Duy trì tuân thủ PCI

Ủy ban tiêu chuẩn bảo mật cho ngành công nghiệp thẻ thanh toán đề ra các tiêu chuẩn bảo mật được gọi là Tiêu chuẩn bảo mật dữ liệu cho ngành công nghiệp thẻ thanh toán (viết tắt là PCI-DSS hoặc PCI) để bảo vệ dữ liệu thẻ tín dụng. Điều đó có nghĩa là các tổ chức truyền tải, xử lý hoặc lưu trữ thông tin thẻ tín dụng sẽ phải tuân theo PCI.

Bạn có thể sử dụng dịch vụ lưu trữ để thiết lập sự hiện diện trực tuyến và catalô sản phẩm cho mình. Sau đó, bạn có thể làm việc với một nhà cung cấp bên thứ ba để thay mặt bạn xử lý các khoản thanh toán nhằm tránh phải lưu trữ thẻ tín dụng trên máy chủ của bạn (ví dụ: Thanh toán PayPal, Thanh toán trực tuyến Square và Thanh toán Stripe). Hãy nhớ nắm rõ mọi yêu cầu bổ sung để giúp doanh nghiệp của mình luôn tuân thủ PCI.

Nếu bạn muốn chấp nhận khoản thanh toán ngay trên trang của mình, chúng tôi mang đến cho bạn các sản phẩm được chứng nhận tuân thủ PCI như Dịch vụ lưu trữ thương mại điện tử WordPress được quản lý, Cửa hàng trực tuyếnCuộc hẹn trực tuyến. Tuân thủ PCI là một nỗ lực chung. Bởi thế, khi bạn dùng một trong các giải pháp được chứng nhận tuân thủ PCI của chúng tôi, chúng tôi thiết kế các quy trình và hệ thống bảo vệ thông tin thẻ tín dụng cho khách hàng của bạn và chúng tôi cần bạn bảo vệ tài khoản của mình.

Cửa hàng trực tuyến và Cuộc hẹn trực tuyến

Các khoản thanh toán thông qua Cửa hàng trực tuyến và Cuộc hẹn trực tuyến đều được tích hợp với các bên thứ ba giúp xử lý thông tin thẻ tín dụng tại môi trường bảo mật của họ. Những sản phẩm này sử dụng một lượng mã nhỏ trên website của bạn nhằm hỗ trợ khách hàng của bạn điền thẳng thông tin thẻ tín dụng vào trang. Điều này giúp bạn tuân thủ PCI bằng cách thực hiện một số bước bảo vệ tài khoản:

  • Quản lý người dùng
    • Luôn gán ID riêng cho người dùng và sử dụng mật khẩu mạnh.
    • Không dùng ID hay mật khẩu cho nhóm, được chia sẻ hoặc chung.
    • Xóa người dùng khi họ không nên sở hữu quyền truy cập nữa.
  • Bản ghi dạng giấy (phi kỹ thuật số)
    • Nếu bạn thu thập thông tin thẻ tín dụng trên giấy, hãy nhớ kiểm soát việc tiếp cận thông tin và hủy khi không còn cần nữa.
  • Tuân thủ nhà cung cấp dịch vụ
    • Nếu bạn dùng dịch vụ để quản lý bản ghi dạng giấy hoặc quản lý tài khoản của bạn, hãy đảm bảo nhà cung cấp dịch vụ đã xác nhận trách nhiệm của họ trong việc xử lý an toàn dữ liệu thẻ tín dụng và bạn tin rằng họ sẽ hoàn thành nghĩa vụ của mình.
  • Kế hoạch ứng phó sự cố
    • Hãy nhớ chuẩn bị sẵn danh sách liên hệ và cách xử lý thông tin liên lạc của khách hàng trong trường hợp có vi phạm dữ liệu.
  • Gửi Bảng câu hỏi tự đánh giá PCI A (PCI SAQ-A) cho bên xử lý (Stripe, Square hoặc PayPal) của bạn.

Lưu ý: Nếu bạn chấp nhận khoản thanh toán qua điện thoại thì có thể bạn sẽ cần tuân thủ thêm các yêu cầu nhằm bảo mật hệ thống điện thoại và máy tính do nhân viên tổng đài của bạn dùng.

WordPress được quản lý với WooCommerce

Bạn có thể dùng trình cắm WooCommerce để thực hiện thanh toán qua WordPress được quản lý, trình cắm này tích hợp với các bên thứ ba để xử lý thẻ tín dụng trong môi trường bảo mật của họ. Trình cắm này sử dụng một lượng mã nhỏ trên website của bạn nhằm hỗ trợ khách hàng của bạn điền thẳng thông tin thẻ tín dụng vào trang. Vì bạn kiểm soát trình cắm được cài đặt trong tài khoản của mình, bạn cần thực hiện thêm một số bước để tuân thủ PCI:

  • Thực hiện thanh toán
    • Chỉ cài đặt trình cắm WooCommerce cho các khoản thanh toán. Mặc dù trên thị trường vẫn có các trình cắm thanh toán khác nhưng chúng tôi chỉ chứng nhận trình cắm WooCommerce.
    • Không thêm bất kỳ chức năng hay mã nào xử lý thông tin thẻ tín dụng. Chúng tôi không thể chứng nhận mọi quy trình thanh toán tùy chỉnh được thêm vào máy chủ.
    • Luôn cập nhật trình cắm (tiến hành cập nhật trong vòng 30 ngày).
  • Quản lý người dùng
    • Luôn gán ID riêng cho người dùng và sử dụng mật khẩu mạnh.
    • Không dùng ID hay mật khẩu cho nhóm, được chia sẻ hoặc chung.
    • Xóa người dùng khi họ không nên sở hữu quyền truy cập nữa.
  • Bản ghi dạng giấy (phi kỹ thuật số)
    • Nếu bạn thu thập thông tin thẻ tín dụng trên giấy, hãy nhớ kiểm soát việc tiếp cận thông tin và hủy khi không còn cần nữa.
  • Tuân thủ nhà cung cấp dịch vụ
    • Nếu bạn dùng dịch vụ để quản lý bản ghi dạng giấy hoặc quản lý tài khoản của bạn, hãy đảm bảo nhà cung cấp dịch vụ đã xác nhận trách nhiệm của họ trong việc xử lý an toàn dữ liệu thẻ tín dụng và bạn tin rằng họ sẽ hoàn thành nghĩa vụ của mình.
  • Kế hoạch ứng phó sự cố
    • Hãy nhớ chuẩn bị sẵn danh sách liên hệ và cách xử lý thông tin liên lạc của khách hàng trong trường hợp có vi phạm dữ liệu.
  • Gửi Bảng câu hỏi tự đánh giá PCI A (PCI SAQ-A) cho bên xử lý (WooCommerce Payments, Stripe, PayPal, Square, Klarna hoặc PayFast) của bạn.

Lưu ý: Nếu bạn chấp nhận khoản thanh toán qua điện thoại thì có thể bạn sẽ cần tuân thủ thêm các yêu cầu nhằm bảo mật hệ thống điện thoại và máy tính do nhân viên tổng đài của bạn dùng.

Nếu bạn có thêm câu hỏi, vui lòng làm việc với ngân hàng của bạn hoặc liên hệ với Chuyên gia đánh giá bảo mật đủ điều kiện (QSA).

Xem thêm thông tin


Bài này có hữu ích không?
Cảm ơn về phản hồi của bạn. Để nói chuyện với một đại diện của dịch vụ khách hàng, vui lòng sử dụng số điện thoại hỗ trợ hoặc tùy chọn trò chuyện ở trên.
Rất vui vì chúng tôi đã giúp được bạn! Chúng tôi có thể làm gì thêm cho bạn?
Rất tiếc về điều đó. Vui lòng cho chúng tôi biết điều gì làm cho bạn bối rối và vì sao giải pháp không khắc phục được vấn đề này.