top of page
รูปภาพนักเขียนดร.นิพนธ์ นาชิน, CISSP, CISA, CISM, GPEN, QSA, CCISO, CDMP
4 ธ.ค.ยาว 1 นาที

PCI DSS และ SAQ: ลดความยุ่งยาก ในการ Compliance

อัปเดตเมื่อ 7 วันที่ผ่านมา


PCI DSS และ SAQ: ลดความยุ่งยาก ในการ Compliance
PCI DSS และ SAQ: ลดความยุ่งยาก ในการ Compliance

PCI DSS (Payment Card Industry Data Security Standard) คือ มาตรฐานความปลอดภัยข้อมูลบัตรเครดิต ที่ธุรกิจ ต้อง ปฏิบัติตาม เพื่อ ปกป้องข้อมูลลูกค้า และ สร้างความน่าเชื่อถือ แต่การ Compliance กับ PCI DSS อาจมีความซับซ้อน

SAQ (Self-Assessment Questionnaire) คือ แบบประเมินตนเอง ที่ช่วย ลดความยุ่งยาก ในการ Compliance โดย SAQ จะแบ่ง เป็น แบบฟอร์มต่างๆ ตามประเภท และ ขนาด ของธุรกิจ

คู่มือเลือก SAQ ที่เหมาะสม

1. ประเภทธุรกิจ:

  • Service Provider: ผู้ให้บริการ ที่เกี่ยวข้องกับ การประมวลผล การจัดเก็บ หรือ การส่ง ข้อมูลบัตรเครดิต เช่น Payment Gateway, Data Center ต้องใช้ SAQ D for Service Providers

  • Merchant: ร้านค้า ที่รับชำระเงินผ่านบัตรเครดิต แบ่งตาม ช่องทางการรับชำระเงิน ดังนี้

2. ช่องทางการรับชำระเงิน:

  • E-commerce:

    • SAQ A: สำหรับร้านค้า ที่ Outsource การจัดการข้อมูลบัตรทั้งหมด ไม่มีการ เก็บ ประมวลผล หรือ ส่ง ข้อมูลบัตร ในระบบของตนเอง

    • SAQ A-EP: สำหรับร้านค้า ที่ สร้างหน้าฟอร์มชำระเงินเอง แต่ไม่ เก็บข้อมูลบัตร ในระบบ

  • Card Present (หน้าร้าน):

    • SAQ B: สำหรับร้านค้า ที่ใช้เครื่อง Imprint หรือ Standalone Dial-out ไม่เชื่อมต่อ Internet และ ไม่ เก็บข้อมูลบัตรอิเล็กทรอนิกส์

    • SAQ B-IP: สำหรับร้านค้า ที่ใช้เครื่อง PTS POI เชื่อมต่อ Internet ผ่าน IP โดยตรงกับ Processor และ ไม่ เก็บข้อมูลบัตรอิเล็กทรอนิกส์

    • SAQ C-VT: สำหรับร้านค้า ที่ป้อนข้อมูลผ่าน Virtual Terminal บนเว็บไซต์ โดยใช้คอมพิวเตอร์ แยกต่างหาก และ ไม่ เก็บข้อมูลบัตร

    • SAQ C: สำหรับร้านค้า ที่มีระบบ POS เชื่อมต่อ Internet แต่ไม่ เก็บข้อมูลบัตรอิเล็กทรอนิกส์

  • โซลูชันพิเศษ:

    • SAQ P2PE: สำหรับร้านค้า ที่ใช้ระบบ Point-to-Point Encryption ที่ได้รับการรับรอง

    • SAQ SPoC: สำหรับร้านค้า ที่ใช้อุปกรณ์ Mobile กับ Card Reader ที่ได้รับการรับรอง และ ทำธุรกรรมแบบ Card-present เท่านั้น

    • SAQ D: สำหรับร้านค้า ที่ไม่เข้าเงื่อนไข ของ SAQ อื่นๆ หรือ มีระบบ ที่ซับซ้อน

ข้อควรระวัง ในการเลือก SAQ

  • ตรวจสอบเงื่อนไข ของแต่ละ SAQ อย่างละเอียด

  • ปรึกษา Acquirer หรือ Payment Brand เพื่อ ขอคำแนะนำ

  • ทบทวน SAQ ที่เลือก เมื่อมีการเปลี่ยนแปลงระบบ

  • SAQ มีการ Update เป็นระยะ ควรใช้ เวอร์ชันล่าสุด

AlphaSec: ผู้เชี่ยวชาญ PCI DSS พร้อมให้คำปรึกษา

AlphaSec (alphasec.co.th) มีทีมผู้เชี่ยวชาญ ด้าน PCI DSS พร้อมให้คำปรึกษา และ บริการ เพื่อช่วยให้ธุรกิจ ปฏิบัติตาม PCI DSS

บริการของเรา:

  • PCI DSS Gap Analysis และ Risk Assessment

  • PCI DSS Implementation

  • Security Awareness Training

  • Penetration Testing และ Vulnerability Assessment

ดู 10 ครั้ง
bottom of page