Panduan kepatuhan PCI

Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standards / PCI DSS) mengatur standar minimum keamanan data — inilah panduan langkah demi langkah untuk menjaga kepatuhan dan cara Stripe membantu.

Pendahuluan

Sejak tahun 2005, lebih dari 11 miliar catatan konsumen telah diretas dari lebih dari 8.500 pembobolan data. Ini adalah angka terbaru dari The Privacy Rights Clearinghouse, yang melaporkan pembobolan data dan pembobolan keamanan yang berdampak pada konsumen sejak tahun 2005.

Untuk meningkatkan keamanan data konsumen dan kepercayaan pada ekosistem pembayaran, maka dibuatlah standar minimum keamanan data. Visa, Mastercard, American Express, Discover, dan JCB membentuk Dewan Standar Keamanan Industri Kartu Pembayaran (Payment Card Industry Security Standards Council / PCI SSC) pada tahun 2006 untuk menerapkan dan mengelola standar keamanan bagi perusahaan yang menangani data kartu kredit. Sebelum PCI SSC dibentuk, kelima perusahaan kartu kredit ini semuanya memiliki program standar keamanannya sendiri—masing-masing dengan persyaratan dan tujuan yang kurang lebih sama. Mereka bersatu melalui PCI SSC untuk menyelaraskan satu kebijakan standar, yakni PCI Data Security Standards (dikenal sebagai PCI DSS) guna menjamin patokan level proteksi bagi konsumen dan bank di era Internet.

Memahami PCI DSS barangkali rumit dan menantang

Jika model bisnis mengharuskan Anda menangani data kartu, Anda mungkin diharuskan untuk memenuhi 300+ kontrol keamanan di PCI DSS. Ada lebih dari 1.800 halaman dokumentasi resmi, yang diterbitkan oleh PCI Council, tentang PCI DSS, dan lebih dari 300 halaman hanya untuk memahami formulir mana yang harus digunakan saat memvalidasi kepatuhan. Hal ini akan memerlukan waktu lebih dari 72 jam hanya untuk membaca.

Guna meringankan beban ini, berikut ini adalah panduan langkah demi langkah untuk memvalidasi dan mempertahankan kepatuhan PCI.

Gambaran Umum Standar Keamanan Data PCI (PCI Data Security Standard / PCI DSS)

PCI DSS adalah standar keamanan global bagi semua entitas yang menyimpan, memproses, atau mengirim data pemegang kartu dan/atau data autentikasi sensitif. PCI DSS mengatur level patokan proteksi bagi konsumen serta membantu mengurangi penipuan dan pembobolan data dalam ekosistem pembayaran keseluruhan. Ini berlaku untuk organisasi yang menyetujui atau memproses kartu pembayaran.

Kepatuhan PCI DSS melibatkan 3 hal utama:

  1. Menangani pemasukan data kartu kredit dari pelanggan, yaitu, bahwa detail kartu yang bersifat sensitif dikumpulkan dan dikirim dengan aman
  2. Menyimpan data dengan aman, yang diuraikan dalam 12 domain keamanan standar PCI, seperti enkripsi, pemantauan kontinu, dan pengujian keamanan akses ke data kartu
  3. Memvalidasi setiap tahun apakah kontrol keamanan yang diperlukan sudah ada, yang dapat meliputi formulir, kuesioner, layanan pemindaian kerentanan eksternal, dan audit pihak ke-3 (lihat panduan langkah demi langkah di bawah ini untuk melihat tabel berisi empat level persyaratan)

Menangani data kartu

Beberapa model bisnis memang mengharuskan penanganan langsung data kartu kredit yang sensitif saat menerima pembayaran, meskipun ada model lain yang tidak demikian. Perusahaan yang benar-benar perlu menangani data kartu (mis., menyetujui PAN yang tidak ditokenisasi di halaman pembayaran) mungkin diharuskan memenuhi masing-masing dari 300+ kontrol keamanan di PCI DSS. Sekalipun data kartu hanya melewati servernya sesaat, perusahaan perlu membeli, mengimplementasikan, dan memelihara perangkat lunak dan perangkat keras keamanan.

Jika perusahaan tidak perlu menangani data kartu kredit yang sensitif, maka tidak diharuskan. Solusi pihak ketiga (mis., Stripe Elements) secara aman menyetujui dan menyimpan data, sehingga menghilangkan banyak kerumitan, biaya, dan risiko. Karena data kartu tidak pernah mencapai servernya, perusahaan hanya perlu mengonfirmasi 22 kontrol keamanan, yang kebanyakan bersifat langsung, seperti penggunaan kata sandi yang kuat.

Menyimpan data secara aman

Jika organisasi menangani atau menyimpan data kartu kredit, organisasi perlu menetapkan lingkup lingkungan data pemegang kartu (CDE). PCI DSS mendefinisikan CDE sebagai orang, proses, dan teknologi yang menyimpan, memproses, atau mengirim data kartu kredit—atau sistem yang terhubung dengannya. Karena 300+ persyaratan keamanan dalam PCI DSS berlaku untuk CDE, maka perlu melakukan segmentasi lingkungan pembayaran dari bisnis lainnya dengan tepat guna membatasi lingkup validasi PCI. Jika suatu organisasi tidak dapat mengendalikan lingkup CDE dengan segmentasi terperinci, maka kontrol keamanan PCI akan berlaku untuk setiap sistem, laptop, dan perangkat di jaringan perusahaannya. Wah!

Validasi tahunan

Terlepas dari cara menyetujui data kartu, organisasi diharuskan melengkapi formulir validasi PCI setiap tahun. Cara memvalidasi kepatuhan PCI tergantung sejumlah faktor, yang diuraikan di bawah ini. Berikut ini 3 skenario yang mengharuskan organisasi menunjukkan kepatuhannya pada PCI:

  • Pemroses pembayaran dapat memintanya sebagai bagian dari pelaporan wajib mereka ke pemilik merek kartu pembayaran
  • Mitra bisnis dapat memintanya sebagai prasyarat menyepakati perjanjian bisnis
  • Untuk bisnis platform (bisnis yang teknologinya memfasilitasi transaksi online di antara kelompok pengguna yang berbeda), pelanggan dapat memintanya menunjukkan bahwa mereka menangani data secara aman

Rangkaian standar keamanan terbaru, PCI DSS versi 3.2.1, berisi 12 persyaratan utama dengan lebih dari 300 subpersyaratan yang mencerminkan keamanan praktik terbaik.

    Bangun dan pelihara jaringan dan sistem yang aman

  1. Instal dan pelihara konfigurasi firewall untuk memproteksi data pemegang kartu
  2. Jangan gunakan nilai default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya
  3. Proteksi data pemegang kartu

  4. Proteksi data pemegang kartu yang tersimpan
  5. Enkripsi transmisi data pemegang kartu melalui jaringan terbuka atau publik
  6. Pelihara program manajemen kerentanan

  7. Proteksi semua sistem terhadap malware dan perbarui perangkat lunak antivirus secara berkala
  8. Kembangkan dan pelihara sistem dan aplikasi yang aman
  9. Terapkan tindakan kontrol akses yang kuat

  10. Batasi akses ke data pemegang kartu menurut yang perlu diketahui bisnis
  11. Identifikasi dan autentikasi akses ke komponen sistem
  12. Batasi akses fisik ke data pemegang kartu
  13. Pantau dan uji jaringan secara berkala

  14. Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu
  15. Uji sistem dan proses keamanan secara berkala
  16. Pertahankan kebijakan keamanan informasi

  17. Pertahankan kebijakan yang menangani keamanan informasi untuk semua personel

Agar bisnis "lebih mudah" memvalidasi kepatuhan PCI, PCI Council membuat sembilan formulir atau Kuesioner Penilaian Mandiri (SAQ) berbeda yang merupakan bagian dari keseluruhan persyaratan PCI DSS. Triknya adalah mencari tahu SAQ mana yang berlaku atau perlu tidaknya merekrut auditor yang disetujui PCI Council untuk memverifikasi apakah setiap persyaratan keamanan PCI DSS telah terpenuhi. Selain itu, PCI Council merevisi aturan setiap tiga tahun dan merilis pembaruan bertahap sepanjang tahun, yang menambahkan kompleksitas lebih dinamis.

Panduan langkah demi langkah untuk kepatuhan PCI DSS v3.2.1

1. Kenali persyaratan Anda

Langkah pertama dalam mencapai kepatuhan PCI adalah mengenali persyaratan mana yang berlaku untuk organisasi Anda. Ada empat level kepatuhan PCI yang berbeda, biasanya berdasarkan volume transaksi kartu kredit yang diproses bisnis Anda selama periode 12 bulan.

Berlaku untuk Persyaratan
Level 1
  1. Organisasi yang setiap tahunnya memproses lebih dari 6 juta transaksi Visa atau MasterCard, atau lebih dari 2,5 juta untuk American Express; atau
  2. Pernah mengalami pembobolan data; atau
  3. Dianggap "Level 1" oleh suatu asosiasi kartu (Visa, Mastercard, dsb)
  1. Laporan Tahunan tentang Kepatuhan (Annual Report on Compliance/ROC) oleh Penilai Keamanan yang Kompeten (Annual Report on Compliance/QSA)—juga dikenal sebagai penilaian di-lokasi Level 1—atau auditor internal jika ditandatangani oleh petugas perusahaan
  2. Pemindaian jaringan setiap triwulan oleh Vendor Pemindaian yang Disetujui (Approved Scan Vendor/ASV)
  3. Pengesahan Kepatuhan (AOC) untuk Penilaian Di-Lokasi–ada formulir spesifik untuk merchant dan penyedia layanan
Level 2 Organisasi yang memproses antara 1-6 juta transaksi setiap tahun
  1. Kuesioner Tahunan Penilaian Mandiri PCI DSS (SAQ)—ada 9 tipe SAQ yang ditampilkan secara singkat dalam tabel di bawah ini
  2. Pemindaian jaringan setiap triwulan oleh Vendor Pemindaian yang Disetujui (Approved Scan Vendor/ASV)
  3. Pengesahan Kepatuhan (AOC)—masing-masing dari 9 SAQ memiliki formulir AOC tersendiri
Level 3
  1. Organisasi yang memproses antara 20.000-1 juta transaksi online setiap tahun
  2. Organisasi yang memproses kurang dari 1 juta total transaksi setiap tahun
Level 4
  1. Organisasi yang memproses kurang dari 20.000 transaksi online setiap tahun; atau
  2. Organisasi yang memproses hingga 1 juta total transaksi setiap tahun

Untuk Level 2–4, ada berbagai tipe SAQ yang bergantung pada metode integrasi pembayaran Anda. Inilah tabel singkatnya:

SAQ Keterangan
A

Merchant card-not-present (e-commerce atau pesanan via pos/telepon), yang sepenuhnya mengalihdayakan semua fungsi data pemegang kartu ke penyedia layanan pihak ketiga yang mematuhi PCI DSS, tanpa penyimpanan elektronik, pemrosesan, atau pengiriman data pemegang kartu di sistem atau lokasi merchant.

Tidak berlaku untuk saluran tatap muka.

A-EP

Merchant e-commerce yang menyerahkan semua pemrosesan pembayaran ke pihak ketiga yang telah divalidasi PCI DSS, dan yang memiliki situs web yang tidak secara langsung menerima data pemegang kartu namun dapat memengaruhi keamanan transaksi pembayaran. Tidak ada penyimpanan elektronik, pemrosesan, atau pengiriman data pemegang kartu di sistem atau lokasi merchant.

Hanya berlaku untuk saluran e-commerce.

B

Merchant yang hanya menggunakan:

  • Mesin imprint tanpa penyimpanan data pemegang kartu elektronik, dan/atau
  • Terminal mandiri yang menggunakan saluran telepon tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.

B-IP

Merchant yang hanya menggunakan terminal pembayaran mandiri yang disetujui PTS dengan koneksi IP ke pemroses pembayaran tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.

C-VT

Merchant yang memasukkan transaksi satu per satu secara manual melalui keyboard ke dalam solusi terminal pembayaran virtual berbasis Internet yang disediakan dan di-hosting oleh penyedia layanan pihak ketiga yang telah divalidasi PCI DSS. Tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.

C

Merchant dengan sistem aplikasi pembayaran yang terhubung ke Internet, tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.

P2PE

Merchant yang hanya menggunakan terminal pembayaran perangkat keras yang disertakan dalam dan dikelola melalui solusi Enkripsi Titik ke Titik (Point-to-Point Encryption/P2PE) yang terdaftar di PCI SSC dan telah divalidasi, tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk merchant e-commerce.

D

SAQ D untuk Merchant: Semua merchant yang tidak termasuk dalam keterangan tipe SAQ di atas.

SAQ D untuk Penyedia Layanan: Semua penyedia layanan yang dianggap memenuhi syarat untuk menyelesaikan SAQ oleh merek pembayaran.

Untuk memilih dokumen SAQ dan Pengesahan yang paling sesuai bagi organisasi Anda, diagram alur pada halaman 18 dokumen PCI ini dapat membantu.

Persyaratan PCI DSS berubah dari waktu ke waktu, jadi salah satu cara terbaik untuk mendapatkan pembaruan tentang persyaratan sertifikasi baru atau yang berubah dan cara memenuhinya adalah dengan menjadi Organisasi Peserta (PO) PCI.

2. Petakan alur data Anda

Agar dapat memproteksi data kartu kredit yang sensitif, Anda perlu tahu tempat penyimpanannya dan cara mengaksesnya. Anda nanti perlu membuat peta komprehensif dari sistem, koneksi jaringan, dan aplikasi yang berinteraksi dengan data kartu kredit di seluruh bagian organisasi Anda. Tergantung peran Anda, Anda mungkin perlu bekerja sama dengan tim TI dan tim keamanan untuk melakukannya.

  • Pertama, identifikasi setiap bidang bisnis yang berhadapan langsung dengan konsumen dan melibatkan transaksi pembayaran. Misalnya, Anda dapat menerima pembayaran melalui keranjang belanja online, terminal pembayaran di toko, atau pesanan yang dibuat melalui telepon.
  • Berikutnya, tandai berbagai cara penanganan data pemegang kartu di seluruh bagian bisnis. Anda perlu mengetahui secara persis tempat menyimpan data dan pihak yang dapat mengaksesnya.
  • Kemudian, identifikasi sistem internal atau teknologi yang digunakan yang menangani transaksi pembayaran. Termasuk sistem jaringan Anda, pusat data, dan lingkungan cloud.

3. Periksa kontrol dan protokol keamanan

Setelah Anda memetakan semua titik kontak potensial untuk data kartu kredit di seluruh organisasi Anda, bekerja samalah dengan tim TI dan tim keamanan untuk memastikan konfigurasi dan protokol keamanan yang ada sudah tepat (lihat daftar 12 persyaratan keamanan untuk PCI DSS di atas). Protokol-protokol ini dirancang untuk mengamankan transmisi data, seperti Keamanan Lapisan Transportasi (Transport Layer Security/TLS).

12 persyaratan keamanan untuk PCI DSS v3.2.1 berasal dari praktik terbaik untuk melindungi data sensitif bagi bisnis. Sejumlah persyaratan tumpang tindih dengan persyaratan yang diperlukan untuk memenuhi GDPR, HIPAA, dan mandat privasi lainnya, jadi beberapa di antaranya mungkin sudah ada di organisasi Anda.

4. Pantau dan pertahankan

Penting dicatat bahwa kepatuhan PCI bukanlah peristiwa sekali waktu. Ini merupakan proses berkelanjutan untuk memastikan bisnis Anda tetap patuh sekalipun alur data dan titik kontak pelanggan berubah. Beberapa merek kartu kredit mungkin mengharuskan Anda menyerahkan laporan setiap triwulan atau laporan tahunan, atau menyelesaikan penilaian lapangan tahunan untuk memvalidasi kepatuhan yang ada saat ini, khususnya jika Anda memproses lebih dari 6 juta transaksi setiap tahun.

Mengelola kepatuhan PCI sepanjang tahun (dan dari tahun ke tahun) sering kali memerlukan dukungan dan kerja sama lintas departemen. Jika belum demikian, mungkin ada gunanya membuat tim khusus secara internal untuk memelihara kepatuhan sebagaimana semestinya. Meskipun setiap perusahaan berbeda, titik awal yang baik bagi "tim PCI" mencakup perwakilan dari aspek berikut ini:

  • Keamanan: Chief Security Officer (CSO), Chief Information Security Officer (CISO), dan timnya memastikan organisasi selalu berinvestasi dengan baik dalam sumber daya serta kebijakan keamanan data dan privasi yang diperlukan.
  • Teknologi / Pembayaran: Chief Technology Officer (CTO), Wakil Kepala Pembayaran, dan timnya memastikan bahwa alat-alat inti, integrasi, dan infrastruktur tetap patuh bila sistem organisasi berubah.
  • Keuangan: Chief Financial Officer (CFO) dan timnya memastikan bahwa semua alur data pembayaran dicatat bila menyangkut sistem pembayaran dan mitra.
  • Hukum: Tim ini dapat memberikan arahan terhadap banyaknya nuansa hukum dari kepatuhan PCI DSS.

Untuk informasi selengkapnya tentang kerumitan kepatuhan PCI, kunjungi situs web PCI Security Standards Council. Jika Anda hanya membaca panduan ini dan beberapa dokumen PCI lainnya, kami merekomendasikan Anda memulainya dengan ini: pendekatan prioritas untuk PCI DSS, instruksi dan pedoman SAQ, FAQ tentang penggunaan kriteria kelayakan SAQ untuk menentukan persyaratan penilaian di-lokasi, dan FAQ tentang kewajiban bagi merchant yang mengembangkan aplikasi untuk perangkat konsumen yang menyetujui data kartu pembayaran.

Cara Stripe membantu organisasi mencapai dan mempertahankan kepatuhan PCI

Stripe menyederhanakan beban PCI secara signifikan bagi perusahaan yang berintegrasi dengan Checkout, Elements, SDK seluler dan SDK Terminal. Stripe Checkout dan Stripe Elements menggunakan bidang pembayaran yang di-hosting untuk menangani semua data kartu pembayaran, sehingga pemegang kartu memasukkan semua informasi pembayaran yang bersifat sensitif dalam bidang pembayaran yang berasal langsung dari server PCI DSS kami yang telah divalidasi. SDK seluler dan SDK Terminal Stripe juga memungkinkan pemegang kartu mengirim langsung informasi pembayaran yang bersifat sensitif ke server PCI DSS kami yang telah divalidasi.

Dengan metode persetujuan kartu yang lebih aman seperti ini, kami akan mengisikan formulir PCI (SAQ) di Dashboard Stripe, sehingga menjadikan validasi PCI semudah mengeklik tombol. Hal ini dapat menghemat waktu ratusan jam kerja bagi organisasi yang lebih kecil dan menghemat waktu ribuan jam kerja bagi organisasi yang lebih besar.

Bagi semua pengguna kami, apa pun tipe integrasinya, Stripe bertindak sebagai dukungan PCI dan dapat membantu dengan beberapa macam cara.

  • Kami akan menganalisis metode integrasi Anda dan menyarankan Anda tentang formulir PCI yang harus digunakan dan cara mengurangi beban kepatuhan Anda.
  • Kami akan memberi tahu Anda sebelumnya jika volume transaksi yang bertumbuh akan mengharuskan perubahan dalam cara Anda memvalidasi kepatuhan.
  • Bagi merchant besar (Level 1), kami menyediakan paket PCI yang dapat mengurangi waktu validasi PCI dari hitungan bulan menjadi hari. Jika Anda perlu menggunakan PCI QSA (karena Anda menyimpan data kartu kredit atau memiliki alur pembayaran yang lebih rumit), ada lebih dari 350 perusahaan QSA di seluruh dunia, dan kami dapat menghubungkan Anda dengan beberapa auditor yang sangat memahami berbagai metode integrasi Stripe.
Level Merchant Visa Waktu audit rata-rata (estimasi tahunan) Waktu audit rata-rata pada Stripe Elements, Checkout atau SDK Seluler (estimasi tahunan)
Level 1 3-5 bulan 2-5 hari
Level 2 1-3 bulan 0 hari
Level 3 1-3 bulan 0 hari
Level 4 1-3 bulan 0 hari

Untuk informasi selengkapnya tentang cara Stripe membantu Anda memproteksi data pelanggan dan mencapai kepatuhan PCI, pelajari dokumentasi kami tentang keamanan integrasi.

Kesimpulan

Menilai dan memvalidasi kepatuhan PCI biasanya terjadi setahun sekali, tetapi kepatuhan PCI bukanlah peristiwa sekali waktu — ini merupakan upaya penilaian dan remediasi yang kontinu dan substansial. Seiring pertumbuhan perusahaan, logika dan proses bisnis inti pun ikut tumbuh, yang berarti persyaratan kepatuhan juga akan berubah. Misalnya, sebuah bisnis online dapat memutuskan untuk membuka toko fisik, memasuki pasar baru, atau meluncurkan pusat dukungan pelanggan. Jika ada hal baru yang melibatkan data kartu pembayaran, sebaiknya proaktif memeriksa apakah hal ini berdampak pada metode validasi PCI Anda, dan memvalidasi kembali kepatuhan PCI bila diperlukan.

Kepatuhan PCI membantu. Cuma tidak cukup.

Kepatuhan terhadap pedoman PCI DSS adalah lapisan proteksi yang diperlukan untuk bisnis Anda — tetapi hal itu tidak cukup. PCI DSS mengatur standar penting untuk menangani dan menyimpan data pemegang kartu, tetapi tidak dengan sendirinya memberikan proteksi memadai bagi setiap lingkungan pembayaran. Melainkan, berpindah ke metode persetujuan kartu yang lebih aman (seperti Stripe Checkout, Elements, dan SDK seluler) menjadi cara yang jauh lebih efektif untuk melindungi organisasi Anda. Manfaat jangka panjang yang diberikannya adalah Anda tidak perlu bergantung pada standar patokan industri atau mengkhawatirkan kemungkinan kegagalan kontrol keamanan. Pendekatan ini memberi bisnis yang luwes suatu cara mengurangi potensi pembobolan data dan menghindari pendekatan yang emosional, boros waktu, dan mahal untuk validasi PCI. Belum lagi, metode integrasi yang lebih aman dapat diandalkan setiap hari sepanjang tahun.

Kembali ke panduan
You’re viewing our website for Estonia, but it looks like you’re in the United States.