top of page
รูปภาพนักเขียนดร.นิพนธ์ นาชิน, CISSP, CISA, CISM, GPEN, QSA, CCISO, CDMP
5 ธ.ค.ยาว 2 นาที

เจาะลึกมาตรฐาน PCI DSS: ทำความเข้าใจ SAQ AoC และ RoC

อัปเดตเมื่อ 7 วันที่ผ่านมา



มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (Payment Card Industry Data Security Standard: PCI DSS) เป็นกรอบการรักษาความปลอดภัยที่สำคัญสำหรับธุรกิจที่จัดการข้อมูลผู้ถือบัตร ทุกธุรกิจที่ประมวลผล จัดเก็บ หรือส่งข้อมูลผู้ถือบัตรต้องปฏิบัติตามกรอบนี้และผ่านการประเมิน PCI DSS ประจำปี


รูปแบบการประเมินมีตั้งแต่การประเมินตนเองไปจนถึงการตรวจสอบ PCI DSS แบบเต็มรูปแบบ ณ สถานที่โดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (Qualified Security Assessor: QSA) ธุรกิจจำเป็นต้องเข้าใจว่าแบบใดเหมาะกับตน


การประเมิน PCI DSS ประกอบด้วย 3 ส่วนหลัก:

  1. แบบสอบถามการประเมินตนเอง (Self-Assessment Questionnaire: SAQ)

  2. การรับรองการปฏิบัติตามข้อกำหนด (Attestation of Compliance: AoC)

  3. รายงานการปฏิบัติตามข้อกำหนด (Report on Compliance: RoC)


ระดับผู้ค้า (Merchant) มีผลต่อข้อกำหนดการตรวจสอบอย่างไร

ขั้นตอนเฉพาะที่ต้องทำระหว่างการประเมิน PCI DSS ขึ้นอยู่กับระดับผู้ค้าขององค์กร ซึ่งจัดประเภทตามปริมาณธุรกรรมประจำปีเป็นหลัก:

ระดับผู้ค้า (Merchant Level):

  • ระดับ 1: ธุรกรรมมากกว่า 6 ล้านรายการต่อปีทุกช่องทาง

  • ระดับ 2: ธุรกรรม 1-6 ล้านรายการต่อปีทุกช่องทาง

  • ระดับ 3: ธุรกรรมออนไลน์ 20,000-1 ล้านรายการต่อปี

  • ระดับ 4: ธุรกรรมออนไลน์น้อยกว่า 20,000 รายการ หรือรวมไม่เกิน 1 ล้านรายการต่อปี

ระดับผู้ค้า

SAQ

AoC

RoC

1

ไม่จำเป็นต้องทำ

ต้องทำ (แนบกับ RoC)

ต้องทำ (ตรวจประจำปี ณ สถานที่โดย QSA)

2

ต้องทำประจำปี

ต้องทำ (พร้อม SAQ)

ไม่จำเป็นต้องทำ

3

ต้องทำประจำปี

ต้องทำ (พร้อม SAQ)

ไม่จำเป็นต้องทำ

4

ต้องทำประจำปี (ประเภทขึ้นกับสภาพแวดล้อมการชำระเงิน)

ต้องทำ (พร้อม SAQ)

ไม่จำเป็นต้องทำ

ตารางข้อกำหนดการประเมินตามระดับผู้ค้าและ SAQ AOC ROC


SAQ คืออะไร?

แบบสอบถามการประเมินตนเอง PCI (SAQ) เป็นกรอบสำหรับองค์กรในการประเมินความปลอดภัยข้อมูลผู้ถือบัตรด้วยตนเอง มี 9 ประเภท ตั้งแต่คำถามไม่กี่สิบข้อไปจนถึงมากกว่า 300 ข้อ การเลือก SAQ ที่เหมาะสมขึ้นอยู่กับโมเดลธุรกิจและวิธีการจัดการข้อมูลบัตรเครดิต

ประเภทของ SAQ:

SAQ A

  • สำหรับบริษัทที่ outsource การประมวลผลข้อมูลผู้ถือบัตรทั้งหมด

  • เหมาะกับร้านค้า e-commerce, การขายทางโทรศัพท์, และการสั่งซื้อทางไปรษณีย์

  • ใช้ได้เฉพาะเมื่อบริษัทไม่เก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตรในระบบหรือสถานที่ของตน

SAQ A-EP

  • เฉพาะผู้ค้าปลีก e-commerce ที่:

    1. ขายผ่าน e-commerce เท่านั้น

    2. outsource การขายบัตรเครดิตให้บุคคลที่สาม

    3. จัดการการส่งข้อมูลผู้ถือบัตรไปยังผู้ประมวลผลการชำระเงิน

  • ไม่เก็บ ประมวลผล หรือส่งข้อมูลผู้ถือบัตรในระบบของตน

SAQ B

  • สำหรับผู้ค้าที่ใช้เครื่องพิมพ์รูดบัตร (imprint machines) หรือเครื่องรับบัตร

  • ไม่เก็บหรือประมวลผลข้อมูลผู้ถือบัตร

  • ไม่เกี่ยวข้องกับ e-commerce

SAQ B-IP

  • สำหรับผู้ค้าที่ใช้เครื่องรับบัตรที่ผ่านการรับรอง PTS เชื่อมต่อ IP กับผู้ให้บริการ

  • ไม่เหมาะกับธุรกิจที่ทำธุรกรรมทางอิเล็กทรอนิกส์ผ่านเว็บ

SAQ C

  • เหมาะกับผู้ค้าที่รับชำระเงินแบบไม่มีบัตร (ทางโทรศัพท์หรือไปรษณีย์) และแบบมีบัตรผ่านเครื่อง POS

  • ไม่เก็บข้อมูลผู้ถือบัตรอิเล็กทรอนิกส์ แต่อาจมีบันทึกกระดาษ

  • ไม่เกี่ยวข้องกับธุรกิจ e-commerce

SAQ C-VT

  • สำหรับผู้ค้าที่ใช้เทอร์มินัลชำระเงินเสมือนบนอุปกรณ์ที่ใช้เฉพาะการประมวลผลบัตรเครดิต

  • ไม่เกี่ยวข้องกับ e-commerce และการขายออนไลน์ส่วนใหญ่

SAQ P2PE

  • สำหรับผู้ค้าที่รับข้อมูลผู้ถือบัตรผ่านอุปกรณ์รับชำระเงินที่ใช้การเข้ารหัส P2PE ที่ได้รับการรับรองจาก PCI SSC

  • แบบสอบถามค่อนข้างสั้นเนื่องจากข้อมูลถูกเข้ารหัสทันทีที่ป้อนเข้าเครื่อง

SAQ D

  • สำหรับองค์กรที่ไม่เข้าเกณฑ์ SAQ อื่นๆ

  • มี 2 เวอร์ชัน: สำหรับผู้ค้าและผู้ให้บริการ

  • เป็น SAQ ที่ยาวที่สุด มีคำถามมากกว่า 320 ข้อ


AOC คืออะไร?

การรับรองการปฏิบัติตามข้อกำหนด (Attestation of Compliance: AoC) เป็นเอกสารที่องค์กรยืนยันการปฏิบัติตามมาตรฐาน PCI DSS หลังจากทำแบบสอบถามประเมินตนเอง องค์กรต้องกรอก AoC เวอร์ชันที่สอดคล้องกับ SAQ เพื่อรับรองความถูกต้องของการประเมินตนเองและสถานะการปฏิบัติตามข้อกำหนด

ลักษณะสำคัญของ AoC:

  • มีหลายเวอร์ชันเช่นเดียวกับ SAQ

  • องค์กรต้องกรอก AoC ที่สอดคล้องกับ SAQ ที่ทำ

  • ผู้ค้าระดับ 2-4 สามารถทำ AoC เองได้ หรืออาจขอคำแนะนำจากผู้เชี่ยวชาญ PCI DSS

  • สำหรับผู้ค้าระดับ 1 ผู้ประเมิน QSA จะตรวจสอบและทำ RoC ให้ โดย AoC จะอ้างอิงจากผล RoC


RoC คืออะไร?

รายงานการปฏิบัติตามข้อกำหนด (Report on Compliance: RoC) เป็นเอกสารที่จัดทำโดย QSA ซึ่งประเมินระบบ มาตรการรักษาความปลอดภัย และการป้องกันข้อมูลผู้ถือบัตรขององค์กร RoC เป็นข้อกำหนดบังคับสำหรับผู้ค้าระดับ 1

กระบวนการจัดทำ RoC:

  • QSA ทำการตรวจสอบและบันทึกการควบคุมอย่างละเอียด ณ สถานที่

  • สรุปผลการประเมินเป็นรายงาน

  • จัดทำ RoC ฉบับสมบูรณ์

  • ใช้เทมเพลตรายงานตามเกณฑ์ของ PCI Security Standards Council

  • ทำให้ผู้มีส่วนได้ส่วนเสีย ลูกค้า และผู้เกี่ยวข้องเห็นสถานะการปฏิบัติตาม PCI DSS อย่างโปร่งใส


บริการจาก ALPHASEC

ที่ ALPHASEC เราเข้าใจดีว่ากระบวนการตรวจสอบ PCI DSS อาจดูซับซ้อนและท้าทาย เราพร้อมให้ความช่วยเหลือตลอดเส้นทาง:

  • ให้คำปรึกษาเตรียมความพร้อมก่อนการตรวจสอบ

  • ช่วยเลือกและทำ SAQ ที่เหมาะสม

  • แนะนำการจัดทำ AoC

  • สนับสนุนการตรวจสอบ RoC โดย QSA

  • ติดตามดูแลการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง

ไม่ว่าคุณจะมีเป้าหมายด้าน PCI DSS อย่างไร ทีมผู้เชี่ยวชาญของเราพร้อมช่วยให้คุณบรรลุเป้าหมายการปฏิบัติตามข้อกำหนดและพร้อมส่งมอบ SAQ AOC ROC ตามที่มาตรฐานกำหนด ติดต่อเราวันนี้เพื่อเริ่มต้นการเดินทางสู่การปฏิบัติตาม PCI DSS ของคุณ

ดู 11 ครั้ง
bottom of page