Mempersiapkan yang terburuk adalah pertahanan terbaik. Panduan ini akan membantu pedagang dan penyedia layanan untuk menurunkan pelanggaran data dengan menggunakan standar pada sertifikasi PCI DSS yang terbaru. Dengan menguraikan bagaimana merencanakan terlebih dahulu untuk respon kejadian, perusahaan dapat menurunkan tingkat pelanggaran data.

Sebuah insiden pelanggaran data membebani biaya perusahaan rata-rata sekitar Rp. 51 milyar ($ 3,8 juta). Apakah bisnis Anda siap untuk mengurangi tingkat pelanggaran data dan dampaknya terhadap bottom line dan reputasi Anda?.

Sertifikasi PCI DSS untuk Menurunkan Tingkat Pelanggaran Data

Penelitian menunjukkan bahwa memiliki tim respon insiden di tempat dapat memberikan penghematan yang signifikan. Kebanyakan dari kasus pencurian data diketahui oleh perusahaan setelah berselang beberapa bulan lamanya, bahkan tahunan. Oleh karena itu, deteksi dini insiden pelanggaran data dapat menurunkan tingkat pelanggaran data. Hal ini sesuai dengan apa yang disyaratkan pada standar kepatuhan PCI DSS.

PCI DSS adalah sebuah standar keamanan pada industri kartu pembayaran, seperti kartu kredit, debit, e-toll e-money, dan kartu pembayaran lainnya. Peraturan ini ditujukan untuk melindungi bisnis dari transaksi yang tidak sah, dan melindungi data nasabah pemilik kartu.

Beberapa insiden pelanggaran data memiliki jenis yang berbeda-beda. Mulai dari perekaman data nasabah yang kemudian untuk dijual, hingga pada pemalsuan kartu kredit. Tentu hal ini sangat mengkhawatirkan. Oleh karena itu, seluruh dunia mengakui sertifikasi PCI DSS untuk diterapkan pada seluruh elemen di ekosistem proses transaksi pembayaran.

Sertifikasi PCI DSS diatur oleh dewan standarisasi keamanan yang didirikan oleh beberapa vendor kartu kredit seperti Visa, MasterCard dan Discovery. Dewan standarisasi keamanan ini (SSC) secara terus menerus memantau kerentanan pada sistem pembayaran dan menerbitkan publikasi baru seputar persyaratan. PCI DSS merupakan cara yang efektif untuk menurunkan tingkat pelanggaran data.

Seluruh perangkat untuk gesek kartu pembayaran diwajibkan untuk memiliki sertifikasi PCI DSS. Demikan untuk infrastruktur terkait para proses pembayaran, hingga pada pencadangan di fasilitas data center pihak ke tiga. Penggunaan infrastruktur IT yang terkait pada suatu proses pembayaran diwajibkan memiliki sertifikasi PCI DSS dari Security Standard Council (SSC).

Termasuk perusahaan Fintech, E-Commerce, dan seluruh perusahaan digital yang memproses pembayaran kartu. Seperti paypal contohnya, mereka telah memiliki sertifiksi PCI DSS. Dan beberapa perusahaan Fintech Indonesia seperti Doku, Cashlez, dan DimoPay telah mengantongi sertifikasi PCI DSS. Namun, untuk infrastruktur yang mereka gunakan juga harus memiliki sertifikasi PCI DSS, baik pada lingkungan on-premise, maupun pada lingkungan cloud.

Selain untuk menurunkan tingkat pelanggaran data, PCI DSS juga bermanfaat untuk menjaga bisnis. Tingkat kepercayaan konsumen dan mitra akan lebih tinggi dengan keseriusan bisnis dalam mengamankan transaksi.

Mempersiapkan Kemungkinan Terburuk

Pelanggaran data merupakan mimpi buruk bagi bisnis dimanapun. Sebuah restoran cepat saji sempat tersangkut kasus akibat banyaknya pembayaran tidak sah melalui kartu kredit. Saat ini, ada jutaan kartu kredit yang dipalsukan pada situs gelap untuk dijual. Oleh karena itu, persiapkan kemungkinan terburuk untuk dapat lebih sigap dalam menanggapi tindakan jahat.

  • Rencana Respon Insiden

    Serangan cyber terus meningkat, dan penjahat tak kenal ampun. Pada tahun 2017, kasus-kasus pencurian data semakin meningkat secara konstan. Akibatnya industri pembayaran telah melihat banyak pelanggaran data pemegang kartu. Perusahaan anda perlu mempersiapkan yang terburuk dengan memastikan adanya pengendalian insiden yang efektif. Persyaratan pada sertifikasi PCI DSS adalah kunci dalam upaya ini.

    Persyaratan tersebut mengharuskan entitas untuk ,melaksanakan rencana respons insiden. Bersiaplah untuk segera menanggapi pelanggaran sistem. Panduan dalam persyaratan PCI DSS mencatat bahwa rencana semacam itu harus” menyeluruh, disebarkan, dibaca, dan dipahami oleh pihak-pihak yang terkait”. Disamping itu, perusahaan harus menyertakan pengujian yang benar setidaknya setiap tahun untuk memastikan proses bekerja sesuai rancangan dan untuk mengurangi tingkat pelanggaran data.

  • Batasi Keterbukaan Data Sensitif

    Sementara ancaman eksternal tetap sangat potensial, ancaman terhadap data sensitif juga berasal dari orang dalam. Contoh ancaman, karyawan yang mencuri informasi pelanggan, atau rincian kartu kredit. Hal ini sangat nyata, karena pada kenyataannya sebagian besar administrator sistem atau administrator database diberi akses resmi ke data. Seringkali data sebenarnya dari lingkungan produksi disalin ke lingkungan non produksi yang kurang aman dan tidak dikelola dengan kontrol keamanan yang sama seperti data hasil produksi yang dapat diekspos atau dicuri.

    Teknik Obfuscation Data (DO) menawarkan cara yang berbeda untuk memastikan data tetap terlindungi dari jatuh ke tangan yang salah. Dalam hal ini, penggunaan data center untuk backup transaksi keuangan juga perlu memiliki sertifikasi PCI DSS.

    Membatasi eksposur data dan meminimalkan kehilangan data sambil menyimpan bukti adalah suatu keharusan. Misalnya, pastikan anda tahu cara mengisolasi sistem dan memastikan data center pihak ketiga memiliki enkripsi yang kuat.

  • Memberitahukan Mitra Bisnis

    Segera beri tahu pihak yang diperlukan. Miliki rencana dan pastikan informasi kontak dan dari pihak-pihak tersebut secara reguler tervalidasi. Rencana ini akan mencakup merek kartu pembayaran, bank penerbit kartu, dan entitas lain yang mungkin memerlukan pemberitahuan, baik berdasarkan kontrak atau hukum.

    Dengan cara ini, anda dapat lebih terlindungi dari denda akibat pelanggaran data. Beberapa regulator menerapkan denda atas kejadian pelanggaran data.

  • Kelola Seluruh Kontrak dengan Pihak Ketiga

    Pastikan semua kontrak dengan penyedia layanan pihak ketiga, penyedia hosting, Integrator dan Pengecer, dan pihak terkait lainnya cukup menangani manajemen penanganan insiden.

    Kontrak harus mencakup ketentuan khusus tentang bagaimana bukti dari lingkungan tersebut akan diakses dan ditinjau ulang, seperti memungkinkan akses investigasi.

PCI DSS ditujukan untuk membantu perusahaan dlam melindungi sistem pembayaran dari pelanggaran dan pencurian data pemegang kartu, yang menjadi semakin penting seiring meningkatnya kejahatan cyber.

Pentingnya Penilaian Keamanan Transaksi Pembayaran

Dalam usaha menurunkan tingkat pelanggaran data, penilaian keamanan transaksi pembayaran kartu perlu dilakukan secara terus menerus.

Menurut sebuah laporan, industri jasa teknologi informasi mencapai kepatuhan tertinggi terhadap semua kelompok industri utama yang diteliti. Secara global, lebih dari tiga per lima (61,3%) Perusahaan penyedia layanan IT mencapai kepatuhan penuh selama masa validasi sementara pada tahun 2016, diikuti oleh 59,1% perusahaan jasa keuangan, ritel (50%) dan perhotelan (42,9%).

Laporan tersebut menunjukkan tantangan kepatuhan yang dihadapi oleh sektor usaha tertentu. Dalam bisnis retail, pengujian keamanan, transmisi data terenkripsi dan otentikasi masih merupakan tantangan utama.

Untuk perhotelan dan bisnis travel, pengetatan keamanan, melindungi data dalam transit dan keamanan fisik disebut-sebut sebagai tantangan. Sementara untuk layanan keuangan, rintangan utama untuk kepatuhan PCI DSS yang diberikan adalah prosedur keamanan, konfigurasi yang aman, perlindungan data dalam transit, manajemen kerentanan dan manajemen risiko secara keseluruhan.

Banyak organisasi masih melihat kontrol PCI DSS secara terpisah. Ini merupakan akibat dari kekurangan profesional in-house yang terampil. Sebetulnya, kemampuan internal dapat ditingkatkan secara dramatis dengan panduan siklus hidup dari para ahli eksternal (outsourcing IT).

Kesimpulan:

Sertifikasi PCI DSS sudah mengandung banyak standar dan peraturan perlindungan data yang saling terkait. Perusahaan jasa keuangan harus bisa menggunakan ini untuk mengkonsolidasikan kontrol, sehingga memudahkan pengelolaan keseluruhan.

Perusahaan harus berinvestasi pada orang-orang mereka untuk mengembangkan dan mempertahankan pengetahuan mereka tentang bagaimana meningkatkan, memantau dan mengukur efektivitas pengendalian keamanan data .

Perusahaan perlu mempertahankan lingkungan pengendalian internal yang kuat dan tangguh jika mereka ingin menurunkan tingkat pelanggaran data. Menerapkan alur kerja dan otomatisasi perlindungan data dapat menjadi aset besar dalam pengelolaan pengendalian, namun semua otomasi juga perlu diaudit.

Kinerja setiap kontrol saling terkait. Jika ada masalah terjadi di suatu bagian, ini dapat berdampak pada kinerja kontrol di bagian lainnya. Penting untuk memahami hal ini agar dapat mencapai dan mempertahankan program perlindungan data yang efektif dan berkelanjutan.

Untuk para pengguna kartu kredit, dalam bertransaksi online sebaiknya anda perhatikan di website tersebut apakah sudah memiliki sertifikasi PCI DSS pada sistem yang digunakan. Jika tidak, sebaiknya anda tunda dulu pembelian online tersebut. Demikian pada penggunaan kartu kredit secara offline. Jika tidak berhati-hati, data anda terekspos dan tagihan kartu kredit bengkak seketika.

Pin It on Pinterest

Share This