KEMBAR78
การปฏิบัติตามข้อกําหนดของ PCI DSS คืออะไร | Stripe

คู่มือสำหรับการปฏิบัติตามข้อกำหนดของ PCI

มาตรฐานการรักษาความปลอดภัยข้อมูลสําหรับอุตสาหกรรมบัตรชําระเงิน (PCI DSS) กําหนดมาตรฐานขั้นต่ําสําหรับการรักษาความปลอดภัยข้อมูล ต่อไปนี้คือคําแนะนําแบบทีละขั้นตอนเกี่ยวกับการรักษาความสอดคล้องตามมาตรฐานดังกล่าวและวิธีที่ Stripe จะช่วยเหลือคุณได้

Payments
Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด ตั้งแต่ธุรกิจสตาร์ทอัพไปจนถึงองค์กรใหญ่ระดับโลก

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร
  3. คำแนะนำแบบทีละขั้นตอนเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS
    1. 1. ทราบระดับ PCI ของคุณ
    2. 2. ทราบประเภทการผสานการทำงานและข้อกำหนดในการจัดทำเอกสาร
    3. 3. ทำการประเมินให้เสร็จสิ้นและส่งเอกสาร SAQ
    4. 4. ติดตามตรวจสอบและดูแลรักษา
  4. Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร
    1. การสนับสนุนสําหรับธุรกิจขนาดเล็ก
    2. ประสบการณ์การใช้งานแดชบอร์ดที่ออกแบบเอง
    3. การสนับสนุนเมื่อธุรกิจของคุณเติบโตขึ้น
    4. ผู้ให้บริการมากกว่าหนึ่งราย
    5. รองรับการชําระเงินแบบ MOTO (การสั่งซื้อทางไปรษณีย์/การสั่งซื้อทางโทรศัพท์)

ตั้งแต่ปี 2005 มีการรุกล้ำข้อมูลของผู้บริโภคกว่า 1 หมื่นล้านรายการโดยมีการละเมิดข้อมูลกว่า 9,000 ครั้งในสหรัฐอเมริกา ข้อมูลนี้เป็นสถิติล่าสุดจาก Privacy Rights Clearinghouse ซึ่งรายงานเกี่ยวกับการละเมิดข้อมูลและการละเมิดด้านความปลอดภัยที่ส่งผลกระทบต่อผู้บริโภคย้อนหลังไปถึงปี 2005 ด้วยเหตุนี้ จึงมีการวางมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูลขึ้นเพื่อเพิ่มความปลอดภัยให้กับข้อมูลของผู้บริโภคและส่งเสริมความไว้วางใจต่อระบบการชำระเงิน โดย Visa, Mastercard, American Express, Discover และ JCB ได้จัดตั้งสภามาตรฐานการรักษาความปลอดภัยอุตสาหกรรมบัตรชำระเงิน (Payment Card Industry Security Standards Council หรือ PCI SSC) ขึ้นในปี 2006 เพื่อบริหารและจัดการมาตรฐานความปลอดภัยสำหรับบริษัทต่างๆ ที่จัดการข้อมูลบัตรเครดิต

มาตรฐานการรักษาความปลอดภัยข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน (Payment Card Industry Data Security Standard หรือ PCI DSS) คือ มาตรฐานความปลอดภัยระดับสากลสำหรับทุกหน่วยงานที่จัดเก็บ ประมวลผล หรือส่งข้อมูลของเจ้าของบัตรและ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน โดย PCI DSS ช่วยวางข้อกำหนดพื้นฐานในการปกป้องผู้บริโภค และช่วยลดการฉ้อโกงและการละเมิดข้อมูลทั่วทั้งระบบการชำระเงิน มาตรฐานนี้มีผลบังคับใช้กับทุกองค์กรที่รับหรือประมวลผลบัตรชำระเงิน และมีบทลงโทษ ค่าปรับ และค่าใช้จ่ายจำนวนมากสำหรับองค์กรที่ไม่ปฏิบัติตามมาตรฐานเหล่านี้

การปฏิบัติตามข้อกำหนดของ PCI DSS มีองค์ประกอบสำคัญ 3 ข้อดังนี้

  1. การจัดการการป้อนข้อมูลบัตรเครดิตจากลูกค้า โดยระบบจะเก็บรวบรวมและส่งรายละเอียดของบัตรที่ละเอียดอ่อนดังกล่าวอย่างปลอดภัย
  2. การจัดเก็บข้อมูลอย่างปลอดภัย ซึ่งกำหนดไว้ในขอบเขตความปลอดภัยจำนวน 12 รายการของมาตรฐาน PCI เช่น การเข้ารหัส การเฝ้าสังเกตอย่างต่อเนื่อง และการทดสอบความปลอดภัยในการเข้าถึงข้อมูลบัตร
  3. การตรวจสอบเป็นประจำทุกปีว่าได้จัดให้มีมาตรการควบคุมความปลอดภัยที่จำเป็นต่างๆ ซึ่งอาจรวมถึงแบบฟอร์ม แบบสอบถาม บริการสแกนหาช่องโหว่จากภายนอก และการตรวจสอบโดยบริษัทอื่น (โปรดดูตารางแสดงข้อกำหนด 4 ระดับจากคู่มือแบบทีละขั้นตอนด้านล่าง)

ธุรกิจทั้งหมดที่รับชำระเงินผ่านบัตรเครดิตจะต้องปฏิบัติตามข้อกำหนดของ PCI DSS ไม่ว่าจะมีปริมาณ ภูมิภาค หรือวิธีผสานการทำงานรูปแบบใดก็ตาม โดยสิ่งที่ธุรกิจจะสามารถทำได้เมื่อปฏิบัติตามเฟรมเวิร์กนี้มีดังนี้

  • สร้างความเชื่อมั่นให้กับลูกค้าด้วยการตรวจสอบให้แน่ใจว่าข้อมูลบัตรของลูกค้าปลอดภัย
  • ปกป้องตัวเองจากการฉ้อโกงและการละเมิดข้อมูล
  • หลีกเลี่ยงค่าปรับจากการไม่ปฏิบัติตามข้อกำหนดของ PCI

ข้อจำกัดความรับผิดชอบ: บทความนี้ควรใช้เพื่อวัตถุประสงค์ในการแนะแนวทางเท่านั้น และไม่ควรใช้เป็นคําแนะนําที่ครบถ้วนสมบูรณ์ที่สุด เราขอแนะนําให้คุณพิจารณาปรึกษาผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกําหนด (QSA) ตามมาตรฐานการรักษาความปลอดภัยข้อมูลสําหรับอุตสาหกรรมบัตรชําระเงิน (PCI DSS) เพื่อความชัดเจน

Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร

หากโมเดลธุรกิจของคุณกําหนดให้คุณต้องจัดการข้อมูลบัตร คุณอาจต้องปฏิบัติตามมาตรการควบคุมเพื่อการรักษาความปลอดภัยกว่า 300 รายการใน PCI DSS โดยมีเอกสารอย่างเป็นทางการกว่า 1,800 หน้าเกี่ยวกับ PCI DSS ซึ่งเผยแพร่โดยสภามาตรฐานการรักษาความปลอดภัย PCI และมีเนื้อหากว่า 300 หน้าว่าด้วยการทําความเข้าใจเกี่ยวกับแบบฟอร์มที่ควรใช้เมื่อตรวจสอบการปฏิบัติตามข้อกําหนด

Stripe ช่วยลดภาระด้าน PCI ให้กับบริษัทได้อย่างมากโดยมอบวิธีผสานการทํางานที่แปลงเป็นโทเค็นแล้วหลากหลายวิธี (เช่น Checkout, Elements, SDK สําหรับอุปกรณ์เคลื่อนที่, Terminal SDK) ซึ่งช่วยให้บริษัทไม่ต้องจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อนโดยตรง

  • Stripe Checkout และ Stripe Elements ใช้ช่องการชําระเงินในระบบเพื่อจัดการข้อมูลบัตรชําระเงินทั้งหมด ดังนั้นเจ้าของบัตรจึงป้อนข้อมูลการชําระเงินที่ละเอียดอ่อนทั้งหมดในช่องการชําระเงินที่มีต้นทางจากเซิร์ฟเวอร์ที่ผ่านการตรวจสอบตามข้อกําหนด PCI DSS ของเราโดยตรง
  • Stripe SDK สําหรับอุปกรณ์เคลื่อนที่และ Terminal ยังช่วยให้เจ้าของบัตรส่งข้อมูลการชําระเงินที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่มีการตรวจสอบตามข้อกําหนดของ PCI DSS โดยตรงด้วย

Stripe จะทําหน้าที่เป็นที่ปรึกษาด้าน PCI สําหรับผู้ใช้ทุกคน และสามารถให้ความช่วยเหลือได้หลากหลายวิธี ไม่ว่าผู้ใช้จะเลือกใช้การผสานการทำงานประเภทใดก็ตาม

  • โปรแกรมวิซาร์ด Stripe PCI ของเราจะวิเคราะห์วิธีการผสานการทํางานของคุณและให้คําแนะนําเกี่ยวกับวิธีลดภาระด้านการปฏิบัติตามข้อกําหนด
  • เราจะแจ้งให้คุณทราบล่วงหน้าหากปริมาณธุรกรรมที่เพิ่มขึ้นส่งผลให้จำเป็นต้องมีการเปลี่ยนแปลงด้านการตรวจสอบการปฏิบัติตามข้อกําหนด
  • ธุรกิจขนาดใหญ่หรือองค์กรขนาดใหญ่ที่ต้องทํางานร่วมกับ PCI QSA เนื่องจากมีการจัดเก็บข้อมูลบัตรเครดิตหรือมีขั้นตอนการชําระเงินที่ซับซ้อนกว่าสามารถเลือกร่วมงานกับบริษัท QSAที่มีมากกว่า 400 แห่งทั่วโลกได้ และเราสามารถเชื่อมโยงคุณกับผู้ตรวจสอบหลายรายที่มีความเข้าใจอันลึกซึ้งเกี่ยวกับวิธีการเชื่อมต่อ Stripe ที่แตกต่างกัน

คำแนะนำแบบทีละขั้นตอนเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI DSS

1. ทราบระดับ PCI ของคุณ

ขั้นตอนแรกในการปฏิบัติตามข้อกำหนดของ PCI คือการทราบถึงข้อกำหนดต่างๆ ที่องค์กรของคุณต้องปฏิบัติตาม การปฏิบัติตามข้อกำหนดของ PCI มีอยู่ 4 ระดับ ซึ่งโดยทั่วไปแล้วจะขึ้นอยู่กับปริมาณธุรกรรมผ่านบัตรเครดิตที่ธุรกิจของคุณประมวลผลในช่วงเวลา 12 เดือน

คุณจะมีข้อกำหนดที่แตกต่างกัน ซึ่งรวมถึงการสแกนหาช่องโหว่เป็นประจำจากผู้ให้บริการสแกนที่ได้รับการอนุมัติ (ASV) ทั้งนี้ขึ้นอยู่กับระดับของคุณ นอกจากนี้ยังมีข้อกำหนดเพิ่มเติมสำหรับผู้ให้บริการด้วย ซึ่งเป็นนิติบุคคลทางธุรกิจที่เกี่ยวข้องกับการประมวลผล การจัดเก็บ หรือการส่งข้อมูลของเจ้าของบัตร (CHD) และ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน (SAD) ในนามของนิติบุคคลอื่นโดยตรง (เช่น เกตเวย์การชำระเงิน ผู้ให้บริการชำระเงิน และองค์กรขายอิสระ)

ระดับการปฏิบัติตามข้อกำหนด
มีผลกับ
ข้อกําหนด
ระดับ 1
  • องค์กรที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปีผ่านบัตร Visa หรือ MasterCard หรือมากกว่า 2.5 ล้านรายการต่อปีผ่านบัตร American Express หรือ
  • เคยประสบปัญหาการละเมิดข้อมูล หรือ
  • สมาคมบัตรใดก็ตาม (Visa, Mastercard เป็นต้น) ถือว่าเป็น "ระดับ 1"
  • เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) หรือรายงานการปฏิบัติตามข้อกำหนด (ROC) ประจำปี ซึ่งจัดเตรียมโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกำหนด (QSA)
  • การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
ระดับ 2
  • องค์กรที่ประมวลผลธุรกรรมระหว่าง 1-6 ล้านรายการต่อปี
  • แบบทดสอบประเมินตนเอง (SAQ) หรือเอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) หรือรายงานการปฏิบัติตามข้อกำหนด (ROC)
  • เอกสาร SAQ A, SAQ A-EP และ SAQ D ต้องลงนามโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกำหนด (QSA) ของ PCI หรือผู้ประเมินความปลอดภัยภายในที่ได้รับการรับรองจาก PCI (ISA)1
  • การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
ระดับ 3
  • องค์กรที่ประมวลผลธุรกรรมออนไลน์ระหว่าง 20,000 - 1 ล้านรายการต่อปี
  • องค์กรที่ประมวลผลธุรกรรมรวมน้อยกว่า 1 ล้านรายการต่อปี
  • ผู้ใช้ระดับ 3 และระดับ 4 จะได้รับการลงทะเบียนเข้าร่วมโปรแกรมการจัดการความเสี่ยงของเราโดยอัตโนมัติ ซึ่งจะมอบประสบการณ์ที่เรียบง่ายและเหมาะกับแต่ละกลุ่มโดยพิจารณาจากปัจจัยหลายประการ โดยอาจรวมถึงการทำแบบทดสอบประเมินตนเอง (SAQ) ของ PCI DSS
  • ผู้ใช้ระดับ 3 จะต้องตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
ระดับ 4
  • องค์กรที่ประมวลผลธุรกรรมออนไลน์น้อยกว่า 20,000 รายการต่อปี หรือ
  • องค์กรที่ประมวลผลธุรกรรมรวมไม่เกิน 1 ล้านรายการต่อปี
  • ผู้ใช้ระดับ 4 จะต้องตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
1 ผู้ค้าระดับ 2 ที่ทำแบบประเมิน SAQ A, SAQ A-EP หรือ SAQ D แล้ว จะต้องติดต่อ QSA เพื่อยืนยันการปฏิบัติตามข้อกำหนด

2. ทราบประเภทการผสานการทำงานและข้อกำหนดในการจัดทำเอกสาร

เมื่อคุณทราบระดับ PCI ของคุณแล้ว ขั้นตอนต่อไปคือการกำหนดว่าคุณต้องกรอกเอกสาร PCI ใดบ้างเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดตามประเภทการผสานการทำงานที่คุณใช้กับ Stripe หากคุณเป็นผู้ให้บริการ ฯลฯ

ผู้ใช้ระดับ 1

ธุรกิจระดับ 1 ไม่มีสิทธิ์ใช้ SAQ เพื่อพิสูจน์การปฏิบัติตามข้อกำหนดของ PCI ธุรกิจดังกล่าวจะต้องกรอก ROC ที่ลงนามโดย QSA หรือเจ้าหน้าที่บริหารของผู้ค้า เพื่อตรวจสอบว่ามีการปฏิบัติตามข้อกำหนดของ PCI เป็นประจำทุกปี

ผู้ใช้ระดับ 2-4

ผู้ใช้ระดับ 2-4 จะมีประเภทของ SAQ ที่แตกต่างกันขึ้นอยู่กับวิธีผสานการทำงานการชำระเงินของคุณ หากคุณไม่แน่ใจว่า SAQ ประเภทใดเหมาะกับคุณ โปรแกรมวิซาร์ด PCI ของ Stripe จะกำหนดประเภทเอกสารประกอบที่เหมาะสมกับธุรกิจของคุณให้โดยอัตโนมัติ

การเชื่อมต่อการทำงาน
ข้อกำหนด
คำแนะนำ
Checkout หรือ Elements
SAQ A
Checkout และ Stripe.js และ Elements จะเก็บรวบรวมข้อมูลบัตรที่ป้อนใน iframe ซึ่งให้บริการโดยโดเมนของ Stripe (ไม่ใช่ของคุณ) เพื่อไม่ให้ข้อมูลบัตรของลูกค้าเข้าสู่เซิร์ฟเวอร์ของคุณ
Connect
SAQ A หากคุณรวบรวมข้อมูลบัตรผ่านแพลตฟอร์ม Connect (เช่น Squarespace) เพียงอย่างเดียว เราสามารถระบุได้ว่าแพลตฟอร์มดังกล่าวต้องส่งเอกสาร PCI ที่จำเป็นหรือไม่
SDK บนอุปกรณ์เคลื่อนที่
SAQ A

การพัฒนาและการควบคุมการเปลี่ยนแปลง DSK บนอุปกรณ์เคลื่อนที่ของ Stripe เป็นไปตามข้อกำหนดของ PCI DSS (ข้อกำหนดข้อที่ 6.3–6.5) และใช้งานผ่านระบบของเราที่ผ่านการยืนยันจาก PCI เมื่อคุณใช้เฉพาะองค์ประกอบ UI จาก SDK สำหรับ iOS และ Android ที่เป็นทางการ หรือสร้างแบบฟอร์มการชำระเงินด้วย Elements ใน WebView จะมีการส่งผ่านหมายเลขบัตรที่ลูกค้าลูกส่งไปยัง Stripe โดยตรง คุณจึงลดภาระด้านการปฏิบัติตามข้อกำหนดของ PCI ได้

แต่หากคุณต้องการเขียนโค้ดเองเพื่อจัดการข้อมูลบัตร คุณจะต้องรับผิดชอบในการปฏิบัติตามข้อกำหนดของ PCI DSS (6.3–6.5) เพิ่มเติมด้วย และจะไม่มีสิทธิ์ทำแบบประเมิน SAQ A โปรดติดต่อ PCI QSA เพื่อระบุวิธีที่เหมาะสมในการยืนยันการปฏิบัติตามข้อกำหนด โดยสอดคล้องกับคำแนะนำจากสภามาตรฐานการรักษาความปลอดภัยอุตสาหกรรมบัตรชําระเงิน

หากเว็บไซต์ของคุณให้ลูกค้าป้อนข้อมูลบนอุปกรณ์เคลื่อนที่ของตัวเอง คุณจำเป็นต้องทำแบบประเมิน SAQ A แต่หากแอปพลิเคชันของคุณรับข้อมูลบัตรจากลูกค้าหลายคนผ่านอุปกรณ์ของคุณเอง เช่น แอประบบบันทึกการขาย) โปรดปรึกษา PCI QSA เพื่อศึกษาวิธีที่เหมาะสมในการยืนยันการปฏิบัติตามข้อกำหนดของ PCI

Stripe.js v2
SAQ A-EP

คุณต้องทำแบบประเมิน SAQ A-EP ทุกปีเพื่อยืนยันการปฏิบัติตามข้อกำหนดของ PCI ทุกปี จึงจะใช้ Stripe.js v2 เพื่อส่งข้อมูลบัตรที่ป้อนในแบบฟอร์มของเว็บไซต์คุณได้

นอกจากนี้ Checkout และ Elements ยังมอบความยืดหยุ่นและการปรับแต่งแบบฟอร์มในระบบ รวมถึงยังตรงตามเกณฑ์การมีสิทธิ์ทำแบบประเมิน SAQ A ของ PCI

Terminal
SAQ C

หากคุณรวบรวมข้อมูลบัตรผ่าน Stripe Terminal เพียงอย่างเดียว คุณสามารถทำการยืนยันได้โดยใช้ SAQ C

หากคุณเชื่อมต่อการทำงานกับ Stripe โดยใช้วิธีการอื่นๆ ที่ระบุไว้ในตารางนี้ คุณต้องระบุถึงการปฏิบัติตามข้อกำหนดของวิธีการเหล่านั้นแยกกันตามคำอธิบาย

แดชบอร์ด
SAQ C-VT

การชำระเงินผ่านบัตรด้วยตัวเองผ่านแดชบอร์ดสามารถใช้ได้กับบางกรณีเท่านั้น ไม่ใช่สำหรับการประมวลผลการชำระเงินตามปกติ โปรดมอบแบบฟอร์มการชำระเงินหรือแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่เหมาะสม เพื่อให้ลูกค้าป้อนข้อมูลบัตรได้

เราไม่สามารถยืนยันว่าข้อมูลบัตรที่ป้อนด้วยตัวเองจะปลอดภัยนอกระบบของ Stripe ดังนั้น คุณต้องปกป้องข้อมูลของบัตรให้ปลอดภัยโดยสอดคล้องกับข้อกำหนดของ PCI และทำแบบประเมิน SAQ C-VT ทุกปีเพื่อยืนยันว่าธุรกิจของคุณปฏิบัติตามข้อกำหนดของ PCI

Direct API
SAQ D

เมื่อคุณส่งข้อมูลบัตรไปที่ API ของ Stripe โดยตรง การเชื่อมต่อการทำงานของคุณจะจัดการกับข้อมูลดังกล่าวโดยตรง และคุณต้องยืนยันการปฏิบัติตามข้อกำหนดของ PCI ทุกปีโดยใช้ SAQ D ซึ่งเป็น SAQ ที่ได้รับความนิยมสูงสุด โปรดดำเนินการดังนี้เพื่อลดภาระด้านการดำเนินงาน

นอกจากนี้ Radar ซึ่งเป็นเครื่องมือป้องกันการฉ้อโกงของเรายังใช้งานได้กับการแปลงเป็นโทเค็นทุกรูปแบบในฝั่งไคลเอ็นต์ ซึ่งมาพร้อมการประเมินความเสี่ยงและกฎต่างๆ

ผู้ให้บริการ

หากคุณมีการประมวลผล จัดเก็บ หรือส่งข้อมูลของเจ้าของบัตร (CHD) และ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน (SAD) ในนามของบุคคลอื่นโดยตรง (เช่น เกตเวย์การชำระเงิน ผู้ให้บริการชำระเงิน และองค์กรขายอิสระ) คุณอาจได้รับการจัดประเภทเป็นผู้ให้บริการ โดยผู้ให้บริการมักจะทำสิ่งต่อไปนี้

  • ประมวลผลข้อมูลเจ้าของบัตรให้กับองค์กรอื่นๆ
  • จัดเก็บข้อมูลเจ้าของบัตรในนามของลูกค้า
  • ส่งข้อมูลเจ้าของบัตรระหว่างระบบต่างๆ
  • ให้บริการที่อาจส่งผลกระทบต่อความปลอดภัยของข้อมูลเจ้าของบัตร หรืออาจส่งผลกระทบต่อความปลอดภัยในระบบของเจ้าของบัตร

ตัวอย่างที่พบบ่อย ได้แก่ เกตเวย์การชำระเงิน ผู้ให้บริการโฮสติ้ง (ที่เก็บข้อมูลเจ้าของบัตร) ศูนย์ข้อมูลบุคคลที่สาม บริษัทที่ให้บริการแอปพลิเคชันการชำระเงิน และผู้ให้บริการแปลงเป็นโทเค็น

ในฐานะผู้ให้บริการ คุณจะมีข้อกำหนดเพิ่มเติมที่คุณจะต้องตรวจสอบความถูกต้อง

หมวดหมู่ผู้ให้บริการ

เกณฑ์

ข้อกำหนดของ PCI

ระดับ 1

ผู้ประมวลผลบุคคลที่สาม (TPP) ทั้งหมด

หน่วยงานจัดเก็บข้อมูล (Data Storage Entity หรือ DSE) ทั้งหมดที่มีธุรกรรมผ่าน Mastercard และ Maestro รวมกันทั้งสิ้นมากกว่า 300,000 รายการต่อปี

การประเมินในสถานที่ประจำปี ซึ่งดำเนินการโดย QSA
การสแกนเครือข่ายรายไตรมาส ซึ่งดำเนินการโดย ASV

ระดับ 2

DSE ทั้งหมดที่มีธุรกรรมผ่าน Mastercard และ Maestro รวมกันทั้งสิ้นไม่เกิน 300,000 รายการต่อปี

การประเมินตนเองประจำปี
การสแกนเครือข่ายรายไตรมาส ซึ่งดำเนินการโดย ASV

3. ทำการประเมินให้เสร็จสิ้นและส่งเอกสาร SAQ

เมื่อคุณระบุการประเมินที่จะต้องทำให้เสร็จสิ้นแล้ว ขั้นตอนถัดไปคือการทำการประเมิน, กรอกเอกสาร SAQ หรือ ROC ที่เกี่ยวข้อง แล้วส่งให้ Stripe ตรวจสอบ

ผู้ใช้จำนวนมากจะต้องการบริการจาก QSA ซึ่งมีการลงทะเบียนเพื่อปฏิบัติงานในภูมิภาคต่างๆ ที่คุณดำเนินงานอยู่ โดย QSA จะช่วยตรวจสอบระบบของคุณตามข้อกำหนดของ PCI และให้คำแนะนำในการปรับปรุงแก้ไขจุดบกพร่อง นอกจากนี้ บริการนี้จะจัดทำและลงนามในเอกสารที่เหมาะสมเพื่อให้กับคุณ แล้วส่งให้กับ Stripe เป็นประจำทุกปี

ผู้ใช้ระดับ 3 และ 4 อาจจะต้องทำแบบสอบถามในการประเมินตนเองของ PCI DSS ที่เหมาะกับสายธุรกิจของผู้ใช้รายนั้นๆ คุณสามารถดูแหล่งข้อมูลสำหรับผู้ค้าเพิ่มเติมได้ผ่าน PCI Security Standards Council นอกจากนี้ Stripe ยังพร้อมช่วยเหลือคุณเสมออีกด้วย เนื่องจากโปรแกรมวิซาร์ดที่ออกแบบเองของเราบนแดชบอร์ด PCI ของคุณจะสอบถามด้วยชุดคำถามและจัดทำเอกสารที่จำเป็นให้กับคุณ คุณสามารถใช้แดชบอร์ด PCI ของ Stripe เพื่ออัปโหลดเอกสาร SAQ หรือ ROC ที่กรอกด้วยตนเองได้

4. ติดตามตรวจสอบและดูแลรักษา

โปรดทราบว่าการปฏิบัติตามข้อกำหนดของ PCI ไม่ใช่เหตุการณ์แบบครั้งเดียว แต่เป็นขั้นตอนที่ต้องทำเป็นประจำทุกปีเพื่อให้มั่นใจว่าธุรกิจของคุณจะยังคงปฏิบัติตามข้อกำหนดแม้จะมีการเปลี่ยนแปลงด้านการเคลื่อนที่ของข้อมูลและทัชพอยต์ของลูกค้าก็ตาม

PCI DSS ได้กำหนดมาตรฐานที่สำคัญสำหรับการจัดการและจัดเก็บข้อมูลของเจ้าของบัตร แต่ไม่สามารถให้การปกป้องที่เพียงพอสำหรับทุกระบบการชำระเงินได้โดยลำพัง วิธีที่ช่วยปกป้ององค์กรของคุณอย่างมีประสิทธิภาพมากกว่าคือการเปลี่ยนไปใช้วิธีการยอมรับบัตรที่ปลอดภัยขึ้นซึ่งใช้ข้อมูลที่แปลงเป็นโทเค็น (เช่น Stripe Checkout, Elements และ SDK สำหรับอุปกรณ์เคลื่อนที่) ซึ่งช่วยให้ธุรกิจที่คล่องตัวสามารถลดโอกาสที่จะเกิดการละเมิดข้อมูล รวมถึงหลีกเลี่ยงแนวทางดั้งเดิมในการตรวจสอบ PCI ที่ใช้เวลานานและสิ้นเปลืองค่าใช้จ่าย

เมื่อบริษัทเติบโตขึ้น ระบบและขั้นตอนทางธุรกิจหลักๆ ก็จะพัฒนาตามไปด้วย ซึ่งหมายความว่าข้อบังคับในการปฏิบัติตามข้อกำหนดก็จะเปลี่ยนแปลงไปเช่นกัน ตัวอย่างเช่น ธุรกิจออนไลน์อาจตัดสินใจเปิดหน้าร้าน เข้าสู่ตลาดใหม่ๆ หรือเปิดศูนย์ช่วยเหลือลูกค้า หากมีสิ่งใหม่ๆ ที่เกี่ยวข้องกับข้อมูลบัตรชำระเงินเกิดขึ้น คุณควรดำเนินการตรวจสอบเชิงรุกว่าการเปลี่ยนแปลงเหล่านี้ส่งผลกระทบต่อวิธีตรวจสอบ PCI ที่คุณเลือกหรือไม่ และตรวจสอบความถูกต้องของการปฏิบัติตามข้อกำหนดของ PCI อีกครั้งตามที่จำเป็น

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ PCI อันซับซ้อน ให้ไปที่เว็บไซต์ของ PCI Security Standards Council หากคุณเคยอ่านเฉพาะคู่มือนี้และเอกสาร PCI อื่นๆ เพียงไม่กี่ฉบับ เราขอแนะนำให้เริ่มต้นด้วยเอกสารต่อไปนี้

Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร

Stripe เป็นผู้ให้บริการ PCI ระดับ 1 ที่ได้รับการรับรองจากผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกําหนดของ PCI DSS อิสระเป็นประจําทุกปี ซึ่งหมายความว่าผลิตภัณฑ์ทั้งหมดของเรามีความปลอดภัยตามค่าเริ่มต้น และช่วยลดภาระด้านการปฏิบัติตามข้อกําหนดของคุณ

Stripe จะทําหน้าที่เป็นที่ปรึกษาด้าน PCI สําหรับผู้ใช้ทุกคน และสามารถให้ความช่วยเหลือได้หลากหลายวิธี ไม่ว่าผู้ใช้จะเลือกใช้การผสานการทำงานประเภทใดก็ตาม

การสนับสนุนสําหรับธุรกิจขนาดเล็ก

Stripe ลดความยุ่งยากในภาระด้าน PCI ให้กับผู้ใช้รายย่อยของเราอย่างมากด้วยการเสนอขั้นตอนการปฏิบัติตามข้อกําหนดที่ออกแบบเอง ซึ่งรวมถึง SAQ ที่กรอกข้อมูลไว้ล่วงหน้าและขั้นตอนที่แนะนําสําหรับผู้ใช้บางรายที่ใช้ประโยชน์จากวิธีผสานการทํางานที่ปลอดภัยมากขึ้น เช่น Checkout, Elements SDK สําหรับอุปกรณ์เคลื่อนที่ และ Terminal SDK

ประสบการณ์การใช้งานแดชบอร์ดที่ออกแบบเอง

เมื่อคุณเป็นลูกค้า Stripe แล้ว เราจะวิเคราะห์ประวัติธุรกรรมและแนะนําวิธีลดภาระด้านการปฏิบัติตามข้อกําหนดผ่านประสบการณ์การใช้งานแดชบอร์ดที่ออกแบบเอง

การสนับสนุนเมื่อธุรกิจของคุณเติบโตขึ้น

เมื่อปริมาณธุรกรรมต่อปีเพิ่มขึ้น คุณอาจเปลี่ยนระดับของ PCI ได้ภายใน 1 ปี และ Stripe จะคอยสนับสนุนคุณในกระบวนการเปลี่ยนผ่านเหล่านี้โดยการแจ้งเตือนเกี่ยวกับข้อกําหนดใหม่เมื่อใกล้ถึงวันต่ออายุ PCI

ผู้ให้บริการมากกว่าหนึ่งราย

หากธุรกิจของคุณใช้ผู้ประมวลผลข้อมูลมากกว่า 1 ราย กระบวนการปฏิบัติตามข้อกําหนดของ PCI ของคุณอาจสร้างความสับสนให้คุณได้ แต่ Stripe จะช่วยอำนวยความสะดวกให้คุณด้วยการรองรับการส่ง AOC จากผู้ให้บริการของคุณเพื่อให้กระบวนการปฏิบัติตามข้อกำหนดของคุณง่ายขึ้น

รองรับการชําระเงินแบบ MOTO (การสั่งซื้อทางไปรษณีย์/การสั่งซื้อทางโทรศัพท์)

Stripe รองรับธุรกิจที่รับชําระเงินแบบ MOTO โดยผสานการทํางานกับบริการบุคคลที่สามเพื่อการรับบัตรทางโทรศัพท์อย่างปลอดภัย บริการเหล่านี้รวบรวมรายละเอียดบัตรแบบอัตโนมัติโดยใช้เทคโนโลยี เช่น การส่งหมายเลขบัตรผ่านการเสียงกดแป้นโทรศัพท์ หรือการจดจำเสียง ทำให้ผู้ใช้ไม่ต้องบอกรายละเอียดบัตรด้วยตนเอง วิธีการนี้สามารถลดภาระการปฏิบัติตามข้อกำหนดของ PCI ได้อย่างมากโดยทำให้ไม่ต้องมี "มนุษย์ในวงจร" กรณีการใช้งานแบบ MOTO มีผลลัพธ์ SAQ ได้ 3 ลักษณะดังนี้

  • SAQ-A: กรณีการใช้งานตัวเชื่อมต่อซึ่งมีการเก็บรวบรวมข้อมูลเจ้าของบัตรทางโทรศัพท์โดยใช้โซลูชันบุคคลที่สามที่เป็นไปตามข้อกําหนดของ PCI ซึ่งข้อมูลบัตรจะไหลเข้าสู่ Stripe โดยตรง ในกรณีนี้ ผู้ใช้ไม่ควรมีสิทธิ์เข้าถึงข้อมูลบัตรในขณะที่ระบบแสดงข้อมูลผ่านโทรศัพท์ และไม่ควรจัดเก็บ ประมวลผล หรือส่งข้อมูลเจ้าของบัตรไว้ในสภาพแวดล้อมของตนเอง
  • SAQ C-VT: ผู้ใช้รับข้อมูลบัตรผ่านการชําระเงินแบบ MOTO และระบบจะป้อนลงในแดชบอร์ด Stripe โดยตรง ในสถานการณ์นี้ การส่งข้อมูลด้วยตนเองควรใช้ในกรณีการใช้งานที่จํากัด ไม่เป็นการส่งซ้ำ โดยควรทราบว่าการเก็บข้อมูลบัตรทางอิเล็กทรอนิกส์ไม่สามารถทำได้
  • SAQ-D: กรณีการใช้งานที่ผู้ใช้เก็บรวบรวมข้อมูลเจ้าของบัตรจากลูกค้าและมีการจัดเก็บข้อมูลเจ้าของบัตรทางอิเล็กทรอนิกส์ภายในสภาพแวดล้อมของผู้ใช้

หากต้องการคําแนะนําเฉพาะเกี่ยวกับการปฏิบัติตามข้อกําหนดของ PCI และการนำระบบ MOTO มาใช้ เราขอแนะนําให้ปรึกษากับผู้ประเมินความปลอดภัย (QSA) ที่ได้มีคุณสมบัติตามข้อกำหนดของ PCI

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Payments

Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด

Stripe Docs เกี่ยวกับ Payments

ค้นหาคู่มือเกี่ยวกับการเชื่อมต่อ Payments API ของ Stripe