Phân biệt giữa SAQ và RoC trong tiêu chuẩn PCI DSS

Những tổ chức, doanh nghiệp tham gia xây dựng áp dụng bộ tiêu chuẩn PCI DSS thường biết là có 2 hình thức chính để doanh nghiệp chứng minh việc tuân thủ đó chính là SAQ (Self-Assessment Questionnaire) và RoC (Report on Compliance). Hai khái niệm này có những gì khác biệt với nhau. Bài viết này SQC Certification xin chia sẻ cho bạn đọc biết.

---

Khái niệm về SAQ và RoC

1. SAQ – Bản Tự Đánh Giá (Self-Assessment Questionnaire)

SAQ – Self-Assessment Questionnaire (Bản Tự Đánh Giá) là thuật ngữ khá phổ biến trong PCI DSS. Đây thực chất là một bộ câu hỏi do Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) phát hành, nhằm giúp các doanh nghiệp tự đánh giá mức độ tuân thủ tiêu chuẩn bảo mật PCI DSS khi không bắt buộc phải thực hiện đánh giá bởi bên thứ ba (QSA).

SAQ chính là công cụ giúp doanh nghiệp tổ chức xử lý ít giao dịch thẻ, không lưu trữ dữ liệu thẻ có thể tự kiểm tra và xác nhận rằng họ đang tuân thủ một cách đầy đủ các yêu cầu bảo mật của chứng nhận PCI DSS. SAQ thường được yêu cầu bởi ngân hàng thanh toán hoặc các tổ chức phát hành thẻ để đảm bảo doanh nghiệp chấp nhận thanh toán thẻ đang bảo vệ thông tin khách hàng đúng cách.

Các doanh nghiệp nhỏ và vừa (SMEs) hoặc các tổ chức xử lý khối lượng giao dịch thẻ thấp, không lưu trữ dữ liệu thẻ, hoặc sử dụng bên thứ ba để xử lý thanh toán.

Ai cần sử dụng SAQ?

• Các merchant (nhà bán hàng) hoặc service provider (nhà cung cấp dịch vụ) có mức xử lý giao dịch thẻ thấp
• Không lưu trữ dữ liệu thẻ thanh toán
• Sử dụng dịch vụ của bên thứ ba để xử lý thanh toán
• Không yêu cầu thực hiện RoC (Report on Compliance) từ QSA

Có bao nhiêu loại SAQ?

Có 9 loại SAQ khác nhau (A, A-EP, B, B-IP, C, C-VT, D, P2PE, v.v.), tùy theo mô hình kinh doanh và cách thức xử lý dữ liệu thẻ.

Hồ sơ cần nộp gồm:

• SAQ đã hoàn thành
• AOC (Attestation of Compliance) – Cam kết tuân thủ

>>> 12 yêu cầu bảo mật trong PCI DSS chi tiết

---

2. RoC – Báo Cáo Tuân Thủ (Report on Compliance)

RoC – Report on Compliance (Báo Cáo Tuân Thủ) được hiểu như là một bộ tài liệu đánh giá chi tiết cho một bên tổ chức đánh giá được chứng nhận QSA thực hiện, nhằm xác nhận rằng một tổ chức đang tuân thủ đầy đủ các yêu cầu của tiêu chuẩn PCI DSS.

RoC là bằng chứng chính thức cho thấy doanh nghiệp của bạn đã được đánh giá bởi bên thứ 3 có thẩm quyền cũng như tuân thủ tất cả các yêu cầu của bộ tiêu chuẩn PCI DSS phiên bản 4.0. RoC được coi là bằng chứng khi tổ chức Có các biện pháp kiểm soát an ninh mạnh mẽ để bảo vệ dữ liệu thẻ thanh toán

Ai cần thực hiện RoC?

RoC thường bao gồm các doanh nghiệp lớn thường là Merchant Level 1 hoặc tổ chức, giúp xử lý tốt từ 6 triệu giao dịch thẻ trở nên mỗi năm. Lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ. Những người có yêu cầu từ ngân hàng thanh toán và tổ chức phát hành thẻ hoặc các đối tác.

---

So sánh giữa SAQ và RoC trong tiêu chuẩn PCI DSS

Việc tổ chức, doanh nghiệp của bạn áp dụng bộ tiêu chuẩn PCI DSS cho sản phẩm thẻ bảo mật của mình là điều tất yếu dễ hiểu. Bảng bên dưới đây chúng tôi xin liệt kê những sự khác nhau nổi bật giữa SAQ và RoC

Tiêu chí	SAQ	RoC
Đối tượng áp dụng	SMEs, ít giao dịch, ít rủi ro	Doanh nghiệp lớn, ngân hàng, Level 1
Hình thức đánh giá	Tự đánh giá	QSA đánh giá độc lập
Chi phí	Thấp	Cao hơn
Tính chi tiết	Tùy theo mẫu SAQ	Toàn diện và sâu
Yêu cầu nộp hồ sơ	SAQ + AOC	RoC + AOC
Tần suất đánh giá	Hàng năm	Hàng năm

---

Kết luận: 

Có thể thấy trong lĩnh vực thẻ thanh toán việc xác định rõ giữa SAQ và RoC trong tiêu chuẩn PCI DSS là điều cần thiết để doanh nghiệp xác định đúng hình thức đánh giá phù hợp. Nếu như SAQ là bản tự đánh giá dành cho tổ chức có quy mô nhỏ, ít xử lý giao dịch và không lưu trữ dữ liệu thẻ thì RoC là báo cáo đánh giá độc lập bởi tổ chức QSA, áp dụng cho doanh nghiệp lớn, có quy mô xử lý giao dịch lớn. Với những khác biệt này sẽ giúp cho tổ chức của bạn đảm bảo tuân thủ tốt và tối ưu chi phí đánh giá một cách hiệu quả nhất.