Pháp luật là một hệ thống các quy tắc và hướng dẫn được thực thi bởi một quốc gia hoặc cộng đồng cụ thể để điều chỉnh hành vi. Tiêu chuẩn là “tài liệu được thiết lập bởi sự đồng thuận và được chấp thuận bởi cơ quan được công nhận, cung cấp các quy tắc, hướng dẫn hoặc đặc điểm cho các hoạt động hoặc kết quả của chúng, để đạt được mức độ trật tự tối ưu trong một bối cảnh nhất định. ” Phần này đề cập đến các luật và tiêu chuẩn khác nhau về bảo mật thông tin ở các quốc gia khác nhau.
Đây là bài viết cuối cùng của Module 1: Introduction to Ethical Hacking trong chuỗi bài viết CEH Tiếng Việt, các bạn có thể xem thêm tại đây.
Payment Card Industry Data Security standard (PCI-DSS) – Tiêu chuẩn PCI-DSS là gì?
Nguồn: https://www.pcisecuritystandards.org.
Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI-DSS) – gọi tắt là tiêu chuẩn PCI-DSS là một tiêu chuẩn bảo mật thông tin độc quyền dành cho các tổ chức xử lý thông tin chủ thẻ cho các loại thẻ ghi nợ, tín dụng, trả trước, ví điện tử, ATM và POS. Tiêu chuẩn này đưa ra các chuẩn mạnh mẽ và toàn diện và các tài liệu hỗ trợ để tăng cường bảo mật dữ liệu thẻ thanh toán.
Các tài liệu này bao gồm một khuôn khổ các thông số kỹ thuật, công cụ, phép đo và các nguồn lực hỗ trợ để giúp các tổ chức đảm bảo việc xử lý thông tin chủ thẻ một cách an toàn. Tiêu chuẩn PCI-DSS áp dụng cho tất cả các thực thể liên quan đến quá trình xử lý thẻ thanh toán, bao gồm người bán, người xử lý, người mua, tổ chức phát hành và nhà cung cấp dịch vụ, cũng như tất cả các thực thể khác lưu trữ, xử lý hoặc truyền dữ liệu của chủ thẻ.
PCI-DSS bao gồm một tập hợp các yêu cầu tối thiểu để bảo vệ dữ liệu của chủ thẻ. Hội đồng tiêu chuẩn bảo mật ngành thẻ thanh toán (PCI) đã phát triển và duy trì tổng quan cấp cao về các yêu cầu của PCI-DSS.
Việc không đáp ứng các yêu cầu của tiêu chuẩn PCI-DSS có thể dẫn đến viêc bị xử phạt hoặc chấm dứt các đặc quyền xử lý thẻ thanh toán.
ISO/IEC 27001:2013 là gì?
ISO/IEC 27001:2013 quy định các yêu cầu để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin trong bối cảnh của một tổ chức. Nó bao gồm các yêu cầu về đánh giá và xử lý các rủi ro an toàn thông tin phù hợp với nhu cầu của tổ chức.
Quy định này nhằm phù hợp với một số mục đích sử dụng khác nhau, bao gồm:
- Sử dụng trong các tổ chức để hình thành các yêu cầu và mục tiêu bảo mật.
- Nhằm đảm bảo rằng các rủi ro bảo mật được quản lý hiệu quả về chi phí.
- Đảm bảo tuân thủ luật pháp và quy định.
- Xác định các quy trình quản lý bảo mật thông tin mới.
- Xác định và làm rõ các quy trình quản lý bảo mật thông tin hiện có.
- Xác định tình trạng của các hoạt động quản lý an toàn thông tin.
- Thực hiện bảo mật thông tin hỗ trợ doanh nghiệp.
- Được các tổ chức sử dụng để cung cấp thông tin liên quan về bảo mật thông tin cho khách hàng.
Comments 1