn bảo mật với mức độ cao nhất không chỉ ở hệ thống thanh toán thẻ mà còn là toàn bộ hệ thống công nghệ thông tin của Ngân hàng.
Nói về thời gian làm việc với PVcomBank, ông Nguyễn Hoàng Minh, Tổng Giám đốc FPT IS đánh giá dự án triển khai chứng chỉ PCI DSS cho PVcomBank là một hành trình nhiều thách thức. Trước sự phức tạp của các hệ thống và nghiệp vụ thẻ tại PVcomBank, hai bên đã phối hợp chặt chẽ để xây dựng bức tranh hiện trạng một cách tổng thể - nền tảng quan trọng đưa dự án đi tới thành công. FPT IS và PVcomBank đã đẩy mạnh mọi kênh giao tiếp, tăng cường các buổi họp và liên tục chỉnh sửa kế hoạch theo thực tế triển khai.
“Với kinh nghiệm 30 năm trong lĩnh vực tài chính - ngân hàng, cùng vị thế là đơn vị hàng đầu tại Việt Nam được uỷ quyền đánh giá và cấp chứng nhận tuân thủ PCI DSS, FPT IS đã song hành với PVcomBank, giải quyết trọn vẹn các trở ngại, đưa dự án về đích trước kế hoạch. Chúng tôi tin rằng chứng chỉ PCI DSS sẽ là bước đệm quan trọng để PVcomBank chinh phục chiến lược chuyển đổi số và hiện thực hóa mục tiêu kinh doanh trong tương lai”, Tổng Giám đốc FPT IS chia sẻ.
Ông Nguyễn Việt Hà, Phó Tổng Giám đốc PVcomBank cho biết: “Ngay khi xác định chuyển đổi số là nhiệm vụ trọng tâm, PVcomBank đã đặt ra yêu cầu phải đạt được các tiêu chuẩn quốc tế về an toàn, bảo mật cho việc phát triển các dịch vụ. Việc được cấp chứng chỉ PCI DSS là một dấu mốc quan trọng, giúp PVcomBank đạt thêm một bước tiến mới trong hành trình chuyển đổi số nói chung, trong nỗ lực đảm bảo an toàn, bảo mật cho hệ thống thẻ nói riêng. Điều này cũng góp phần nâng cao uy tín của Ngân hàng, củng cố vững chắc hơn lòng tin của khách hàng khi sử dụng các sản phẩm thẻ, thanh toán của PVcomBank và đặt nền móng, mở ra cơ hội kết nối, hợp tác với các đối tác tài chính lớn trên toàn cầu trong tương lai”.
Chứng chỉ PCI DSS (Payment Card Industry Data Security Standard – Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán) là một tiêu chuẩn về an ninh thông tin được công nhận toàn cầu và là yêu cầu bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý dữ liệu thẻ thanh toán. Tiêu chuẩn PCI DSS được hình thành bởi Hiệp hội Tiêu chuẩn bảo mật dành cho thẻ thanh toán quốc tế (Payment Card Industry Security Standard Council - PCISSC) gồm liên minh 5 thương hiệu thẻ lớn nhất thế giới: Visa, MasterCard, American Express, Discover Financial Services và JCB International. Tiêu chuẩn này được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ trong việc bảo vệ dữ liệu của khách hàng; chống lại việc xâm nhập, sử dụng dữ liệu khi chưa được phép. Theo đó, PCI DSS được áp dụng cho tất cả các doanh nghiệp có hoạt động về lưu trữ, xử lý hoặc truyền tải dữ liệu nhằm hạn chế các lỗ hổng bảo mật cũng như rủi ro bị đánh cắp thông tin, đồng thời tăng cường bảo vệ dữ liệu trên thẻ.
Việc đánh giá PCI DSS sẽ do các đơn vị được cấp chứng chỉ Qualified Security Assessors (QSA) bởi Hiệp hội Tiêu chuẩn bảo mật dành cho thẻ thanh toán quốc tế thực hiện. Trên thế giới, QSA là một tiêu chuẩn công nhận rằng các đơn vị này có đủ năng lực quốc tế về đánh giá và cấp chứng chỉ bảo mật PCI DSS. Tại Việt Nam, FPT IS là một trong số ít các doanh nghiệp đầu tiên sở hữu chứng chỉ QSA.
Với việc được cấp chứng chỉ PCI DSS lần này, hàng năm, PVcomBank sẽ phải trải qua các kỳ đánh giá lại với các yêu cầu bảo mật phải được nâng cấp và duy trì thường xuyên. Điều đó đòi hỏi PVcomBank sẽ cần dành nhiều nguồn lực và thời gian đầu tư cho hệ thống công nghệ thông tin. Đây vừa là yêu cầu cần thiết song cũng là cơ hội để Ngân hàng tiếp cận với các công nghệ mới, tập trung cải tiến và khắc phục những điểm chưa phù hợp để nâng cao hiệu quả an toàn, an ninh thông tin, đáp ứng các tiêu chí của bộ tiêu chuẩn PCI DSS.