Versi terbaru dari PCI DSS (v4.0) dirilis pada Maret 2022. Ini mencantumkan 12 persyaratan untuk melindungi data pemegang kartu. Organisasi harus menerapkan persyaratan ini sebelum tanggal 31 Maret 2025 untuk mencapai kepatuhan.

Menginstal dan memelihara kontrol keamanan jaringan

Kontrol keamanan jaringan (NSC) dapat mencakup firewall, perangkat virtual, sistem kontainer, sistem keamanan cloud, dan teknologi lain yang mengontrol akses ke sistem dan data.

Menerapkan konfigurasi aman ke semua komponen sistem

Kata sandi default dan pengaturan sistem default lainnya yang disediakan oleh vendor tidak boleh digunakan karena rentan terhadap serangan siber.

Lindungi data pemegang kartu yang disimpan

Kecuali diperlukan untuk kebutuhan bisnis, organisasi tidak boleh menyimpan data pemegang kartu. Jika disimpan, data harus dibuat tidak dapat dibaca melalui enkripsi, masking atau cara lain.

Lindungi data pemegang kartu dengan kriptografi yang kuat selama transmisi melalui jaringan publik terbuka

Untuk mencegah peretas mengakses informasi sensitif seperti nomor kartu dan informasi identifikasi pribadi (PII), data harus dienkripsi sebelum dan/atau selama transmisi jaringan publik.

Lindungi semua sistem dan jaringan dari perangkat lunak berbahaya

Pertahankan perangkat lunak anti-virus dan pertahanan lainnya terhadap malware seperti spyware, keylogger, ransomware, skrip, dan virus lainnya.

Mengembangkan dan memelihara sistem dan perangkat lunak yang aman

Dengan menerapkan patch keamanan terbaru dan mengikuti praktik aman saat mengembangkan aplikasi, organisasi dapat membantu meminimalkan risiko pelanggaran data.

Batasi akses ke komponen sistem dan data pemegang kartu berdasarkan kebutuhan bisnis yang perlu diketahui

Langkah-langkah kontrol akses yang kuat harus memastikan pengguna yang berwenang hanya melihat informasi pemegang kartu yang diperlukan untuk melakukan pekerjaan mereka.

Mengidentifikasi pengguna dan mengautentikasi akses ke komponen sistem

ID unik dengan data autentikasi yang dapat dilacak harus diberikan kepada setiap orang yang memiliki akses komputer ke sistem dan data sensitif.

Batasi akses fisik ke data pemegang kartu

Untuk mencegah orang yang tidak berwenang mengambil perangkat keras atau salinan cetak yang berisi data pemegang kartu, akses fisik ke sistem harus dibatasi.

Catat dan pantau semua akses ke komponen sistem dan data pemegang kartu

Kemampuan untuk mengotomatiskan pencatatan dan pemantauan sistem dan data sensitif dapat membantu mendeteksi aktivitas yang mencurigakan dan mendukung analisis forensik setelah terjadi pelanggaran.

Uji keamanan sistem dan jaringan secara teratur

Karena penjahat siber terus mencari kerentanan baru dalam lingkungan TI yang berubah, pengujian penetrasi dan pemindaian kerentanan harus dilakukan secara teratur.

Mendukung keamanan informasi dengan kebijakan dan program organisasi

Organisasi harus membuat kebijakan keamanan informasi komprehensif yang menguraikan prosedur untuk mengidentifikasi dan mengelola risiko, pendidikan kesadaran keamanan berkelanjutan, dan kepatuhan terhadap PCI DSS.