Dasar-dasar Kepatuhan PCI: Yang Perlu Anda Ketahui

Informasi kartu kredit adalah tipe data paling berharga bagi penjahat dunia maya karena kumpulan data ini bernilai jutaan dolar di pasar gelap.

Saat ini, semua ukuran perusahaan memproses informasi kartu kredit dan debit pelanggan dan menerima pembayaran kartu kredit. Setiap perusahaan yang memproses, menyimpan, dan mengirimkan data keuangan berada di bawah radar pelaku kejahatan dan menghadapi risiko serangan siber tertinggi.

Karena alasan ini, perusahaan kartu kredit besar menciptakan standar PCI untuk memberikan pedoman keamanan bagi perusahaan guna mengamankan data keuangan pelanggan. Pada artikel ini, kita akan membahas dasar-dasar kepatuhan PCI.

Mari kita mulai dengan menjelaskan kepatuhan PCI DSS lebih lanjut.        

Apa itu Kepatuhan PCI DSS?

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah serangkaian spesifikasi keamanan teknis dan operasional untuk melindungi data pemegang kartu kredit.

Kepatuhan PCI didirikan oleh perusahaan kartu kredit besar seperti Visa, Mastercard, American Express, Discover Financial Services, dan JCB Express. PCI berupaya untuk memungkinkan kerangka internasional untuk mengamankan data keuangan pelanggan.

Semua perusahaan yang mengumpulkan, menyimpan, dan mengirimkan tunduk pada kepatuhan PCI DSS dan mereka wajib mengikuti pedoman dan persyaratan keamanan. 

PCI DSS punya empat tingkat kepatuhan (1,2,3,4). Tingkat kepatuhan PCI perusahaan ditentukan berdasarkan volume transaksi selama setahun. Perusahaan yang termasuk dalam level 4 memproses kurang dari 20,000 transaksi per tahun.

Level 3 berlaku untuk merchant yang memproses transaksi antara 20,000-1 juta per tahun. Level 2 berlaku untuk perusahaan yang memproses transaksi antara 1-6 juta per tahun. Perusahaan yang memproses lebih dari 6 transaksi per tahun termasuk dalam level 1.

Persyaratan PCI menjadi lebih ketat seiring dengan naiknya level dari 4 ke 1. Namun, terlepas dari tingkat kepatuhannya, semua perusahaan wajib memenuhi semua persyaratan PCI sampai batas tertentu.   

Kerangka kerja penanganan data pemegang kartu yang aman ditetapkan dalam enam kategori berdasarkan kepatuhan PCI. Kategori persyaratan PCI terdiri dari perlindungan data pemegang kartu, rencana manajemen kerentanan, pemantauan jaringan, manajemen jaringan dan sistem yang aman, pembatasan kontrol akses, dan kebijakan keamanan informasi.

Isi dari kategori ini membangun total dua belas langkah persyaratan. Persyaratan PCI memastikan keamanan penanganan data pemegang kartu. Berikut daftar periksa untuk kepatuhan PCI.

Persyaratan PCI 

1- Pasang dan pelihara firewall untuk perlindungan data pemegang kartu

Karena firewall adalah mekanisme pertahanan pertama jaringan, mengonfigurasi dan memelihara firewall dengan benar sangat penting untuk menjaga keamanan data pemegang kartu. Firewall adalah alat yang sangat efektif untuk perlindungan data sensitif terhadap ancaman cyber karena membatasi lalu lintas jaringan dan memblokir akses yang tidak disetujui. Itu sebabnya pendirian firewall adalah persyaratan pertama.  

2. Memiliki perlindungan kata sandi yang tepat

Mayoritas layanan jaringan, sistem point-of-sale (POS), dan produk pihak ketiga dikonfigurasi dengan pengaturan default.

Penjahat dunia maya dapat memperoleh akses ke jaringan dan data sensitif dengan mudah jika organisasi tidak mengkonfigurasi ulang pengaturan pabrik ini karena kata sandi dan nama pengguna default sudah diketahui secara luas.

Selain mengubah pengaturan kata sandi, organisasi harus secara teratur mengubah kata sandi semua perangkat dan perangkat lunak yang memerlukannya.

3. Melindungi data pemegang kartu yang tersimpan 

Semua data pemegang kartu yang disimpan harus dienkripsi. Pedagang harus memastikan perlindungan data sensitif ini melalui kunci kriptografi dan algoritme serta melakukan pemindaian rutin. 

4. Enkripsi data yang dikirimkan pemegang kartu

Menjaga keamanan data pemegang kartu adalah persyaratan paling penting dalam kepatuhan PCI. Jadi, pedagang juga harus mengenkripsi dan mengamankan transmisi data pemegang kartu melalui jaringan publik.

5. Memanfaatkan perangkat lunak antivirus

Memiliki perangkat lunak antivirus adalah suatu keharusan untuk perlindungan data terhadap malware. Jadi, organisasi harus memanfaatkan dan memperbarui perangkat lunak antivirus mereka secara berkala di semua perangkat untuk mendeteksi dan menghilangkan malware apa pun. 

6. Pemeliharaan perangkat lunak dan sistem 

Semua perangkat lunak dan sistem harus diperbarui secara berkala untuk menambal kerentanan keamanan. Ingatlah bahwa beberapa perangkat lunak seperti database, perangkat lunak antivirus, dan firewall memerlukan pembaruan yang lebih sering. 

7. Batasi akses data

Hanya personel yang berwenang yang boleh diberikan akses ke data pemegang kartu bila diperlukan. Pihak ketiga dan anggota staf tidak boleh memiliki akses terhadap informasi sensitif.

8. Identifikasi unik untuk akses pengguna

Seperangkat nama pengguna dan kata sandi unik harus diberikan kepada setiap pengguna resmi yang memiliki akses ke data pemegang kartu. Kredensial akses pengguna memastikan akuntabilitas dan mengurangi waktu respons. 

9. Batasi akses fisik 

Akses fisik juga harus dibatasi seperti halnya akses digital untuk melindungi data sensitif. Organisasi harus menyimpan data pemegang kartu di lokasi yang aman secara fisik dan menerapkan kontrol dan otorisasi yang ketat.

10- Lacak dan pantau akses jaringan

Semua akses dan lalu lintas jaringan harus dilacak dan dipantau terkait dengan data pemegang kartu dan nomor rekening utama. Log akses yang melibatkan data pemegang kartu harus dipelihara dan ditinjau secara terus menerus. 

11- Penilaian sistem keamanan secara berkala

Penilaian sistem keamanan rutin dan uji penetrasi harus dilakukan untuk menentukan dan menambal kerentanan keamanan. Prosedur ini memastikan penentuan status sistem keamanan saat ini dan memperbaikinya. 

12- Mempertahankan kebijakan keamanan siber

Semua persyaratan PCI harus dipenuhi dan didokumentasikan dengan kebijakan keamanan siber. Dengan mempertahankan kebijakan keamanan siber, organisasi dapat memastikan kepatuhan dan keamanan jaringan mereka.

Konsekuensi Tidak Mematuhi PCI DSS

Tidak mematuhi PCI DSS dapat mengakibatkan denda dan penalti yang tinggi. Berdasarkan tingkat keparahan dan durasi pelanggaran, otoritas PCI dapat menerapkan denda di antaranya $ 5000 dan $ 100,000 sebulan.

Denda mungkin meningkat setiap bulan seiring dengan semakin lamanya durasi pelanggaran. Selain itu, setelah insiden pelanggaran data, perusahaan mungkin diwajibkan menanggung semua biaya penerbitan ulang dan remediasi.

Selain hal-hal tersebut, ketidakpatuhan terhadap PCI dapat mengakibatkan penalti tambahan seperti kenaikan biaya transaksi, dan hilangnya pedagang pembayaran kartu kredit untuk beberapa waktu atau secara permanen. Memenuhi persyaratan PCI sangat penting untuk menghindari penalti dan mengamankan data keuangan rahasia pelanggan.    

Kata-kata terakhir

Data keuangan nasabah harus dilindungi dari serangan dunia maya setiap saat.

Mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dapat membantu perusahaan mengamankan kumpulan data keuangan yang diproses, disimpan, dan dikirimkan.

Di era di mana risiko dunia maya, denda kepatuhan, dan penalti sangat tinggi, setiap perusahaan yang terkena PCI harus memenuhi persyaratannya dan mematuhi PCI.