Bỏ qua menu, vào nội dung chính

← Tin tức · Bảo mật

01/03/2026 · 8 phút đọc

PCI-DSS compliance cho doanh nghiệp e-commerce Việt — checklist 12 yêu cầu

PCI-DSS là chuẩn bảo mật quốc tế cho doanh nghiệp xử lý thẻ tín dụng. E-commerce VN chấp nhận Visa/Master phải tuân thủ. Bài này giải thích 12 yêu cầu + 4 level (1-4) + cost compliance + cách giảm scope qua tokenization.

PCI-DSSBảo mậtE-commerce

PCI-DSS là gì + ai phải tuân thủ

PCI-DSS = Payment Card Industry Data Security Standard. Visa/Master/Amex tạo. Bất kỳ doanh nghiệp xử lý thẻ tín dụng (collect, store, transmit) → phải tuân thủ. E-commerce VN chấp nhận thẻ quốc tế phải comply.

4 level PCI-DSS

  • Level 1 (> 6M card transaction/năm): audit độc lập + ROC report. Cost: 200-500tr/năm.
  • Level 2 (1M-6M): annual self-assessment + onsite audit recommend. Cost: 100-200tr.
  • Level 3 (20k-1M): annual SAQ (Self-Assessment Questionnaire). Cost: 50-100tr.
  • Level 4 (< 20k): SAQ basic. Cost: 30-60tr.

12 yêu cầu chính

  1. Install + maintain firewall.
  2. Không dùng default password.
  3. Protect stored cardholder data (encryption).
  4. Encrypt transmission of cardholder data (TLS).
  5. Use + update anti-virus.
  6. Develop + maintain secure systems (patch, code review).
  7. Restrict access to cardholder data by need-to-know.
  8. Identify + authenticate access to systems (unique ID).
  9. Restrict physical access to cardholder data.
  10. Track + monitor all access (audit log).
  11. Regularly test security systems (pentest hằng năm).
  12. Maintain information security policy (document).

Trick giảm scope: tokenization

Dùng payment gateway (Stripe, VNPay, Adyen). User nhập thẻ trong iframe của gateway → bạn không touch card data → bạn không lưu card data → scope giảm 80%.

Cost giảm: từ 100tr → 30tr/năm cho cùng level. ROI cao + bảo mật tốt hơn.

Self-assessment SAQ types

  • SAQ A: dùng gateway, không touch card data. Easiest, 22 question.
  • SAQ A-EP: e-commerce với iframe gateway. 191 question.
  • SAQ D: full processing, store data. Complex, 329 question.

Đa số e-commerce VN: SAQ A hoặc A-EP qua gateway tokenization.

Cost breakdown Level 4

  • Vulnerability scan quarterly: 6-12tr/năm.
  • Self-assessment + report: 8-15tr.
  • Security tools (firewall, antivirus, monitoring): 12-25tr/năm.
  • Pentest annual: 30-80tr.
  • Compliance consultant (1 lần): 20-50tr.
  • Total: 30-100tr/năm.

Khi không compliance, hậu quả

  • Fine từ Visa/Master: $5,000-100,000/tháng.
  • Liability nếu breach: $50-90/card holder bị lộ.
  • Visa/Master có thể terminate merchant agreement.
  • Brand damage + lawsuit.

E-commerce VN cần audit PCI-DSS? Alodev hợp tác với compliance consultant. /lien-he

Cần tư vấn?

Founder phản hồi
trong 24 giờ.