PCI-DSS · Hub

SAQ vs ROC: Doanh Nghiệp Nào Cần Gì?

SAQ hay ROC, Câu Hỏi Đầu Tiên Mỗi Doanh Nghiệp Phải Trả Lời

Khi bắt đầu hành trình PCI-DSS, nhiều doanh nghiệp lúng túng ngay từ bước đầu: mình thuộc nhóm nào, và cần hoàn thành tài liệu gì để chứng minh compliance? Hai khái niệm xuất hiện ngay lập tức là SAQ (Self-Assessment Questionnaire)ROC (Report on Compliance). Hiểu đúng sự khác biệt này không chỉ giúp tiết kiệm thời gian mà còn tránh tình trạng làm quá nhiều, hoặc thiếu so với yêu cầu thực tế.


Merchant Levels và Service Provider Levels, Nền Tảng Để Phân Loại

PCI-DSS phân loại tổ chức xử lý dữ liệu thẻ thanh toán thành hai nhóm chính: merchants (đơn vị chấp nhận thanh toán) và service providers (đơn vị cung cấp dịch vụ liên quan đến dữ liệu thẻ cho bên khác).

Merchant levels được xác định theo khối lượng giao dịch thẻ hàng năm:

  • Level 1: Hơn 6 triệu giao dịch/năm (Visa hoặc Mastercard), hoặc từng bị vi phạm dữ liệu. Bắt buộc ROC do QSA (Qualified Security Assessor) thực hiện.
  • Level 2: Từ 1 đến 6 triệu giao dịch/năm. Thường dùng SAQ, một số acquirer yêu cầu scan bởi ASV (Approved Scanning Vendor).
  • Level 3: Từ 20,000 đến 1 triệu giao dịch thương mại điện tử/năm. SAQ kèm ASV scan.
  • Level 4: Dưới 20,000 giao dịch e-commerce, hoặc dưới 1 triệu giao dịch khác. SAQ và ASV scan theo yêu cầu acquirer.

Service provider levels cũng có hai tier:

  • Level 1: Xử lý hơn 300,000 giao dịch/năm. Yêu cầu ROC do QSA thực hiện và Attestation of Compliance (AOC).
  • Level 2: Dưới 300,000 giao dịch/năm. Có thể dùng SAQ, nhưng phụ thuộc vào loại dịch vụ và yêu cầu từ đối tác.

SAQ, Tự Đánh Giá Với Nhiều Biến Thể

SAQ là bộ câu hỏi tự đánh giá mà merchant hoặc service provider tự điền, không cần QSA bên ngoài xác nhận (trừ một số trường hợp). Điểm quan trọng là PCI SSC cung cấp nhiều loại SAQ khác nhau, mỗi loại áp dụng cho một môi trường xử lý thẻ cụ thể.

Các loại SAQ phổ biến:

Loại SAQÁp dụng cho
SAQ AMerchant không lưu trữ, xử lý, hoặc truyền dữ liệu thẻ on-site; toàn bộ chức năng thanh toán được outsource hoàn toàn cho bên thứ ba được PCI-compliant
SAQ A-EPMerchant e-commerce có trang thanh toán nhúng từ bên thứ ba nhưng trang web gốc vẫn ảnh hưởng đến luồng dữ liệu thẻ
SAQ BMerchant dùng imprinter hoặc standalone dial-up terminal, không lưu dữ liệu thẻ điện tử
SAQ B-IPMerchant dùng PTS-approved payment terminal có IP connection, không lưu dữ liệu thẻ
SAQ CMerchant có payment application kết nối internet, không lưu dữ liệu thẻ
SAQ C-VTMerchant xử lý thẻ qua virtual terminal trên browser, dùng thiết bị cô lập chỉ cho mục đích này
SAQ DMerchant và service provider không thuộc các loại trên, đây là SAQ toàn diện nhất với hơn 200 yêu cầu
SAQ P2PEMerchant dùng giải pháp P2PE được PCI SSC validate

Việc chọn sai loại SAQ là lỗi phổ biến. Ví dụ, nhiều doanh nghiệp e-commerce tự đánh giá theo SAQ A trong khi thực tế cần SAQ A-EP do cấu trúc kỹ thuật của trang web.


ROC, Đánh Giá Toàn Diện Bởi Bên Độc Lập

ROC (Report on Compliance) là hình thức đánh giá chuyên sâu do QSA thực hiện và ký xác nhận. ROC bao gồm toàn bộ 12 requirements của PCI-DSS v4.0, với bằng chứng thực tế từ phỏng vấn, kiểm tra hệ thống, và review tài liệu.

ROC không chỉ áp dụng cho Level 1 merchants hay service providers. Một số acquirer hoặc payment brand có thể yêu cầu ROC từ tổ chức ở level thấp hơn nếu có yếu tố rủi ro cao. Ngoài ra, một số doanh nghiệp chủ động chọn ROC dù không bắt buộc, để dùng làm bằng chứng compliance với đối tác lớn hoặc trong quá trình đàm phán hợp đồng.

Kết quả của quá trình ROC bao gồm: bản ROC đầy đủ, AOC (Attestation of Compliance) được QSA ký, và kết quả ASV scan nếu có.


Câu Hỏi Thường Gặp

Tôi là startup e-commerce nhỏ, có cần thuê QSA không? Nếu toàn bộ thanh toán được xử lý qua cổng thanh toán bên thứ ba và trang web của bạn không trực tiếp chạm vào dữ liệu thẻ, SAQ A thường đủ và bạn có thể tự hoàn thành mà không cần QSA. Tuy nhiên, nên xác nhận lại với acquirer.

SAQ D có yêu cầu nhiều hơn ROC không? SAQ D có số lượng câu hỏi tương đương với các requirements trong ROC, nhưng khác ở chỗ SAQ D do tổ chức tự thực hiện và ký, còn ROC được QSA độc lập xác nhận. Mức độ scrutiny và bằng chứng yêu cầu trong ROC cao hơn đáng kể.

Service provider nhỏ cung cấp hosting có phải làm ROC không? Phụ thuộc vào loại dịch vụ và khối lượng giao dịch. Level 2 service provider thường có thể dùng SAQ D for Service Providers, nhưng nên kiểm tra yêu cầu từ các payment brand (Visa, Mastercard) vì quy định có thể khác nhau theo khu vực.


Việc xác định đúng loại hình đánh giá từ đầu sẽ giúp doanh nghiệp tránh lãng phí nguồn lực vào những yêu cầu không phù hợp, đồng thời đảm bảo không bỏ sót những điểm thực sự cần thiết. Nếu bạn đang cần lập kế hoạch compliance PCI-DSS, từ việc xác định scope đến chuẩn bị tài liệu cho SAQ hoặc ROC, pTrackly cung cấp công cụ hỗ trợ theo dõi tiến độ và quản lý evidence phù hợp với quy trình thực tế của doanh nghiệp Việt Nam.

pTrackly giúp bạn triển khai PCI-DSS nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo