Tìm hiểu cách xác thực bằng passkey đáp ứng yêu cầu MFA của PCI DSS 4.0, tăng cường bảo mật và đơn giản hóa việc tuân thủ cho các đơn vị xử lý dữ liệu chủ thẻ.
Vincent
Created: July 15, 2025
Updated: July 16, 2025
See the original blog version in English here.
60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle
Bối cảnh kỹ thuật số không ngừng phát triển, và cùng với đó, sự tinh vi và tần suất của các mối đe dọa mạng cũng tiếp tục gia tăng. Dữ liệu thẻ thanh toán vẫn là mục tiêu hàng đầu của các đối tượng xấu, khiến các tiêu chuẩn bảo mật mạnh mẽ trở nên thiết yếu đối với bất kỳ tổ chức nào xử lý chúng. Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) từ lâu đã là tiêu chuẩn để bảo vệ dữ liệu chủ thẻ. Phiên bản mới nhất, PCI DSS 4.0, đại diện cho một bước tiến đáng kể, trực tiếp giải quyết các mối đe dọa hiện đại thông qua việc tăng cường đáng kể các yêu cầu xác thực, cùng với các cải tiến khác.
Khi các tổ chức giải quyết những yêu cầu mới này, các công nghệ mới nổi mang lại những giải pháp đầy hứa hẹn. Passkeys, được xây dựng dựa trên các tiêu chuẩn của Liên minh FIDO (Fast Identity Online) và giao thức WebAuthn, đang đi đầu trong làn sóng xác thực mới này. Chúng cung cấp một phương pháp không mật khẩu, chống lừa đảo (phishing-resistant) và cải thiện cách thức bảo mật quyền truy cập vào dữ liệu nhạy cảm. Bài viết này phân tích những thay đổi quan trọng do PCI DSS 4.0 mang lại, đặc biệt là về xác thực an toàn, khám phá khả năng của xác thực bằng passkey và cung cấp một lộ trình để tận dụng công nghệ này nhằm đạt được và duy trì sự tuân thủ.
Việc khám phá này dẫn đến hai câu hỏi quan trọng cho các tổ chức đang định hướng trong lĩnh vực mới này:
Bài viết này nhằm mục đích cung cấp câu trả lời, hướng dẫn các chuyên gia kỹ thuật hướng tới một tương lai an toàn và tuân thủ hơn.
Recent Articles
♟️
Mastercard Identity Check: Mọi Điều Tổ Chức Phát Hành & Đơn Vị Chấp Nhận Thanh Toán Cần Biết
♟️
Passkeys cho Nhà cung cấp Thanh toán: Cách Xây dựng SDK của Bên thứ ba
♟️
Máy chủ Kiểm soát Truy cập EMV 3DS: Passkeys, FIDO và SPC
♟️
Xác thực PCI DSS 4.0: Passkeys
♟️
Toàn cảnh Passkey thanh toán: 4 Mô hình tích hợp cốt lõi
Để đánh giá đúng vai trò của passkeys trong bối cảnh tuân thủ hiện tại, điều quan trọng là phải hiểu rõ khuôn khổ PCI DSS và sự phát triển đáng kể được đánh dấu bởi phiên bản 4.0.
Tiêu chuẩn Bảo mật Dữ liệu PCI là một tiêu chuẩn bảo mật thông tin toàn cầu được thiết kế để bảo vệ dữ liệu thanh toán. Nó áp dụng cho tất cả các đơn vị lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ, bao gồm đơn vị chấp nhận thẻ (merchants), đơn vị xử lý (processors), ngân hàng thanh toán (acquirers), ngân hàng phát hành (issuers) và các nhà cung cấp dịch vụ. Tiêu chuẩn này được phát triển bởi các thương hiệu thẻ thanh toán lớn (American Express, Discover Financial Services, JCB International, MasterCard, và Visa), những đơn vị đã thành lập Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) vào ngày 7 tháng 9 năm 2006, để quản lý sự phát triển liên tục của nó. PCI DSS bao gồm một bộ yêu cầu kỹ thuật và vận hành toàn diện, tạo thành một nền tảng để bảo vệ dữ liệu thanh toán trong suốt vòng đời của nó.
Hội đồng PCI SSC hoạt động như một diễn đàn toàn cầu, quy tụ các bên liên quan trong ngành thanh toán để phát triển và thúc đẩy việc áp dụng các tiêu chuẩn bảo mật dữ liệu và các nguồn lực cho các giao dịch thanh toán an toàn trên toàn thế giới. Ngoài PCI DSS, Hội đồng còn quản lý một loạt các tiêu chuẩn giải quyết các khía cạnh khác nhau của bảo mật thanh toán. Sứ mệnh của nó là tăng cường bảo mật dữ liệu tài khoản thanh toán toàn cầu bằng cách phát triển các tiêu chuẩn và dịch vụ hỗ trợ nhằm thúc đẩy giáo dục, nhận thức và việc triển khai hiệu quả bởi các bên liên quan.
Tiêu chuẩn PCI DSS 4.0, được phát hành chính thức vào tháng 3 năm 2022, với một bản sửa đổi nhỏ sau đó (v4.0.1) để giải quyết phản hồi từ các bên liên quan, đánh dấu bản cập nhật quan trọng nhất cho tiêu chuẩn trong nhiều năm. Động lực chính cho sự phát triển này là nhu cầu giải quyết bối cảnh mối đe dọa mạng ngày càng tinh vi và môi trường công nghệ đang thay đổi trong ngành thanh toán.
Các mục tiêu cốt lõi của PCI DSS 4.0 là:
PCI DSS 4.0 giới thiệu một số thay đổi cơ bản ảnh hưởng đến cách các tổ chức tiếp cận việc tuân thủ:
Tập trung vào Kết quả Bảo mật so với các Kiểm soát Mang tính Quy định
Một thay đổi quan trọng là sự chuyển dịch từ các kiểm soát chủ yếu mang tính quy định sang việc nhấn mạnh vào kết quả bảo mật. Bản thân tiêu chuẩn đã giải thích rõ hơn về sự linh hoạt này:
Mục 8: Các phương pháp tiếp cận để triển khai và xác thực PCI DSS
Để hỗ trợ sự linh hoạt trong cách đạt được các mục tiêu bảo mật, có hai phương pháp tiếp cận để triển khai và xác thực PCI DSS.
Phương pháp Tiếp cận Tùy chỉnh tập trung vào Mục tiêu của mỗi yêu cầu PCI DSS, cho phép các đơn vị triển khai các kiểm soát để đáp ứng Mục tiêu đã nêu của yêu cầu theo cách không tuân thủ nghiêm ngặt yêu cầu đã được xác định.
Sự thay đổi này có nghĩa là trong khi PCI DSS 3.2.1 đưa ra hướng dẫn chi tiết về việc phải làm gì, phiên bản 4.0 cho phép các tổ chức linh hoạt hơn trong việc làm thế nào để đáp ứng các yêu cầu. Các doanh nghiệp có thể triển khai các kiểm soát phù hợp nhất với môi trường của mình, miễn là họ có thể chứng minh rằng các kiểm soát này đạt được các mục tiêu bảo mật đã nêu. Điều này đặc biệt phù hợp với việc áp dụng các công nghệ đổi mới như passkeys, vốn có thể không phù hợp hoàn toàn với các mô tả kiểm soát cũ, cứng nhắc hơn. Tuy nhiên, sự linh hoạt này đi kèm với kỳ vọng rằng các tổ chức sẽ tiến hành đánh giá rủi ro kỹ lưỡng và biện minh rõ ràng cho các phương pháp kiểm soát đã chọn.
Bảo mật Liên tục (Hoạt động Thường xuyên)
Một nguyên tắc quan trọng khác trong PCI DSS 4.0 là thúc đẩy bảo mật như một quy trình liên tục, hoạt động thường xuyên (business-as-usual - BAU). Tiêu chuẩn nêu chi tiết điều này trong Mục 5:
Mục 5: Các phương pháp tốt nhất để triển khai PCI DSS vào các quy trình hoạt động thường xuyên
Một đơn vị triển khai các quy trình hoạt động thường xuyên … đang thực hiện các biện pháp để đảm bảo rằng các kiểm soát bảo mật ... tiếp tục được triển khai chính xác và hoạt động đúng cách như một phần của hoạt động kinh doanh bình thường.
Một số yêu cầu PCI DSS được thiết kế để hoạt động như các quy trình BAU bằng cách giám sát các kiểm soát bảo mật để đảm bảo hiệu quả của chúng một cách liên tục.
Việc nhấn mạnh vào các quy trình "hoạt động thường xuyên" (BAU) này có nghĩa là các tổ chức phải lồng ghép bảo mật vào các hoạt động hàng ngày của họ. Đó là việc nuôi dưỡng một văn hóa nơi bảo mật không phải là một suy nghĩ sau cùng hay một cuộc chạy đua hàng năm, mà là một phần không thể thiếu của hoạt động, đảm bảo giám sát liên tục, đánh giá thường xuyên và các tư thế bảo mật thích ứng để đảm bảo bảo vệ bền vững dữ liệu chủ thẻ. Đối với việc triển khai passkey, điều này có nghĩa là phải cảnh giác liên tục trong việc giám sát hiệu quả của chúng, các mô hình chấp nhận của người dùng và bất kỳ mối đe dọa mới nổi nào, biến bảo mật thành một nỗ lực bền vững thay vì một bài tập tuân thủ tại một thời điểm.
Triển khai Tùy chỉnh & Phân tích Rủi ro có Mục tiêu
Một tính năng mới quan trọng trong PCI DSS 4.0 là tùy chọn được chính thức hóa cho triển khai tùy chỉnh, vốn có mối liên hệ mật thiết với việc đánh giá rủi ro nghiêm ngặt. Tiêu chuẩn bắt buộc mối liên hệ này trong Yêu cầu 12.3.2:
Yêu cầu 12.3.2: Hỗ trợ Bảo mật Thông tin bằng các Chính sách và Chương trình của Tổ chức
Một phân tích rủi ro có mục tiêu được thực hiện cho mỗi yêu cầu PCI DSS mà đơn vị đáp ứng bằng phương pháp tiếp cận tùy chỉnh, bao gồm ... bằng chứng được ghi lại ... sự chấp thuận của ban lãnh đạo cấp cao, và việc thực hiện phân tích rủi ro có mục tiêu ít nhất 12 tháng một lần.
Lựa chọn được chính thức hóa này cho phép các tổ chức đáp ứng các mục tiêu bảo mật bằng cách sử dụng các công nghệ mới và các kiểm soát đổi mới phù hợp với môi trường độc đáo của họ, thay vì tuân thủ nghiêm ngặt các phương pháp quy định. Tuy nhiên, như trích dẫn nhấn mạnh, sự linh hoạt này dựa trên việc thực hiện phân tích rủi ro có mục tiêu cho mỗi kiểm soát tùy chỉnh. Phân tích này phải được ghi lại, được ban lãnh đạo cấp cao phê duyệt và được xem xét hàng năm. Một đánh giá viên bên thứ ba (Qualified Security Assessor hoặc QSA) sau đó sẽ xác thực các kiểm soát tùy chỉnh này bằng cách xem xét phương pháp tiếp cận được ghi lại của tổ chức, bao gồm cả phân tích rủi ro, và phát triển các thủ tục kiểm tra cụ thể. Lộ trình này là một yếu tố hỗ trợ chính cho các giải pháp như passkeys, cho phép các tổ chức tận dụng hiệu quả các tính năng bảo mật tiên tiến của chúng, miễn là họ có thể chứng minh thông qua đánh giá rủi ro rằng phương pháp của họ đáp ứng các mục tiêu bảo mật. Khả năng tùy chỉnh việc triển khai, được hỗ trợ bởi phân tích rủi ro mạnh mẽ, phản ánh sự hiểu biết rằng sự phát triển nhanh chóng của cả các mối đe dọa và công nghệ phòng thủ làm cho các kiểm soát cứng nhắc, mang tính quy định trở nên kém thích ứng theo thời gian.
Lộ trình Chuyển đổi
PCI DSS 3.2.1 vẫn hoạt động song song với v4.0 cho đến ngày 31 tháng 3 năm 2024, sau đó nó đã được cho ngừng áp dụng. Các yêu cầu mới được giới thiệu trong PCI DSS 4.0 được coi là các phương pháp tốt nhất cho đến ngày 31 tháng 3 năm 2025. Sau ngày này, các yêu cầu mới này trở thành bắt buộc đối với tất cả các cuộc đánh giá. Cách tiếp cận theo giai đoạn này đã cung cấp cho các tổ chức một khoảng thời gian để hiểu, lập kế hoạch và triển khai các thay đổi.
Những thay đổi này cùng nhau báo hiệu một cách tiếp cận trưởng thành hơn, dễ thích ứng hơn và tập trung vào rủi ro đối với bảo mật thẻ thanh toán, tạo tiền đề cho việc áp dụng các cơ chế xác thực mạnh mẽ và hiện đại hơn.
Việc không tuân thủ các yêu cầu của PCI DSS không chỉ đơn thuần là một sự sơ suất; nó mang lại những hậu quả nghiêm trọng và đa diện có thể ảnh hưởng nặng nề đến sự ổn định tài chính, vị thế pháp lý và danh tiếng của một tổ chức.
Hậu quả trực tiếp nhất của việc không tuân thủ là việc bị áp đặt các khoản phạt tài chính. Các khoản phạt này thường do các ngân hàng thanh toán và đơn vị xử lý thanh toán áp đặt, chứ không phải trực tiếp từ PCI SSC. Các khoản phạt có thể rất lớn, dao động từ $5.000 đến $100.000 mỗi tháng, tùy thuộc vào khối lượng giao dịch được xử lý (yếu tố quyết định cấp độ đơn vị chấp nhận thẻ, ví dụ: Cấp 1 cho hơn 6 triệu giao dịch hàng năm so với Cấp 4 cho dưới 20.000 giao dịch thương mại điện tử) và thời gian cũng như mức độ nghiêm trọng của việc không tuân thủ. Ví dụ, một đơn vị chấp nhận thẻ Cấp 1 không tuân thủ trong vài tháng có nhiều khả năng phải đối mặt với các khoản phạt ở mức cao hơn trong phạm vi này, trong khi các doanh nghiệp Cấp 4 nhỏ hơn có thể bị phạt gần $5.000 hàng tháng.
Điều quan trọng là phải hiểu rằng các khoản phạt này có thể là một gánh nặng hàng tháng lặp đi lặp lại. Áp lực tài chính dai dẳng này, có thể bị cộng hưởng bởi phí giao dịch tăng mà các đơn vị xử lý thanh toán có thể tính cho các doanh nghiệp không tuân thủ, có nghĩa là chi phí tích lũy của việc không tuân thủ vượt xa khoản đầu tư cần thiết để đạt được và duy trì sự tuân thủ. Điều này định hình lại việc tuân thủ không phải là một trung tâm chi phí đơn thuần, mà là một khoản đầu tư giảm thiểu rủi ro quan trọng. Đầu tư vào các biện pháp bảo mật mạnh mẽ, bao gồm xác thực mạnh như passkeys, trở thành một quyết định thận trọng về mặt tài chính để tránh những chi phí lớn hơn, thường không thể đoán trước và có khả năng gây tê liệt này.
Ngoài các khoản phạt trực tiếp, việc không tuân thủ có thể dẫn đến những thách thức pháp lý nghiêm trọng, đặc biệt nếu nó dẫn đến một vụ rò rỉ dữ liệu. Khách hàng có dữ liệu bị xâm phạm có thể khởi kiện, và các thương hiệu thẻ cũng có thể có hành động pháp lý. Tình trạng không tuân thủ có thể khiến các nguyên đơn dễ dàng chứng minh sự sơ suất của tổ chức hơn, có khả năng dẫn đến các khoản dàn xếp và phán quyết tốn kém.
Có lẽ một trong những hậu quả tai hại nhất, mặc dù khó định lượng hơn, là tổn hại đến danh tiếng của một tổ chức. Một thất bại tuân thủ duy nhất, đặc biệt là thất bại dẫn đến rò rỉ dữ liệu, có thể làm xói mòn nghiêm trọng lòng tin của khách hàng. Một khi đã mất, lòng tin này rất khó lấy lại, thường dẫn đến việc khách hàng rời bỏ, mất kinh doanh vào tay đối thủ cạnh tranh và thiệt hại lâu dài cho hình ảnh thương hiệu. Các vi phạm lặp đi lặp lại hoặc nghiêm trọng thậm chí có thể dẫn đến việc thu hồi đặc quyền xử lý thanh toán của tổ chức bởi các thương hiệu thẻ hoặc ngân hàng thanh toán, thực chất là cắt đứt khả năng chấp nhận thanh toán bằng thẻ của họ. Điều này nhấn mạnh tầm quan trọng của việc xem xét tuân thủ không chỉ là một yêu cầu kỹ thuật mà còn là một thành phần cơ bản của niềm tin thương hiệu và sự liên tục trong kinh doanh.
Nếu việc không tuân thủ góp phần gây ra rò rỉ dữ liệu, tổ chức có thể sẽ phải chịu trách nhiệm về các chi phí bồi thường đáng kể bên cạnh các khoản phạt và phí pháp lý. Các chi phí này có thể bao gồm việc cung cấp cho khách hàng bị ảnh hưởng các dịch vụ như giám sát tín dụng miễn phí, bảo hiểm chống trộm danh tính và hoàn trả cho các khoản phí gian lận hoặc phí dịch vụ. Hơn nữa, chi phí phát hành lại các thẻ thanh toán bị xâm phạm, ước tính từ 3 đến 5 đô la mỗi thẻ, có thể nhanh chóng leo thang thành hàng triệu đô la đối với các vụ rò rỉ ảnh hưởng đến một số lượng lớn chủ thẻ. Ngược lại, nếu một tổ chức bị rò rỉ trong khi hoàn toàn tuân thủ PCI DSS, các khoản phạt liên quan có thể được giảm hoặc thậm chí được miễn, vì việc tuân thủ thể hiện sự thẩm định đúng mức và cam kết về bảo mật, thay vì sự sơ suất.
Loạt các kết quả tiêu cực tiềm ẩn này nhấn mạnh rằng việc tuân thủ PCI DSS là một khía cạnh không thể thiếu trong hoạt động kinh doanh hiện đại đối với bất kỳ đơn vị nào tham gia vào hệ sinh thái thẻ thanh toán.
Yêu cầu 8 của PCI DSS luôn là một nền tảng của tiêu chuẩn. Với phiên bản 4.0, các quy định của nó đã được tăng cường đáng kể, phản ánh vai trò quan trọng của việc xác thực mạnh mẽ trong việc ngăn chặn truy cập trái phép vào dữ liệu chủ thẻ nhạy cảm và các hệ thống xử lý nó.
Mục tiêu chính của Yêu cầu 8 là đảm bảo rằng mọi cá nhân truy cập vào các thành phần hệ thống trong Môi trường Dữ liệu Chủ thẻ (CDE) hoặc kết nối với nó đều có thể được nhận dạng duy nhất và xác thực mạnh mẽ. Điều này quan trọng để duy trì tính toàn vẹn và bảo mật của dữ liệu chủ thẻ bằng cách ngăn chặn truy cập trái phép và đảm bảo rằng tất cả các hành động có thể được truy vết lại cho một người dùng cụ thể, đã biết, từ đó thiết lập trách nhiệm cá nhân.
Một sự phát triển lớn trong PCI DSS 4.0 là việc mở rộng và củng cố các yêu cầu về Xác thực Đa yếu tố (MFA):
MFA phổ quát cho việc truy cập CDE: Không giống như PCI DSS 3.2.1, vốn chủ yếu yêu
cầu MFA cho quyền truy cập quản trị và tất cả các truy cập từ xa vào CDE, phiên bản 4.0
yêu cầu MFA cho tất cả các truy cập vào CDE. Điều này bao gồm quyền truy cập của quản
trị viên, người dùng thông thường và các nhà cung cấp bên thứ ba, bất kể truy cập bắt
nguồn từ bên trong hay bên ngoài mạng. Việc mở rộng đáng kể này nhấn mạnh sự công nhận
của PCI SSC về MFA như một kiểm soát bảo
mật cơ bản.
Tiêu chuẩn quy định các yêu cầu này:
Trích đoạn Yêu cầu 8
"8.4.1 MFA được triển khai cho tất cả các truy cập không phải qua giao diện dòng lệnh (non-console) vào CDE cho nhân viên có quyền truy cập quản trị." 
"8.4.3 MFA được triển khai cho tất cả các truy cập từ xa bắt nguồn từ bên ngoài mạng của đơn vị có thể truy cập hoặc ảnh hưởng đến CDE." 
Yêu cầu về các yếu tố: Việc triển khai MFA phải sử dụng ít nhất hai trong ba loại yếu tố xác thực được công nhận:
Tính toàn vẹn của hệ thống MFA: Các hệ thống MFA phải được thiết kế để chống lại các cuộc tấn công phát lại (replay attacks - nơi kẻ tấn công chặn và sử dụng lại dữ liệu xác thực) và chỉ cấp quyền truy cập sau khi tất cả các yếu tố xác thực được yêu cầu đã được xác thực thành công.
Không được bỏ qua trái phép: MFA không được phép bị bỏ qua bởi bất kỳ người dùng nào, kể cả quản trị viên, trừ khi có một ngoại lệ cụ thể, được ghi lại và được ban quản lý cấp phép cho từng trường hợp trong một khoảng thời gian giới hạn.
Xác thực chống lừa đảo như một ngoại lệ: PCI DSS 4.0 cũng giới thiệu hướng dẫn bổ sung về các yếu tố xác thực chống lừa đảo, trong một số trường hợp, có thể đáp ứng mục đích của MFA.
Trích đoạn Yêu cầu 8
"Yêu cầu này không áp dụng cho … các tài khoản người dùng chỉ được xác thực bằng các yếu tố xác thực chống lừa đảo." — Ghi chú về khả năng áp dụng cho 8.4.2 
"Xác thực chống lừa đảo … Ví dụ về xác thực chống lừa đảo bao gồm FIDO2." — Phụ lục G, Định nghĩa thuật ngữ về Xác thực Chống lừa đảo 
Hàm ý của việc xác thực chống lừa đảo, như được nhấn mạnh bởi các trích đoạn này, sẽ được khám phá thêm trong phần tiếp theo (4.3).
PCI DSS 4.0 đặc biệt nhấn mạnh việc sử dụng các phương pháp xác thực chống lừa đảo. Đây là một phản ứng trực tiếp đối với sự phổ biến và thành công của các cuộc tấn công lừa đảo trong việc xâm phạm các thông tin xác thực truyền thống.
Xác thực chống lừa đảo như một giải pháp thay thế/bổ sung cho MFA:
**Tuy nhiên, đối với quyền truy cập quản trị vào CDE (Yêu cầu 8.4.1) và đối với tất cả các truy cập từ xa bắt nguồn từ bên ngoài mạng của đơn vị vào CDE (Yêu cầu 8.4.3), mặc dù xác thực chống lừa đảo được khuyến nghị mạnh mẽ, nó phải được kết hợp với ít nhất một yếu tố xác thực khác để đáp ứng yêu cầu MFA. Sự phân biệt này đòi hỏi một cách tiếp cận tinh tế đối với việc triển khai passkey, có thể là một chiến lược phân tầng trong đó chỉ cần passkeys là đủ cho người dùng nội bộ thông thường, nhưng passkeys kết hợp với một yếu tố khác được sử dụng cho các kịch bản truy cập có rủi ro cao hơn.
Sự công nhận FIDO và Thông tin chi tiết từ chuyên gia: Tiêu chuẩn đề cập cụ thể đến xác thực dựa trên FIDO (nền tảng của passkeys) như một phương pháp ưu tiên để đạt được MFA, phần lớn là do các đặc tính chống lừa đảo mạnh mẽ của nó. Thông tin chi tiết hơn về chủ đề này đã được chia sẻ trong tập podcast "Coffee with the Council" của PCI SSC, "Passwords Versus Passkeys: A Discussion with the FIDO Alliance" (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).
Trong podcast, Andrew Jamieson, Phó Chủ tịch Kiến trúc sư Tiêu chuẩn Xuất sắc tại PCI SSC, đã nhấn mạnh giá trị của các công nghệ này:
"Tôi muốn nhắc lại rằng tôi nghĩ xác thực chống lừa đảo là một công nghệ tuyệt vời. Nó là thứ có thể giải quyết rất nhiều vấn đề mà chúng ta gặp phải với mật khẩu. Và tôi thực sự đề nghị khi mọi người xem xét các công nghệ họ sẽ triển khai để xác thực, họ hãy xem xét xác thực chống lừa đảo và những gì nó có thể mang lại, nhưng cũng cần hiểu rằng nó hơi khác so với những gì mọi người đã quen và tìm hiểu cách họ có thể tích hợp nó một cách chính xác và an toàn vào kiến trúc xác thực tổng thể của mình."
Megan Shamas, Giám đốc Tiếp thị tại FIDO Alliance (xem Lãnh đạo FIDO), đã nhấn mạnh sự thay đổi cơ bản mà các công nghệ này đại diện và nhu cầu các chính sách phải thích ứng:
"Về cơ bản, nó khác với những gì chúng ta đã quen với mật khẩu cộng với yếu tố, yếu tố, yếu tố, và chúng ta đã phát triển công nghệ và bây giờ mọi người cũng cần phát triển các yêu cầu và chính sách của họ cùng với đó. Và điều đó sẽ thực sự giúp các tổ chức đi đúng hướng để loại bỏ xác thực có thể bị lừa đảo."
Quan điểm chung này nhấn mạnh sự chuyển dịch của ngành công nghiệp hướng tới các phương pháp xác thực hiện đại, an toàn hơn.
Trong khi PCI DSS 4.0 thúc đẩy mạnh mẽ việc sử dụng MFA và các phương pháp chống lừa đảo, nó cũng thắt chặt các yêu cầu đối với mật khẩu và cụm mật khẩu nếu chúng vẫn còn được sử dụng:
Việc tăng cường đáng kể các quy tắc về mật khẩu, cùng với các yêu cầu MFA mở rộng và sự ủng hộ rõ ràng đối với các phương pháp chống lừa đảo, báo hiệu một định hướng chiến lược từ PCI SSC: giảm thiểu một cách có hệ thống sự phụ thuộc vào mật khẩu như một cơ chế xác thực chính hoặc duy nhất. Mật khẩu từ lâu đã được công nhận là một mắt xích yếu trong bảo mật, và PCI DSS 4.0 tích cực tìm cách giảm thiểu các rủi ro cố hữu của chúng bằng cách làm cho việc sử dụng độc lập của chúng trở nên nghiêm ngặt và kém hấp dẫn hơn, đồng thời thúc đẩy các giải pháp thay thế mạnh mẽ, hiện đại hơn.
Để minh họa rõ ràng những thay đổi này, bảng sau đây so sánh các khía cạnh xác thực chính giữa PCI DSS 3.2.1 và 4.0:
Bảng 1: Sự khác biệt chính trong Xác thực: PCI DSS 3.2.1 so với 4.0
Tính năng | PCI DSS 3.2.1 | PCI DSS 4.0 |
---|---|---|
MFA cho Truy cập CDE | Bắt buộc đối với truy cập quản trị không qua giao diện dòng lệnh và tất cả các truy cập từ xa vào CDE. | Bắt buộc đối với tất cả các truy cập vào CDE (quản trị, không quản trị, nội bộ, từ xa). |
Độ dài Mật khẩu (Tối thiểu) | 7 ký tự (số và chữ cái). | 12 ký tự (số và chữ cái); 8 nếu hệ thống không hỗ trợ 12. |
Tần suất Thay đổi Mật khẩu | 90 ngày một lần. | 90 ngày một lần nếu mật khẩu là yếu tố duy nhất; có thể dài hơn nếu sử dụng MFA hoặc xác thực dựa trên rủi ro. |
Nhấn mạnh Chống lừa đảo | Hạn chế, chủ yếu được giải quyết thông qua nhận thức bảo mật chung. | Nhấn mạnh mạnh mẽ; xác thực chống lừa đảo có thể thay thế MFA cho một số truy cập CDE nội bộ nhất định (Yêu cầu 8.4.2). FIDO được đề cập rõ ràng. |
Sử dụng Passkeys/FIDO | Không được đề cập rõ ràng như một phương pháp chính. | Xác thực dựa trên FIDO được trích dẫn là một phương pháp MFA ưu tiên. Các phương pháp chống lừa đảo (như passkeys) được giao vai trò cụ thể trong việc đáp ứng các yêu cầu MFA. |
Sự tập trung cao độ vào xác thực trong PCI DSS 4.0 đặt ra một định hướng rõ ràng cho các tổ chức để đánh giá lại các chiến lược hiện tại của họ và khám phá các giải pháp bền vững hơn như passkeys.
Tại sao Passkeys quan trọng đối với Doanh nghiệp?
Các doanh nghiệp trên toàn thế giới phải đối mặt với những rủi ro nghiêm trọng do mật khẩu yếu và lừa đảo. Passkeys là phương pháp MFA duy nhất đáp ứng nhu cầu bảo mật và trải nghiệm người dùng của doanh nghiệp. Sách trắng của chúng tôi chỉ ra cách triển khai passkeys hiệu quả và tác động kinh doanh của nó.
Dựa trên các tiêu chuẩn của Liên minh FIDO, passkeys cung cấp một giải pháp thay thế an toàn hơn và thân thiện với người dùng hơn về cơ bản so với mật khẩu truyền thống và thậm chí một số hình thức MFA cũ.
Passkey là một chứng chỉ kỹ thuật số cho phép người dùng đăng nhập vào các trang web và ứng dụng mà không cần nhập mật khẩu. Chúng được xây dựng dựa trên các tiêu chuẩn FIDO2, một bộ thông số kỹ thuật mở được phát triển bởi Liên minh FIDO. WebAuthn là một tiêu chuẩn của World Wide Web Consortium (W3C) cho phép các trình duyệt và ứng dụng web thực hiện xác thực mạnh, chống lừa đảo bằng cách sử dụng các cặp khóa mật mã. Về cơ bản, passkeys là một cách triển khai các tiêu chuẩn FIDO2 này, tận dụng WebAuthn cho các tương tác trong môi trường web. Chúng thay thế mật khẩu truyền thống bằng các khóa mật mã duy nhất được lưu trữ an toàn trên thiết bị của người dùng, chẳng hạn như điện thoại thông minh, máy tính hoặc khóa bảo mật phần cứng.
Bảo mật của passkeys bắt nguồn từ mật mã khóa công khai. Khi người dùng đăng ký một passkey với một dịch vụ (bên tin cậy - "relying party" hoặc RP), một cặp khóa mật mã duy nhất được tạo ra:
Trong quá trình xác thực, quy trình diễn ra như sau:
Có hai loại passkeys chính:
Nền tảng mật mã và quy trình xác minh người dùng cục bộ này cung cấp các lợi ích bảo mật vốn có, trực tiếp giải quyết nhiều vectơ tấn công phổ biến.
Thiết kế của passkeys mang lại một số lợi thế bảo mật so với các phương pháp xác thực truyền thống:
Sự thay đổi cơ bản này từ xác thực dựa trên kiến thức (những gì người dùng biết, như mật khẩu) sang sự kết hợp giữa xác thực dựa trên sở hữu (những gì người dùng có – thiết bị của họ với khóa an toàn) và dựa trên đặc tính hoặc kiến thức cục bộ (những gì người dùng là thông qua sinh trắc học, hoặc những gì họ biết cục bộ thông qua mã PIN của thiết bị) về cơ bản đã phá vỡ các chuỗi tấn công dựa vào việc xâm phạm các bí mật được chia sẻ có thể sử dụng từ xa. Không giống như nhiều biện pháp bảo mật làm tăng thêm sự phiền phức, passkeys thường cải thiện trải nghiệm người dùng bằng cách cung cấp các lần đăng nhập nhanh hơn, đơn giản hơn mà không cần phải nhớ các mật khẩu phức tạp, một lợi ích kép có thể thúc đẩy việc áp dụng và nâng cao tư thế bảo mật tổng thể.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
Corbado proved to be a trusted partner. Their hands-on, 24/7 support and on-site assistance enabled a seamless integration into VicRoads' complex systems, offering passkeys to 5 million users.
Các doanh nghiệp tin tưởng Corbado để bảo vệ người dùng của họ và làm cho việc đăng nhập liền mạch hơn với passkeys. Nhận tư vấn passkey miễn phí của bạn ngay bây giờ.
Nhận tư vấn miễn phíCác tính năng bảo mật mạnh mẽ vốn có trong passkeys phù hợp một cách đáng kể với các kiểm soát xác thực được tăng cường theo yêu cầu của PCI DSS 4.0, đặc biệt là những yêu cầu được nêu trong Yêu cầu 8. Passkeys không chỉ đáp ứng các yêu cầu này mà thường còn vượt qua mức độ bảo mật được cung cấp bởi các phương pháp truyền thống.
Passkeys vốn đã đáp ứng các nguyên lý cốt lõi của Xác thực Đa yếu tố như được định nghĩa bởi PCI DSS 4.0:
So với mật khẩu truyền thống, passkeys cung cấp một mô hình bảo mật vượt trội hơn hẳn. Mật khẩu dễ bị tấn công bởi vô số hình thức: lừa đảo, kỹ thuật xã hội, nhồi thông tin xác thực do tái sử dụng mật khẩu, tấn công brute-force và trộm cắp từ các cơ sở dữ liệu bị xâm phạm. Passkeys loại bỏ những lỗ hổng này bằng cách loại bỏ hoàn toàn bí mật được chia sẻ (mật khẩu) khỏi phương trình. Việc xác thực dựa trên bằng chứng mật mã về việc sở hữu một khóa riêng tư, bản thân khóa này được bảo vệ bởi bảo mật thiết bị cục bộ, thay vì dựa trên một bí mật có thể dễ dàng bị đánh cắp hoặc đoán ra.
Hội đồng Tiêu chuẩn Bảo mật PCI đã thừa nhận tiềm năng của công nghệ passkey. Thông tin chi tiết từ podcast "Coffee with the Council" của PCI SSC với sự tham gia của Liên minh FIDO cung cấp sự rõ ràng về lập trường của họ:
Lập trường này cho phép các tổ chức triển khai passkeys một cách chiến lược. Đối với cơ sở người dùng không phải quản trị viên rộng lớn truy cập CDE nội bộ, một đăng nhập bằng passkey liền mạch có thể đáp ứng các yêu cầu tuân thủ. Đối với quản trị viên và người dùng từ xa, passkeys cung cấp một nền tảng mạnh mẽ, chống lừa đảo cho một giải pháp MFA.
Trong khi passkeys mang lại một bản nâng cấp bảo mật đáng kể, các Đánh giá viên Bảo mật Đủ điều kiện của PCI DSS (QSA) sẽ xem xét kỹ lưỡng việc triển khai chúng, đặc biệt là đối với các kịch bản truy cập rủi ro cao như quyền truy cập quản trị vào CDE (Yêu cầu 8.4.1), để đảm bảo các nguyên tắc xác thực đa yếu tố thực sự được đáp ứng. Các cân nhắc chính bao gồm loại passkey, tính độc lập của các yếu tố xác thực và việc sử dụng attestation.
Như chúng ta đã thảo luận, passkeys có hai dạng chính:
PCI DSS yêu cầu các yếu tố MFA phải độc lập, nghĩa là việc xâm phạm một yếu tố không làm xâm phạm các yếu tố khác. Một passkey thường kết hợp "thứ bạn có" (thiết bị có khóa riêng tư) và "thứ bạn biết/là" (mã PIN hoặc sinh trắc học của thiết bị cục bộ để mở khóa).
Với passkeys được đồng bộ hóa, mặc dù rất an toàn trước nhiều cuộc tấn công, một số QSA có thể đặt câu hỏi về tính độc lập tuyệt đối của yếu tố "sở hữu" đối với quyền truy cập quản trị (Yêu cầu 8.4.1). Mối lo ngại là nếu tài khoản đám mây của người dùng (ví dụ: Apple ID, tài khoản Google) đồng bộ hóa passkeys bị xâm phạm, khóa riêng tư có thể bị sao chép sang một thiết bị do kẻ tấn công kiểm soát. Điều này có thể khiến một số đánh giá viên xem một passkey được đồng bộ hóa, trong các bối cảnh rủi ro cao, có thể không đáp ứng được cách giải thích nghiêm ngặt về hai yếu tố hoàn toàn độc lập nếu bản thân cơ chế đồng bộ hóa không được bảo mật mạnh mẽ bằng MFA mạnh của riêng nó. Ví dụ, hướng dẫn của NIST công nhận passkeys được đồng bộ hóa tuân thủ AAL2, trong khi passkeys liên kết với thiết bị có thể đáp ứng AAL3, thường liên quan đến các khóa không thể xuất.
Attestation là một tính năng trong WebAuthn, nơi bộ xác thực cung cấp thông tin có thể xác minh về chính nó (ví dụ: nhà sản xuất, kiểu máy, trạng thái chứng nhận, liệu nó có được hỗ trợ bởi phần cứng hay không) cho bên tin cậy (máy chủ FIDO của bạn) trong quá trình đăng ký passkey.
Trong thực tế, để tránh xung đột trong quá trình kiểm toán đối với Yêu cầu 8.4.1, nhiều doanh nghiệp chọn cấp phát passkeys liên kết với thiết bị trên khóa bảo mật phần cứng cung cấp sự đảm bảo mạnh mẽ về việc bảo vệ khóa và có khả năng là attestation.
Để minh họa rõ ràng cách passkeys thu hẹp khoảng cách và đáp ứng các kiểm soát được nêu chi tiết trong Yêu cầu 8, bảng sau đây ánh xạ các tính năng và đặc điểm cụ thể của passkey với các tiểu mục liên quan, cho biết sự phù hợp của chúng cho các kịch bản khác nhau.
Tiểu mục Yêu cầu 8 | Tính năng Passkey | Cách Passkey Đáp ứng/Vượt trội | Đồng bộ hóa OK? | Liên kết thiết bị OK? |
---|---|---|---|---|
8.2 (ID người dùng) | ID người dùng duy nhất qua Passkey | Mỗi passkey là duy nhất cho đăng ký của người dùng với một dịch vụ. Khóa riêng tư không được chia sẻ. Cho phép trách nhiệm cá nhân. | ✅ | ✅ |
8.3.x (Mật khẩu) | Thay thế Mật khẩu | Nếu passkeys thay thế hoàn toàn mật khẩu cho một đường dẫn truy cập, các kiểm soát cụ thể về mật khẩu (độ dài, độ phức tạp, xoay vòng, lịch sử) sẽ không áp dụng cho đường dẫn đó, đơn giản hóa việc tuân thủ cho các kiểm soát đó. | ✅ | ✅ |
8.4.1 (MFA Quản trị) | Yếu tố chống lừa đảo (Thiết bị + Cục bộ) | Passkey đóng vai trò là một yếu tố mạnh, chống lừa đảo. (QSA xem xét kỹ tính độc lập của yếu tố đối với passkeys được đồng bộ hóa). | ⚠️ | ✅ |
8.4.2 (MFA không qua giao diện dòng lệnh) | Xác thực chống lừa đảo (Thiết bị + Cục bộ) | Xác thực chống lừa đảo (như passkeys) có thể được sử dụng thay cho MFA truyền thống cho kịch bản này. | ✅ | ✅ |
8.4.3 (MFA từ xa) | Yếu tố chống lừa đảo (Thiết bị + Cục bộ) | Passkey đóng vai trò là một yếu tố mạnh, chống lừa đảo vào mạng. (QSA xem xét kỹ tính độc lập của yếu tố đối với passkeys được đồng bộ hóa). | ⚠️ | ✅ |
8.5.1 (Chống tấn công phát lại) | Thử thách/Phản hồi duy nhất | Mỗi lần đăng nhập tạo ra một chữ ký duy nhất gắn với một thử thách từ máy chủ, ngăn chặn việc tái sử dụng dữ liệu xác thực bị chặn. | ✅ | ✅ |
8.5.x (Tính độc lập của các yếu tố) | Các yếu tố cục bộ riêng biệt (Thiết bị+Cục bộ) | Khóa mật mã trên thiết bị và sinh trắc học/PIN cục bộ là độc lập. Thao tác mật mã chỉ tiến hành sau khi xác minh người dùng cục bộ thành công. (Tính độc lập của yếu tố đối với các khóa được đồng bộ hóa có thể bị QSA đặt câu hỏi trong các kịch bản rủi ro cao). | ⚠️ | ✅ |
Chống lừa đảo (Chung) | Bảo mật cốt lõi (Liên kết nguồn gốc, Không có bí mật, Mật mã PK) | Được thiết kế cơ bản để chống lại các cuộc tấn công lừa đảo bằng cách đảm bảo passkey chỉ hoạt động trên trang web hợp pháp và không có bí mật nào được truyền đi có thể bị đánh cắp. | ✅ | ✅ |
Bảng ánh xạ này chứng minh rằng passkeys không chỉ là một sự phù hợp về mặt lý thuyết mà còn là một giải pháp thực tế và mạnh mẽ để đáp ứng các yêu cầu xác thực tiên tiến của PCI DSS 4.0.
Bối cảnh bảo mật thanh toán rất phức tạp và không ngừng phát triển. PCI DSS 4.0 phản ánh thực tế này, thiết lập một tiêu chuẩn cao hơn cho các kiểm soát bảo mật, đặc biệt là trong lĩnh vực xác thực. Khi các tổ chức cố gắng đáp ứng những yêu cầu mới, nghiêm ngặt hơn này, passkeys—được xây dựng trên các tiêu chuẩn FIDO/WebAuthn—nổi lên không chỉ như một giải pháp tuân thủ, mà còn là một công nghệ mang tính chuyển đổi sẵn sàng định nghĩa lại việc truy cập an toàn.
Trong suốt phân tích này, hai câu hỏi trung tâm đã dẫn dắt cuộc khám phá của chúng ta:
Hành trình đến một hệ sinh thái thanh toán thực sự an toàn là một quá trình liên tục. PCI DSS 4.0 đặt ra những cột mốc mới, và xác thực bằng passkey cung cấp một phương tiện mạnh mẽ để đạt được chúng. Các tổ chức xử lý, lưu trữ hoặc truyền dữ liệu chủ thẻ được khuyến khích mạnh mẽ để đánh giá và bắt đầu lập kế hoạch cho việc áp dụng passkeys. Điều này không chỉ đơn thuần là tuân thủ phiên bản mới nhất của một tiêu chuẩn; đó là việc chấp nhận một cách tiếp cận xác thực an toàn hơn, hiệu quả hơn và lấy người dùng làm trung tâm, phù hợp với tương lai của danh tính kỹ thuật số. Bằng cách triển khai passkeys một cách chiến lược, các doanh nghiệp có thể tăng cường khả năng phòng thủ trước các mối đe dọa đang phát triển, bảo vệ dữ liệu thanh toán quý giá và xây dựng niềm tin lớn hơn với khách hàng của họ trong một thế giới ngày càng kỹ thuật số.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents