Dasar-dasar Kepatuhan PCI: Yang Perlu Anda Ketahui

Informasi kartu kredit adalah jenis data yang paling berharga bagi penjahat dunia maya karena kumpulan data ini bernilai jutaan dolar di pasar gelap.

Saat ini, semua ukuran perusahaan memproses informasi kartu kredit dan debit pelanggan dan menerima pembayaran kartu kredit. Setiap perusahaan yang memproses, menyimpan, dan mentransmisikan data keuangan berada di bawah radar pelaku jahat dan menghadapi risiko serangan dunia maya tertinggi.

Untuk alasan ini, perusahaan kartu kredit besar menciptakan standar PCI untuk memberikan pedoman keamanan bagi perusahaan untuk mengamankan data keuangan pelanggan. Pada artikel ini, kami akan memeriksa dasar-dasar kepatuhan PCI.

Mari kita mulai dengan menjelaskan kepatuhan PCI DSS lebih lanjut.

Apa itu Kepatuhan PCI DSS?

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah serangkaian spesifikasi keamanan teknis dan operasional untuk melindungi data pemegang kartu kredit.

Kepatuhan PCI didirikan oleh perusahaan kartu kredit besar seperti Visa, Mastercard, American Express, Discover Financial Services, dan JCB Express. PCI berupaya mengaktifkan kerangka kerja internasional untuk mengamankan data keuangan pelanggan.

Semua perusahaan yang mengumpulkan, menyimpan, dan mentransmisikan tunduk pada kepatuhan PCI DSS dan mereka wajib mengikuti panduan dan persyaratan keamanan.

PCI DSS memiliki empat tingkat kepatuhan (1,2,3,4). Tingkat kepatuhan PCI perusahaan ditentukan berdasarkan volume transaksi selama setahun. Perusahaan yang berada di bawah level 4 memproses kurang dari 20.000 transaksi per tahun.

Level 3 berlaku untuk merchant yang memproses transaksi antara 20.000-1 juta per tahun. Level 2 berlaku untuk perusahaan yang memproses transaksi antara 1-6 juta per tahun. Perusahaan yang memproses lebih dari 6 transaksi per tahun berada di bawah level 1.

Persyaratan PCI menjadi lebih ketat seiring dengan naiknya level dari 4 menjadi 1. Namun, terlepas dari tingkat kepatuhannya, semua perusahaan diwajibkan untuk memenuhi semua persyaratan PCI sampai batas tertentu.

Kerangka kerja penanganan data pemegang kartu yang aman ditetapkan dalam enam kategori berdasarkan kepatuhan PCI. Kategori persyaratan PCI terdiri dari perlindungan data pemegang kartu, rencana manajemen kerentanan, pemantauan jaringan, manajemen jaringan dan sistem yang aman, pembatasan kontrol akses, dan kebijakan keamanan informasi.

Isi kategori ini membangun total dua belas langkah persyaratan. Persyaratan PCI memastikan keamanan penanganan data pemegang kartu. Berikut daftar periksa kepatuhan PCI.

Persyaratan PCI

1- Instal dan pertahankan firewall untuk perlindungan data pemegang kartu

Karena firewall adalah mekanisme pertahanan pertama jaringan, mengonfigurasi dan memelihara firewall dengan benar sangat penting untuk menjaga keamanan data pemegang kartu. Firewall adalah alat yang sangat efektif untuk perlindungan data sensitif terhadap ancaman dunia maya karena membatasi lalu lintas jaringan dan memblokir akses yang tidak disetujui. Itu sebabnya pendirian firewall adalah persyaratan pertama.

02. Memiliki proteksi password yang tepat

Sebagian besar layanan jaringan, sistem point-of-sale (POS), dan produk pihak ketiga dikonfigurasikan dengan pengaturan default.

Penjahat dunia maya dapat memperoleh akses ke jaringan dan data sensitif dengan mudah jika organisasi tidak mengonfigurasi ulang pengaturan pabrik ini karena kata sandi dan nama pengguna default sudah dikenal luas.

Selain mengubah pengaturan kata sandi, organisasi harus secara teratur mengubah kata sandi semua perangkat dan perangkat lunak yang memerlukannya.

03. Lindungi data pemegang kartu yang tersimpan

Semua data pemegang kartu yang disimpan harus dienkripsi. Pedagang harus memastikan perlindungan data sensitif ini melalui kunci kriptografi dan algoritme serta melakukan pemindaian rutin.

04. Mengenkripsi data yang dikirimkan pemegang kartu

Menjaga keamanan data pemegang kartu adalah persyaratan paling penting dalam kepatuhan PCI. Jadi, merchant juga harus mengenkripsi dan mengamankan transmisi data pemegang kartu melalui jaringan publik.

05. Gunakan perangkat lunak antivirus

Memiliki perangkat lunak antivirus adalah suatu keharusan untuk perlindungan data terhadap malware. Jadi, organisasi harus menggunakan dan sering memperbarui perangkat lunak antivirus mereka di semua perangkat untuk mendeteksi dan menghilangkan malware apa pun.

06. Pemeliharaan perangkat lunak dan sistem

Semua perangkat lunak dan sistem harus diperbarui secara berkala untuk menambal kerentanan keamanan. Ingatlah bahwa beberapa perangkat lunak seperti database, perangkat lunak antivirus, dan firewall memerlukan pembaruan yang lebih sering.

07. Batasi akses data

Hanya personel yang berwenang yang boleh diberikan akses ke data pemegang kartu bila diperlukan. Pihak ketiga dan anggota staf tidak boleh memiliki akses ke informasi sensitif.

08. Identifikasi unik untuk akses pengguna

Seperangkat nama pengguna dan kata sandi yang unik harus diberikan kepada setiap pengguna resmi yang memiliki akses ke data pemegang kartu. Kredensial akses pengguna memastikan akuntabilitas dan mengurangi waktu respons.

09. Batasi akses fisik

Akses fisik juga harus dibatasi sebanyak akses digital untuk melindungi data sensitif. Organisasi harus menyimpan data pemegang kartu di lokasi yang aman secara fisik dan menerapkan kontrol dan otorisasi yang ketat.

10- Lacak dan pantau akses jaringan

Semua akses dan lalu lintas jaringan harus dilacak dan dipantau terkait dengan data pemegang kartu dan nomor rekening utama. Log akses yang melibatkan data pemegang kartu harus dipelihara dan ditinjau secara terus menerus.

11- Penilaian sistem keamanan reguler

Penilaian sistem keamanan dan uji penetrasi secara berkala harus dilakukan untuk menentukan dan menambal kerentanan keamanan. Prosedur ini memastikan penentuan status sistem keamanan saat ini dan meningkatkannya sesuai dengan itu.

12- Pertahankan kebijakan keamanan siber

Semua persyaratan PCI harus ditangani dan didokumentasikan dengan kebijakan keamanan siber. Dengan mempertahankan kebijakan keamanan siber, organisasi dapat memastikan kepatuhan dan keamanan jaringan mereka.

Konsekuensi Tidak Mematuhi PCI DSS

Tidak mematuhi PCI DSS dapat mengakibatkan denda dan penalti yang tinggi. Menurut tingkat keparahan dan lamanya pelanggaran, otoritas PCI dapat mengenakan denda antara $5.000 dan $100.000 per bulan.

Denda dapat meningkat setiap bulan karena durasi pelanggaran menjadi lebih lama. Selain itu, setelah insiden pelanggaran data, perusahaan dapat diwajibkan untuk menanggung semua biaya penerbitan ulang dan perbaikan.

Selain itu, tidak mematuhi PCI dapat mengakibatkan hukuman tambahan seperti kenaikan biaya transaksi, dan hilangnya pembayaran kartu kredit pedagang untuk beberapa waktu atau secara permanen. Memenuhi persyaratan PCI sangat penting untuk menghindari penalti dan mengamankan data keuangan rahasia pelanggan.

Kata-kata terakhir

Data keuangan pelanggan harus dijaga dari serangan dunia maya setiap saat.

Mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dapat membantu perusahaan mengamankan kumpulan data keuangan yang diproses, disimpan, dan dikirim.

Di era di mana risiko dunia maya, denda kepatuhan, dan penalti begitu tinggi, setiap perusahaan yang dikenai PCI harus memenuhi persyaratannya dan menjadi patuh PCI.