เข้าสู่ระบบ 

คู่มือสำหรับการปฏิบัติตามข้อกำหนดของ PCI

มาตรฐานการรักษาความปลอดภัยข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดมาตรฐานขั้นต่ำสำหรับการรักษาความปลอดภัยของข้อมูล ต่อไปนี้คือคำแนะนำแบบอธิบายทีละขั้นตอนเกี่ยวกับการรักษาความต่อเนื่องในการปฏิบัติตามมาตรฐานดังกล่าวและวิธีที่ Stripe จะช่วยเหลือคุณได้

Payments
Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด ตั้งแต่ธุรกิจสตาร์ทอัพไปจนถึงองค์กรใหญ่ระดับโลก

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร
  3. คําแนะนําแบบทีละขั้นตอนเพื่อการปฏิบัติตามข้อกําหนดของ PCI DSS
    1. 1. ทราบระดับ PCI ของคุณ
    2. 2. ทราบประเภทการผสานการทํางานและข้อกําหนดด้านเอกสารประกอบ
    3. 3. ทําการประเมินให้เสร็จสิ้นและส่งเอกสาร SAQ
    4. 4. ตรวจสอบและดูแลรักษา
  4. Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร
    1. การสนับสนุนสําหรับธุรกิจขนาดเล็ก
    2. ประสบการณ์การใช้งานแดชบอร์ดที่ออกแบบเอง
    3. การสนับสนุนเมื่อธุรกิจของคุณเติบโตขึ้น
    4. ผู้ให้บริการมากกว่าหนึ่งราย
  5. ดูข้อมูลเพิ่มเติมเกี่ยวกับ Stripe 

ตั้งแต่ปี 2005 มีการนําข้อมูลผู้บริโภคกว่า 1 หมื่นล้านรายไปใช้โดยไม่ได้รับอนุญาตซึ่งเกิดจากการละเมิดข้อมูลกว่า 9,000 ครั้งในสหรัฐอเมริกา ข้อมูลนี้เป็นสถิติล่าสุดจาก Privacy Rights Clearinghouse ซึ่งรายงานเกี่ยวกับการละเมิดข้อมูลและการละเมิดด้านความปลอดภัยที่ส่งผลกระทบต่อผู้บริโภคย้อนหลังไปถึงปี 2005 ดังนั้นจึงมีการสร้างมาตรฐานขั้นต่ําสําหรับการรักษาความปลอดภัยของข้อมูลเพื่อปรับปรุงความปลอดภัยของข้อมูลผู้บริโภคและความไว้วางใจในระบบนิเวศการชําระเงิน โดย Visa, Mastercard, American Express, Discover และ JCB ได้จัดตั้งสภามาตรฐานการรักษาความปลอดภัยอุตสาหกรรมบัตรชําระเงิน (PCI SSC) ในปี 2006 เพื่อบริหารและจัดการมาตรฐานความปลอดภัยสําหรับบริษัทต่างๆ ที่จัดการข้อมูลบัตรเครดิต

มาตรฐานการรักษาความปลอดภัยข้อมูลสําหรับอุตสาหกรรมบัตรชําระเงิน (PCI DSS) คือมาตรฐานความปลอดภัยทั่วโลกสําหรับทุกหน่วยงานที่จัดเก็บ ประมวลผล หรือส่งข้อมูลของเจ้าของบัตรและ/หรือข้อมูลที่ละเอียดอ่อน PCI DSS ช่วยกําหนดระดับพื้นฐานด้านการปกป้องผู้บริโภค และช่วยลดการละเมิดที่เป็นการฉ้อโกงและการละเมิดข้อมูลทั่วทั้งระบบนิเวศการชําระเงิน โดยมีผลบังคับใช้กับทุกองค์กรที่รับหรือประมวลผลบัตรชําระเงิน และมีบทลงโทษ ค่าปรับ และค่าใช้จ่ายสําหรับองค์กรที่ไม่ปฏิบัติตามมาตรฐานเหล่านี้

การปฏิบัติตามข้อกําหนดของ PCI DSS มีองค์ประกอบหลัก 3 อย่าง ดังนี้

  1. การจัดการการป้อนข้อมูลบัตรเครดิตจากลูกค้า โดยระบบจะรวบรวมและส่งรายละเอียดบัตรที่ละเอียดอ่อนดังกล่าวอย่างปลอดภัย
  2. การจัดเก็บข้อมูลอย่างปลอดภัย ซึ่งระบุไว้ในโดเมนรักษาความปลอดภัย 12 โดเมนของมาตรฐาน PCI เช่น การเข้ารหัส การตรวจสอบอย่างต่อเนื่อง และการทดสอบการรักษาความปลอดภัยของการเข้าถึงข้อมูลบัตร
  3. การตรวจสอบความถูกต้องของมาตรการควบคุมที่จําเป็นต่อปี ซึ่งรวมถึงแบบฟอร์ม แบบสอบถาม บริการสแกนช่องโหว่ภายนอก และการตรวจสอบโดยบริษัทอื่น (ดูคู่มือแบบทีละขั้นตอนด้านล่างเพื่อรับตารางที่มีข้อกําหนด 4 ระดับ)

ธุรกิจทั้งหมดที่รับชําระเงินผ่านบัตรเครดิตจะต้องปฏิบัติตามข้อกําหนดของ PCI DSS ไม่ว่าจะมีปริมาณ ภูมิภาค หรือวิธีผสานการทํางานรูปแบบใดก็ตาม โดยสิ่งที่ธุรกิจจะสามารถทำได้เมื่อปฏิบัติตามเฟรมเวิร์กนี้มีดังนี้

  • สร้างความเชื่อมั่นของลูกค้าด้วยการตรวจสอบให้แน่ใจว่าข้อมูลบัตรของลูกค้าปลอดภัย
  • ป้องกันตัวเองจากการฉ้อโกงและการละเมิดข้อมูล
  • หลีกเลี่ยงค่าปรับสําหรับการละเมิดข้อกําหนดของ PCI

ข้อจำกัดความรับผิดชอบ: บทความนี้ควรใช้เพื่อวัตถุประสงค์ในการแนะแนวทางเท่านั้น และไม่ควรใช้เป็นคําแนะนําที่ครบถ้วนสมบูรณ์ที่สุด เราขอแนะนําให้คุณพิจารณาปรึกษาผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกําหนด (QSA) ตามมาตรฐานการรักษาความปลอดภัยข้อมูลสําหรับอุตสาหกรรมบัตรชําระเงิน (PCI DSS) เพื่อความชัดเจน

Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร

หากโมเดลธุรกิจของคุณกําหนดให้คุณต้องจัดการข้อมูลบัตร คุณอาจต้องปฏิบัติตามมาตรการควบคุมเพื่อการรักษาความปลอดภัยกว่า 300 รายการใน PCI DSS โดยมีเอกสารอย่างเป็นทางการกว่า 1,800 หน้าเกี่ยวกับ PCI DSS ซึ่งเผยแพร่โดยสภามาตรฐานการรักษาความปลอดภัย PCI และมีเนื้อหากว่า 300 หน้าว่าด้วยการทําความเข้าใจเกี่ยวกับแบบฟอร์มที่ควรใช้เมื่อตรวจสอบการปฏิบัติตามข้อกําหนด

Stripe ช่วยลดภาระด้าน PCI ให้กับบริษัทได้อย่างมากโดยมอบวิธีผสานการทํางานที่แปลงเป็นโทเค็นแล้วหลากหลายวิธี (เช่น Checkout, Elements, SDK สําหรับอุปกรณ์เคลื่อนที่, Terminal SDK) ซึ่งช่วยให้บริษัทไม่ต้องจัดการข้อมูลบัตรเครดิตที่ละเอียดอ่อนโดยตรง

  • Stripe Checkout และ Stripe Elements ใช้ช่องการชําระเงินในระบบเพื่อจัดการข้อมูลบัตรชําระเงินทั้งหมด ดังนั้นเจ้าของบัตรจึงป้อนข้อมูลการชําระเงินที่ละเอียดอ่อนทั้งหมดในช่องการชําระเงินที่มีต้นทางจากเซิร์ฟเวอร์ที่ผ่านการตรวจสอบตามข้อกําหนด PCI DSS ของเราโดยตรง
  • Stripe SDK สําหรับอุปกรณ์เคลื่อนที่และ Terminal ยังช่วยให้เจ้าของบัตรส่งข้อมูลการชําระเงินที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่มีการตรวจสอบตามข้อกําหนดของ PCI DSS โดยตรงด้วย

Stripe จะทําหน้าที่เป็นที่ปรึกษาด้าน PCI สําหรับผู้ใช้ทุกคน และสามารถให้ความช่วยเหลือได้หลากหลายวิธี ไม่ว่าผู้ใช้จะเลือกใช้การผสานการทำงานประเภทใดก็ตาม

  • โปรแกรมวิซาร์ด Stripe PCI ของเราจะวิเคราะห์วิธีการผสานการทํางานของคุณและให้คําแนะนําเกี่ยวกับวิธีลดภาระด้านการปฏิบัติตามข้อกําหนด
  • เราจะแจ้งให้คุณทราบล่วงหน้าหากปริมาณธุรกรรมที่เพิ่มขึ้นส่งผลให้จำเป็นต้องมีการเปลี่ยนแปลงด้านการตรวจสอบการปฏิบัติตามข้อกําหนด
  • ธุรกิจขนาดใหญ่หรือองค์กรขนาดใหญ่ที่ต้องทํางานร่วมกับ PCI QSA เนื่องจากมีการจัดเก็บข้อมูลบัตรเครดิตหรือมีขั้นตอนการชําระเงินที่ซับซ้อนกว่าสามารถเลือกร่วมงานกับบริษัท QSAที่มีมากกว่า 400 แห่งทั่วโลกได้ และเราสามารถเชื่อมโยงคุณกับผู้ตรวจสอบหลายรายที่มีความเข้าใจอันลึกซึ้งเกี่ยวกับวิธีการเชื่อมต่อ Stripe ที่แตกต่างกัน

คําแนะนําแบบทีละขั้นตอนเพื่อการปฏิบัติตามข้อกําหนดของ PCI DSS

1. ทราบระดับ PCI ของคุณ

ขั้นตอนแรกในการปฏิบัติตามข้อกําหนดของ PCI คือการทราบถึงข้อกําหนดต่างๆ ที่องค์กรของคุณต้องปฏิบัติตาม การปฏิบัติตามข้อกําหนดของ PCI มีอยู่ 4 ระดับ ซึ่งโดยทั่วไปแล้วจะขึ้นอยู่กับจํานวนธุรกรรมบัตรเครดิตที่ธุรกิจของคุณประมวลผลในช่วงเวลา 12 เดือน

คุณจะมีข้อกําหนดที่แตกต่างกัน ซึ่งรวมถึงการสแกนหาช่องโหว่เป็นประจำจากผู้ให้บริการสแกนที่ได้รับการอนุมัติ (ASV) ทั้งนี้ขึ้นอยู่กับระดับของคุณ นอกจากนี้ยังมีข้อกําหนดเพิ่มเติมสําหรับผู้ให้บริการ ซึ่งเป็นนิติบุคคลทางธุรกิจที่เกี่ยวข้องกับการประมวลผล การจัดเก็บ หรือการส่งข้อมูลของเจ้าของบัตร (CHD) และ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน (SAD) ในนามของนิติบุคคลอื่นโดยตรง (เช่น เกตเวย์การชําระเงิน ผู้ให้บริการชําระเงิน และองค์กรขายอิสระ)

ระดับการปฏิบัติตามข้อกำหนด
มีผลกับ
ข้อกําหนด
ระดับ 1
  • องค์กรที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปีผ่านบัตร Visa หรือ MasterCard หรือมากกว่า 2.5 ล้านรายการต่อปีผ่านบัตร American Express หรือ
  • เคยประสบปัญหาการละเมิดข้อมูล หรือ
  • สมาคมบัตรใดก็ตาม (Visa, Mastercard เป็นต้น) ถือว่าเป็น "ระดับ 1"
  • เอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) หรือรายงานการปฏิบัติตามข้อกำหนด (ROC) ประจำปี ซึ่งจัดเตรียมโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกำหนด (QSA)
  • การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
ระดับ 2
  • องค์กรที่ประมวลผลธุรกรรมระหว่าง 1-6 ล้านรายการต่อปี
  • แบบทดสอบประเมินตนเอง (SAQ) หรือเอกสารรับรองการปฏิบัติตามข้อกำหนด (AOC) หรือรายงานการปฏิบัติตามข้อกำหนด (ROC)
  • เอกสาร SAQ A, SAQ A-EP และ SAQ D ต้องลงนามโดยผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกำหนด (QSA) ของ PCI หรือผู้ประเมินความปลอดภัยภายในที่ได้รับการรับรองจาก PCI (ISA)1
  • การตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
ระดับ 3
  • องค์กรที่ประมวลผลธุรกรรมออนไลน์ระหว่าง 20,000 - 1 ล้านรายการต่อปี
  • องค์กรที่ประมวลผลธุรกรรมรวมน้อยกว่า 1 ล้านรายการต่อปี
  • ผู้ใช้ระดับ 3 และระดับ 4 จะได้รับการลงทะเบียนเข้าร่วมโปรแกรมการจัดการความเสี่ยงของเราโดยอัตโนมัติ ซึ่งจะมอบประสบการณ์ที่เรียบง่ายและเหมาะกับแต่ละกลุ่มโดยพิจารณาจากปัจจัยหลายประการ โดยอาจรวมถึงการทำแบบทดสอบประเมินตนเอง (SAQ) ของ PCI DSS
  • ผู้ใช้ระดับ 3 จะต้องตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
ระดับ 4
  • องค์กรที่ประมวลผลธุรกรรมออนไลน์น้อยกว่า 20,000 รายการต่อปี หรือ
  • องค์กรที่ประมวลผลธุรกรรมรวมไม่เกิน 1 ล้านรายการต่อปี
  • ผู้ใช้ระดับ 4 จะต้องตรวจหาช่องโหว่ในเครือข่ายประจำไตรมาส ผ่านบริการตรวจหาช่องโหว่ที่ได้รับการอนุมัติ (ASV)
1 ผู้ค้าระดับ 2 ที่ทำแบบประเมิน SAQ A, SAQ A-EP หรือ SAQ D แล้ว จะต้องติดต่อ QSA เพื่อยืนยันการปฏิบัติตามข้อกำหนด

2. ทราบประเภทการผสานการทํางานและข้อกําหนดด้านเอกสารประกอบ

เมื่อคุณทราบระดับ PCI ของคุณแล้ว ขั้นตอนต่อไปคือการกําหนดว่าคุณต้องกรอกเอกสาร PCI ใดบ้างเพื่อตรวจสอบการปฏิบัติตามข้อกําหนดตามประเภทของการเชื่อมต่อการทํางานที่คุณใช้กับ Stripe หากคุณเป็นผู้ให้บริการ ฯลฯ

ผู้ใช้ระดับ 1

ธุรกิจระดับ 1 ไม่มีสิทธิ์ใช้ SAQ เพื่อพิสูจน์การปฏิบัติตามข้อกําหนดของ PCI บริษัทผู้ออกบัตรต้องกรอก ROC ที่ลงนามโดย QSA เพื่อตรวจสอบยืนยันการปฏิบัติตามข้อกําหนดของ PCI เป็นประจําทุกปี

ผู้ใช้ระดับ 2-4

ผู้ใช้ระดับ 2-4 จะมีประเภทของ SAQ ที่แตกต่างกันขึ้นอยู่กับวิธีผสานการทํางานการชําระเงินของคุณ หากคุณไม่แน่ใจว่า SAQ ประเภทใดเหมาะกับคุณ โปรแกรมวิซาร์ด PCI Stripe จะกําหนดประเภทเอกสารประกอบที่เหมาะสมกับธุรกิจของคุณโดยอัตโนมัติ

การเชื่อมต่อการทำงาน
ข้อกำหนด
คำแนะนำ
Checkout หรือ Elements
SAQ A
Checkout และ Stripe.js และ Elements จะเก็บรวบรวมข้อมูลบัตรที่ป้อนใน iframe ซึ่งให้บริการโดยโดเมนของ Stripe (ไม่ใช่ของคุณ) เพื่อไม่ให้ข้อมูลบัตรของลูกค้าเข้าสู่เซิร์ฟเวอร์ของคุณ
Connect
SAQ A หากคุณรวบรวมข้อมูลบัตรผ่านแพลตฟอร์ม Connect (เช่น Squarespace) เพียงอย่างเดียว เราสามารถระบุได้ว่าแพลตฟอร์มดังกล่าวต้องส่งเอกสาร PCI ที่จำเป็นหรือไม่
SDK บนอุปกรณ์เคลื่อนที่
SAQ A

การพัฒนาและการควบคุมการเปลี่ยนแปลง DSK บนอุปกรณ์เคลื่อนที่ของ Stripe เป็นไปตามข้อกำหนดของ PCI DSS (ข้อกำหนดข้อที่ 6.3–6.5) และใช้งานผ่านระบบของเราที่ผ่านการยืนยันจาก PCI เมื่อคุณใช้เฉพาะองค์ประกอบ UI จาก SDK สำหรับ iOS และ Android ที่เป็นทางการ หรือสร้างแบบฟอร์มการชำระเงินด้วย Elements ใน WebView จะมีการส่งผ่านหมายเลขบัตรที่ลูกค้าลูกส่งไปยัง Stripe โดยตรง คุณจึงลดภาระด้านการปฏิบัติตามข้อกำหนดของ PCI ได้

แต่หากคุณต้องการเขียนโค้ดเองเพื่อจัดการข้อมูลบัตร คุณจะต้องรับผิดชอบในการปฏิบัติตามข้อกำหนดของ PCI DSS (6.3–6.5) เพิ่มเติมด้วย และจะไม่มีสิทธิ์ทำแบบประเมิน SAQ A โปรดติดต่อ PCI QSA เพื่อระบุวิธีที่เหมาะสมในการยืนยันการปฏิบัติตามข้อกำหนด โดยสอดคล้องกับคำแนะนำจากสภามาตรฐานการรักษาความปลอดภัยอุตสาหกรรมบัตรชําระเงิน

หากเว็บไซต์ของคุณให้ลูกค้าป้อนข้อมูลบนอุปกรณ์เคลื่อนที่ของตัวเอง คุณจำเป็นต้องทำแบบประเมิน SAQ A แต่หากแอปพลิเคชันของคุณรับข้อมูลบัตรจากลูกค้าหลายคนผ่านอุปกรณ์ของคุณเอง เช่น แอประบบบันทึกการขาย) โปรดปรึกษา PCI QSA เพื่อศึกษาวิธีที่เหมาะสมในการยืนยันการปฏิบัติตามข้อกำหนดของ PCI

Stripe.js v2
SAQ A-EP

คุณต้องทำแบบประเมิน SAQ A-EP ทุกปีเพื่อยืนยันการปฏิบัติตามข้อกำหนดของ PCI ทุกปี จึงจะใช้ Stripe.js v2 เพื่อส่งข้อมูลบัตรที่ป้อนในแบบฟอร์มของเว็บไซต์คุณได้

นอกจากนี้ Checkout และ Elements ยังมอบความยืดหยุ่นและการปรับแต่งแบบฟอร์มในระบบ รวมถึงยังตรงตามเกณฑ์การมีสิทธิ์ทำแบบประเมิน SAQ A ของ PCI

Terminal
SAQ C

หากคุณรวบรวมข้อมูลบัตรผ่าน Stripe Terminal เพียงอย่างเดียว คุณสามารถทำการยืนยันได้โดยใช้ SAQ C

หากคุณเชื่อมต่อการทำงานกับ Stripe โดยใช้วิธีการอื่นๆ ที่ระบุไว้ในตารางนี้ คุณต้องระบุถึงการปฏิบัติตามข้อกำหนดของวิธีการเหล่านั้นแยกกันตามคำอธิบาย
แดชบอร์ด
SAQ C-VT

การชำระเงินผ่านบัตรด้วยตัวเองผ่านแดชบอร์ดสามารถใช้ได้กับบางกรณีเท่านั้น ไม่ใช่สำหรับการประมวลผลการชำระเงินตามปกติ โปรดมอบแบบฟอร์มการชำระเงินหรือแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่เหมาะสม เพื่อให้ลูกค้าป้อนข้อมูลบัตรได้

เราไม่สามารถยืนยันว่าข้อมูลบัตรที่ป้อนด้วยตัวเองจะปลอดภัยนอกระบบของ Stripe ดังนั้น คุณต้องปกป้องข้อมูลของบัตรให้ปลอดภัยโดยสอดคล้องกับข้อกำหนดของ PCI และทำแบบประเมิน SAQ C-VT ทุกปีเพื่อยืนยันว่าธุรกิจของคุณปฏิบัติตามข้อกำหนดของ PCI

Direct API
SAQ D

เมื่อคุณส่งข้อมูลบัตรไปที่ API ของ Stripe โดยตรง การเชื่อมต่อการทำงานของคุณจะจัดการกับข้อมูลดังกล่าวโดยตรง และคุณต้องยืนยันการปฏิบัติตามข้อกำหนดของ PCI ทุกปีโดยใช้ SAQ D ซึ่งเป็น SAQ ที่ได้รับความนิยมสูงสุด โปรดดำเนินการดังนี้เพื่อลดภาระด้านการดำเนินงาน

นอกจากนี้ Radar ซึ่งเป็นเครื่องมือป้องกันการฉ้อโกงของเรายังใช้งานได้กับการแปลงเป็นโทเค็นทุกรูปแบบในฝั่งไคลเอ็นต์ ซึ่งมาพร้อมการประเมินความเสี่ยงและกฎต่างๆ

ผู้ให้บริการ

หากคุณเกี่ยวข้องโดยตรงกับการประมวลผล การจัดเก็บ หรือการส่งข้อมูลของเจ้าของบัตร (CHD) และ/หรือข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน (SAD) ในนามของนิติบุคคลอื่นโดยตรง (เช่น เกตเวย์การชําระเงิน ผู้ให้บริการชําระเงิน และองค์กรขายอิสระ) คุณอาจได้รับการจัดประเภทเป็นผู้ให้บริการ ซึ่งหมายความว่าคุณจะมีข้อกําหนดเพิ่มเติมที่ต้องตรวจสอบ

3. ทําการประเมินให้เสร็จสิ้นและส่งเอกสาร SAQ

เมื่อคุณระบุการประเมินที่จะต้องทำให้เสร็จสิ้นแล้ว ขั้นตอนถัดไปคือการทำการประเมิน, กรอกเอกสาร SAQ หรือ ROC ที่เกี่ยวข้อง แล้วส่งให้ Stripe ตรวจสอบ

ผู้ใช้ที่มีธุรกรรมจํานวนมากจะต้องการใช้บริการของ QSA ที่จดทะเบียนเพื่อดําเนินงานในภูมิภาคที่คุณดําเนินธุรกิจอยู่ QSA จะช่วยตรวจสอบระบบของคุณโดยเทียบกับข้อกําหนดของ PCI และให้คําแนะนําเกี่ยวกับการแก้ไขจุดบกพร่องต่างๆ นอกจากนี้ พวกเขาจะผลิตและลงนามในเอกสารประกอบที่เหมาะสมเพื่อให้คุณแบ่งปันกับ Stripe ทุกปี

ผู้ใช้ระดับ 3 และ 4 มีแนวโน้มที่จะต้องทำแบบทดสอบประเมินตนเองตามมาตรฐาน PCI DSS ที่เหมาะสมกับสายงานธุรกิจของตน แหล่งข้อมูลผู้ค้าเพิ่มเติมพร้อมให้คุณใช้งานผ่านสภามาตรฐานการรักษาความปลอดภัยของ PCI นอกจากนี้ Stripe ยังพร้อมให้ความช่วยเหลือ เนื่องจากโปรแกรมวิซาร์ดที่ออกแบบเองของเราในแดชบอร์ด PCI ของคุณจะสอบถามด้วยชุดคําถามและสร้างเอกสารที่จําเป็นให้คุณ คุณสามารถใช้แดชบอร์ด PCI Stripe เพื่ออัปโหลดเอกสารประกอบ SAQ หรือ ROC ที่กรอกด้วยตัวเองได้

4. ตรวจสอบและดูแลรักษา

โปรดทราบว่าการปฏิบัติตามข้อกําหนดของ PCI ไม่ใช่เหตุการณ์แบบครั้งเดียว แต่เป็นกระบวนการประจําปีเพื่อให้มั่นใจว่าธุรกิจของคุณจะยังคงปฏิบัติตามข้อกําหนดแม้จะมีการเปลี่ยนแปลงด้านขั้นตอนการเคลื่อนที่ของข้อมูลและจุดสัมผัสของลูกค้าก็ตาม

PCI DSS ได้กําหนดมาตรฐานที่สําคัญสําหรับการจัดการและจัดเก็บข้อมูลของเจ้าของบัตร แต่ไม่สามารถให้การปกป้องที่เพียงพอสําหรับทุกสภาพแวดล้อมการชําระเงินได้โดยลำพัง วิธีที่ช่วยปกป้ององค์กรของคุณอย่างมีประสิทธิภาพมากกว่าคือการเปลี่ยนไปใช้วิธีการยอมรับบัตรที่ปลอดภัยขึ้นซึ่งใช้ข้อมูลที่แปลงเป็นโทเค็น (เช่น Stripe Checkout, Elements และ SDK สําหรับอุปกรณ์เคลื่อนที่) ซึ่งช่วยให้ธุรกิจที่คล่องตัวสามารถลดโอกาสที่จะเกิดการละเมิดข้อมูล รวมถึงหลีกเลี่ยงแนวทางดั้งเดิมในการตรวจสอบ PCI ที่ใช้เวลานานและสิ้นเปลืองค่าใช้จ่าย

เมื่อบริษัทเติบโตขึ้น ระบบและกระบวนการทางธุรกิจหลักๆ ก็จะเติบโตตามไปด้วย ซึ่งหมายความว่าข้อบังคับในการปฏิบัติตามข้อกําหนดก็จะเปลี่ยนแปลงไปเช่นกัน ตัวอย่างเช่น ธุรกิจออนไลน์อาจตัดสินใจเปิดร้านค้าจริง เข้าสู่ตลาดใหม่ หรือเปิดตัวศูนย์สนับสนุนลูกค้า หากมีสิ่งใหม่ๆ ที่เกี่ยวข้องกับข้อมูลบัตรชําระเงินเกิดขึ้น คุณควรดำเนินการตรวจสอบเชิงรุกว่าการเปลี่ยนแปลงเหล่านี้ส่งผลกระทบต่อวิธีตรวจสอบ PCI ที่คุณเลือกหรือไม่ และตรวจสอบความถูกต้องของการปฏิบัติตามข้อกําหนด PCI ตามความจําเป็น

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกําหนดของ PCI อันซับซ้อน ให้ไปที่เว็บไซต์สภามาตรฐานการรักษาความปลอดภัย PCI หากคุณเคยอ่านเฉพาะคู่มือนี้และเอกสาร PCI อื่นๆ เพียงไม่กี่ฉบับ เราขอแนะนําให้เริ่มต้นด้วยเอกสารต่อไปนี้

Stripe ช่วยให้องค์กรปฏิบัติตามข้อกําหนดของ PCI ได้อย่างไร

Stripe เป็นผู้ให้บริการ PCI ระดับ 1 ที่ได้รับการรับรองจากผู้ประเมินความปลอดภัยที่มีคุณสมบัติตามข้อกําหนดของ PCI DSS อิสระเป็นประจําทุกปี ซึ่งหมายความว่าผลิตภัณฑ์ทั้งหมดของเรามีความปลอดภัยตามค่าเริ่มต้น และช่วยลดภาระด้านการปฏิบัติตามข้อกําหนดของคุณ

Stripe จะทําหน้าที่เป็นที่ปรึกษาด้าน PCI สําหรับผู้ใช้ทุกคน และสามารถให้ความช่วยเหลือได้หลากหลายวิธี ไม่ว่าผู้ใช้จะเลือกใช้การผสานการทำงานประเภทใดก็ตาม

การสนับสนุนสําหรับธุรกิจขนาดเล็ก

Stripe ลดความยุ่งยากในภาระด้าน PCI ให้กับผู้ใช้รายย่อยของเราอย่างมากด้วยการเสนอขั้นตอนการปฏิบัติตามข้อกําหนดที่ออกแบบเอง ซึ่งรวมถึง SAQ ที่กรอกข้อมูลไว้ล่วงหน้าและขั้นตอนที่แนะนําสําหรับผู้ใช้บางรายที่ใช้ประโยชน์จากวิธีผสานการทํางานที่ปลอดภัยมากขึ้น เช่น Checkout, Elements SDK สําหรับอุปกรณ์เคลื่อนที่ และ Terminal SDK

ประสบการณ์การใช้งานแดชบอร์ดที่ออกแบบเอง

เมื่อคุณเป็นลูกค้า Stripe แล้ว เราจะวิเคราะห์ประวัติธุรกรรมและแนะนําวิธีลดภาระด้านการปฏิบัติตามข้อกําหนดผ่านประสบการณ์การใช้งานแดชบอร์ดที่ออกแบบเอง

การสนับสนุนเมื่อธุรกิจของคุณเติบโตขึ้น

เมื่อปริมาณธุรกรรมต่อปีเพิ่มขึ้น คุณอาจเปลี่ยนระดับของ PCI ได้ภายใน 1 ปี และ Stripe จะคอยสนับสนุนคุณในกระบวนการเปลี่ยนผ่านเหล่านี้โดยการแจ้งเตือนเกี่ยวกับข้อกําหนดใหม่เมื่อใกล้ถึงวันต่ออายุ PCI

ผู้ให้บริการมากกว่าหนึ่งราย

หากธุรกิจของคุณใช้ผู้ประมวลผลข้อมูลมากกว่า 1 ราย กระบวนการปฏิบัติตามข้อกําหนดของ PCI ของคุณอาจสร้างความสับสนให้คุณได้ แต่ Stripe จะช่วยอำนวยความสะดวกให้คุณด้วยการรองรับการส่ง AOC จากผู้ให้บริการของคุณเพื่อให้กระบวนการปฏิบัติตามข้อกำหนดของคุณง่ายขึ้น

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Payments

Payments

รับชำระเงินออนไลน์ ที่จุดขาย และทั่วโลกด้วยโซลูชันการชำระเงินที่สร้างมาสำหรับธุรกิจทุกขนาด

Stripe Docs เกี่ยวกับ Payments

ค้นหาคู่มือเกี่ยวกับการเชื่อมต่อ Payments API ของ Stripe