PCI DSS - ACIS Professional Center Co., Ltd.

PCI Compliance (DSS/SAQ/ROC & PIN Security) Consulting

บริการที่ปรึกษา PCI Compliance ของ ACIS Professional Center ช่วยให้องค์กรที่ “รับ จัดเก็บ หรือ ประมวลผลข้อมูลบัตรชำระเงิน” ดำเนินงานให้สอดคล้องกับมาตรฐาน PCI DSS และจัดทำเอกสารในรูปแบบที่ต้องใช้จริง เช่น SAQ (Self-Assessment Questionnaire) หรือ ROC (Report on Compliance) พร้อมครอบคลุมด้าน PCI PIN Security สำหรับองค์กรที่เกี่ยวข้องกับระบบ/อุปกรณ์รับชำระที่มีการจัดการ PIN (เช่น POS, ATM, EDC, Payment Switch)

เราออกแบบบริการให้เหมาะกับองค์กรในประเทศไทย ตั้งแต่ กรุงเทพฯ (Bangkok) ไปจนถึง ทั่วประเทศ ไม่ว่าคุณจะเป็น ธนาคาร / ฟินเทค / อีคอมเมิร์ซ / รีเทล / โรงแรม / ผู้ให้บริการระบบชำระเงิน หรือผู้ให้บริการด้าน IT/Cloud ที่มี Cardholder Data Environment (CDE)

โฟกัสหลักของบริการ

ช่วย “คุมสโคป CDE ให้ชัด” เพื่อลดความเสี่ยงและคุมงบ/คุมเวลา
ช่วย “ทำเอกสาร/หลักฐานให้ตรวจได้จริง” และพร้อมต่อการทวนสอบ
ช่วย “ยกระดับ Controls” ทั้งด้านเทคนิคและกระบวนการ เพื่อลดความเสี่ยงข้อมูลบัตร

รูปแบบการให้บริการ

Thailand (Onsite/Remote)
Bangkok / ปริมณฑล / ต่างจังหวัด
PCI DSS + SAQ + ROC
PCI PIN Security

เหมาะกับใคร

ธุรกิจที่รับชำระด้วยบัตร: E-commerce, Retail, Hospitality, Subscription, Call Center
ผู้ให้บริการระบบชำระเงิน: Payment Gateway, PSP, Switch, Acquirer, Processor
องค์กรที่ใช้/ดูแลโครงสร้างพื้นฐาน: Data Center, Managed Service, Cloud / Hosting
ทีมงานในไทยที่ต้องส่งงานให้คู่ค้า/ธนาคาร/เจ้าของแบรนด์บัตร: Compliance, Risk, IT, Security, Audit

ขอบเขตบริการ (Service Scope)

#	หมวดบริการ	รายละเอียด
1	PCI DSS Gap Assessment & Scoping (กำหนดขอบเขตให้ถูกตั้งแต่ต้น)	ช่วยระบุ CDE, system boundary, data flow และจุดสัมผัสข้อมูลบัตร (Cardholder Data) ลดความเสี่ยง “สโคปบานปลาย” และช่วยวางแผนให้คุมงบ/คุมเวลาได้ สรุปช่องว่างเทียบกับข้อกำหนด PCI DSS พร้อมลำดับความสำคัญ (Quick win → ระยะยาว)
2	SAQ Support (Self-Assessment Questionnaire)	ช่วยเลือกประเภท SAQ ให้เหมาะกับรูปแบบธุรกิจ (เช่น e-commerce / face-to-face / outsourced) ช่วยจัดทำคำตอบและ หลักฐานประกอบ (Evidence) ให้ “ตอบแล้วผ่านการทวนสอบได้” ทำ checklist เอกสาร/การควบคุมที่ต้องมี เช่น policy, log, vulnerability scan, access control
3	ROC / Readiness for Audit (เตรียมพร้อมก่อนทำรายงานแบบเต็ม)	เตรียมความพร้อมก่อนการประเมินเชิงลึกสำหรับองค์กรที่ต้องใช้ ROC ช่วยวาง แผน Remediation และจัดชุดหลักฐานตาม requirement ซ้อมตอบคำถาม / ทำ workshop ให้ทีม IT & Operation เข้าใจ requirement และทำงานเป็นระบบ
4	Technical & Process Controls Implementation (ทำให้ “ปฏิบัติได้จริง”)	ครอบคลุมทั้ง People / Process / Technology เช่น Network segmentation และการลดสโคป CDE Secure configuration, hardening, patching, anti-malware Access control, MFA, key management, logging & monitoring Vulnerability management, ASV scan, penetration testing readiness Incident response และการฝึกซ้อมเหตุการณ์ (tabletop)
5	PCI PIN Security (สำหรับองค์กรที่เกี่ยวข้องกับ PIN)	ให้คำปรึกษาเรื่องการควบคุมด้าน PIN ตามแนวทาง PCI PIN (เชิงนโยบาย + กระบวนการ + หลักฐาน) โฟกัสประเด็นสำคัญ เช่น cryptographic key management, HSM/process, dual control, split knowledge, secure key loading และการควบคุมอุปกรณ์/สภาพแวดล้อมที่เกี่ยวข้อง จัดทำเอกสารและ Evidence checklist เพื่อรองรับการตรวจประเมิน/ทวนสอบ