# PCI DSS v4.0.1 คืออะไร? คู่มือ Compliance มาตรฐานความปลอดภัยข้อมูลบัตรเครดิตสำหรับ SME ไทย 2026
ทุกร้านค้าและธุรกิจที่รับชำระเงินด้วยบัตรเครดิต/เดบิต — ไม่ว่าจะเป็น E-commerce, ร้านอาหาร, โรงแรม หรือ SaaS ที่เก็บค่าบริการรายเดือน — ต้องปฏิบัติตาม PCI DSS โดยอัตโนมัติเพราะถูกบังคับโดย Brand บัตร (Visa, Mastercard, JCB, Amex, UnionPay) ผ่านธนาคาร Acquirer ที่ใช้บริการอยู่ ตั้งแต่ 31 มีนาคม 2025 ข้อกำหนดใหม่ของ PCI DSS v4.0 ที่เคยเป็น "Best Practice" กลายเป็น Mandatory ทั้งหมด และล่าสุด PCI Security Standards Council ก็ได้ออก v4.0.1 เพื่อปรับถ้อยคำและแก้ไขความไม่ชัดเจน
บทความนี้จะอธิบายโครงสร้าง PCI DSS v4.0.1 ฉบับใหม่, การจัดระดับ Merchant Level, 12 Requirements ที่ต้องผ่าน, ตารางเปรียบเทียบกับเวอร์ชันเก่า และเช็กลิสต์เริ่มต้น Compliance ที่ทีม IT/PM ของ SME ไทยใช้งานได้ทันที
PCI DSS v4.0.1 คืออะไร และทำไมเปลี่ยนจาก v3.2.1
PCI DSS (Payment Card Industry Data Security Standard) คือมาตรฐานความปลอดภัยที่กำหนดข้อกำหนดในการจัดการ "ข้อมูลผู้ถือบัตร" (Cardholder Data) และ "ข้อมูล Authentication ที่ละเอียดอ่อน" (SAD) ทุกขั้นตอน — ตั้งแต่การรับ ส่ง เก็บ ประมวลผล และทำลาย
จุดเปลี่ยนสำคัญของ v4.0/v4.0.1 เทียบกับ v3.2.1:
| หัวข้อ | v3.2.1 (เลิกใช้แล้ว) | v4.0.1 (ปัจจุบัน) |
|--------|------------------------|----------------------|
| MFA สำหรับเข้าถึง CDE | บางกรณี | บังคับทุก Account ที่เข้า CDE |
| รหัสผ่าน | 7 ตัวอักษร | ขั้นต่ำ 12 ตัวอักษรสำหรับผู้ใช้ทั่วไป |
| Vulnerability Scan | ทุก 3 เดือน | ทุก 3 เดือน + รายปี Authenticated Scan |
| Customized Approach | ไม่มี | มี (ออกแบบ Control เองแล้วพิสูจน์ได้) |
| Targeted Risk Analysis | ไม่บังคับ | บังคับสำหรับหลาย Control |
| Phishing Resistant | ไม่ระบุ | ต้องมีกระบวนการป้องกัน |
การจัดระดับ Merchant Level
ระดับธุรกิจขึ้นอยู่กับจำนวนรายการบัตรต่อปี — Visa และ Mastercard ใช้เกณฑ์คล้ายกัน ดังนี้:
SME ไทยส่วนใหญ่อยู่ Level 3-4 ซึ่งทำ Self-Assessment Questionnaire (SAQ) ได้เอง แต่ต้องเลือก SAQ ให้ตรงกับสถาปัตยกรรมการรับชำระเงินจริง
12 Requirements ของ PCI DSS v4.0.1
PCI DSS v4.0.1 จัดข้อกำหนดเป็น 6 Goals 12 Requirements ตามนี้:
Build and Maintain a Secure Network
1. ติดตั้งและดูแล Network Security Controls (Firewall, Segmentation)
2. กำหนดค่าระบบให้ปลอดภัย ไม่ใช้ค่า Default ที่มาจากผู้ผลิต
Protect Account Data
3. ปกป้อง Cardholder Data ที่เก็บ (Encryption, Tokenization)
4. เข้ารหัสการส่งข้อมูลบัตรผ่านเครือข่ายสาธารณะ (TLS 1.2+)
Maintain a Vulnerability Management Program
5. ป้องกัน Malware ในระบบทุกจุดที่เกี่ยวข้อง
6. พัฒนาและดูแลซอฟต์แวร์อย่างปลอดภัย (Secure SDLC, Patch)
Implement Strong Access Control Measures
7. จำกัดการเข้าถึง Cardholder Data ตาม Need-to-know
8. ระบุตัวตนและพิสูจน์ตัวตนผู้ใช้ (Unique ID, MFA)
9. จำกัดการเข้าถึงทางกายภาพ (Server Room, POS)
Regularly Monitor and Test Networks
10. บันทึกและตรวจสอบการเข้าถึง Cardholder Data ทุกเหตุการณ์
11. ทดสอบความปลอดภัยของระบบและกระบวนการสม่ำเสมอ (Pen Test, ASV Scan)
Maintain an Information Security Policy
12. มีนโยบายความปลอดภัยที่ครอบคลุมและสื่อสารถึงพนักงานทุกคน
ขั้นตอนเริ่มทำ Compliance สำหรับ SME ไทย
1. กำหนดขอบเขต CDE (Cardholder Data Environment): จับภาพ Flow ของบัตรในระบบทั้งหมด รวม POS, เว็บไซต์, API
2. เลือก Strategy ลด Scope: ใช้ Payment Gateway แบบ Hosted/Tokenization เพื่อตัดข้อมูลบัตรออกจากเซิร์ฟเวอร์ของตน
3. เลือก SAQ ให้ตรงประเภท: SAQ A (Hosted Page), SAQ A-EP (Direct Post), SAQ D (Custom)
4. ทำ Gap Assessment เทียบ 12 Requirements เพื่อหาช่องว่าง
5. ใช้ Customized Approach หรือ Defined Approach — เลือกตามความพร้อมขององค์กร
6. ทำ ASV Scan รายไตรมาสกับผู้ให้บริการที่ผ่านการรับรอง
7. ทำ Internal Vulnerability Scan + Pen Test รายปี
8. จัดทำ Targeted Risk Analysis สำหรับ Control ที่มีความถี่ปรับได้
9. ฝึกอบรมพนักงานทุกคนที่เกี่ยวข้อง อย่างน้อยปีละ 1 ครั้ง
10. ส่ง Attestation of Compliance (AOC) ให้ Acquirer ตามรอบที่กำหนด
เปรียบเทียบ Strategy การลด Scope
| รูปแบบ | ความซับซ้อน | ค่าใช้จ่าย | SAQ ที่เกี่ยวข้อง |
|--------|--------------|-------------|---------------------|
| Hosted Payment Page (iframe/redirect) | ต่ำ | ต่ำ | SAQ A |
| Direct Post + Token | กลาง | กลาง | SAQ A-EP |
| In-house Payment Form (เก็บบัตรเอง) | สูงมาก | สูงมาก | SAQ D |
| ใช้ Third-Party PCI Vault | ต่ำ-กลาง | กลาง | SAQ A |
สำหรับ SME ไทย แนะนำให้พิจารณา Hosted Page หรือ Tokenization เป็นหลัก จะลดเวลา Implement ได้หลายเดือนและตัดความเสี่ยง Data Breach ลงอย่างมาก
ข้อควรระวังก่อนเริ่ม
สรุปและก้าวต่อไป
PCI DSS v4.0.1 ไม่ใช่แค่ "Checklist ที่ต้องผ่าน" แต่คือกรอบการทำงานด้านความปลอดภัยที่ลด Risk การถูก Data Breach อย่างมีนัยสำคัญ และเป็นพื้นฐานในการต่อยอดสู่ ISO 27001 หรือ SOC 2 Type II ในอนาคต SME ไทยที่เริ่มก่อนจะได้เปรียบทั้งด้าน Compliance และ Trust ของลูกค้า
หากธุรกิจของคุณต้องการที่ปรึกษาในการออกแบบ Network Segmentation, เลือก Payment Gateway ที่ลด Scope ได้, ทำ Gap Assessment หรือพัฒนาระบบ E-commerce บน Laravel/Next.js ให้พร้อม PCI ทีม ADS FIT ช่วยได้ตั้งแต่ Architecture Design ไปจนถึง Implementation ติดต่อเราได้ที่หน้า Contact หรืออ่านบทความอื่นในหมวด ISO/GMP/อย. เพื่อต่อยอด Compliance ขององค์กร