Tuân thủ quy định thanh toán: Các quy định chính và thực tiễn tốt nhất

Mọi doanh nghiệp thực hiện giao dịch tiền tệ đều gặp vấn đề về tuân thủ quy định. Giao dịch thẻ tín dụng, thanh toán thương mại điện tử, thanh toán tiền điện tử — bất kể kênh nào. Các quy định đều được áp dụng, hình phạt là có thật, và việc phớt lờ chúng hiếm khi dẫn đến hậu quả êm đẹp.

Điều khiến việc tuân thủ các quy định về thanh toán trở nên khó khăn không phải là việc bạn biết chúng tồn tại. Mà là việc hiểu rõ những quy định nào áp dụng cho doanh nghiệp cụ thể của bạn, cách chúng tương tác với nhau và bạn thực sự cần phải làm gì. Đó là những gì mà hướng dẫn này sẽ đề cập.

Tuân thủ quy định thanh toán là gì và tại sao nó lại quan trọng?

Hãy hỏi năm nhà cung cấp dịch vụ thanh toán khác nhau về ý nghĩa của "tuân thủ quy định thanh toán" và bạn có thể sẽ nhận được năm câu trả lời khác nhau. Trên thực tế, nó bao gồm toàn bộ các quy tắc chi phối cách thức các doanh nghiệp thu thập, lưu trữ, truyền tải và xử lý dữ liệu thanh toán. Những quy tắc này tồn tại bởi vì khi hệ thống thanh toán gặp sự cố — do gian lận, rửa tiền hoặc rò rỉ dữ liệu — thiệt hại sẽ lan rộng nhanh chóng.

Các doanh nghiệp phải tuân thủ các nghĩa vụ này về cơ bản bao gồm tất cả những ai xử lý tiền kỹ thuật số. Các nhà bán lẻ trực tuyến. Các nền tảng SaaS. Các sàn giao dịch. Các công ty Fintech. Các nhà kinh doanh tiền điện tử. Các quy định không có ngoại lệ về quy mô. Một công ty khởi nghiệp mười người phải đối mặt với các yêu cầu cốt lõi giống như một doanh nghiệp lớn.

Những con số cho thấy mức độ nghiêm trọng của vấn đề: thiệt hại do gian lận thanh toán và thương mại điện tử dự kiến lên tới 343 tỷ đô la từ năm 2023 đến năm 2027. Báo cáo An ninh Thanh toán năm 2023 của Verizon cho thấy 64% các công ty vẫn chưa đáp ứng đầy đủ tiêu chuẩn PCI DSS. Và chỉ một vụ rò rỉ dữ liệu cũng có thể dẫn đến các vụ kiện tụng, kiểm toán bắt buộc và các biện pháp trừng phạt từ các mạng lưới thẻ tín dụng, mà việc giải quyết có thể mất nhiều năm.

Việc tuân thủ các quy định giúp duy trì quyền truy cập vào mạng lưới thanh toán. Vi phạm hoặc xâm phạm an ninh mạng có thể khiến cánh cửa đó đóng lại vĩnh viễn.

Ai là người chịu trách nhiệm quản lý việc tuân thủ quy định thanh toán trên toàn cầu?

Không có một cơ quan duy nhất nào chịu trách nhiệm quản lý việc tuân thủ quy định thanh toán trên toàn thế giới. Một loạt các tổ chức khác nhau thiết lập các tiêu chuẩn và thực thi các quy tắc trên khắp các khu vực pháp lý, và hầu hết các doanh nghiệp cuối cùng đều phải tuân thủ quy định của nhiều hơn một tổ chức.

Ví dụ, một nhà bán lẻ có trụ sở tại EU chấp nhận thẻ tín dụng Mỹ từ khách hàng quốc tế phải tuân thủ PCI DSS, GDPR và có thể cả hướng dẫn của FinCEN cùng một lúc. Quản lý sự chồng chéo này chính là vấn đề tuân thủ thanh toán và tuân thủ quy định khi doanh nghiệp của bạn hoạt động xuyên biên giới.

Giải thích các quy định quan trọng về tuân thủ thanh toán

Năm quy định này xác định phần lớn những gì hầu hết các doanh nghiệp phải làm. Mỗi quy định nhắm vào một lĩnh vực rủi ro khác nhau và có cấu trúc xử phạt riêng.

1. PCI DSS — Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán áp dụng cho bất kỳ tổ chức nào lưu trữ, xử lý hoặc truyền tải dữ liệu chủ thẻ. Tiêu chuẩn này đưa ra 12 yêu cầu kỹ thuật và vận hành. Mức phạt do không tuân thủ dao động từ 5.000 đến 100.000 đô la mỗi tháng tùy thuộc vào mức độ nghiêm trọng của vi phạm.
2. PSD2 — Chỉ thị Dịch vụ Thanh toán 2 của EU điều chỉnh các nhà cung cấp dịch vụ thanh toán trên toàn Khu vực Kinh tế Châu Âu. Yêu cầu quan trọng nhất là Xác thực Khách hàng Mạnh mẽ (SCA) cho các giao dịch điện tử. Mức phạt có thể lên tới 5 triệu euro hoặc 3% doanh thu hàng năm toàn cầu.
3. AML/KYC — Các quy định chống rửa tiền yêu cầu các doanh nghiệp phải xác minh danh tính khách hàng (Biết khách hàng của bạn), giám sát các giao dịch để phát hiện hoạt động đáng ngờ và lập Báo cáo hoạt động đáng ngờ. Những quy định này xuất phát từ luật pháp quốc gia được xây dựng dựa trên các khuyến nghị của FATF.
4. GDPR / CCPA — Quy định chung về bảo vệ dữ liệu của EU và Đạo luật bảo vệ quyền riêng tư người tiêu dùng của California đặt ra các quy tắc về bảo mật dữ liệu trong lĩnh vực thanh toán, quy định cách thức thu thập, lưu trữ và xử lý dữ liệu cá nhân và thông tin thanh toán. Mức phạt theo GDPR có thể lên tới 20 triệu euro hoặc 4% doanh thu hàng năm toàn cầu. Mức phạt 405 triệu euro mà Meta phải chịu vào năm 2022 đã khẳng định rằng các cơ quan quản lý sẽ thực thi luật trên quy mô lớn.
5. Các quy định của BSA/FinCEN — Đạo luật Bảo mật Ngân hàng Hoa Kỳ (BSA) yêu cầu các tổ chức tài chính và doanh nghiệp dịch vụ tiền tệ phải duy trì các chương trình chống rửa tiền (AML), báo cáo các giao dịch tiền mặt trên 10.000 đô la và nộp báo cáo hoạt động đáng ngờ (SAR). FinCEN đã mở rộng các nghĩa vụ này cho các doanh nghiệp tiền điện tử hoạt động tại Hoa Kỳ.

PCI DSS 4.0: Nền tảng của bảo mật dữ liệu thanh toán

Hầu hết các doanh nghiệp trực tuyến đều phải tuân thủ PCI DSS trước bất kỳ quy định nào khác. Phiên bản 4.0 được hoàn thiện vào năm 2022 và có hiệu lực đầy đủ từ tháng 4 năm 2025, mang đến những thay đổi quan trọng mà các nhà bán lẻ và nhà cung cấp dịch vụ thanh toán cần biết.

Mức độ tuân thủ phụ thuộc vào khối lượng giao dịch thẻ hàng năm:

• Cấp độ 1 : Hơn 6 triệu giao dịch/năm — kiểm toán tại chỗ hàng năm bởi Chuyên gia đánh giá an ninh đủ điều kiện (QSA)
• Cấp độ 2 : 1–6 triệu giao dịch/năm — Bản câu hỏi tự đánh giá hàng năm (SAQ) cộng với quét mạng hàng quý
• Cấp độ 3 : 20.000–1 triệu giao dịch thương mại điện tử/năm — SAQ cộng với quét hàng quý
• Cấp độ 4 : Dưới 20.000 giao dịch thương mại điện tử/năm — Khuyến nghị SAQ

Những thay đổi giữa phiên bản 4.0 và phiên bản 3.2.1:

• Cách tiếp cận tùy chỉnh : giờ đây các công ty có thể triển khai các biện pháp kiểm soát thay thế đáp ứng mục đích của yêu cầu, thay vì tuân thủ nghiêm ngặt các thông số kỹ thuật theo quy định.
• Xác thực đa yếu tố bắt buộc : xác thực đa yếu tố hiện là yêu cầu bắt buộc đối với tất cả các truy cập vào môi trường dữ liệu chủ thẻ, không chỉ các phiên truy cập từ xa.
• Đào tạo về tấn công lừa đảo và kỹ thuật xã hội : Đào tạo nâng cao nhận thức chuyên sâu là yêu cầu bắt buộc, không phải là khuyến nghị.
• Mật khẩu mạnh hơn : tối thiểu 12 ký tự (tăng từ 8), với tính năng tự động thay đổi mật khẩu sau mỗi 90 ngày đối với các tài khoản có quyền quản trị cao.

Chi phí của việc bỏ qua PCI DSS là rất lớn. Khi Heartland Payment Systems bị tấn công mạng năm 2008, tổng thiệt hại vượt quá 200 triệu đô la. Cổ phiếu giảm 50% chỉ trong vài ngày và mất 77% giá trị trước khi phục hồi. Các doanh nghiệp nhỏ thường không thể vượt qua được tình huống đó.

Chống rửa tiền và xác minh danh tính khách hàng: Phát hiện tội phạm tài chính ngay từ nguồn gốc.

Tuân thủ AML nghĩa là xây dựng các hệ thống phát hiện tội phạm tài chính trước khi nó lan truyền qua nền tảng của bạn. KYC — lớp xác minh danh tính — chính là điều kiện tiên quyết giúp việc giám sát đó trở nên khả thi.

Những yêu cầu thực tế về tuân thủ AML:

• Giám sát giao dịch : hệ thống tự động phát hiện các mẫu bất thường — chuyển khoản lớn, di chuyển tiền nhanh, chia nhỏ giao dịch (chia nhỏ giao dịch để không vượt quá ngưỡng báo cáo).
• Nộp báo cáo hoạt động đáng ngờ (SAR) : Khi phát hiện hoạt động đáng ngờ, báo cáo hoạt động đáng ngờ phải được gửi đến cơ quan có thẩm quyền trong thời hạn quy định.
• Kiểm tra lệnh trừng phạt : mọi khách hàng và đối tác đều được kiểm tra theo danh sách trừng phạt của OFAC, Liên Hợp Quốc và Liên minh Châu Âu trong thời gian thực.
• Thẩm định khách hàng (CDD) : xem xét hồ sơ rủi ro liên tục, không chỉ là kiểm tra một lần khi khách hàng mới gia nhập.
• Quy trình thẩm định tăng cường (EDD) : xem xét kỹ lưỡng hơn đối với khách hàng có rủi ro cao — những người có liên quan đến chính trị (PEP) và bất kỳ ai đến từ khu vực pháp lý có rủi ro cao.

Quy trình KYC khi đăng ký thường bao gồm xác minh tài liệu (giấy tờ tùy thân do chính phủ cấp, bằng chứng địa chỉ) cộng với kiểm tra tính xác thực. Các giải pháp eKYC hiện nay xử lý việc này chỉ trong vài giây bằng trí tuệ nhân tạo; đối với bất kỳ doanh nghiệp nào thực hiện đăng ký quy mô lớn, điều này đã trở thành tiêu chuẩn.

Quy tắc giao dịch của FATF bổ sung thêm một lớp quy định dành riêng cho tiền điện tử: các nhà cung cấp dịch vụ tài sản ảo phải thu thập và truyền tải thông tin người gửi và người nhận đối với các giao dịch chuyển tiền trên 1.000 đô la. Ngưỡng chính xác có thể thay đổi đôi chút tùy theo khu vực pháp lý, nhưng nghĩa vụ này áp dụng cho dù đó là Bitcoin, stablecoin hay bất kỳ tài sản kỹ thuật số nào khác.

Các yêu cầu về PSD2, SCA và Open Banking

PSD2 đã định hình lại quy trình xác thực cho các nhà cung cấp dịch vụ thanh toán trên toàn EU. Nhiệm vụ cốt lõi của nó, Xác thực Khách hàng Mạnh mẽ (Strong Customer Authentication), hiện là tiêu chuẩn cho bất kỳ dịch vụ thanh toán nào hoạt động trong Khu vực Kinh tế Châu Âu.

SCA yêu cầu xác thực bằng ít nhất hai trong ba yếu tố độc lập:

• Những thứ bạn biết : mật khẩu, mã PIN, câu hỏi bảo mật
• Những thứ bạn có : điện thoại di động, thiết bị nhận dạng phần cứng, thẻ thông minh
• Một số đặc điểm của bạn : dấu vân tay, nhận diện khuôn mặt, mẫu giọng nói.

3D Secure 2.0 là tiêu chuẩn kỹ thuật chính để triển khai xác thực dựa trên bằng chứng (SCA) cho các giao dịch không có thẻ vật lý. Nó truyền tín hiệu rủi ro giữa người bán, mạng lưới thẻ và ngân hàng phát hành — cho phép các giao dịch rủi ro thấp được thực hiện mà không gặp trở ngại.

Các trường hợp miễn trừ SCA tồn tại để giảm thiểu những rắc rối không cần thiết:

PSD2 cũng quy định về ngân hàng mở. Các ngân hàng phải cung cấp cho các nhà cung cấp bên thứ ba được cấp phép quyền truy cập vào dữ liệu tài khoản khách hàng thông qua API, với sự đồng ý của khách hàng. Tuân thủ các quy tắc truy cập này là điều kiện bắt buộc để được cấp phép — chứ không phải là tùy chọn.

Tuân thủ quy định thanh toán trong lĩnh vực tiền điện tử và tài sản kỹ thuật số

Hầu hết các hướng dẫn tuân thủ thanh toán chỉ dừng lại ở thanh toán bằng thẻ và chuyển khoản ngân hàng. Đó là một thiếu sót thực sự. Các nhà kinh doanh tiền điện tử, cổng thanh toán và các doanh nghiệp tài sản kỹ thuật số phải chịu trách nhiệm toàn diện về quy định AML/KYC, cộng thêm một lớp quy tắc ngày càng tăng dành riêng cho tiền điện tử.

Các nhà cung cấp dịch vụ tài sản ảo (VASP) — bao gồm sàn giao dịch tiền điện tử, ví điện tử, cổng thanh toán — được coi là các tổ chức tài chính theo hướng dẫn của FATF về phòng chống rửa tiền. Trên thực tế, điều đó có nghĩa là:

• Hoàn tất quy trình KYC khi đăng ký, giám sát giao dịch liên tục và nghĩa vụ nộp báo cáo giao dịch đáng ngờ (SAR).
• Quy tắc chuyển tiền của FATF : các giao dịch chuyển tiền trên 1.000 đô la Mỹ yêu cầu tên người gửi, số tài khoản người gửi và thông tin chi tiết người nhận phải được chuyển kèm theo giao dịch.
• Đăng ký với FinCEN với tư cách là Doanh nghiệp Dịch vụ Tiền tệ dành cho các doanh nghiệp tiền điện tử có trụ sở tại Hoa Kỳ
• Việc cấp phép theo quy định MiCA (Markets in Crypto-Assets Regulation) của EU , có hiệu lực từ năm 2024, bao gồm các yêu cầu dự trữ, quy tắc bảo vệ người tiêu dùng và nghĩa vụ công bố thông tin đối với các nhà phát hành stablecoin và nhà cung cấp dịch vụ tiền điện tử.

Thách thức thực tiễn là việc tuân thủ phải hoạt động trên hàng trăm tài sản và chuỗi khối, mỗi loại có tính chất thanh toán cuối cùng và khả năng truy vết khác nhau. Xây dựng hệ thống đó từ đầu rất tốn kém và chậm.

Plisio xử lý việc tuân thủ quy định ở cấp độ cổng thanh toán, hỗ trợ hơn 200 loại tiền điện tử đồng thời duy trì việc giám sát giao dịch tuân thủ AML và quy trình đăng ký người bán thân thiện với KYC. Đối với các doanh nghiệp thương mại điện tử muốn chấp nhận tiền điện tử mà không cần tự xây dựng cơ sở hạ tầng tuân thủ, việc lựa chọn một cổng thanh toán giúp giải quyết sự phức tạp về quy định là con đường thiết thực.

Cách xây dựng quy trình tuân thủ thanh toán

Tuân thủ không phải là một công cụ bạn có thể bật lên. Đó là một quy trình diễn ra liên tục, và nó sẽ thất bại nếu được coi là một dự án chỉ thực hiện một lần.

1. Xác định phạm vi môi trường của bạn — Lập bản đồ mọi hệ thống liên quan đến dữ liệu thanh toán: trang thanh toán, bộ xử lý, cơ sở dữ liệu, tích hợp bên thứ ba. PCI DSS chỉ bao gồm những gì nằm trong phạm vi, và hầu hết các vụ vi phạm xảy ra ở những góc khuất chưa từng được xác định phạm vi.
2. Tiến hành phân tích khoảng cách tuân thủ — Đánh giá các biện pháp kiểm soát hiện tại so với các yêu cầu PCI DSS, AML/KYC và GDPR (hoặc CCPA). Ghi lại những gì còn thiếu, không chỉ những gì đã có.
3. Áp dụng các biện pháp kiểm soát kỹ thuật — Mã hóa token thay thế số thẻ bằng các token không chứa thông tin nhạy cảm; mã hóa dữ liệu bao phủ dữ liệu trong quá trình truyền tải và khi lưu trữ. Chỉ riêng hai bước này đã loại bỏ hầu hết phạm vi áp dụng của PCI DSS.
4. Thiết lập giám sát giao dịch — Các hệ thống tự động cần phải gắn cờ các giao dịch đáng ngờ trong thời gian thực. Xác định các quy tắc cảnh báo, hàng đợi xem xét và quy trình leo thang trước khi đưa vào hoạt động, chứ không phải sau đó.
5. Đào tạo nhân viên — Tấn công phi kỹ thuật và lừa đảo qua email gây ra nhiều vụ vi phạm hơn là lỗi kỹ thuật. Tiêu chuẩn PCI DSS 4.0 hiện yêu cầu đào tạo nâng cao nhận thức về an ninh mạng một cách có mục tiêu; hãy coi đó như một biện pháp kiểm soát thực tế.
6. Hãy ghi chép lại mọi thứ — Chính sách, quy trình, nhật ký kiểm toán, kế hoạch ứng phó sự cố. Các cơ quan quản lý muốn có tài liệu chứng minh bạn có ý định và khả năng thực hiện, chứ không chỉ đơn thuần là hệ thống hoạt động.
7. Lên lịch kiểm toán định kỳ — Đánh giá PCI DSS hàng năm, quét mạng hàng quý và xem xét chương trình AML liên tục. Việc tuân thủ sẽ bị giảm sút nếu không được bảo trì tích cực.
8. Hãy chọn đối tác thanh toán tuân thủ quy định — Bộ xử lý thanh toán, cổng thanh toán và các đối tác ngân hàng của bạn đều có trách nhiệm chung. Một đối tác xử lý PCI DSS ở cấp độ cơ sở hạ tầng sẽ giúp giảm đáng kể phạm vi công việc của bạn.

Các thực tiễn tốt nhất về tuân thủ thanh toán dành cho thương mại điện tử

Khi chương trình tuân thủ thanh toán của bạn đã đi vào hoạt động, những thực tiễn này sẽ giúp ngăn chặn nó âm thầm sụp đổ:

• Sử dụng cổng thanh toán được chứng nhận PCI DSS Cấp độ 1 — chuyển giao việc xử lý dữ liệu chủ thẻ cho nhà cung cấp, thường giảm phạm vi PCI DSS của bạn xuống mức SAQ A.
• Kích hoạt 3D Secure 2.0 — giảm thiểu rủi ro gian lận đối với các giao dịch không có thẻ vật lý và đáp ứng các yêu cầu SCA của EU.
• Mã hóa mọi thứ — thay thế số thẻ bằng mã token tại điểm nhập liệu; dữ liệu thô của chủ thẻ không bao giờ được lưu trữ trong hệ thống của bạn.
• Triển khai nhận dạng thiết bị và định vị địa lý IP — xây dựng tín hiệu phòng chống gian lận từ dữ liệu hành vi mà không làm tăng thêm rào cản trong quá trình thanh toán.
• Áp dụng nguyên tắc giảm thiểu dữ liệu — theo GDPR, chỉ thu thập những dữ liệu cần thiết, chỉ lưu giữ trong thời gian cần thiết và xóa theo lịch trình.
• Xác minh người bán trước khi cho phép thanh toán — trên một thị trường hoặc nền tảng, việc tuân thủ quy định cũng áp dụng cho cả người bán phụ.
• Hãy duy trì kế hoạch ứng phó sự cố — GDPR yêu cầu thông báo vi phạm cho cơ quan quản lý trong vòng 72 giờ; hầu hết các tiểu bang của Hoa Kỳ yêu cầu 30 ngày. Một kế hoạch chưa được thử nghiệm chỉ là một tài liệu suông.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.