Sertifikasi PCI DSS Meningkatkan Keamanan Nasabah Perbankan

pentingnya sertifikasi PCI DSS untuk data center

Cara terbaik untuk memaksimalkan keamanan data pemegang kartu adalah dengan terus memantau dan memberlakukan penggunaan kontrol yang ditentukan dalam Standar Keamanan Data PCI. Data center yang menjadi tempat penyimpanan transaksi keuangan wajib memiliki sertifikasi PCI DSS. Hal ini ditujukan untuk menjaga keamanan data nasabah pemegang kartu, baik transaksi maupun akun.

Sertifkasi PCI DSS Untuk Penyedia Data Center

Standard Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah seperangkat standar yang dimandatkan oleh Skema Kartu untuk melindungi data pemegang kartu yang merupakan aspek penting keamanan data kartu.

Setiap transaksi proses bisnis melibatkan informasi pemegang kartu yang sensitif. Data ini harus diproses, disimpan dan dikirim dengan aman untuk melindungi pelanggan dan bisnis dari ancaman penipuan kartu yang semakin meningkat.

Penyedia layanan atau pedagang dapat menggunakan layanan pihak ketiga untuk menyimpan, memproses, atau mengirimkan data pemegang kartu atas nama mereka, atau untuk mengelola komponen lingkungan data pemegang kartu (CDE). Dalam hal ini, sertifikasi PCI DSS untuk sebuah penyedia layanan data center wajib untuk dilakukan.

Penyedia data center harus secara jelas mengidentifikasi komponen layanan dan sistem yang termasuk dalam cakupan penilaian PCI DSS. Mereka juga perlu mengidentifikasi persyaratan sertifikasi PCI DSS secara spesifik yang dicakup oleh penyedia layanan, dan persyaratan yang menjadi tanggung jawab pelanggan penyedia layanan.

Jika penyedia data center menjalani penilaian PCI DSS mereka sendiri, mereka harus memberikan bukti bahwa pemeriksaan tersebut mencakup layanan yang sesuai dengan pelanggan dan bahwa persyaratan PCI DSS yang diperlukan telah ditentukan untuk diterapkan.

Jadi, jika anda mengunakan data center pihak ketiga yang menangani data untuk bisnis anda, bersikaplah tegas. Kontrak yang dilakukan harus meminta pihak lain untuk mematuhi PCI DSS. Jika data center tersebut tidak memberikan bukti kepatuhan, maka hal ini dapat memberikan risiko pada bisnis anda dan nasabah anda.

Selain untuk penyedia data center / colocation server / cloud provider, sertifikasi PCI DSS juga mencakup beberapa lingkungan seperti dibawah ini:

  • Penyedia Aplikasi dan Software
  • Penyedia Layanan Keuangan
  • Penyedia Point of Sales

Penting untuk para merchant agar memperhatikan sertifikasi PCI DSS pada setiap perangkat pembayaran elektronik yang terpasang untuk menghindari hal-hal yang tidak di inginkan.

Kepatuhan bukan satu kali persyaratan

Bisnis diwajibkan untuk memvalidasi kepatuhan mereka setiap tahun dan diharapkan dapat mempertahankan kepatuhan setiap saat. Sertifikasi PCI DSS sangat penting bagi perusahaan yang ingin menyimpan data pelanggan mereka dengan aman.

Hacker menargetkan situs e-commerce untuk data pelanggan dan pembayaran. Beberapa merchant menggunakan solusi hosting untuk transaksi online. Pendekatan yang paling aman untuk memproses transaksi e-commerce adalah dengan melakukan outsourcing data kartu anda ke penyedia layanan pembayaran. Selain itu, dengan memiliki backup pada data center pihak ketiga (diluar lingkungan sistem produksi anda).

Ini memungkinkan anda menyimpan data yang benar-benar terpisah dari lingkungan e-commerce setiap saat. Bahkan dengan pengaturan ini, sebaiknya gunakan ‘penetration testing‘. Ini dapat memverifikasi bahwa data tidak masuk ke lingkungan bisnis anda, sehingga dapat memberi  ketenangan pikiran bahwa data pelanggan anda aman.

Mematuhi semua persyaratan PCI DSS mungkin tidak sederhana. Tetapi jika anda memahami berbagai tuntutan yang terkait, anda dapat memastikan bisnis anda sampai di sana. Dengan demikian anda dapa terhindah dari berbagai biaya finansial dan reputasi yang dapat timbul dari ketidakpatuhan. Anda juga akan membuktikan seberapa serius dalam mengamankan data pemegang kartu pelanggan Anda.

Tujuan Sertifikasi PCI DSS

PCI DSS berlaku untuk merchant dan entitas lain yang menyimpan, memproses, dan / atau mengirimkan data pemegang kartu. Standar tersebut terdiri dari 12 persyaratan tingkat tinggi di enam kategori. Beberapa atau semua dari 12 mungkin berlaku untuk anda, tergantung pada sifat bisnis anda dan apakah Anda menyimpan data kartu atau tidak.

Berikut beberapa tujuan dari sertifikasi PCI DSS:

  1. Membangun dan memelihara jaringan yang aman. Instal dan pertahankan konfigurasi firewall untuk melindungi data. Jangan gunakan kata sandi default untuk sistem dan program keamanan lainnya
  2. Lindungi Data Pemegang Kartu. Mengenkripsi transmisi data pemegang kartu dan informasi sensitif di seluruh jaringan publik terbuka.
  3. Pertahankan program manajemen kerentanan. Gunakan dan perbarui perangkat lunak anti-virus secara teratur. Mengembangkan dan memelihara sistem dan aplikasi yang aman.
  4. Menerapkan langkah-langkah kontrol akses yang kuat. Membatasi akses ke data pemegang kartu kepada karyawan berdasarkan kebutuhan. Menetapkan ID unik untuk setiap orang yang memiliki akses komputer. Membatasi akses fisik ke data pemegang kartu
  5. Secara teratur memonitor dan menguji jaringan. Melacak dan memantau semua akses ke sumber daya jaringan dan data pemegang kartu. Secara teratur menguji sistem dan proses keamanan
  6. Mempertahankan kebijakan keamanan informasi. Pertahankan kebijakan yang menangani keamanan informasi dalam bisnis Anda.

Dengan demikian, data pemegang kartu dapat lebih aman pada saat transaksi. Inilah kenapa pentingnya bagi sebuah data center untuk melakukan sertifikasi PCI DSS.

Kepatuhan terhadap PCI DSS dimandatkan oleh semua Penerbit Kartu (termasuk Visa® dan Mastercard®) dan berlaku untuk semua bisnis yang menerima kartu kredit dan debit. Forum global – Dewan Standar Keamanan PCI – mengawasi skema ini. Dewan tersebut merilis update terbaru (versi 3.2) pada bulan April 2016.

Perspektif Kedepan

Berhubung maraknya kasus pelanggaran data pada kartu kredit, ada kemungkinan Otoritas Jasa Keuangan akan menerapkan denda terhadap pelanggaran kepatuhan PCI DSS. Sebab, mengenai keamanan data telah tertuang pada Peraturan Pemerintah Republik Indonesia Nomor 82 Tahun 2012 Tentang Penyelenggaraan Sistem Dan Transaksi Elektronik Pasal 7, 12, 25, 35, 43, dan 55.

Baik diterapkan atau tidak, ada baiknya untuk sekarang ini para penyedia dan pengguna data center mulai mempertanyakan satu sama lain mengenai sertifikasi PCI DSS ini.

Komentar ditutup.