PCI DSS untuk eCommerce

PCI-DSS_logo

Apa itu PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) adalah persyaratan teknis dan operasional yang dirancang oleh PCI SSC untuk melindungi data akun dan berlaku untuk semua entitas yang menerima, menyimpan, mengolah atau mengirimkan data pemegang kartu kredit maupun debit seperti merchants, payment processors, acquirers, issuers, dan service providers.

Apa itu PCI SSC?
PCI SSC (Payment Card Industry Security Standards Council) adalah forum global terbuka yang bertanggung jawab untuk pengembangan, manajemen, edukasi, dan kesadaran terhadap PCI DSS dan standar lainnya, untuk meningkatkan keamanan data pembayaran. PCI SSC didirikan pada tahun 2006 oleh berbagai merek kartu pembayaran seperti American Express, Discover Services, JCB International, MasterCard dan Visa Inc.

Apa itu Cardholder Data dan Sensitive Authentication Data?
Cardholder Data adalah data-data pribadi yang terkait dengan pemegang kartu, seperti 16 nomor kartu, tanggal kadaluarsa, nama.
Sensitive Authentication Data adalah informasi terkait pengamanan kartu, seperti 3 atau 4 angka di belakang kartu, PIN (Personal Identification Number), data dari strip magnetik dan chip.

Apa saja persyaratan-persyaratannya?
Terdapat 12 persyaratan yang harus dipenuhi agar patuh terhadap PCI DSS:
1. Install and maintain a firewall configuration to protect cardholder data
2. Do not use vendor-supplied defaults for system passwords and other security parameters
3. Protect stored cardholder data
4. Encrypt transmission of cardholder data across open, public networks
5. Protect all systems against malware and regularly update anti-virus software or programs
6. Develop and maintain secure systems and applications
7. Restrict access to cardholder data by business need to know
8. Identify and authenticate access to system components
9. Restrict physical access to cardholder data
10. Track and monitor all access to network resources and cardholder data
11. Regularly test security systems and processes
12. Maintain a policy that addresses information security for all personnel

Ada berapa level dan apa perbedaannya?
Terdapat 4 level dalam sertifikasi PCI DSS:

  1. Level 1, untuk merchant yang memproses lebih dari 6 juta transaksi Visa dan/atau MasterCard setiap tahunnya.
    Ada onsite audit, RoC (Report on Compliance), AoC (Attestation of Compliance) dari PCI QSA (Qualified Security Assessor) setiap tahun, dan PCI ASV (Approved Scanning Vendor) scan setiap 3 bulan.
  2. Level 2, untuk merchant yang memproses 1-6 juta transaksi setiap tahunnya.
  3. Level 3, untuk merchant yang memproses 20.000 – 1 juta transaksi setiap tahunnya.
  4. Level 4, untuk merchant yang memproses kurang dari 20.000 transaksi setiap tahunnya.
    Untuk level 2 hingga 4, merchant mengisi SAQ (Self Assessment Questionnaire) dan AoC setiap tahun, serta PCI ASV scan setiap 3 bulan.

Bagaimana agar comply?

  • Scoping: menentukan komponen-komponen sistem dan jaringan mana saja yang termasuk.
  • Assessing: memeriksa kepatuhan komponen-komponen tersebut dan prosedur pengujian untuk setiap persyaratannya.
  • Reporting: auditor dan/atau perusahaan mengirimkan dokumen-dokumen yang diperlukan (SAQ, RoC, compensating controls).
  • Clarification: auditor dan/atau perusahaan menjelaskan dan melakukan perubahan laporan (jika ada) kepada bank pengakuisisi.

Apa saja yang ada di ruang lingkup?

  • Semua orang yang mempunyai akses ke data pemegang kartu.
  • Semua komponen-komponen sistem yang menangkap, menyimpan, memproses atau mengirim data pemegang kartu: ini termasuk aplikasi, server, perangkat jaringan, perangkat pengamanan, komputer personal, dan semua perangkat di jaringan yang sama.

Kenapa PCI DSS penting untuk eCommerce?
Patuh terhadap PCI DSS, berarti perusahaan melakukan yang terbaik untuk menjaga keamanan informasi pelanggan, meningkatkan kepercayaan pelanggan, dan meningkatkan reputasi terhadap mitra-mitra bisnis seperti pemroses pembayaran dan bank.

Jika ingin mendapatkan sertifikasi PCI DSS level 2 hingga 4, menggunakan SAQ yang mana untuk eCommerce?
SAQ A, A-EP atau D, tergantung metode pengolahan pembayarannya.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s