PCI DSS Level – Giải thích chi tiết về 4 cấp độ tuân thủ
Trong lĩnh vực thanh toán, việc tuân thủ tiêu chuẩn bảo mật là yếu tố then chốt để bảo vệ dữ liệu khách hàng. PCI DSS Level được phân chia theo quy mô và mức độ giao dịch của doanh nghiệp, giúp xác định yêu cầu bảo mật phù hợp, đảm bảo an toàn cho hệ thống thanh toán.
| PCI DSS (Payment Card Industry Data Security Standard) là bộ tiêu chuẩn bảo mật do Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) – gồm 5 tổ chức thẻ lớn Visa, Mastercard, Discover, JCB và American Express – phát triển từ năm 2004. Tiêu chuẩn này nhằm bảo vệ dữ liệu chủ thẻ, nâng cao an toàn cho giao dịch thẻ tín dụng, ghi nợ, trả trước.
Tại sao doanh nghiệp cần hiểu rõ cấp độ PCI DSS
PCI DSS phân loại các cấp độ cho 2 nhóm sau:
|
Xem thêm: Hướng dẫn toàn diện về PCI DSS
1. Các cấp độ PCI DSS: Đối với đơn vị chấp nhận thanh toán
| Mức Tuân Thủ PCI | Tiêu Chí | Yêu Cầu Xác Minh | ||
| Level 1 | Xử lý trên 6 triệu giao dịch mỗi năm cho mỗi khu vực thanh toán, theo từng tổ chức thẻ, hoặc nếu trước đây đã xảy ra vi phạm dẫn đến Sự Kiện Xâm Phạm Dữ Liệu Tài Khoản (ADC). | ROC + ASV Scan + AOC | ||
| Level 2 | Xử lý từ 1 đến 6 triệu giao dịch mỗi năm cho mỗi khu vực thanh toán, theo từng tổ chức thẻ. | SAQ + ASV Scan + AOC | ||
| Level 3 | Xử lý từ 20.000 đến 1 triệu giao dịch mỗi năm cho mỗi khu vực thanh toán, theo từng tổ chức thẻ. | SAQ + ASV Scan + AOC | ||
| Level 4 | Xử lý dưới 20.000 giao dịch mỗi năm cho mỗi khu vực thanh toán, theo từng tổ chức thẻ. | SAQ + ASV Scan + AOC | ||
Giải thích thuật ngữ:
- RoC (Report on Compliance): Báo cáo tuân thủ PCI DSS, do Qualified Security Assessor (QSA) hoặc Internal Security Assessor (ISA) thực hiện.
- ASV Scan (Approved Scanning Vendor Scan): Quét lỗ hổng mạng bên ngoài do nhà cung cấp quét được PCI Council phê duyệt (ASV) thực hiện.
- Attestation of Compliance (Attestation of Compliance): Văn bản xác nhận tuân thủ PCI DSS, thường được lập dựa trên ROC hoặc SAQ (Self-Assessment Questionnaire). Được điền và ký bởi QSA hoặc đại diện có thẩm quyền của doanh nghiệp.
Level 1: PCI DSS cấp độ 1
Tiêu chí:
Doanh nghiệp được xếp hạng PCI DSS Cấp độ 1 khi xử lý trên 6 triệu giao dịch thẻ mỗi năm. Tuy nhiên, ngoài số lượng giao dịch, còn có các yếu tố khác để xác định cấp độ. Doanh nghiệp sẽ được xếp vào level 1 nếu thỏa mãn 1 trong các tiêu chí sau
- Xử lý trên 6 triệu giao dịch Visa, Mastercard hoặc Discover/năm
- Xử lý trên 2,5 triệu giao dịch American Express/năm
- Xử lý trên 1 triệu giao dịch JCB/năm
- Được bất kỳ tổ chức phát hành thẻ nào xác định là cấp độ 1
- Từng bị sự cố an ninh mạng gây lộ dữ liệu chủ thẻ
Lưu ý: không nhất thiết phải trực tiếp xử lý giao dịch mới bị xếp vào cấp độ 1; chỉ lưu trữ hoặc truyền dữ liệu giao dịch (như nhà cung cấp dịch vụ tường lửa, lưu trữ đám mây) cũng phải tuân thủ yêu cầu PCI DSS Cấp độ 1.
Yêu cầu:
Doanh nghiệp thuộc cấp độ 1 cần thực hiện các yêu cầu sau để tuân thủ PCI DSS:
- Hoàn thành Báo cáo tuân thủ hàng năm (ROC) thông qua Đánh giá viên Bảo mật được Chứng nhận (QSA).
- Thực hiện quét mạng hàng quý bởi Nhà cung cấp dịch vụ quét được phê duyệt (ASV).
- Hoàn thành Mẫu Xác nhận tuân thủ (AOC).
PCI DSS cấp độ 1 là cấp nghiêm ngặt nhất và là cấp duy nhất yêu cầu kiểm toán PCI DSS tại chỗ hàng năm, do đó thời gian để đạt tuân thủ thường lâu hơn.
Ngoài ra, Doanh nghiệp phải báo cáo kết quả kiểm toán cho ngân hàng thanh toán (acquiring bank) theo quy định của PCI SSC. Các ngân hàng này cũng phải tuân thủ quy tắc và quy trình của các tổ chức thẻ về việc giám sát tuân thủ của doanh nghiệp.
Level 2: PCI DSS cấp độ 2
Tiêu chí:
Doanh nghiệp xử lý từ 1–6 triệu giao dịch thẻ/năm được xếp vào PCI DSS Cấp độ 2. Tiêu chí cụ thể gồm:
- Xử lý 1–6 triệu giao dịch Visa, Mastercard hoặc Discover/năm
- Xử lý 50.000–2,5 triệu giao dịch American Express/năm
- Xử lý dưới 1 triệu giao dịch JCB/năm
Yêu cầu:
Doanh nghiệp thuộc cấp độ 2 cần thực hiện các yêu cầu sau để tuân thủ PCI DSS:
- Hoàn thành bảng câu hỏi tự đánh giá PCI (SAQ) phù hợp hàng năm.
- Thực hiện quét mạng hàng quý bởi Nhà cung cấp dịch vụ quét được phê duyệt (ASV).
- Hoàn thành Mẫu Xác nhận tuân thủ (AOC).
Doanh nghiệp cấp độ 2 không bắt buộc kiểm toán PCI DSS tại chỗ, trừ khi xảy ra vi phạm dữ liệu hoặc tấn công mạng làm lộ thông tin thẻ hoặc dữ liệu chủ thẻ. Tuy nhiên, ngân hàng thanh toán có thể yêu cầu kiểm toán tại chỗ và Báo cáo tuân thủ (ROC) nếu thấy cần thiết.
Trong hầu hết các trường hợp, doanh nghiệp cấp độ 2 tự đánh giá tuân thủ bằng cách hoàn thành và gửi SAQ, đồng thời đảm bảo mạng được quét hàng quý bởi ASV.
Số lượng câu hỏi và yêu cầu trong SAQ phụ thuộc vào loại SAQ được chọn. Do đó, nhiều tổ chức thường cố gắng thu hẹp phạm vi kiểm toán/đánh giá để tiết kiệm thời gian và chi phí.
Level 3: PCI DSS cấp độ 3
Tiêu chí:
Doanh nghiệp PCI DSS Cấp độ 3 thường xử lý dưới 1 triệu giao dịch/năm, nhưng vẫn có tiêu chí cụ thể:
- Tối đa 1 triệu giao dịch thương mại điện tử Visa/năm
- Dưới 20.000 giao dịch TMĐT Mastercard/năm và dưới 1 triệu giao dịch Mastercard tổng/năm
- 20.000–1 triệu giao dịch TMĐT Discover/năm
- Dưới 50.000 giao dịch American Express/năm
Lưu ý: JCB không áp dụng cấp độ 3; tổ chức xử lý dưới 1 triệu giao dịch JCB/năm phải tuân thủ yêu cầu PCI DSS Cấp độ 2
Yêu cầu:
Doanh nghiệp được xếp hạng PCI cấp độ 3 cần thực hiện các yêu cầu sau để tuân thủ PCI DSS:
- Hoàn thành bảng câu hỏi tự đánh giá PCI (SAQ) phù hợp hàng năm.
- Thực hiện quét mạng hàng quý bởi Nhà cung cấp dịch vụ quét được phê duyệt (ASV).
- Hoàn thành Mẫu Xác nhận tuân thủ (AOC).
Lưu ý: Nhà cung cấp thẻ JCB không có định nghĩa riêng cho doanh nghiệp PCI cấp độ 3. Mọi doanh nghiệp xử lý dưới 1 triệu giao dịch JCB/năm sẽ được xếp vào PCI cấp độ 2.
Thông thường, doanh nghiệp cấp độ 3 không bắt buộc thực hiện kiểm toán PCI DSS tại chỗ hoặc lập Báo cáo tuân thủ (ROC), nhưng một số doanh nghiệp vẫn lựa chọn thực hiện để nâng cao uy tín hoặc đảm bảo môi trường dữ liệu chủ thẻ an toàn tuyệt đối.
Level 4: PCI DSS cấp độ 4
Tiêu chí:
Doanh nghiệp xử lý dưới 20.000 giao dịch thương mại điện tử Visa hoặc Mastercard/năm hoặc dưới 1 triệu giao dịch Visa hoặc Mastercard tổng/năm được phân loại là PCI DSS Cấp độ 4.
Lưu ý: để duy trì cấp độ này, doanh nghiệp phải đảm bảo không xảy ra vi phạm bảo mật hoặc mất cắp dữ liệu trong thời gian gần đây.
Yêu cầu:
Doanh nghiệp được xếp hạng PCI cấp độ 4 cần thực hiện các yêu cầu sau để tuân thủ PCI DSS:
- Hoàn thành bảng câu hỏi tự đánh giá PCI (SAQ) phù hợp hàng năm.
- Thực hiện quét bảo mật mạng bên ngoài hàng quý bởi Nhà cung cấp dịch vụ quét được phê duyệt (ASV).
- Hoàn thành Mẫu Xác nhận tuân thủ (AOC).
Lưu ý: Discover, American Express và JCB không có phân loại merchant cấp độ 4.
Cách tổ chức doanh nghiệp xác định cấp độ PCI DSS của mình
Việc xác định sai cấp độ có thể dẫn đến không tuân thủ do áp dụng sai yêu cầu PCI DSS. |
Xem thêm: Chứng chỉ PCI DSS là gì? Tầm quan trọng với doanh nghiệp
2. Các cấp độ PCI DSS: Đối với nhà cung cấp dịch vụ
Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) phân loại nhà cung cấp dịch vụ thành hai cấp dựa chủ yếu vào số lượng giao dịch thẻ xử lý hằng năm. Việc phân loại này xác định các yêu cầu tuân thủ cụ thể nhằm đảm bảo an toàn dữ liệu chủ thẻ.
2.1. PCI Level 1
Áp dụng cho nhà cung cấp dịch vụ lưu trữ, xử lý hoặc truyền hơn 300.000 giao dịch thẻ mỗi năm. Do khối lượng dữ liệu nhạy cảm lớn, họ phải đáp ứng các yêu cầu tuân thủ nghiêm ngặt nhất, bao gồm:
- Đánh giá toàn diện hằng năm bởi Chuyên gia đánh giá được PCI công nhận (QSA), kết quả là Báo cáo tuân thủ (ROC).
- Quét mạng hàng quý bởi Nhà cung cấp quét được phê duyệt (ASV).
- Thực hiện kiểm thử xâm nhập (penetration test) và quét lỗ hổng nội bộ định kỳ.
2.2. PCI Level 2
Áp dụng cho nhà cung cấp dịch vụ xử lý dưới 300.000 giao dịch thẻ mỗi năm. Yêu cầu tuân thủ nhẹ hơn Level 1 nhưng vẫn phải bảo vệ dữ liệu chủ thẻ, bao gồm:
- Hoàn thành Bảng câu hỏi tự đánh giá SAQ D – dành cho Service Providers hằng năm
- Quét mạng hàng quý bởi ASV.
- Thực hiện kiểm thử xâm nhập và quét lỗ hổng nội bộ thường xuyên.
Xem thêm: Tiêu chuẩn PCI DSS là gì
3. Dịch vụ tư vấn, đánh giá và cấp chứng chỉ PCI DSS từ FPT IS
Đầu năm 2015, FPT IS trở thành công ty Việt Nam đầu tiên được PCI SSC công nhận là PCI QSA Company, cho phép thực hiện đánh giá và cấp chứng nhận tuân thủ PCI DSS cho các tổ chức trong nước.
Một số dự án tiêu biểu:
- SHBFinance: Trong 6 tháng, SHBFinance cùng FPT IS hoàn tất đánh giá và đạt chứng nhận PCI DSS 4.0 Cấp độ 1 – cấp cao nhất, tuân thủ nghiêm ngặt 12 yêu cầu, gần 300 tiêu chí bảo mật và 6 nguyên tắc trọng yếu về an toàn thông tin.
- FE Credit: FPT IS đồng hành tư vấn, đánh giá và cấp chứng nhận PCI DSS 4.0 Cấp độ 1 cho FE CREDIT, giúp đơn vị đạt chuẩn bảo mật thẻ cao nhất, tăng cường an toàn dữ liệu khách hàng và giảm thiểu rủi ro gian lận giao dịch.
- MB Bank: FPT IS hỗ trợ MB Bank chuẩn hóa hệ thống bảo mật, đáp ứng hơn 300 yêu cầu và được cấp chứng chỉ PCI DSS. Với vai trò QSA đầu tiên tại Việt Nam, FPT IS là đối tác tin cậy giúp MB Bank duy trì chứng chỉ nhiều năm liên tiếp từ 2020.
- PVcomBank: Năm 2022, FPT IS cấp thành công chứng chỉ PCI DSS 3.2.1 Cấp độ 1 cho PVcomBank, nâng chuẩn bảo mật dữ liệu thẻ và gia tăng uy tín trong giao dịch thanh toán.
- Các dự án khác: SeABank, Eximbank, Lotte Finance Vietnam, One Mount Group…
Dịch vụ PCI DSS của FPT IS giúp doanh nghiệp đảm bảo an toàn dữ liệu thẻ thanh toán, ngăn ngừa gian lận, giảm nguy cơ truy cập trái phép và củng cố uy tín thương hiệu.
Không chỉ cung cấp dịch vụ đánh giá và cấp chứng chỉ PCI DSS, FPT IS còn cung cấp các giải pháp an ninh mạng như FPT.EagleEye Pentest và FPT.EagleEye mSOC, tăng cường khả năng bảo vệ toàn diện cho hệ thống. Năm 2024, FPT IS cũng đã chính thức trở thành thành viên của tổ chức CREST cho Dịch vụ kiểm thử xâm nhập (Pentest). Việc đạt được các chứng nhận quốc tế như ISO27001, ISO20000, PCI.QSA Company và CREST… thể hiện cam kết của FPT IS với khách hàng về chất lượng dịch vụ ATTT đạt chuẩn thế giới.
Việc đáp ứng đúng PCI DSS Level không chỉ giúp doanh nghiệp tuân thủ quy định quốc tế mà còn nâng cao uy tín, giảm thiểu rủi ro và củng cố niềm tin của khách hàng. Quý Doanh nghiệp quan tâm đến giải pháp, vui lòng để lại thông tin liên hệ tại đây để được chuyên gia FPT IS tư vấn chi tiết.
