PCI-DSS adalah singkatan dari Standar Keamanan Data Industri Kartu Pembayaran. Standar tersebut dikembangkan oleh Dewan Standar Keamanan PCI, yang dibentuk pada tahun 2006. PCI-DSS menetapkan fitur keamanan minimum yang harus ada untuk membatasi kemungkinan penyusupan data pemegang kartu. Pedagang yang mematuhi PCI-DSS cenderung tidak mengalami peristiwa pelanggaran. Semua entitas yang menyimpan, memproses, atau mengirimkan data pemegang kartu harus memvalidasi kepatuhan PCI-DSS. Pedagang harus bekerja secara langsung dengan bank penerima mereka untuk mendapatkan petunjuk tentang cara memvalidasi kepatuhan PCI.
6 Prinsip Utama PCI DSS
Persyaratan PCI-DSS dipecah menjadi enam tujuan berbeda. Setiap tujuan dapat dikembangkan lebih lanjut untuk mencakup 12 persyaratan PCI-DSS.
-
Membangun dan pertahankan jaringan yang aman
-
Melindungi data pemegang kartu
-
Mempertahankan program manajemen kerentanan
-
Menerapkan langkah-langkah kontrol akses yang kuat
-
Memantau dan uji jaringan secara teratur
-
Menjaga kebijakan keamanan informasi
Membangun dan pertahankan jaringan yang aman
Instal dan pertahankan konfigurasi firewall untuk melindungi data pemegang kartu. Firewall melindungi jaringan internal dengan memeriksa lalu lintas jaringan dan membandingkannya dengan sekumpulan aturan yang dikonfigurasi. Entitas harus meninjau dan memperbarui kumpulan aturan konfigurasi firewall setiap enam bulan. Aturan firewall harus membatasi lalu lintas hanya ke Port dan layanan yang diketahui, didokumentasikan, dan diperlukan untuk tujuan bisnis. Harus ada justifikasi bisnis untuk setiap port dan layanan terbuka.
Jangan gunakan default yang disediakan vendor untuk password sistem dan parameter keamanan lainnya. Penjahat dunia maya dan aktor jahat memiliki akses mudah ke default yang disediakan vendor. Jika kata sandi dan akun default ini tidak diubah dan dinonaktifkan, mereka dapat digunakan untuk mengeksploitasi jaringan internal dan membahayakan data pemegang kartu.
Jaringan nirkabel mengharuskan semua pengaturan default diubah termasuk kata sandi, frasa sandi, string komunitas SNMP, dll. Semua layanan yang tidak aman atau tidak berdokumen harus dihapus untuk memastikan mereka tidak dapat dieksploitasi untuk akses ke jaringan internal.
Melindungi Data Pemegang Kartu
Melindungi data pemegang kartu yang disimpan. Hilangkan penyimpanan data pemegang kartu dalam semua keadaan yang memungkinkan. Data pemegang kartu harus dibatasi hanya yang diperlukan untuk keperluan hukum, peraturan, atau bisnis. Sensitive Authentication Data (SAD) tidak pernah dapat disimpan setelah otorisasi. Otentikasi Sensitif mencakup data pada strip magnetik dan chip EMV, CVV, Blok PIN / PIN.
Data pemegang kartu dapat disimpan bila diperlukan, tetapi harus dibuat tidak dapat dibaca. Data pemegang kartu meliputi PAN (Nomor Rekening Utama), tanggal kedaluwarsa, dan nama pemegang kartu.
Enkripsi transmisi data pemegang kartu melalui jaringan publik terbuka. Setiap transmisi data pemegang kartu melalui jaringan publik harus dienkripsi menggunakan kriptografi yang kuat untuk menghindari kompromi oleh penjahat dunia maya atau aktor jahat. Metode enkripsi yang digunakan harus menggunakan versi yang aman dan kekuatan enkripsi yang sesuai. Nomor Akun Utama tidak pernah dapat dikirim melalui perpesanan pengguna akhir (yaitu: Obrolan, email, IM, dll.).
Mempertahankan program manajemen kerentanan
Lindungi semua sistem dari malware dan perbarui perangkat lunak atau program anti-virus secara teratur. Perangkat lunak anti-virus harus diperbarui secara rutin, diatur untuk memindai secara berkala, dan menghasilkan log audit. Pengguna akhir seharusnya tidak dapat menonaktifkan anti-virus. Hanya administrator yang diberi wewenang oleh manajemen yang dapat menonaktifkan anti-virus untuk waktu yang terbatas.
Kembangkan dan pelihara sistem dan aplikasi yang aman. Entitas bertanggung jawab untuk mengidentifikasi dan mengklasifikasikan kerentanan yang baru ditemukan berdasarkan risiko yang mereka timbulkan terhadap lingkungan data pemegang kartu. Kerentanan pengkodean umum dalam pengembangan perangkat lunak harus diperhitungkan melalui pelatihan reguler pengembang. Kerentanan umum ini mencakup, tetapi tidak terbatas pada: pembuatan skrip lintas situs, pemalsuan permintaan lintas situs, dan buffer overflows. Aplikasi web yang berhubungan dengan publik harus diuji melalui alat atau metode keamanan aplikasi, atau pengujian penetrasi aplikasi. Juga diperlukan penggunaan Firewall Aplikasi Web.
Menerapkan langkah-langkah kontrol akses yang kuat
Batasi akses ke data pemegang kartu berdasarkan kebutuhan bisnis. Prinsip “perlu tahu” berarti bahwa seorang individu hanya memiliki akses ke data paling sedikit yang diperlukan untuk menjalankan fungsi pekerjaannya. Akses ini didasarkan pada peran. Prinsip ini meluas ke akses ke komponen sistem yang harus disetel ke “menolak semua” pengguna yang tidak diberikan otorisasi secara khusus.
Identifikasi dan otentikasi akses ke komponen sistem. Semua pengguna harus mengotentikasi akses ke komponen sistem menggunakan ID unik. Ini memastikan akuntabilitas untuk semua tindakan yang diambil. Kata sandi harus kuat, mengandung minimal 7 karakter alfanumerik.
Multi-Factor Authentication (MFA) harus diterapkan. MFA membutuhkan bagian kedua dari otentikasi selain kata sandi. Ini biasanya terlihat seperti kode yang dikirim ke perangkat, pemindaian biometrik, atau key fob / smart card.
Batasi akses fisik ke data pemegang kartu. Pemantauan video dan / atau kontrol akses harus digunakan untuk mengontrol dan memantau akses fisik ke area aman dalam lingkungan data pemegang kartu. Akses data harus disimpan selama 90 hari kecuali dilarang oleh hukum.
Setiap media yang berisi data pemegang kartu harus dimusnahkan jika tidak diperlukan lagi. Misalnya, formulir kertas yang berisi data pemegang kartu harus dihancurkan ketika telah melewati periode penyimpanan yang ditentukan. Juga pertahankan daftar titik perangkat interaksi dan lindungi agar tidak dirusak atau diganti.
Memantau dan menguji jaringan secara teratur
Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu. Menerapkan pencatatan di semua sistem yang akan mengikat tindakan ke akun individu. Log harus disimpan minimal satu tahun dengan tiga bulan sudah tersedia. Log harus dicadangkan ke server terpusat untuk menghindari perubahan atau penghapusan informasi log. Log harus ditinjau setiap hari dan setiap anomali harus segera diatasi.
Uji sistem dan proses keamanan secara teratur. Melakukan pengujian Penetrasi, pemindaian kerentanan internal dan eksternal membantu memastikan bahwa jaringan aman dari kerentanan yang baru ditemukan. Entitas perlu memindai lingkungan pemegang kartu untuk setiap titik akses yang tidak sah menggunakan metode manual atau otomatis. Pemantauan integritas file dan sistem deteksi intrusi harus memberikan peringatan bila terjadi perubahan tak terduga di lingkungan.
Mempertahankan Kebijakan Keamanan Informasi
Menjaga kebijakan keamanan informasi. Entitas harus memelihara dan mengembangkan kebijakan keamanan informasi yang mendokumentasikan kebijakan dan prosedur terkait perlindungan data pemegang kartu. Kebijakan penggunaan harus menyatakan dengan jelas karyawan mana yang dapat menggunakan perangkat mana untuk tujuan apa dan di lokasi mana.
Rencana respons insiden harus ada. Rencana respons insiden biasanya mencakup persyaratan untuk memberi tahu merek kartu, rencana kontinuitas, dan cadangan data. Ikuti aturan di yurisdiksi Anda yang berkaitan dengan pemberitahuan publik. Standar PCI-DSS menguraikan fitur keamanan minimum yang harus diterapkan untuk mengurangi kemungkinan pelanggaran data. Proses kepatuhan PCI seringkali menadi proses yang rumit, namun dengan mencermati aturan ini secara seksama, Anda akan dapat memahaminya. Ini dia ulasan yang bisa menjadi langkah awal Anda. Jika Anda masih mengalami kesulitan, jangan ragu untuk meningglakan komentar atau menghubungi kami ya. Kami terbiasa membantu klien dalam melakukan sertifikasi PCIDSS.
