Apa itu Kerangka Kerja Kepatuhan PCI DSS?

PCI DSS adalah singkatan dari Standar Keamanan Data Industri Kartu Pembayaran. Kerangka kerja kepatuhan ini adalah serangkaian standar yang diamanatkan oleh industri yang dimaksudkan untuk menjaga keamanan data kartu konsumen saat digunakan dengan pedagang dan penyedia layanan. Ini dikelola oleh PCI Security Standards Council (PCI SSC), yang didirikan oleh perusahaan kartu pembayaran terkemuka seperti American Express, Discover, Mastercard, dan Visa.

Meskipun kepatuhan bisnis terhadap standar yang ditetapkan dalam PCI DSS tidak diwajibkan oleh pemerintah, perusahaan kartu yang mengontrol standar ini dapat mengenakan denda terhadap organisasi yang tidak mematuhinya.

Kepada Siapa Kerangka Kerja Kepatuhan PCI DSS Berlaku?

PCI DSS berlaku untuk semua organisasi, termasuk pedagang, bank, pemroses, pengembang, dan lainnya, yang menyimpan, memproses, atau mengirimkan data pemegang kartu. Validasi aktual atas kepatuhan DSS mungkin tidak diperlukan bagi mereka yang berada di bawah ambang batas transaksi tahunan yang ditetapkan dan mungkin juga bergantung pada kartu pembayaran yang ingin Anda terima di tempat bisnis Anda. Setiap anggota pendiri PCI SSC memiliki program kepatuhannya sendiri untuk melindungi data pemegang kartu mereka dan harus dihubungi secara langsung untuk persyaratan tertentu.

Bagaimana Kerangka Kerja Kepatuhan PCI DSS Dapat Diakomodasi?

Ada enam kelompok utama persyaratan (tujuan) untuk kepatuhan yang tepat dengan kerangka kerja PCI DSS. Di antara kelompok ini didistribusikan 12 persyaratan terpisah yang perlu dipenuhi secara individu. Enam tujuan utama dari Standar Keamanan Data Industri Kartu Pembayaran dan 12 persyaratan penting yang menyertainya adalah sebagai berikut:

1. Bangun dan Pertahankan Jaringan yang Aman

Konfigurasi firewall harus dipasang untuk membantu melindungi data pemegang kartu yang sensitif.

Kata sandi unik harus dibuat untuk memaksimalkan keamanan sistem. Kata sandi ini tidak boleh default vendor atau tidak dapat dipercaya.

2. Lindungi Data Pemegang Kartu

Data pemegang kartu yang disimpan dalam penyimpanan harus dilindungi secara memadai dari pencurian dan perubahan yang tidak sah.

Setiap kali data pemegang kartu dikirimkan melalui jaringan terbuka dalam bentuk apa pun, data tersebut harus dienkripsi dengan memadai untuk memastikan data tersebut tidak dapat disadap oleh pihak ketiga.

3. Menjaga Program Manajemen Kerentanan

Perangkat lunak anti-virus harus digunakan untuk menjaga integritas sistem yang memproses data pemegang kartu.

Semua sistem dan aplikasi yang dimaksudkan untuk memproses informasi pemegang kartu harus dibuat aman.

4. Menerapkan Tindakan Kontrol Akses yang Kuat

Akses ke semua informasi pemegang kartu harus sepenuhnya dibatasi atas dasar kebutuhan bisnis untuk mengetahui.

Pengenal unik harus diberikan kepada individu yang memiliki akses komputer ke sistem yang memproses data pemegang kartu.

Akses fisik yang sebenarnya ke data pemegang kartu harus dibatasi.

5. Pantau dan Uji Jaringan Secara Teratur

Akses ke sumber daya apa pun yang tersedia dalam jaringan Anda yang menangani data pemegang kartu perlu dilacak dan dipantau sepenuhnya.

Tes harus dijadwalkan secara teratur dan diterapkan untuk semua sistem keamanan yang berfungsi di jaringan Anda.

6. Menjaga Kebijakan Keamanan Informasi

Menerapkan kebijakan keamanan informasi yang berfungsi untuk karyawan Anda dan kontraktor independen. Ini termasuk membuat kebijakan penggunaan teknologi dan program kesadaran keamanan karyawan.

Bagaimana Saya Dapat Mematuhi PCI DSS?

Meskipun ada sejumlah faktor konvergen yang layak dipertimbangkan untuk mencapai kepatuhan dengan PCI DSS pada tingkat teknis dan organisasi, mengikuti beberapa tip dan praktik terbaik yang berguna dapat membuat Anda berada di jalur yang benar.

Tetap gunakan Alat Point of Sales yang Disetujui

Perangkat dan program tempat penjualan harus disetujui oleh Dewan Standar Keamanan PCI untuk menjamin keamanannya bagi organisasi dan pelanggan Anda.

Anda dapat berkonsultasi dengan database resmi mereka untuk menentukan apakah solusi POS pilihan Anda disetujui atau tidak.

Hindari Menyimpan Data Pemegang Kartu sama sekali

Idealnya, Anda harus menjaga data pemegang kartu agar tidak menyentuh server Anda sama sekali. Ini dapat dilakukan dengan menggunakan layanan pemrosesan pihak ketiga sebagai gantinya. Pastikan prosesor pihak ketiga Anda disetujui oleh PCI SSC sebelum menggunakan layanan mereka.

Gabungkan Penggunaan Kata Sandi yang Lebih Kuat ke dalam Setiap Bagian Sistem Anda

PCI SSC merekomendasikan hal berikut untuk memperkuat kata sandi:

• Berkomitmen pada jadwal perubahan kata sandi yang teratur agar kata sandi Anda tidak mudah ditebak atau disimpulkan dari waktu ke waktu.
• Pastikan tidak ada yang membagikan sandi dalam organisasi Anda.
• Ganti sandi default vendor dengan cepat dan hindari alternatif sederhana seperti “1234” atau “rahasia”.

Praktik pengelolaan sandi yang baik tidak hanya penting untuk kepatuhan, tetapi juga merupakan komponen inti dari kebersihan dunia maya yang efektif.

Jangan Abaikan Pelatihan Karyawan

Pastikan anggota staf Anda selalu mengetahui praktik terbaik serta standar terkini seputar penanganan informasi pemegang kartu melalui program pelatihan yang kuat.

PCI DSS menyajikan seperangkat aturan yang disederhanakan untuk menyederhanakan penanganan informasi sensitif pemegang kartu. Mengamankan data pemegang kartu membuat penanganan pesanan dan pembelian baik secara lokal maupun internasional jauh lebih mudah bagi konsumen dan bisnis. Standar yang dijelaskan dalam PCI DSS menjaga proses perlindungan informasi tersebut tetap jelas sehingga Anda dapat fokus pada implementasi daripada desain sistem tingkat rendah.

ITGID dapat membantu Anda mematuhi beberapa persyaratan PCI DSS dan mengurangi risiko penyalahgunaan data kartu pembayaran melalui pemindaian kerentanan web, pelatihan keamanan karyawan, dan templat kebijakan keamanan. Selain itu, asuransi tanggung jawab dunia maya kami menyediakan jaring pengaman jika terjadi pelanggaran data dan dapat membantu menanggung denda dan hukuman PCI DSS (tunduk pada persetujuan penjaminan emisi).