Ba thuật ngữ này thường xuất hiện cùng nhau trong tài liệu SoftPOS và dễ gây nhầm lẫn vì chúng liên quan chặt chẽ nhau — nhưng mỗi thuật ngữ mô tả một lớp khác nhau trong cùng một hệ sinh thái.

COTS là nền tảng, không phải chuẩn thanh toán

COTS (Commercial Off-The-Shelf) chỉ đơn giản là thiết bị di động thương mại phổ thông — smartphone hoặc tablet được bán rộng rãi trên thị trường, không phải phần cứng terminal chuyên dụng.

COTS là nền tảng phần cứng mà các giải pháp thanh toán chạy trên đó. Bản thân nó không định nghĩa cách thanh toán hoạt động, không có chuẩn bảo mật riêng, và không phân biệt có PIN hay không có PIN.

COTS trả lời câu hỏi: “Thiết bị nào?”

CPoC và MPoC: Hai chuẩn, một nền tảng

Cả CPoCMPoC đều là chuẩn cho phép thiết bị COTS chấp nhận thanh toán không tiếp xúc (NFC). Điểm khác biệt chính nằm ở mức độ bảo mật PIN.

CPoCMPoC
Tên đầy đủContactless Payments on COTSMobile Payments on COTS (PCI)
Còn gọi làTap on Phone không PINTap on Phone có PIN
Hỗ trợ PINKhông
Chuẩn quản lýEMVPCI DSS
Hạn mức giao dịchThường bị giới hạn theo quy định địa phươngKhông giới hạn (có PIN)
Độ phức tạp triển khaiThấp hơnCao hơn
Phù hợp vớiMerchant nhỏ, giao dịch giá trị thấpMọi quy mô, giao dịch giá trị cao

CPoC và MPoC trả lời câu hỏi: “Chuẩn thanh toán nào chạy trên COTS?”

Mối quan hệ giữa ba khái niệm

COTS (phần cứng)
  ├── CPoC (thanh toán không PIN)
  └── MPoC (thanh toán có PIN — chuẩn PCI)

Nói cách khác: một chiếc iPhone hay Android là COTS. Ứng dụng thanh toán cài trên đó có thể được chứng nhận theo CPoC hoặc MPoC — hoặc cả hai tùy use case.

Khi nào dùng CPoC, khi nào dùng MPoC?

Chọn CPoC khi:

  • Merchant chủ yếu xử lý giao dịch nhỏ (dưới ngưỡng không cần PIN theo quy định)
  • Muốn onboarding nhanh, ít yêu cầu chứng nhận hơn
  • Ví dụ: bán hàng rong, thanh toán tại bàn ăn, chợ

Chọn MPoC khi:

  • Cần xử lý giao dịch không giới hạn giá trị
  • Môi trường yêu cầu tuân thủ PCI DSS nghiêm ngặt
  • Merchant lớn hoặc có rủi ro gian lận cao
  • Ví dụ: chuỗi bán lẻ, dịch vụ tài chính, logistics

Big Four đang dùng gì?

Trong bốn ngân hàng thương mại nhà nước lớn nhất, chỉ có VietcombankAgribank đã ra mắt sản phẩm SoftPOS mang thương hiệu riêng. VietinBank và BIDV chưa công bố giải pháp tương đương tính đến đầu 2026.

Ngân hàngSản phẩmChuẩnRa mắtGhi chú
VietcombankVCB Tap to PhoneCPoC → MPoC*25/04/2023Big Four đầu tiên, hỗ trợ Visa/MC/JCB/NAPAS
AgribankAgribank SoftPOSMPoC*12/06/2025Hướng đến hộ kinh doanh, miền nông thôn
VietinBank(chưa ra mắt)Là đối tác VNPAY nhưng chưa có sản phẩm riêng
BIDV(chưa ra mắt)Ký hợp tác toàn diện với VNPAY từ 10/2022

* VNPAY — nhà cung cấp công nghệ cho cả hai ngân hàng — đạt chứng chỉ PCI DSS CPoC tháng 12/2022 và nâng cấp lên MPoC tháng 5/2025, đổi tên sản phẩm thành PhonePOS.

VNPAY là lớp hạ tầng chung

Điểm đáng chú ý: cả Vietcombank lẫn Agribank đều dùng nền tảng VNPAY làm lớp công nghệ bên dưới — các ngân hàng white-label giải pháp này dưới thương hiệu riêng. VNPAY hiện là đơn vị Việt Nam duy nhất đạt cả hai chứng chỉ PCI CPoC và MPoC toàn cầu.

Vì sao VietinBank và BIDV chưa có SoftPOS riêng?

Cả hai đều là đối tác hệ sinh thái của VNPAY (QR Pay, eKYC, dịch vụ số) nhưng chưa đầu tư triển khai merchant SoftPOS dưới thương hiệu ngân hàng. Merchants thuộc hai ngân hàng này có thể tiếp cận VNPAY PhonePOS trực tiếp qua kênh VNPAY thay vì qua app ngân hàng.

Sacombank — không phải Big Four — mới là ngân hàng tiên phong SoftPOS tại Việt Nam, ra mắt từ năm 2020.

Góc nhìn UX

Từ phía người dùng cuối (khách hàng), sự khác biệt CPoC/MPoC hầu như vô hình — họ chỉ thấy màn hình “Chạm thẻ” và có thể được yêu cầu nhập PIN hoặc không. Nhưng từ góc độ thiết kế flow:

  • CPoC: flow đơn giản hơn — chạm → xác nhận → done
  • MPoC: cần thiết kế thêm màn hình nhập PIN an toàn trên thiết bị COTS, đảm bảo UX không bị gián đoạn khi chuyển sang bước PIN

Bảo mật PIN entry trên màn hình cảm ứng thương mại là thách thức UX không nhỏ — cần đảm bảo người đứng gần không đọc được PIN trong khi vẫn giữ trải nghiệm mượt.

Tham khảo