Trong bộ tiêu chuẩn PCI DSS, 5 tổ chức thanh toán thẻ lớn nhất toàn cầu có đưa ra các mức độ tuân thủ (Compliance Level) được xác định dựa trên khối lượng giao dịch thẻ thanh toán mà một tổ chức (thường là merchant hoặc service provider) xử lý mỗi năm. Các cấp độ này giúp xác định mức độ đánh giá bảo mật bắt buộc – từ tự đánh giá (SAQ) đến kiểm toán độc lập (ROC). Bài viết này, SQC Certification xin chia sẻ cho bạn về các cấp độ tuân thủ trong PCI DSS để bạn hiểu.
Giới thiệu về bộ tiêu chuẩn PCI DSS
Bộ tiêu chuẩn PCI DSS (Payment Card Industry Data Security Standard) chính là bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán quốc tế, được xây dựng và ban hành bởi Hội đồng Tiêu chuẩn Bảo mật PCI (PCI Security Standards Council – PCI SSC). Mục tiêu của PCI DSS là đảm bảo an toàn cho thông tin thẻ thanh toán trong suốt quá trình xử lý, lưu trữ và truyền tải dữ liệu, giúp giảm thiểu rủi ro gian lận và rò rỉ dữ liệu.
Tiêu chuẩn này hiện nay có thể được áp dụng cho mọi tổ chức tham gia vào chuỗi thanh toán thẻ – bao gồm ngân hàng, tổ chức tài chính, cổng thanh toán, nhà cung cấp dịch vụ, đơn vị chấp nhận thẻ và cả các nền tảng thương mại điện tử. Tiêu chuẩn PCI DSS đặt ra hệ thống yêu cầu gồm 12 nhóm nguyên tắc bảo mật, bao phủ các lĩnh vực như quản lý hạ tầng mạng, bảo vệ dữ liệu chủ thẻ (cardholder data), kiểm soát truy cập, giám sát và kiểm thử bảo mật.
Các mức độ tuân thủ của PCI DSS
PCI DSS phân chia mức độ tuân thủ thành bốn cấp độ, dựa trên tổng số lượng giao dịch thẻ tín dụng hoặc thẻ ghi nợ mà doanh nghiệp xử lý hàng năm, bao gồm cả giao dịch trực tuyến lẫn trực tiếp. Mỗi cấp độ sẽ có những yêu cầu xác thực riêng để đảm bảo tính bảo mật trong xử lý dữ liệu thanh toán.
Cấp độ 1 (Level 1) – Mức cao nhất
- Đối tượng:
Bao gồm các Merchant xử lý trên 6 triệu giao dịch thẻ (Visa hoặc Mastercard) mỗi năm.
Bất kỳ merchant nào bị vi phạm dữ liệu hoặc được yêu cầu bởi tổ chức thẻ.
- Yêu cầu tuân thủ:
Đánh giá bởi đơn vị đánh giá đủ điều kiện (QSA) hoặc đánh giá nội bộ được phê duyệt.
Phải nộp Report on Compliance (ROC) hằng năm.
Quét bảo mật mạng (ASV scan) hằng quý.
Ý nghĩa: Dành cho ngân hàng, PSP, sàn thương mại điện tử lớn, hoặc tập đoàn có khối lượng giao dịch lớn.
Cấp độ 2 (Level 2)
Đối tượng: Merchant xử lý từ 1 triệu đến 6 triệu giao dịch thẻ/năm (theo từng thương hiệu thẻ).
- Yêu cầu tuân thủ:
Tự đánh giá bằng SAQ (Self-Assessment Questionnaire) hằng năm.
ASV scan hằng quý.
Một số tổ chức thẻ có thể yêu cầu đánh giá ROC nếu rủi ro cao.
Ý nghĩa: Thường là các doanh nghiệp trung bình – chuỗi cửa hàng, sàn thương mại cỡ vừa.
Cấp độ 3 (Level 3)
Đối tượng: Merchant xử lý từ 20.000 đến 1 triệu giao dịch e-commerce/năm.
Yêu cầu tuân thủ:
SAQ hằng năm.
ASV scan hằng quý.
Ý nghĩa: Doanh nghiệp thương mại điện tử nhỏ và vừa – có doanh số online đáng kể.
Cấp độ 4 (Level 4)
- Đối tượng:
Merchant xử lý dưới 20.000 giao dịch e-commerce/năm, hoặc
Dưới 1 triệu giao dịch thẻ tổng cộng/năm.
- Yêu cầu tuân thủ:
SAQ hằng năm (do ngân hàng thanh toán yêu cầu).
ASV scan hằng quý (nếu có giao dịch trực tuyến).
Ý nghĩa: Các cửa hàng nhỏ, doanh nghiệp khởi nghiệp, nhà cung cấp dịch vụ có khối lượng giao dịch thấp.
Làm sao biết doanh nghiệp mình ở cấp độ nào?
“Làm sao biết doanh nghiệp của mình thuộc cấp nào trong PCI DSS?” chính là bước đầu tiên và quan trọng nhất khi bắt đầu hành trình tuân thủ. Dưới đây là hướng dẫn chi tiết, dễ hiểu nhất để bạn tự xác định cấp độ PCI DSS (Merchant Level hoặc Service Provider Level) của mình. Những bước có thể làm chính là:
1 Xác định loại hình: Xem tổ chức của bạn thuộc loại nào?
- Merchant: doanh nghiệp, cửa hàng, website chấp nhận thanh toán thẻ.
- Service Provider: đơn vị xử lý hoặc lưu trữ dữ liệu thẻ cho bên khác (ví dụ: cổng thanh toán, nhà cung cấp hạ tầng).
2 Tính tổng số giao dịch thẻ/năm
Tổng hợp số giao dịch của từng thương hiệu (Visa, Mastercard, v.v.) trong 12 tháng gần nhất.
3 Đối chiếu bảng cấp độ
4 Xác nhận với ngân hàng thanh toán
Ngân hàng hoặc tổ chức thẻ của bạn là nơi xác định chính thức cấp độ tuân thủ.
Lợi ích khi doanh nghiệp hiểu rõ cấp độ tuân thủ PCI DSS
Việc xác định đúng cấp độ tuân thủ PCI DSS giúp doanh nghiệp của bạn có được những lợi thế riêng biệt mà không phải ngành nào cũng có được. Những lợi ích này có thể bao gồm:
- Xây dựng kế hoạch tuân thủ phù hợp – biết rõ phạm vi, chi phí và quy trình cần thực hiện.
- Tăng cường bảo mật dữ liệu thẻ, giảm rủi ro vi phạm và tổn thất tài chính.
- Tối ưu nguồn lực – tránh đầu tư dư thừa hoặc thiếu sót trong kiểm soát bảo mật.
- Tăng uy tín và niềm tin với đối tác, ngân hàng và khách hàng.
- Đảm bảo hoạt động thanh toán ổn định, đáp ứng yêu cầu của các tổ chức thẻ quốc tế.
Có thể thấy được việc tổ chức của bạn xác định được một cách chính xác các cấp độ về tuân thủ PCI DSS sẽ không chỉ giúp doanh nghiệp hiểu rõ phạm vi và yêu cầu cần đáp ứng, mà còn là nền tảng quan trọng để xây dựng hệ thống bảo mật thẻ thanh toán hiệu quả và bền vững. Khi doanh nghiệp của bạn nắm được mình thuộc cấp độ nào, doanh nghiệp có thể lập kế hoạch triển khai phù hợp, phân bổ nguồn lực đúng chỗ và đáp ứng kỳ vọng của các tổ chức tài chính, ngân hàng cũng như khách hàng.
Hiểu và tuân thủ PCI DSS không chỉ là yêu cầu kỹ thuật, mà còn là cam kết về an toàn dữ liệu và uy tín thương hiệu – yếu tố then chốt giúp doanh nghiệp phát triển bền vững trong kỷ nguyên thanh toán số.
Tiêu chuẩn – Điều kiện tiên quyết thúc đẩy chuyển đổi xanh
Lộ trình đạt chứng nhận PCI DSS: Các bước, chi phí và đối tác đánh giá
Những lỗi thường gặp khiến doanh nghiệp trượt chứng nhận PCI DSS
Ngân hàng và tổ chức tài chính Việt Nam chuyển mình theo PCI DSS 4.0.1
SQC Certification tổ chức thành công khóa học miễn phí CIRP
Chương trình đào tạo tháng 11 năm 2025 tại SQC Certification
