Penjahat A.S. abad ke-20 Willie Sutton dikatakan merampok bank karena “dari situlah uangnya.” Motivasi yang sama di era digital membuat merchants menjadi target baru untuk penipuan finansial.

Terkadang celah keamanan oleh beberapa merchants memungkinkan penjahat untuk dengan mudah mencuri dan menggunakan informasi keuangan pribadi konsumen dari transaksi kartu pembayaran dan sistem pemrosesan.

Ini adalah masalah serius, lebih dari 510 juta data dengan informasi sensitif telah dilanggar sejak Januari 2005, menurut PrivacyRights.org. Sebagai merchants, Anda berada di pusat transaksi kartu pembayaran sehingga sangat penting bahwa Anda menggunakan prosedur dan teknologi keamanan standar untuk menggagalkan pencurian data pemegang kartu.

Kerentanan berbasis merchants mungkin muncul hampir di manapun di ekosistem pemrosesan kartu termasuk perangkat penjualan utama, komputer pribadi atau server, hotspot nirkabel atau aplikasi belanja Web, dalam sistem penyimpanan berbasis kertas, dan pengiriman data pemegang kartu ke penyedia layanan.

Kepatuhan terhadap Payment Card Industry (PCI) Data Security Standard (DSS) membantu meminimalisir kerentanan ini dan melindungi data pemegang kartu.

Ada tiga tahapan untuk mengikuti PCI DSS:

Assess – mengidentifikasi data pemegang kartu, mencatat inventaris aset TI dan proses bisnis Anda untuk memproses kartu pembayaran, dan menganalisisnya untuk kerentanan yang dapat mengekspos data pemegang kartu.

Remediate – memperbaiki kerentanan dan tidak menyimpan data pemegang kartu kecuali jika Anda memerlukannya.

Report – kompilasi dan kirimkan catatan validasi perbaikan yang diperlukan (jika ada), dan kirimkan laporan kepatuhan kepada merek bank dan kartu yang diakuisisi yang Anda ajak berbisnis.

PCI DSS mengikuti langkah-langkah yang mencerminkan praktik keamanan terbaik. DSS secara global berlaku untuk semua entitas yang menyimpan, memproses atau mengirimkan data pemegang kartu. PCI DSS dan standar keamanan terkait dikelola oleh Dewan Standar Keamanan PCI, yang didirikan oleh American Express, Discover Financial Services, JCB International, MasterCard Worldwide dan Visa Inc. Organisasi yang Berpartisipasi mencakup merchant, bank penerbit kartu pembayaran, prosesor, pengembang dan vendor lainnya.

Berikut merupakan langkah-langkah kebutuhan PCI DSS yang merupakan cerminan dari best practices security sendiri:

PCI SSC menetapkan standar keamanan PCI, namun setiap merek kartu pembayaran memiliki program sendiri untuk kepatuhan, tingkat validasi, dan penegakannya. Informasi lebih lanjut tentang kepatuhan dapat ditemukan di tautan ini:

  • American Express: • www.americanexpress.com/datasecurity
  • Discover Financial Services: • www.discovernetwork.com/fraudsecurity/disc.html
  • JCB International: • www.jcb-global.com/english/pci/index.html
  • MasterCard Worldwide: • www.mastercard.com/sdp
  • Visa Inc: • www.visa.com/cisp
  • Visa Europe: • visaeurope.com/ais

 

Qualified Assessors, Dewan mengelola program yang akan membantu memfasilitasi penilaian kepatuhan terhadap PCI DSS:

  1. Qualified Security Assessor (QSA) disetujui oleh Dewan untuk menilai kepatuhan terhadap PCI DSS
  2. Approved Scanning Vendor (ASV) disetujui oleh Dewan untuk memvalidasi kepatuhan terhadap persyaratan pemindaian DSS PCI dengan melakukan pemindaian kerentanan lingkungan Internetfacing pedagang dan penyedia layanan. Dewan juga menyediakan pelatihan PCI DSS untuk Internal Security Assessors (ISA). Rincian tambahan dapat ditemukan di situs Web PCI di: pcisecuritystandards.org/approved_companies_providers/index.php

 

Self-Assessment Questionnaire, adalah alat validasi untuk organisasi yang memenuhi syarat yang menilai sendiri kepatuhan PCI DSS mereka dan tidak diwajibkan untuk menyampaikan Laporan Kepatuhan (Compliance Compliance – ROC). SAQ yang beragam tersedia untuk berbagai lingkungan bisnis; rincian lebih lanjut dapat ditemukan di situs web kami di: www.pcisecuritystandards.org. Lembaga keuangan atau merek pembayaran yang mengakuisisi organisasi juga dapat menentukan apakah Anda harus melengkapi SAQ.

Untuk memenuhi ke-12 poin PCI-DSS tidaklah mudah, tentunya ada detail tertentu yang harus dipenuhi, maka dari itu terkadang Anda membutuhkan bantuan dari konsultan yang berpengalaman, contohnya adalah i-3.