top of page

VISA ปรับโครงสร้าง PCI DSS Merchant Levels จาก 4 ระดับ เหลือ 3 ระดับ

  • รูปภาพนักเขียน: Kasidet Khongphuttikun
    Kasidet Khongphuttikun
  • 22 นาทีที่ผ่านมา
  • ยาว 3 นาที
VISA PCI DSS

จากที่ VISA ได้ประกาศการปรับปรุงโครงสร้าง PCI DSS Merchant Compliance Levels อย่างเป็นทางการ โดยรวม Level 3 และ Level 4 เข้าด้วยกันเป็น Level 3 ใหม่ ทำให้เหลือเพียง 3 ระดับ การเปลี่ยนแปลงนี้ส่งผลกระทบโดยตรงต่อร้านค้าและผู้ประกอบการที่รับชำระด้วยบัตร VISA ทั่วโลก รวมถึงประเทศไทย

1. ภาพรวมการเปลี่ยนแปลง PCI DSS Merchant Levels ของ VISA

ตามที่ VISA ได้ปรับเปลี่ยนครั้งนี้มีวัตถุประสงค์เพื่อทำให้การจัดระดับ Merchants มีความสอดคล้องและเข้าใจง่ายขึ้น โดยการรวม Level 3 และ Level 4 เดิมเข้าเป็น Level 3 ใหม่ การเปลี่ยนแปลงนี้เป็นส่วนหนึ่งของ Account Information Security (AIS) Program ที่ VISA ใช้แทน Customer Information Security Program (CISP) เดิม เพื่อควบคุมและบังคับใช้มาตรฐาน PCI DSS ในระดับสากล


2. โครงสร้างใหม่ของ PCI DSS Merchant Levels สำหรับ VISA

ภายใต้โครงสร้างใหม่ Merchants ของ VISA จะถูกจัดอยู่ใน 3 ระดับ ดังนี้:

2.1 Merchant Level 1 รายใหญ่ที่สุด (High Volume)

เกณฑ์การจัดระดับ:

  • Merchants ที่ทำธุรกรรมมากกว่า 6 ล้านรายการต่อปี (ทุกช่องทาง)

  • Merchants ที่เคยประสบเหตุการณ์ Data Breach หรือการโจมตีที่ส่งผลให้ข้อมูลบัตรถูกประนีประนอม

  • Merchants ที่ VISA กำหนดให้อยู่ใน Level 1 โดยเฉพาะ

ข้อกำหนดในการตรวจสอบ:

  • ต้องทำ Report on Compliance (ROC) ประจำปี โดย Qualified Security Assessor (QSA) ที่ได้รับการรับรองจาก PCI SSC

  • ต้องทำ Quarterly Network Scan โดย Approved Scanning Vendor (ASV)

  • ต้องมีการตรวจสอบ On-site ที่ครอบคลุมทุกด้านของมาตรฐาน PCI DSS

ตัวอย่าง: ห้างสรรพสินค้าขนาดใหญ่ เช่น Central, The Mall, BigC, Lotus,  ร้านค้าออนไลน์ขนาดใหญ่ หรือ Payment Gateway Providers

2.2 Merchant Level 2 รายกลาง (Medium to Large Volume)

เกณฑ์การจัดระดับ:

  • Merchants ที่ทำธุรกรรม 1 ถึง 6 ล้านรายการต่อปี (ทุกช่องทาง)

ข้อกำหนดในการตรวจสอบ:

  • ต้องทำ Self-Assessment Questionnaire (SAQ) ประจำปี

  • ต้องทำ Quarterly Network Scan โดย ASV

  • ต้องส่ง Attestation of Compliance (AOC)

ตัวอย่าง: ร้านค้าปลีกขนาดกลาง, โรงแรมระดับกลาง-ใหญ่, ร้านอาหารเครือข่าย, E-commerce SMEs ที่มียอดขายสูง

2.3 Merchant Level 3 รายเล็กถึงกลาง (รวม Level 3 และ 4 เดิม)

เกณฑ์การจัดระดับ:

  • Merchants ที่ทำธุรกรรมน้อยกว่า 1 ล้านรายการต่อปี (ทุกช่องทาง)

ข้อกำหนดในการตรวจสอบ:

  • ต้องทำ Self-Assessment Questionnaire (SAQ) ประจำปี

  • ต้องทำ Quarterly Network Scan โดย ASV (บางกรณีขึ้นอยู่กับ Acquirer)

ข้อสังเกตสำคัญ:

  • นี่คือการรวม Level 3 เดิม (20,000 ถึง 1 ล้านธุรกรรม) และ Level 4 เดิม (น้อยกว่า 20,000 ธุรกรรม) เข้าด้วยกัน

  • Merchants ส่วนใหญ่ในประเทศไทยจะอยู่ในระดับนี้

  • ข้อกำหนดขึ้นอยู่กับ Acquirer Bank แต่ละแห่ง

ตัวอย่าง: ร้านค้าปลีกเล็ก, ร้านอาหาร, คลินิก, โรงแรมขนาดเล็ก, ร้านค้าออนไลน์ SME ส่วนใหญ่, ธุรกิจบริการต่างๆ

2.4 ตารางเปรียบเทียบ Merchant Levels

ระดับ

จำนวนธุรกรรม/ปี

การตรวจสอบหลัก

Scan ประจำไตรมาส

Level 1

> 6 ล้าน

ROC โดย QSA

Level 2

1 ถึง 6 ล้าน

SAQ + AOC

Level 3

< 1 ล้าน

SAQ

ตาม Acquirer

 

3. ผลกระทบต่อ Merchants จากการเปลี่ยนแปลง

3.1 ผลกระทบเชิงบวก

  • ความชัดเจนในการจัดระดับ: โครงสร้าง 3 ระดับทำให้ Merchants เข้าใจได้ง่ายขึ้นว่าตนเองอยู่ในระดับใด และต้องปฏิบัติตามข้อกำหนดอะไรบ้าง

  • ลดภาระในการรายงาน: Acquirers สามารถจัดการรายงานได้ง่ายขึ้นเนื่องจากมีเพียง 3 กลุ่ม ทำให้กระบวนการมีประสิทธิภาพมากขึ้น

  • สอดคล้องกับมาตรฐานสากล: Mastercard มีแนวโน้มที่จะปรับเปลี่ยนตามมา ทำให้เกิดความสอดคล้องกันในอุตสาหกรรม

3.2 ความท้าทายที่ต้องเผชิญ

  • Merchants ระดับกลาง-เล็ก: ผู้ที่เคยอยู่ใน Level 4 (ซึ่งมีข้อกำหนดน้อยที่สุด) อาจต้องเพิ่มความเข้มงวดในการปฏิบัติตาม โดยเฉพาะหาก Acquirer กำหนดให้ต้องทำ ASV

  • ค่าใช้จ่าย: การเพิ่มข้อกำหนดอาจหมายถึงค่าใช้จ่ายเพิ่มขึ้นในการจ้าง ASV หรือที่ปรึกษา PCI DSS

  • ความซับซ้อนในการปฏิบัติตาม: Merchants ที่ไม่มีทีมงาน IT เฉพาะทาง อาจต้องการความช่วยเหลือ จากผู้เชี่ยวชาญ

3.3 สิ่งที่ Merchants ควรทำ

  • ตรวจสอบระดับของคุณ: ติดต่อ Acquirer Bank เพื่อยืนยันว่าคุณอยู่ใน Level ใด และมีข้อกำหนดอะไรบ้าง

  • ทบทวน Security Controls: ประเมินระบบรักษาความปลอดภัยปัจจุบันว่าเป็นไปตามมาตรฐาน PCI DSS หรือไม่

  • ปรึกษาผู้เชี่ยวชาญ: หากไม่แน่ใจ ควรปรึกษา QSA หรือที่ปรึกษาด้านความปลอดภัยที่มีประสบการณ์


4. กลุ่ม Merchants ที่ควรให้ความสำคัญเป็นพิเศษ

4.1 E-commerce และ Online Merchants

ร้านค้าออนไลน์ทุกขนาด ตั้งแต่ SME ไปจนถึงแพลตฟอร์มขนาดใหญ่ เนื่องจากมีความเสี่ยงสูง ในการถูกโจมตีทางไซเบอร์ และมักจัดเก็บข้อมูลบัตรในระบบ

ข้อแนะนำ:

  • ใช้ Payment Gateway ที่ได้มาตรฐาน PCI DSS

  • พิจารณาใช้ Tokenization เพื่อลดข้อมูลบัตรที่ต้องจัดเก็บ

  • ทำ Web Application Firewall (WAF) และ SSL/TLS อย่างถูกต้อง

4.2 โรงแรมและธุรกิจการท่องเที่ยว

โรงแรม รีสอร์ท บริษัททัวร์ และธุรกิจที่เกี่ยวข้องกับการท่องเที่ยว มักรับชำระเงินจากลูกค้าต่างชาติและมีจำนวนธุรกรรมสูง

ข้อแนะนำ:

  • ตรวจสอบ Point of Sale (POS) systems ให้เป็นไปตามมาตรฐาน

  • ฝึกอบรมพนักงานเกี่ยวกับ Card Security Awareness

  • ทำ Network Segmentation เพื่อแยกระบบที่มีข้อมูลบัตรออกจากระบบอื่น

4.3 ร้านค้าปลีกและห้างสรรพสินค้า

ธุรกิจที่มีหน้าร้านจริง และอาจมีหลายสาขา

ข้อแนะนำ:

  • ใช้ POS ที่ได้รับการ Certify ตาม PCI PTS (PIN Transaction Security)

  • ใช้ EMV Chip Technology และ Contactless Payment

  • ทำ Physical Security สำหรับ Card Reader และระบบ POS

4.4 ธุรกิจบริการทางการแพทย์

โรงพยาบาล คลินิก ทันตกรรม ที่รับชำระเงินผ่านบัตรเครดิต/เดบิต

ข้อแนะนำ:

  • แยกระบบข้อมูลผู้ป่วย (HIPAA) กับระบบชำระเงิน

  • ใช้ Secure Payment Terminals ที่ได้มาตรฐาน

  • ทำ Regular Security Training สำหรับเจ้าหน้าที่

4.5 ร้านอาหารและธุรกิจบริการ

ร้านอาหาร คาเฟ่ สปา ฟิตเนส และธุรกิจบริการอื่นๆ

ข้อแนะนำ:

  • เลือก POS Provider ที่ได้รับการรับรองมาตรฐาน (Compliant) กับ PCI DSS

  • ใช้ Cloud-based POS เพื่อลดภาระในการจัดการข้อมูล

  • จำกัดการเข้าถึงข้อมูลบัตรเฉพาะพนักงานที่จำเป็น


ALPHASEC พร้อมช่วยคุณรับมือกับการเปลี่ยนแปลง

การปรับตัวให้สอดคล้องกับมาตรฐาน PCI DSS ไม่ใช่เรื่องง่าย แต่คุณไม่ต้องเผชิญมันเพียงลำพัง ALPHASEC มีทีมผู้เชี่ยวชาญด้าน Payment Security และ PCI DSS ที่พร้อมให้คำปรึกษาและบริการครบวงจร

บริการของเรา

  • PCI DSS Gap Assessment: ประเมินช่องว่างความปลอดภัยปัจจุบันของคุณเทียบกับมาตรฐาน PCI DSS

  • PCI DSS Compliance Consulting: ให้คำปรึกษาและวางแผนการปฏิบัติตามข้อกำหนดทั้ง 12 ข้อ

  • Vulnerability Scanning บริการสแกนช่องโหว่โดยผู้เชี่ยวชาญ

  • Approved Scanning Vendor (ASV) บริการสแกนช่องโหว่ประจำไตรมาสโดยผู้เชี่ยวชาญที่ได้รับการรับรอง

  • Penetration Testing: ทดสอบการเจาะระบบเพื่อค้นหาช่องโหว่ที่แท้จริง

  • Security Awareness Training: ฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยข้อมูลบัตร

  • Incident Response Planning: จัดทำแผนรับมือเหตุการณ์ด้านความปลอดภัย

  • Managed Security Services: บริการดูแลระบบความปลอดภัยแบบครบวงจร 24/7

ทำไมต้อง ALPHASEC?

  • ประสบการณ์: ทีมงานมีประสบการณ์มากกว่า 10 ปี ในวงการ Cybersecurity และ Payment Security

  • Certified Experts: ทีมที่ปรึกษาได้รับการรับรองจากองค์กรระดับสากล เช่น CISSP, CISA, CEH

  • Local Expertise: เข้าใจบริบทและความต้องการเชิงกลยุทธ์ของธุรกิจ เพื่อให้เกิดประโยชน์สูงสุดกับองค์กร

  • End-to-End Solutions: บริการครบวงจรตั้งแต่การประเมิน ปรับปรุง ไปจนถึงการดูแลรักษา

  • Cost-Effective: ราคาที่เหมาะสมและคุ้มค่ากับการลงทุน

ติดต่อเราวันนี้

หากคุณต้องการคำปรึกษาเกี่ยวกับ PCI DSS หรือความปลอดภัยข้อมูลบัตร ALPHASEC พร้อมช่วยเหลือคุณ

📞 Tel: 02-309-3559

🌐 Website: www.alphasec.co.th


สรุป

การที่ VISA ปรับโครงสร้าง PCI DSS Merchant Levels จาก 4 ระดับเหลือ 3 ระดับ เป็นการเปลี่ยนแปลงที่สำคัญซึ่ง Merchants ทุกรายต้องให้ความสนใจ แม้ว่าการเปลี่ยนแปลงนี้จะช่วยทำให้การจัดการและการรายงานมีความคล่องตัวมากขึ้น แต่ก็ยังคงมีความท้าทาย โดยเฉพาะสำหรับธุรกิจขนาดเล็กและกลางที่อาจต้องปรับตัวเพิ่มเติม

การปฏิบัติตาม PCI DSS ไม่ได้เป็นเพียงข้อบังคับ แต่เป็นการลงทุนที่คุ้มค่าในระยะยาวเพื่อปกป้องธุรกิจและลูกค้าของคุณจากภัยคุกคามทางไซเบอร์ ALPHASEC มุ่งมั่นที่จะเป็นพันธมิตรของคุณในการสร้างระบบการชำระเงินที่ปลอดภัยและเชื่อถือได้

แหล่งอ้างอิง : Account Information Security (AIS) Program and PCI | Visa

 
 
bottom of page