Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah seperangkat persyaratan keamanan untuk melindungi data pemegang kartu, nomor rekening utama pemegang kartu (PAN), nama, tanggal kedaluwarsa, kode layanan, dan informasi sensitif pemegang kartu lainnya di sepanjang siklus hidupnya.
PCI DSS berlaku untuk setiap merchant, penyedia layanan, atau organisasi lain yang menyimpan, memproses, atau mengirimkan data pemegang kartu, dan untuk setiap organisasi yang terhubung ke sistem yang menyimpan, memproses, atau mengirimkan data pemegang kartu. (Sistem ini disebut sebagai lingkungan data pemegang kartu, atau CDE). PCI DSS menguraikan kontrol keamanan, proses, dan pengujian terperinci yang harus diterapkan oleh organisasi untuk melindungi data pemegang kartu. Langkah-langkah keamanan ini mencakup berbagai area fungsional di seluruh lingkungan data pemegang kartu, termasuk transaksi ecommerce, sistem titik penjualan, hotspot nirkabel, mobile, komputasi cloud, dan sistem penyimpanan berbasis kertas.
Kepatuhan PCI DSS memerlukan pelaporan tahunan oleh merchant dan penyedia layanan, dan pelaporan tambahan setelah perubahan signifikan pada CDE. Memvalidasi kepatuhan juga melibatkan penilaian berkelanjutan terhadap postur keamanan organisasi, dan remediasi berkelanjutan untuk mengatasi kesenjangan dalam kebijakan, teknologi, atau prosedur keamanan.
Organisasi dan penyedia layanan dapat dinilai oleh Penilai Keamanan Berkualifikasi (QSA) yang mengeluarkan Pengesahan Kepatuhan (AOC) setelah menyelesaikan penilaian yang berhasil.
Versi pertama PCI DSS dirilis pada tahun 2004 oleh merek kartu pembayaran American Express, Discover, JCB International, MasterCard, dan Visa, yang secara kolektif membentuk Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC) untuk mengelola persyaratan teknis standar. Pada tahun 2020, PCI SSC menambahkan asosiasi kartu bank UnionPay. PCI DSS diperbarui secara berkala untuk mengatasi ancaman keamanan siber terbaru terhadap data kartu pembayaran seperti pencurian identitas, penipuan, dan pelanggaran data.
IBM adalah Penyedia Layanan Level 1 untuk PCI DSS, dan klien dapat membangun lingkungan dan aplikasi yang sesuai dengan PCI-DSS menggunakan IBM Cloud.
Banyak layanan platform IBM Cloud yang memiliki Pengesahan Kepatuhan (AOC) PCI DSS yang dikeluarkan oleh Penilai Keamanan Berkualifikasi (QSA).
Percepat kepatuhan Anda menggunakan layanan IBM Cloud
Versi terbaru dari PCI DSS (v4.0.1) dirilis pada Juni 2024. Organisasi harus menerapkan 12 persyaratan ini sebelum tanggal 31 Maret 2025 untuk mencapai kepatuhan.
IBM Cloud menawarkan rangkaian layanan berikut ini yang akan membantu Anda memenuhi persyaratan PCI DSS tertentu dan mempercepat perjalanan kepatuhan Anda.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services menghadirkan keamanan dan kinerja terdepan di pasar untuk konten web eksternal dan aplikasi internet Anda sebelum mencapai cloud.
IBM Cloud Direct Link
Kecepatan dan keandalan IBM Cloud Direct Link membantu Anda memperluas jaringan pusat data organisasi Anda, tanpa menyentuh internet publik.
IBM Cloud Gateway Appliances
Peralatan gateway adalah perangkat yang memberikan Anda kontrol yang lebih baik atas lalu lintas jaringan, sehingga Anda dapat mempercepat kinerja jaringan, dan meningkatkan keamanan jaringan.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway membantu Anda menghubungkan dan mengelola jaringan IBM Cloud Virtual Private Cloud (VPC) Anda.
Perangkat Keamanan Fortigate
Terapkan sepasang Peralatan Virtual FortiGate ke lingkungan Anda, yang dapat membantu Anda mengurangi risiko dengan menerapkan kontrol keamanan penting dalam infrastruktur virtual Anda.
Firewall Perangkat Keras
Lapisan keamanan penting yang disediakan sesuai permintaan tanpa gangguan layanan.
Perangkat Keamanan Fortigate
Terapkan sepasang Peralatan Virtual FortiGate ke lingkungan Anda, yang dapat membantu Anda mengurangi risiko dengan menerapkan kontrol keamanan penting dalam infrastruktur virtual Anda.
Firewall Perangkat Keras
Lapisan keamanan penting yang disediakan sesuai permintaan tanpa gangguan layanan.
IBM Security and Compliance Center - Perlindungan Beban Kerja
Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.
IBM QRadar Suite
IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.
IBM Key Protect for IBM Cloud
Layanan IBM Key Protect for IBM Cloud membantu Anda menyediakan dan menyimpan kunci terenkripsi untuk aplikasi di seluruh layanan IBM Cloud, sehingga Anda dapat melihat dan mengelola enkripsi data dan seluruh siklus proses kunci dari satu lokasi pusat.
IBM Security and Compliance Center - Broker Keamanan Data - Manajer
Solusi keamanan dalam rangkaian Security and Compliance Center yang menyediakan kebijakan enkripsi terpusat dan audit data di berbagai sumber data.
IBM Cloud Hyper Protect Virtual Servers
Waktu proses kontainer komputasi rahasia yang dikelola sepenuhnya yang memungkinkan penerapan beban kerja dalam kontainer yang sensitif di lingkungan yang sangat terisolasi dengan jaminan teknis.
IBM Cloud Hardware Security Module
Melindungi infrastruktur kriptografi dengan mengelola, memproses, dan menyimpan kunci kriptografi dengan lebih aman di dalam perangkat keras yang tahan gangguan.
IBM Security Guardium
Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.
IBM Cloud Storage Services
Rumah yang dapat diskalakan, kaya akan keamanan, dan hemat biaya untuk data Anda sekaligus mendukung beban kerja tradisional dan cloud native. Penyediaan dan penerapan layanan seperti akses objek, blok, dan penyimpanan file.
IBM Cloud Database Services
Membebaskan pengembang dan TI dari tugas-tugas yang rumit dan memakan waktu termasuk penerapan & pembaruan perangkat lunak infrastruktur dan database, operasi infrastruktur, dan pencadangan.
IBM Cloud Direct Link
Kecepatan dan keandalan IBM Cloud Direct Link membantu Anda memperluas jaringan pusat data organisasi Anda, tanpa menyentuh internet publik.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway membantu Anda menghubungkan dan mengelola jaringan IBM Cloud Virtual Private Cloud (VPC) Anda.
IBM Key Protect for IBM Cloud
Layanan IBM Key Protect for IBM Cloud membantu Anda menyediakan dan menyimpan kunci terenkripsi untuk aplikasi di seluruh layanan IBM Cloud, sehingga Anda dapat melihat dan mengelola enkripsi data dan seluruh siklus proses kunci dari satu lokasi pusat.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services menghadirkan keamanan dan kinerja terdepan di pasar untuk konten web eksternal dan aplikasi internet Anda sebelum mencapai cloud.
IBM Cloud Direct Link
Kecepatan dan keandalan IBM Cloud Direct Link membantu Anda memperluas jaringan pusat data organisasi Anda, tanpa menyentuh internet publik.
Perangkat Keamanan Fortigate
Terapkan sepasang Peralatan Virtual FortiGate ke lingkungan Anda, yang dapat membantu Anda mengurangi risiko dengan menerapkan kontrol keamanan penting dalam infrastruktur virtual Anda.
IBM QRadar Suite
IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.
IBM Security Guardium
Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services menghadirkan keamanan dan kinerja terdepan di pasar untuk konten web eksternal dan aplikasi internet Anda sebelum mencapai cloud.
IBM Security and Compliance Center - Perlindungan Beban Kerja
Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.
IBM Security Guardium
Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.
IBM Cloud Container Registry
Simpan dan distribusikan image kontainer dalam registri pribadi yang dikelola sepenuhnya. Dorong gambar pribadi untuk menjalankannya dengan mudah di IBM Cloud Kubernetes Service dan lingkungan runtime lainnya.
IBM Cloud Continuous Delivery
Gunakan DevOps yang siap untuk perusahaan. Buat rantai alat yang mendukung tugas pengiriman aplikasi Anda. Otomatiskan pembuatan, pengujian, penerapan, dan lainnya.
IBM® Cloud Kubernetes Service
Menerapkan klaster yang kaya keamanan dan sangat tersedia di pengalaman Kubernetes native.
IBM Cloud App ID
Tambahkan autentikasi ke aplikasi web dan seluler dengan mudah. Tingkatkan aplikasi Anda dengan kemampuan keamanan tingkat lanjut seperti autentikasi multifaktor dan sistem masuk tunggal.
IBM Cloud Identity and Access Management (IAM)
Layanan IBM Cloud Identity and Access Management dengan aman mengautentikasi pengguna dan mengontrol akses ke semua sumber daya secara konsisten di IBM Cloud Platform.
IBM Cloud App ID
Tambahkan autentikasi ke aplikasi web dan seluler dengan mudah. Tingkatkan aplikasi Anda dengan kemampuan keamanan tingkat lanjut seperti autentikasi multifaktor dan sistem masuk tunggal.
IBM Cloud Secrets Manager
Buat rahasia secara dinamis dan sewa ke aplikasi sambil mengontrol akses dari satu lokasi. Dibangun di atas Hashicorp Vault sumber terbuka.
IBM Cloud Identity and Access Management (IAM)
Layanan IBM Cloud Identity and Access Management dengan aman mengautentikasi pengguna dan mengontrol akses ke semua sumber daya secara konsisten di IBM Cloud Platform.
IBM Cloud menerapkan beberapa langkah untuk meningkatkan keamanan fisik:
- Keamanan fisik perimeter pusat data
- Kontrol akses masuk dan keluar dan pencatatan
- Mengamankan kantor, ruangan, dan fasilitas
- Perlindungan terhadap ancaman eksternal dan lingkungan
- Redundansi peralatan listrik dan jaringan
- Pembuangan peralatan dengan aman selama de-provisioning
- Kebijakan dan keamanan bisnis SDM perusahaan untuk orientasi, pelatihan, dan pemberhentian kerja
IBM Cloud Flow Logs for VPC
Memungkinkan pengumpulan, penyimpanan, dan penyajian informasi tentang lalu lintas Internet Protocol (IP) yang menuju dan dari antarmuka jaringan dalam Virtual Private Cloud (VPC) Anda.
IBM QRadar Suite
IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.
IBM Cloud Identity and Access Management (IAM)
Layanan IBM Cloud Identity and Access Management dengan aman mengautentikasi pengguna dan mengontrol akses ke semua sumber daya secara konsisten di IBM Cloud Platform.
IBM Security Guardium
Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.
IBM Cloud Logs
Dapatkan observabilitas log dengan IBM Cloud Logs untuk membantu meningkatkan kinerja infrastruktur dan aplikasi.
IBM Cloud Monitoring
Pemantauan dan pemecahan masalah cloud untuk infrastruktur, layanan cloud, dan aplikasi.
IBM Security and Compliance Center - Perlindungan Beban Kerja
Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.
IBM QRadar Suite
IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.
IBM Security Guardium
Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.
IBM Security and Compliance Center - Perlindungan Beban Kerja
Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.
IBM Cloud Logs
Dapatkan observabilitas log dengan IBM Cloud Logs untuk membantu meningkatkan kinerja infrastruktur dan aplikasi.
IBM Cloud Monitoring
Pemantauan dan pemecahan masalah cloud untuk infrastruktur, layanan cloud, dan aplikasi.
Pertanyaan umum
Versi terbaru dari PCI DSS 4.0.1 dirilis pada Maret 2022. Versi ini mencantumkan 12 persyaratan untuk melindungi data pemegang kartu. Organisasi harus menerapkan persyaratan ini sebelum tanggal 31 Maret 2025 untuk mencapai kepatuhan.
Menginstal dan memelihara kontrol keamanan jaringan
Kontrol keamanan jaringan (NSC) dapat mencakup firewall, perangkat virtual, sistem kontainer, sistem keamanan cloud, dan teknologi lain yang mengontrol akses ke sistem dan data.
Menerapkan konfigurasi aman ke semua komponen sistem
Kata sandi default dan pengaturan sistem default lainnya yang disediakan oleh vendor tidak boleh digunakan karena rentan terhadap serangan siber.
Lindungi data pemegang kartu yang disimpan
Kecuali diperlukan untuk kebutuhan bisnis, organisasi tidak boleh menyimpan data pemegang kartu. Jika disimpan, data harus dibuat tidak dapat dibaca melalui enkripsi, masking atau cara lain.
Lindungi data pemegang kartu dengan kriptografi yang kuat selama transmisi melalui jaringan publik terbuka
Untuk mencegah peretas mengakses informasi sensitif seperti nomor kartu dan informasi identifikasi pribadi (PII), data harus dienkripsi sebelum dan/atau selama transmisi jaringan publik.
Lindungi semua sistem dan jaringan dari perangkat lunak berbahaya
Pertahankan perangkat lunak anti-virus dan pertahanan lainnya terhadap malware seperti spyware, keylogger, ransomware, skrip, dan virus lainnya.
Mengembangkan dan memelihara sistem dan perangkat lunak yang aman
Dengan menerapkan patch keamanan terbaru dan mengikuti praktik aman saat mengembangkan aplikasi, organisasi dapat membantu meminimalkan risiko pelanggaran data.
Batasi akses ke komponen sistem dan data pemegang kartu berdasarkan kebutuhan bisnis yang perlu diketahui
Langkah-langkah kontrol akses yang kuat harus memastikan pengguna yang berwenang hanya melihat informasi pemegang kartu yang diperlukan untuk melakukan pekerjaan mereka.
Mengidentifikasi pengguna dan mengautentikasi akses ke komponen sistem
ID unik dengan data autentikasi yang dapat dilacak harus diberikan kepada setiap orang yang memiliki akses komputer ke sistem dan data sensitif.
Batasi akses fisik ke data pemegang kartu
Untuk mencegah orang yang tidak berwenang mengambil perangkat keras atau salinan cetak yang berisi data pemegang kartu, akses fisik ke sistem harus dibatasi.
Catat dan pantau semua akses ke komponen sistem dan data pemegang kartu
Kemampuan untuk mengotomatiskan pencatatan dan pemantauan sistem dan data sensitif dapat membantu mendeteksi aktivitas yang mencurigakan dan mendukung analisis forensik setelah terjadi pelanggaran.
Uji keamanan sistem dan jaringan secara teratur
Karena penjahat siber terus mencari kerentanan baru dalam lingkungan TI yang berubah, pengujian penetrasi dan pemindaian kerentanan harus dilakukan secara teratur.
Mendukung keamanan informasi dengan kebijakan dan program organisasi
Organisasi harus membuat kebijakan keamanan informasi komprehensif yang menguraikan prosedur untuk mengidentifikasi dan mengelola risiko, pendidikan kesadaran keamanan berkelanjutan, dan kepatuhan terhadap PCI DSS.
Organisasi yang diatur oleh PCI DSS 4.0.1 harus mendokumentasikan kepatuhan setiap tahun. Organisasi yang lebih besar diwajibkan untuk menyerahkan Laporan Kepatuhan (ROC) dan Pengesahan Kepatuhan (AOC) yang terperinci. Dokumen ROC dan AOC harus dilengkapi dan ditandatangani oleh Penilai Keamanan Berkualifikasi (QSA) yang telah disertifikasi oleh PCI Standard Security Council. Organisasi kecil dan menengah dapat mengisi Kuesioner Penilaian Mandiri (SAQ) untuk memvalidasi kepatuhan.
Jika organisasi melakukan transmisi data pemegang kartu melalui internet, organisasi mungkin juga perlu menerapkan manajemen kerentanan untuk mempertahankan jaringan yang aman. Untuk mencapai kepatuhan, Vendor Pemindaian yang Disetujui (ASV) yang telah disertifikasi oleh PCI SSC harus melakukan pemindaian kerentanan triwulanan untuk menguji keamanan jaringan.
Persyaratan pelaporan untuk PCI DSS berbeda sesuai dengan jumlah transaksi yang diproses setiap tahun oleh organisasi. Ada empat tingkat kepatuhan.
Tingkat 1
Lebih dari 6 juta transaksi kartu pembayaran setiap tahun. Harus menyerahkan Laporan Kepatuhan yang diselesaikan oleh Penilai Keamanan yang Berkualifikasi. Harus memiliki Vendor Pemindaian yang Disetujui melakukan pemindaian kerentanan jaringan triwulanan.
Tingkat 2
Satu juta hingga 6 juta transaksi kartu pembayaran setiap tahun. Harus mengisi Kuesioner Penilaian Mandiri dan mungkin harus melakukan pemindaian kerentanan jaringan triwulanan.
Tingkat 3
20.000 hingga 1 juta transaksi kartu pembayaran setiap tahun. Harus mengisi Kuesioner Penilaian Mandiri dan mungkin harus melakukan pemindaian kerentanan jaringan triwulanan.
Tingkat 4
Kurang dari 20.000 transaksi kartu tahunan. Harus mengisi Kuesioner Penilaian Mandiri dan mungkin harus melakukan pemindaian kerentanan jaringan triwulanan.
Meskipun pedagang dan penyedia layanan pembayaran diharuskan untuk mengikuti PCI DSS 4.0.1 kepatuhan mereka tidak ditegakkan oleh hukum, pemerintah atau bahkan Dewan Standar Keamanan PCI. Sebaliknya, kepatuhan dikelola oleh perusahaan kartu kredit, seperti Visa atau MasterCard, dan acquirer, yang merupakan bank atau lembaga keuangan yang memproses pembayaran kartu.
Setahun sekali, organisasi yang memproses atau menyimpan data pemegang kartu harus memvalidasi kepatuhan mereka terhadap PCI DSS 4.0.1. Jika sebuah organisasi mengalihdayakan pemrosesan pembayarannya, organisasi tersebut masih harus menegaskan bahwa transaksi kartu kredit dilindungi oleh persyaratan standar PCI DSS.
Denda atas ketidakpatuhan terhadap PCI DSS ditetapkan oleh merek kartu pembayaran, dan dinegosiasikan antara merek, merchant atau penyedia layanan, dan bank atau lembaga keuangan lain yang terkena dampak. Merek kartu pembayaran tidak mempublikasikan denda atau biaya, dan biasanya tidak menyediakan informasi denda kepada publik.
Sebagai patokan, denda untuk ketidakpatuhan dapat berkisar antara 5.000 hingga 10.000 USD selama tiga bulan pertama ketidakpatuhan, sampai 50.000 hingga 100.000 USD per bulan setelah enam bulan ketidakpatuhan. Jika terjadi pelanggaran data, pedagang atau penyedia layanan yang tidak patuh dapat didenda tambahan 50 hingga 90 USD per pelanggan hingga maksimum 500.000 USD.
Merek kartu pembayaran dapat mengenakan denda yang jauh lebih tinggi sesuai kebijaksanaan mereka, dan hukuman akhir yang dinegosiasikan untuk ketidakpatuhan PCI DSS suatu organisasi—khususnya ketidakpatuhan yang mengarah pada pelanggaran data—dapat melonjak hingga jutaan atau ratusan juta dolar untuk menutupi kerugian biaya investigasi, klaim pemerintah, tuntutan hukum class action, dan banyak lagi.
Selain menimbulkan denda, organisasi yang tidak patuh mungkin dilarang memproses transaksi kartu pembayaran.
Melindungi data sensitif
Konsekuensi dari pelanggaran data yang melibatkan data pemegang kartu sangat parah. Selain denda, penalti hukum, dan kerusakan reputasi, organisasi dapat mengalami kehilangan pelanggan saat ini dan calon pelanggan. Persyaratan PCI DSS 4.0.1 membantu mempertahankan diri terhadap pencurian data sensitif.
Meningkatkan kepercayaan pelanggan
Karena penipuan dan pencurian identitas sering menjadi berita utama, konsumen mungkin enggan memberikan informasi kartu kredit sensitif kepada pengecer. Kepatuhan PCI DSS membantu pelanggan mempercayai bahwa data mereka dilindungi, memungkinkan mereka untuk lebih percaya diri saat melakukan pembelian.
Mendukung kepatuhan peraturan yang lebih luas
Meskipun PCI DSS bukan merupakan mandat hukum, kontrol keamanan yang diterapkannya dapat membantu organisasi mencapai kepatuhan terhadap peraturan pemerintah. Bagian-bagian dari PCI DSS melengkapi undang-undang perlindungan data seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA), Undang-Undang Sarbanes Oxley (SOX), dan Peraturan Perlindungan Data Umum (GDPR).
Atasi keamanan terpadu, kepatuhan, dan visibilitas risiko di seluruh lingkungan hybrid multicloud.
Bangun infrastruktur yang dapat diskalakan dengan biaya lebih rendah, terapkan aplikasi baru secara instan, dan tingkatkan beban kerja yang sangat penting dan sensitif berdasarkan permintaan, semuanya dalam platform yang kaya keamanan.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
PII adalah informasi apa pun yang dapat digunakan untuk mengungkap identitas individu tersebut, seperti nomor jaminan sosial, nama lengkap, atau alamat email.
Keamanan jaringan adalah bidang keamanan siber yang berfokus pada perlindungan jaringan komputer dari ancaman siber.