Akselerasi global dengan transaksi nontunai atau cashless memang sangat memudahkan berbagai urusan bisnis, terutama untuk transaksi pembayaran. Namun, tak dapat dimungkiri bahwa sistem pembayaran online cukup riskan dari tindak kriminal/spam. Apalagi, ancaman tersebut dapat menyerang data pribadi masyarakat sebagai pelaku transaksi dan tentu saja hal itu dapat menimbulkan kerugian yang tak ternilai.
Untuk itu, kini terdapat standar keamanan bernama PCI-DSS yang menjamin perlindungan setiap data pengguna dan transaksi pembayaran menggunakan kartu kredit dan debit, termasuk untuk pembayaran online. Seperti apa PCI-DSS sebenarnya? Yuk simak penjelasannya di bawah ini.
Pengertian PCI-DSS
PCI-DSS merupakan singkatan dari Payment Card Industry Data Security Standard, sebuah standar keamanan informasi kepemilikan yang dikelola oleh PCI Security Standards Council (PCI-SSC). PCI Security Standards Council sendiri dibentuk oleh American Express, Discover Financial Services, JCB International, MasterCard Worldwide, dan Visa Inc.
Standar keamanan PCI-DSS harus dipatuhi oleh setiap pihak yang menyelenggarakan layanan pembayaran menggunakan kartu. Tak cukup itu, pihak-pihak yang berkewajiban tak hanya penyelenggara pembayaran seperti bank, tetapi juga merchant atau pihak ketiga yang turut terlibat dalam penyelenggaraan layanan (third-party service provider).
Pihak ketiga yang dimaksud, misalnya adalah penyedia infrastruktur teknologi informasi (seperti penyedia jasa Data Center, Managed Firewall, Managed Security Service), penyedia call center, dan pihak lain yang terlibat dalam memproses, menyimpan, dan mengirimkan informasi transaksi dan data pengguna.
Tujuan PCI-DSS
Misi dari PCI-SSC membangun PCI-DSS adalah untuk meningkatkan keamanan data akun pembayaran global dengan mengembangkan standar dan layanan pendukung yang mendorong pendidikan, kesadaran, dan implementasi yang efektif oleh para pemangku kepentingan.
PCI-DSS sendiri bertujuan untuk mengidentifikasi kelemahan dalam proses keamanan, prosedur dan konfigurasi situs Web. Compliance PCI DSS dengan mandat Program SDP akan membantu merchant, penyedia layanan dan emiten perlindungan terhadap pelanggaran keamanan, sekaligus meningkatkan kepercayaan konsumen dan melindungi integritas keseluruhan sistem pembayaran. Berikut 4 pilar kerangka strategis dari PCI-SSC.
4 Pilar Kerangka Strategis PCI-SSC
-
Meningkatkan partisipasi dan pengetahuan industri dalam proses pengembangan PCI-DSS dan dukungan pemangku kepentingan untuk penerapan standar yang memastikan bahwa standar dan sumber daya mencerminkan dan menjawab kebutuhan dan tantangan industri.
-
Mengembangkan standar keamanan dan program validasi untuk mendukung berbagai lingkungan, teknologi, dan metodologi untuk mencapai keamanan yang memastikan standar dan sumber daya yang mendukung dan memungkinkan perdagangan yang aman dan fleksibilitas untuk menggunakan pendekatan yang berbeda untuk memenuhi standar tersebut.
-
Mengamankan saluran pembayaran baru melalui pengembangan PCI-DSS dan sumber daya untuk mendukung penerimaan pembayaran yang lebih luas, yang memungkinkan sebuah perdagangan yang aman di saluran pembayaran berbasis kartu dan kartu baru dan yang baru muncul seperti seluler dan internet-of-things.
-
Meningkatkan keselarasan standar dan konsistensi PCI-DSS untuk meminimalkan redundansi dan mendukung implementasi yang efektif.
Selain itu, PCI DSS menetapkan tingkat perlindungan dasar bagi konsumen dan membantu mengurangi penipuan dan pelanggaran data di seluruh ekosistem pembayaran. Hal ini berlaku untuk organisasi mana pun yang menerima atau memproses kartu pembayaran.
Kepatuhan PCI-DSS melibatkan tiga komponen utama:
-
Menangani masuknya data kartu kredit dari nasabah; yaitu, detail kartu sensitif dikumpulkan dan dikirimkan dengan aman
-
Menyimpan data dengan aman, yang diuraikan dalam 12 domain keamanan standar PCI, seperti enkripsi, pemantauan berkelanjutan, dan pengujian keamanan akses ke data kartu
-
Memvalidasi setiap tahun bahwa kontrol keamanan yang diperlukan sudah ada, yang dapat mencakup formulir, kuesioner, layanan pemindaian kerentanan eksternal, dan audit pihak ketiga.
Sertifikasi PCI-DSS
Perusahaan yang sudah mendapatkan sertifikasi PCI-DSS merupakan perusahaan yang sudah melaksanakan standar keamanan PCI-DSS untuk melindungi dan mensupport data transaksi dan penggunanya. Dengan sertifikasi ini menunjukkan bahwa kamu selaku pemilik bisnis memiliki keseriusan untuk selalu menjaga keamanan data pelanggan. Sehingga membantu meningkatkan kepercayaan pelanggan kamu.
Pencegahan Aksi Penipuan Finansial dengan Tahapan Pemenuhan Kepatuhan PCI-DSS
Untuk mencegah aksi penipuan finansial dan kejahatan lainnya, terdapat 12 persyaratan dasar yang dikelompokkan dalam 6 sasaran (objective) yang harus dipenuhi mengenai kepatuhan PCI-DSS yang merupakan serangkaian standar yang diamanatkan oleh suatu industri untuk menjaga keamanan data kartu konsumen saat digunakan. Sasaran tersebut adalah :
-
Menjalankan program pengelolaan kerentanan (vulnerability program)
-
Membangun dan memelihara sistem dan jaringan yang aman
-
Melindungi data pemegang kartu kredit
-
Secara teratur memantau dan menguji jaringan
-
Menerapkan tindakan akses kendali yang kuat
-
Membuat dan menjalankan kebijakan keamanan informasi.
Kemudian untuk mendapatkan sertifikasi PCI-DSS, berikut 12 syarat yang harus dipenuhi tersebut. Di antaranya:
Membangun dan memelihara jaringan yang aman
-
Pasang dan pelihara konfigurasi firewall untuk melindungi data pemegang kartu
-
Jangan menggunakan kata sandi sistem dan parameter keamanan bawaan vendor.
Lindungi data pemegang kartu
-
Lindungi data pemegang kartu yang disimpan
-
Enkripsi transmisi data pemegang kartu yang dikirim melalui jaringan publik yang terbuka
Pelihara program manajemen kerentanan
-
Lindungi seluruh sistem dari serangan malware dan perbarui perangkat lunak atau program antivirus secara berkala
-
Kembangkan dan pelihara sistem serta aplikasi yang aman.
Terapkan pengawasan dan langkah akses yang ketat
-
Batasi akses ke data pemegang kartu berdasarkan standar bisnis yang perlu diketahui
-
Identifikasi dan autentikasi akses ke komponen sistem
-
Batasi akses fisik ke data pemegang kartu
Pantau dan uji jaringan secara berkala
-
Lacak dan pantau seluruh akses ke sumber daya jaringan dan data pemegang kartu
-
Uji sistem dan proses keamanan secara berkala
Pelihara informasi kebijakan keamanan
-
Pelihara kebijakan yang membahas keamanan informasi bagi seluruh personel
Setelah ke-12 syarat tersebut dipenuhi, perusahaan harus melakukan validasi kepatuhan, yang biasanya sesuai dengan kuantitas transaksi, apakah yang bersangkutan telah memenuhi seluruh persyaratan PCI DSS.
Kepada Siapa 12 Syarat Tersebut Berlaku?
Persyaratan untuk mendapatkan sertifikasi PCI-DSS berlaku untuk semua organisasi, termasuk pedagang, bank, pemroses, pengembang, dan lainnya, yang menyimpan, memproses, atau mengirimkan data pemegang kartu. Namun, untuk tahap validasi aktual, biasanya syarat yang harus dipenuhi berbeda-beda, tergantung dengan kuantitas transaksi.
Pada VISA misalnya, mereka membagi menjadi 4 jenis tingkatan merchant, mulai dari merchant yang memproses kurang dari 20.000 transaksi perdagangan elektronik setiap tahunnya serta seluruh merchant lain yang memproses hingga 1 juta transaksi VISA setiap tahunnya, hingga merchant yang memproses lebih dari 6 juta transaksi VISA setiap tahun pada seluruh saluran atau Merchant Global yang teridentifikasi sebagai Tingkat 1 oleh wilayah VISA mana pun. Yang mana, total volume transaksi VISA selama periode 12 bulan menentukan tingkat merchant serta persyaratan yang diwajibkan untuk validasi.
Peranan PCI-DSS dalam Proses Pembayaran Online
Dalam proses pembayaran online, PCI-DSS memiliki peranan yang besar. Berikut manfaat sertifikasi PCI DSS untuk proses pembayaran online:
-
Mengamankan data bisnis dan pelanggan dari ancaman malware, serangan akses jarak jauh, rekayasa sosial, serangan cyber, dan tindak kejahatan lainnya.
-
Melindungi pelanggan dengan menjamin data aman sehingga para konsumen dapat lebih tenang saat bertransaksi.
-
Menyediakan keamanan berstandar internasional.
-
Membantu bisnis terhindar dari denda dan tuntutan hukum akibat insiden keamanan.
-
Meminimalisir biaya pelanggaran data jika ada kemungkinan tuntutan hukum akibat insiden pelanggaran data.