Các tổ chức, doanh nghiệp khi triển khai và áp dụng tiêu chuẩn PCI DSS thường thực hiện xác nhận tuân thủ theo hai hình thức chính: SAQ (Self-Assessment Questionnaire – Bảng câu hỏi tự đánh giá) và RoC (Report on Compliance – Báo cáo tuân thủ). Hai phương thức này có sự khác biệt về phạm vi áp dụng, mức độ đánh giá và đối tượng thực hiện. Trong bài viết này, SQC Certification sẽ giúp bạn hiểu rõ đặc điểm của từng hình thức để lựa chọn phương án phù hợp với quy mô và mô hình hoạt động của doanh nghiệp.
Khái niệm về SAQ và RoC
1. SAQ – Self-Assessment Questionnaire (Bảng câu hỏi tự đánh giá)
SAQ (Self-Assessment Questionnaire) là bộ câu hỏi tự đánh giá do PCI Security Standards Council ban hành, giúp doanh nghiệp tự xác nhận mức độ tuân thủ tiêu chuẩn PCI DSS trong trường hợp không bắt buộc phải thực hiện đánh giá bởi chuyên gia QSA độc lập.
SAQ được thiết kế dành cho các doanh nghiệp có quy mô nhỏ hoặc xử lý khối lượng giao dịch thẻ thấp, không lưu trữ dữ liệu chủ thẻ, hoặc sử dụng bên thứ ba để xử lý thanh toán. Thông qua SAQ, doanh nghiệp có thể tự rà soát và cam kết rằng mình đang đáp ứng các yêu cầu bảo mật theo chứng nhận PCI DSS. Việc hoàn thành SAQ thường được yêu cầu bởi ngân hàng thanh toán (Acquirer) hoặc tổ chức thẻ.
Đối tượng cần sử dụng SAQ:
- Đơn vị chấp nhận thẻ hoặc nhà cung cấp dịch vụ có lượng giao dịch thấp
- Không lưu trữ dữ liệu thẻ thanh toán
- Thuê bên thứ ba xử lý thanh toán
- Không bắt buộc phải thực hiện RoC bởi QSA
Các loại SAQ:
Hiện có nhiều loại SAQ khác nhau (A, A-EP, B, B-IP, C, C-VT, D, P2PE…), được phân loại dựa trên mô hình kinh doanh và phương thức xử lý dữ liệu thẻ.
Hồ sơ cần nộp bao gồm:
- SAQ đã hoàn thành đầy đủ
- AOC (Attestation of Compliance – Cam kết tuân thủ)
>>> 12 yêu cầu bảo mật trong PCI DSS chi tiết
2. RoC – Report on Compliance (Báo cáo Tuân thủ)
RoC (Report on Compliance) là báo cáo đánh giá tuân thủ PCI DSS do chuyên gia QSA (Qualified Security Assessor) được công nhận bởi PCI Security Standards Council thực hiện. Báo cáo này xác nhận rằng doanh nghiệp đã được đánh giá độc lập và đáp ứng đầy đủ các yêu cầu của tiêu chuẩn PCI DSS (hiện hành là phiên bản 4.0).
RoC được xem là bằng chứng chính thức về việc doanh nghiệp đã triển khai các biện pháp kiểm soát an ninh phù hợp nhằm bảo vệ dữ liệu chủ thẻ trong quá trình lưu trữ, xử lý và truyền tải.
Đối tượng cần thực hiện RoC
RoC thường áp dụng cho:
- Doanh nghiệp cấp độ 1 (Level 1 Merchant), xử lý từ 6 triệu giao dịch thẻ trở lên mỗi năm
- Tổ chức lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ thanh toán
- Doanh nghiệp được yêu cầu bởi ngân hàng thanh toán (Acquirer), tổ chức thẻ hoặc đối tác kinh doanh
Nội dung của một báo cáo RoC
Một báo cáo RoC đầy đủ thường bao gồm:
-
Thông tin tổng quan về tổ chức
-
Xác định phạm vi đánh giá (Scope)
-
Mô tả kiến trúc mạng và hệ thống liên quan đến dữ liệu chủ thẻ
-
Phương pháp và quy trình đánh giá
-
Đánh giá chi tiết theo từng điều khoản trong 12 yêu cầu của PCI DSS
-
Danh sách các biện pháp kiểm soát đã áp dụng
-
Ghi nhận các điểm không phù hợp (nếu có)
-
Kết luận và trạng thái tuân thủ PCI DSS
-
Khuyến nghị cải thiện (nếu cần)
Tài liệu đi kèm
-
AOC (Attestation of Compliance – Bản xác nhận tuân thủ)
-
Các bằng chứng và hồ sơ kiểm tra liên quan
So sánh giữa SAQ và RoC trong tiêu chuẩn PCI DSS
Việc bạn tổ chức doanh nghiệp áp dụng bộ tiêu chuẩn PCI DSS cho sản phẩm thẻ bảo mật của mình là điều tất yếu dễ hiểu. Bảng bên dưới đây chúng tôi xin liệt kê những điểm khác nhau nổi bật giữa SAQ và RoC
|
tiêu chí |
SAQ |
RoC |
| c-ứng dụng | Các doanh nghiệp vừa và nhỏ, ít giao dịch, ít rủi ro | Doanh nghiệp lớn, ngân hàng, Cấp 1 |
| Hình thức đánh giá | Tự đánh giá | QSA đánh giá độc lập |
| Chi phí | Thấp | Cao |
| Tính chi | tùy theo mẫu SAQ | phần trang và |
| Yêu cầu nộp hồ sơ | SAQ + AOC | RoC + AOC |
| Tần suất đánh giá | Hàng năm | Hàng năm |
Kết luận:
Có thể thấy trong lĩnh vực thẻ thanh toán việc xác định rõ giữa SAQ và RoC trong tiêu chuẩn PCI DSS là điều cần thiết để doanh nghiệp xác định đúng quy định đánh giá cho phù hợp. Nếu SAQ là hình thức tự đánh giá dành cho các tổ chức có quy mô nhỏ, khối lượng giao dịch thấp và không lưu trữ dữ liệu chủ thẻ, thì RoC lại là báo cáo đánh giá độc lập do chuyên gia QSA thực hiện, thường áp dụng cho doanh nghiệp lớn với môi trường xử lý giao dịch phức tạp và quy mô cao.
Việc hiểu rõ sự khác biệt giữa hai hình thức này sẽ giúp doanh nghiệp lựa chọn phương án phù hợp, đảm bảo tuân thủ hiệu quả tiêu chuẩn PCI DSS, đồng thời tối ưu chi phí và nguồn lực triển khai.
Khóa Đào Tạo Miễn Phí: Bộ công cụ đánh giá môi trường HIGG FEM và những cập nhật mới nhất
Phạm vi đánh giá BSCI bao gồm những gì? – Tiêu chuẩn BSCI mới nhất
Tiêu Chuẩn HIGG FEM 4.0 mới nhất về Đánh giá tác động môi trường
Tổ chức đánh giá BSCI uy tín tại Việt Nam
BSCI là gì? Tìm hiểu Tiêu chuẩn BSCI mới nhất 2026
SQC Certification Việt nam chính thức trở thành QSAC được PCI SSC cấp phép
