(+62-21) 750 2976 [email protected]

PCI DSS (Payment Card Industry Data Security Standard) adalah standar keamanan data global yang diadopsi oleh merek kartu pembayaran untuk semua entitas yang memproses, menyimpan, atau mengirimkan data pemegang kartu dan / atau data otentikasi sensitif. Sertifikasi PCI DSS ini terdiri dari langkah-langkah yang menjadi cermin praktik terbaik keamanan.

Lingkup dan Tujuan Sertifikasi PCI DSS

Setiap entitas yang terlibat dalam pengelolaan transaksi kartu kredit dan kartu pembayaran lainnya, atau memproses informasi kartu kredit dan kartu pembayaran lainnya, wajib memiliki sertifikasi PCI DSS untuk sebuah standar keamanan.

Cakupan entitas tidak hanya sampai pada perbankan dan vendor alat gesek kartu (terminal EDC), akan tetapi termasuk pada penyelenggara data center, penyedia jaringan, perusahaan e-commerce dan fintech yang menerima pembayaran digital menggunakan kartu kredit. Dalam hal ini, Elitery Data Center Sudah Tersertifikasi oleh PCI DSS sehingga seluruh layanan Elitery dapat diandalkan oleh perusahaan jasa keuangan di Indonesia.

Tujuan persyaratan sertifikasi PCI DSS ini untuk menetapkan pedoman dan praktik terbaik untuk standar keamanan transaksi kartu kredit dan debit. Untuk tujuan kebijakan ini, penggunaan istilah “kartu kredit” mencakup penerimaan kartu dengan logo perusahaan kartu kredit, seperti Visa, MasterCard, Discover, atau American Express.

Selain itu, persyaratan sertifikasi PCI DSS bertujuan untuk memberi kemampuan dalam menerima kartu kredit disertai tanggung jawab yang signifikan untuk menjaga keamanan pemegang kartu dan untuk mengurangi risiko kecurangan.

Seluruh pihak yang terlibat, memiliki tanggung jawab penuh untuk melindungi informasi kartu kredit pelanggan, dan karenanya harus mematuhi persyaratan keamanan ketat yang ditetapkan oleh Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC)  atau menghadapi denda finansial yang signifikan jika terjadi pelanggaran atau kecurangan.

Perlu dicatat, bahwa setiap pelanggaran informasi pemegang kartu dapat merusak kepercayaan publik terhadap kemampuan perusahaan dalam mempertahankan bisnis.

12 Persyaratan Sertifikasi PCI DSS

Seperti yang telah dijelaskan diatas, tujuan Standar Keamanan Data PCI (PCI DSS) adalah untuk melindungi data pemegang kartu dimanapun diproses, disimpan atau dikirimkan. Kontrol keamanan dan proses yang diperlukan oleh PCI DSS sangat penting untuk melindungi data akun pemegang kartu.

Pedagang dan penyedia layanan lainnya yang terlibat dalam pemrosesan kartu pembayaran tidak boleh menyimpan data otentikasi sensitif setelah otorisasi. Ini termasuk data sensitif yang tercetak pada kartu, atau disimpan pada strip magnetik kartu atau chip dan nomor identifikasi pribadi yang dimasukkan oleh pemegang kartu.

Berikut 12 persyaratan utama dalam sertifikasi PCI DSS yang dibagi dalam 6 tujuan.

Membangun dan memelihara jaringan yang aman
  1. Install dan pertahankan konfigurasi firewall untuk melindungi data pemegang kartu

    Untuk memenuhi standar ini, entitas terlibat harus menunjukkan bahwa firewall dan router Anda dipelihara dengan benar dan diuji secara independen.

    Firewall mengendalikan transmisi data antara jaringan internal yang dipercaya perusahaan dan jaringan eksternal yang tidak dipercaya, serta lalu lintas di antara area sensitif jaringan internal itu sendiri. Persyaratan 1 dari sertifikasi PCI DSS ini mengharuskan sistem menggunakan firewall untuk mencegah akses yang tidak sah. Dimana komponen sistem lainnya menyediakan fungsionalitas firewall, mereka juga harus disertakan dalam ruang lingkup dan penilaian persyaratan ini.

  2. Jangan gunakan kata sandi default yang disediakan vendor dan parameter keamanan lainnya

    Pengaturan default dari banyak sistem yang umum digunakan akan mudah dieksploitasi. Hal semacam ini sering digunakan oleh peretas untuk mengkompromikan sistem tersebut. Pengaturan default yang diberikan oleh vendor harus diubah dan akun default yang tidak perlu dinonaktifkan atau dihapus sebelum sistem terinstall pada jaringan. Ini berlaku untuk semua password default, tanpa kecuali. Jika firewall diimplementasikan dengan benar sesuai pada Persyaratan 1, maka harus mematuhi Persyaratan 2.

Melindungi data pemegang kartu pembayaran
  1. Lindungi data pemegang kartu yang tersimpan

    Semua data yang tersimpan harus dienkripsi. Jika Anda menilai di mana data kartu kredit disimpan, Anda dapat dengan cepat mencapai kepatuhan dengan menggunakan salah satu dari beberapa alat yang tersedia secara komersial. Beberapa detail tidak boleh disimpan, seperti Nomor PIN, nomor verifikasi kartu (CVN), dan rincian lengkap yang tertera pada strip magnetik.

    Penyimpanan data pemegang kartu harus dijaga agar kebijakan dan prosedur penyimpanan, prosedur dan proses penyimpanan minimum yang paling aman harus dilaksanakan. Enkripsi, pemotongan, masking dan hashing merupakan komponen penting dalam perlindungan data pemegang kartu.

    Tanpa akses ke kunci kriptografi yang tepat, data terenkripsi tidak terbaca dan tidak dapat digunakan oleh peretas meskipun mereka berhasil menghindari kontrol keamanan lainnya. Kunci kriptografi karenanya harus disimpan dengan aman dan akses ke mereka harus dibatasi pada kustodian yang paling sedikit yang diperlukan. Metode perlindungan data lainnya juga harus dipertimbangkan.

  2. Mengenkripsi transmisi data pemegang kartu di jaringan publik terbuka

    Sifat terdistribusi dari rantai pasokan dan hubungan layanan hari ini menciptakan ketergantungan pada jaringan publik. Mengingat hal ini, cara memenuhi persyaratan sertifikasi PCI DSS ini adalah dengan membahas bagaimana solusi jaringan nirkabel dan akses jarak jauh Anda dikonfigurasi.

    Sebagian besar transmisi lainnya dapat dikonfigurasi untuk menggunakan perangkat lunak VPN seperti SSL & IPSec, TLS, SSH. Pemetaan rute transmisi akan segera menunjukkan di mana enkripsi diperlukan. Dari tanggal 31 Maret 2009, Jaringan Nirkabel yang menggunakan standar enkripsi WEP tidak lagi diizinkan untuk mengirimkan data kartu kredit dari jenis apa pun. Beberapa persyaratan sertifikasi PCI DSS pada Versi 3.2 telah mengalami perubahan terkait hal ini.

    Protokol kriptografi dan keamanan yang kuat harus digunakan untuk melindungi data pemegang kartu yang sensitif selama transmisi terbuka di jaringan publik. Contoh jaringan terbuka dan umum mencakup Internet, teknologi nirkabel (misalnya Bluetooth), layanan radio paket umum (GPRS) dan komunikasi satelit. Praktik terbaik industri harus diikuti untuk menerapkan enkripsi kuat untuk otentikasi dan transmisi. Kebijakan dan prosedur keamanan untuk mengenkripsi data pemegang kartu harus didokumentasikan dan diketahui oleh semua pihak yang terkena dampak.

Pertahankan program manajemen kerentanan
  1. Gunakan dan perbarui perangkat lunak anti-virus secara teratur

    Kemampuan penjahat cyber untuk masuk ke jaringan semakin meningkat pada tingkatan yang mengkhawatirkan. Meskipun organisasi memiliki perangkat lunak anti-virus untuk melindungi diri dari serangan, mereka perlu memastikan bahwa pembaruan yang sering dipublikasikan menjangkau setiap perangkat.

    Klarifikasi pada versi terbari dari standar PCI DSS mencatat bahwa perlindungan anti-malware mencakup semua sistem operasi dan semua bentuk malware. Sistem deteksi intrusi atau pencegahan menjadi bentuk proteksi yang lebih penting.

    Entitas harus memasang sistem ini pada perangkat yang menyimpan rincian kartu kredit untuk memastikan perlindungan maksimal. Sebagai alternatif, pastikan bahwa semua perangkat lunak anti-virus yang digunakan selalu terupdate (virus definition update). Buat perbandingan antara jumlah total perangkat yang terhubung dengan nomor yang sedang diperbarui.

    Selain itu, Network Access Control (NAC) adalah mekanisme untuk memastikan bahwa patch anti-virus telah diterapkan ke masing-masing workstation saat mereka mencoba terhubung ke jaringan.

    Perangkat lunak antivirus yang mampu mendeteksi, menghapus dan melindungi terhadap semua jenis malware yang diketahui (misalnya virus, worm dan trojan) harus digunakan pada semua sistem yang biasanya terkena malware karena dapat melindungi mereka dari ancaman.

    Untuk sistem yang tidak umum terkena malware, ancaman malware yang terus berkembang harus dievaluasi secara berkala untuk menentukan apakah perangkat lunak antivirus dibutuhkan. Mekanisme antivirus harus dijaga dan tetap aktif berjalan dan seharusnya hanya di nonaktifkan jika secara resmi diberi wewenang untuk tujuan tertentu.

  2. Mengembangkan dan memelihara sistem dan aplikasi yang aman

    Dalam dunia aplikasi, middleware dan server yang semakin kompleks dan terintegrasi, menjaga keamanan menyeluruh merupakan tantangan besar. Banyak kerentanan keamanan siebabkan oleh patching yang dikeluarkan oleh vendor perangkat lunak.

    Oleh karena itu, entitas harus menetapkan proses untuk mengidentifikasi kerentanan keamanan dan memberi peringkat sesuai dengan tingkat risikonya, dan kemudian harus menginstal patch keamanan yang relevan dalam waktu satu bulan setelah rilis mereka untuk melindungi dari kompromi data pemegang kartu.

    Semua aplikasi perangkat lunak, baik yang dikembangkan secara internal maupun eksternal, harus dikembangkan dengan aman sesuai dengan syarat dari sertifikasi PCI DSS, berdasarkan standar industri dan / atau praktik terbaik, dan harus memasukkan keamanan informasi selama seluruh siklus pengembangan mereka.

    Standar keamanan ini menunjukkan bahwa pendekatan berbasis risiko dapat digunakan untuk memprioritaskan patch. Selain itu, aplikasi berbasis web dan perlindungannya wajib dilakukan. Standar ini berarti juga berlaku untuk e-commerce dan fintech.

Terapkan langkah-langkah kontrol akses yang kuat
  1. Batasi akses ke data pemegang kartu oleh bisnis yang perlu diketahui

    Memanfaatkan akun resmi dan menyalahgunakan hak istimewa pengguna adalah salah satu cara termudah bagi peretas untuk mendapatkan akses ke sistem. Ini juga salah satu jenis serangan yang paling sulit untuk dideteksi.

    Oleh karena itu, dokumentasi sistem dan proses harus dilakukan untuk membatasi hak akses terhadap data penting, berdasarkan kebutuhan untuk mengetahui dan sesuai dengan tanggung jawab pekerjaan personel. Misalnya, akses hanya diberikan kepada staf yang bekerja dengan rincian kartu kredit / debit.

    Ingat, melalui penggunaan kontrol akses direktori dan enkripsi, memungkinkan administrator dan staf pendukung mengakses dengan tepat layanan yang mereka butuhkan tanpa mereka melihat data sensitif. Bagaimanapun, semua akses harus didokumentasikan dan di audit secara reguler.

  2. Tetapkan ID unik untuk setiap orang yang memiliki akses komputer

    Kemampuan untuk mengidentifikasi pengguna individual tidak hanya memastikan bahwa akses sistem terbatas pada orang-orang yang memiliki otorisasi yang tepat, namun juga menetapkan jejak audit (audit-trail) yang dapat dianalisis setelah kejadian apapun.

    Oleh karena itu, kebijakan dan prosedur yang terdokumentasi harus diimplementasikan untuk memastikan pengelolaan identifikasi pengguna yang tepat bagi pengguna non-konsumen dan administrator pada semua komponen sistem.

    Semua pengguna harus diberi nomor unik, yang harus dikelola sesuai pedoman spesifik. Manajemen otentikasi pengguna terkontrol (misalnya penggunaan kata kunci, kartu pintar atau biometrik) juga harus digunakan. Dan karena tiga perempat dari semua gangguan jaringan mengeksploitasi kata sandi yang lemah atau dicuri, autentikasi dua faktor harus digunakan untuk akses jaringan jarak jauh.

  3. Batasi akses fisik ke data pemegang kartu

    Pelanggaran data kartu kredit bukan satu-satunya sumber kasus pencurian data. Akses fisik terhadap sistem juga harus dibatasi dan dipantau dengan penggunaan kontrol yang sesuai. Prosedur harus diterapkan untuk membedakan antara personil dan pengunjung di lokasi, dan akses fisik ke area sensitif (misalnya ruang server, data center, dan sebagainya) harus dibatasi.

    Semua media penyimpanan harus diamankan secara fisik, baik akses dan distribusinya. Media harus dihapus dengan cara tertentu bila tidak lagi dibutuhkan. Perangkat yang menangkap data kartu pembayaran melalui interaksi fisik langsung dengan kartu harus dilindungi dari gangguan dan penggantian, dan harus diperiksa secara berkala untuk mendeteksi gangguan atau penggantian. Oleh karena itu, sangat penting untuk mendapatkan informasi daftar perangkat terbaru yang memenuhi syarat.

Secara teratur memonitor dan menguji jaringan
  1. Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu

    Penggunaan sistem log sangat penting dalam mencegah, mendeteksi dan meminimalkan dampak kompromi data. Jika penggunaan sistem tidak dicatat, kemungkinan pelanggaran potensial tidak dapat diidentifikasi.

    Oleh karena itu, jalur audit yang aman dan terkontrol harus diterapkan yang menghubungkan semua akses ke komponen sistem dengan pengguna individual dan mencatat tindakan mereka (termasuk akses ke data pemegang kartu, tindakan yang dilakukan oleh individu dengan hak akses root atau administratif, akses ke jalur audit, upaya akses logis yang tidak benar, penggunaan dan perubahan pada mekanisme identifikasi dan otentikasi, penyisipan, penghentian atau penghentian audit log, dan pembuatan dan penghapusan objek tingkat sistem).

    Sejarah jejak audit harus dipertahankan setidaknya selama satu tahun, dengan log minimal tiga bulan untuk dianalisis. Log insiden keamanan harus ditinjau secara berkala untuk mengidentifikasi aktivitas anomali atau mencurigakan.

  2. Teratur menguji sistem dan proses keamanan

    Kerentanan baru ditemukan dan dieksploitasi secara teratur, jadi penting untuk menguji secara teratur komponen sistem, proses dan perangkat lunak untuk memastikan kelanjutan kontrol keamanan.

    Proses terdokumentasi harus diimplementasikan untuk mendeteksi dan mengidentifikasi semua titik akses nirkabel tanpa izin setiap tiga bulan. Pemindaian kerentanan jaringan internal dan eksternal harus dilakukan oleh teknisi yang berkualitas setidaknya setiap tiga bulan dan setelah ada perubahan signifikan dalam jaringan (misalnya instalasi komponen sistem baru, perubahan topologi jaringan, modifikasi peraturan firewall dan peningkatan produk).

    Teknik deteksi / pencegahan intrusi harus digunakan untuk mendeteksi dan / atau mencegah gangguan jaringan, dan mekanisme deteksi perubahan harus digunakan untuk melakukan perbandingan file kritis mingguan, dan untuk memperingatkan personil terhadap modifikasi sistem yang tidak sah.

Pertahankan kebijakan keamanan informasi
  1. Pertahankan kebijakan yang menangani keamanan informasi untuk semua personil

    Untuk mendapatkan sertifikasi PCI DSS, perusahaan harus menetapkan, menerbitkan, memelihara dan menyebarkan kebijakan keamanan, yang harus ditinjau setidaknya setiap tahun dan diperbarui sesuai dengan perubahan lingkungan risiko.

    Proses penilaian risiko harus diterapkan untuk mengidentifikasi ancaman dan kerentanan, kebijakan penggunaan untuk teknologi kritis yang harus dikembangkan, tanggung jawab keamanan untuk semua personil harus didefinisikan secara jelas, dan program kesadaran formal harus dilaksanakan. Organisasi juga harus menerapkan rencana respons insiden sehingga mereka dapat segera menanggapi pelanggaran sistem.

Demikian 12 peryaratan yang ada untuk sertifkasi PCI DSS, semoga bermanfaat.

Share This