Maraknya kasus pencurian data kartu kredit dan kartu debit meningkatkan kekhawatiran dunia bisnis dan perbankan dalam proses transaksi keuangan. Dalam hal ini, sebuah standar PCI-DSS (Payment Card Industry-Data Security Standard) yang diterbitkan oleh Security Standard Council sangat berguna untuk meningkatkan keamanan transaksi keuangan. Sertifikasi PCI DSS ini berlaku untuk mengamankan seluruh komponen terlibat dalam alur proses transaksi keuangan.
Dewan Standarisasi Keamanan Kartu Pembayaran ini didirikan pada tahun 2006 oleh American Express, Discover, JCB International, MasterCard dan Visa Inc. Mereka memiliki kesamaan dalam pemerintahan dan pelaksanaan pekerjaan Dewan.

Baru-baru ini, baik Bank Indonesia dan Bank Sentral Amerika (The Fed) tengah menyoroti keamanan transaksi pembayaran. Dengan mematuhi standar yang di syaratkan dalam sertifikasi PCI DSS, hak-hak konsumen dapat lebih terlindungi.

Sertifikasi PCI DSS Membantu Tingkatkan Keamanan Transaksi Pembayaran

Kita bisa lihat betapa mengerikan dampak dari kasus pencurian data baik karena kecerobohan karyawan ataupun karena serangan cyber. Jutaan kartu kredit telah dipalsukan dan dijual di pasar gelap. Hal ini dapat merugikan konsumen dan para pelaku bisnis.

Sertifikasi PCI DSS dapat membantu pelaku bisnis dan lembaga keuangan dalam memahami dan menerapkan standar untuk kebijakan keamanan, teknologi dan proses berkelanjutan yang melindungi sistem pembayaran mereka dari pelanggaran dan pencurian data pemegang kartu.

Demikian untuk perusahaan e-commerce dan fintech yang menerima lalulintas pembayaran kartu kredit dan kartu debit, mereka diwajibkan untuk mendapatkan sertifkasi PCI DSS.

Cara terbaik untuk memaksimalkan keamanan data pemegang kartu adalah dengan terus memantau dan memberlakukan penggunaan kontrol yang ditentukan dalam Standar Keamanan Data PCI.

Standar ini mengatur dan meneliti seluruh isu keamanan terkait transaksi pembayaran menggunakan kartu kredit dan debit.

Seluruh komponen yang terlibat, seperti :

  • mesin kasir atau Point of Sales,
  • terminal EDC untuk gesek kartu pembayaran,
  • mesin ATM,
  • mesin E-Toll Jasa Marga,
  • provider jaringan komunikasi data dan suara,
  • penyelenggara fasilitas data center,
  • dan sebagainya.

Seluruh komponen tersebut turut wajib mendapatkan sertifikasi PCI DSS sebagai syarat pemenuhan kepatuhan ini. Ini ditujukan untuk melindungi bisnis dan hak konsumen saat melakukan transaksi keuangan. Pelanggaran data bisa saja dilakukan oleh pihak perbankan, merchant, dan sebagainya. Dengan melakukan transaksi pembayaran menggunakan kartu, data nasabah dapat tersimpan dan di curi. Ketika data nasabah kartu kredit dicuri, orang lain dapat menggandakan kartu tersebut, hal ini disebut dengan Skimming.

Oleh karena itu, tidak mengherankan jika Bank Indonesia dan OJK mempersyaratkan seluruh bisnis yang terlibat dengan penggunaan kartu kredit, debit, dan kartu pembayaran lainnya, wajib memiliki sertifikasi PCI DSS.

Prosedur Kepatuhan PCI DSS

Banyak perusahaan memperlakukan kepatuhan sebagai acara tahunan satu kali. Tetapi, jika berfokus pada penilaian kepatuhan tahunan, ini dapat menciptakan rasa aman yang salah.

Berikut 3 tahapan proses yang dilakukan dalam standar keamanan data pengguna kartu.

proses keberlanjutan keamanan data pada sertifikasi PCI DSS
  • Menilai. Mengidentifikasi data pemegang kartu, melakukan inventarisasi aset TI dan proses bisnis untuk memproses kartu pembayaran, dan menganalisisnya untuk kerentanan.
  • Remediasi. Memperbaiki kerentanan dan menghilangkan penyimpanan data pemegang kartu kecuali mutlak diperlukan.
  • Melaporkan. Menyusun dan mengirimkan laporan yang diperlukan ke merek bank dan kartu bank yang sesuai.

Penyelidik forensik telah menemukan bahwa kontrol keamanan yang dikerahkan oleh organisasi yang telah lulus penilaian sering kali tidak sesuai saat pelanggaran terjadi di kemudian hari. Ini hanya dengan mencapai dan mempertahankan kepatuhan bahwa pertahanan cyber anda akan cukup tangguh dalam menghadapi serangan yang ditujukan untuk mencuri data pemegang kartu kredit.

Berikut penjelasan dari prosedur kepatuhan PCI DSS tersebut.

Pertanyaan khusus tentang tingkat validasi kepatuhan dan apa yang harus Anda lakukan untuk memvalidasi harus ditujukan kepada institusi keuangan atau merk kartu pembayaran Anda.

Merk kartu pembayaran yang dimaksud termasuk:

  • American Express
  • Discover
  • JCB International
  • MasterCard
  • Visa / Visa Eropa

Menerapkan Standar Keamanan Data PCI dimulai dengan memahami komponen yang terlibat. Proses ini melibatkan identifikasi semua komponen sistem yang berada di dalam atau terhubung ke lingkungan data pemegang kartu (lingkungan seperti itu terdiri dari orang, proses, dan teknologi yang menangani data pemegang kartu atau data otentikasi sensitif).

Pelingkupan adalah proses tahunan dan harus terjadi sebelum penilaian tahunan. Pedagang dan entitas lainnya harus mengidentifikasi semua lokasi dan arus data pemegang kartu untuk memastikan semua komponen sistem yang berlaku disertakan dalam cakupan Standar Keamanan Data PCI.

Penting Menggunakan Data Center Yang Sudah Miliki Sertifikasi PCI DSS

Dalam prosesnya, pihak bank sebagai penerbit kartu, bisa saja memiliki data center sendiri. Namun, pencadangan pada fasilitas data center pihak ketiga juga perlu memperhatikan sertifikasi PCI DSS yang dimiliki. Hal ini juga berlaku bagi perusahaan e-commerce dan fintech yang cenderung menggunakan lingkungan cloud. Lingkungan cloud publik memiliki banyak isu keamanan.

Sebagai praktik terbaik, seluruh bisnis harus memiliki solusi pencadangan diluar sistem operasional, yang tidak terhubung sama sekali dengan bisnis mereka. Ini artinya, termasuk perbankan yang mampu memliki solusi pencadangan sendiri, harus menggunakan fasilitas data center dari pihak ketiga. Oleh karena itu, jasa keuangan harus memakai fasilitas data center yang sudah memenuhi persyaratan PCI DSS baik untuk operasional maupun untuk pencadangan (backup).

Penilaian Kualitas Keamanan (QSA/Qualified Security Assessor) adalah perusahaan keamanan data yang memenuhi syarat Dewan PCI untuk melakukan penilaian Standar Keamanan Data PCI on-site.

Jasa penilai kualitas keamanan akan melakukan:

  • Verifikasi semua informasi teknis yang diberikan oleh merchant atau penyedia layanan
  • Gunakan penilaian independen untuk mengkonfirmasi standar yang telah dipenuhi
  • Memberikan dukungan dan bimbingan selama proses kepatuhan
  • Berada di lokasi selama masa penilaian sesuai kebutuhan
  • Mengikuti Prosedur Penilaian Standar Keamanan Data PCI
  • Validasi lingkup penilaian
  • Evaluasi kompensasi
  • Menghasilkan Laporan Akhir tentang Kepatuhan

Laporan adalah metode resmi yang digunakan oleh merhcant dan entitas lain untuk melaporkan status kepatuhan mereka dengan Standar Keamanan Data PCI kepada masing-masing institusi keuangan atau merek kartu pembayaran mereka.

Penyampaian laporan berkala untuk pemindaian jaringan mungkin juga diperlukan. Merek kartu pembayaran individual mungkin memerlukan penyerahan dokumentasi lainnya. Bergantung pada persyaratan merek kartu pembayaran, pedagang dan penyedia layanan mungkin perlu mengajukan Kuesioner Penilaian Diri untuk penilaian sendiri, atau Laporan Kepatuhan untuk penilaian di tempat.

Validasi kepatuhan terhadap Standar Keamanan Data PCI ditentukan oleh masing-masing vendor pembayaran. Semua telah sepakat untuk memasukkan Standar Keamanan Data PCI sebagai bagian dari persyaratan teknis untuk setiap program kepatuhan keamanan data mereka.

Penyedia jasa pembayaran juga mengenali penilai keamanan yang berkualitas dan vendor pemindaian yang disetujui yang memenuhi syarat oleh Dewan Standar Keamanan PCI. Oleh karena itu, bagi penyedia jasa transaksi keuangan, sertifikasi PCI DSS merupakan faktor penting untuk meningkatkan keamanan data transaksi keuangan.

Peta Jalan Menuju Keamanan Pembayaran

Saat pertama mempertimbangkan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), sebuah survei terhadap 12 persyaratan, sub-persyaratan, prosedur pengujian, panduan, FAQ, dan dokumen pendukung dapat sangat banyak. Itulah mengapa PCI SSC mengembangkan Pendekatan Prioritas PCI DSS, sebuah alat untuk membantu bisnis membuat kemajuan yang mantap menuju keamanan data yang kuat dan kepatuhan terhadap PCI DSS, dengan berfokus pada area berisiko tertinggi terlebih dahulu.

Pendekatan yang diprioritaskan adalah satu tujuan: mengamankan data pemegang kartu yang disimpan, diproses dan / atau dikirim oleh perusahaan anda. Karena mudah tersesat secara teknis, Pendekatan yang Diprioritaskan membuat anda tetap fokus pada tujuan ini dengan enam pilar yang jelas yang menyediakan “peta jalan” untuk membantu anda mengidentifikasi dan mengatasi risiko tertinggi pada data kartu pembayaran sesuai urutan prioritas. Saat anda mengikuti peta jalan ini, anda akan dapat menurunkan risiko pelanggaran data pembayaran anda lebih cepat.

Mengikuti roadmap tidak membahas semuanya di dalam PCI DSS sekaligus. Anggap ini sebagai cara praktis untuk mendapatkan “kemenangan cepat” dan mencapai kemajuan yang terlihat dalam mengamankan data pembayaran.

Pendekatan yang Diprioritaskan PCI DSS

Pendekatan yang Diprioritaskan juga membantu perusahaan anda menunjukkan kepada acquirer (merchant bank) bahwa anda secara sistematis menurunkan risiko dan mengejar keamanan dan kepatuhan. Ini mempromosikan indikator kemajuan yang obyektif dan terukur, dan mendukung perencanaan keuangan dan operasional.

Berikut enam pilar penting dari Pendekatan yang Diprioritaskan:

  1. Hapus data otentikasi yang sensitif dan batasi retensi data
  2. Lindungi sistem dan jaringan, dan bersiaplah untuk respon cepat pada setiap insiden keamanan, bukan panik
  3. Aplikasi kartu pembayaran yang aman
  4. Pantau dan kendalikan akses ke sistem anda
  5. Lindungi data pemegang kartu yang tersimpan
  6. Selesaikan upaya kepatuhan yang tersisa, dan pastikan semua kontrol ada pada tempatnya

Harap diingat bahwa Pendekatan yang Diprioritaskan tidak dimaksudkan sebagai pendekatan pengganti, jalan pintas atau sebagai sertifikasi PCI DSS, atau kerangka kerja satu ukuran yang sesuai untuk setiap organisasi.

Pendekatan yang Diprioritaskan adalah cara untuk memulai dengan jalan menuju keamanan pembayaran yang lebih kuat. 6 Pilar dalam Pendekatan yang Diprioritaskan PCI DSS akan membantu anda mencapai keamanan pembayaran langkah demi langkah yang lebih kuat dan melindungi data pembayaran pelanggan anda.