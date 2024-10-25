Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS)

Apa itu PCI DSS?

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah seperangkat persyaratan keamanan untuk melindungi data pemegang kartu, nomor rekening utama pemegang kartu (PAN), nama, tanggal kedaluwarsa, kode layanan, dan informasi sensitif pemegang kartu lainnya di sepanjang siklus hidupnya.

PCI DSS berlaku untuk setiap merchant, penyedia layanan, atau organisasi lain yang menyimpan, memproses, atau mengirimkan data pemegang kartu, dan untuk setiap organisasi yang terhubung ke sistem yang menyimpan, memproses, atau mengirimkan data pemegang kartu. (Sistem ini disebut sebagai lingkungan data pemegang kartu, atau CDE). PCI DSS menguraikan kontrol keamanan, proses, dan pengujian terperinci yang harus diterapkan oleh organisasi untuk melindungi data pemegang kartu. Langkah-langkah keamanan ini mencakup berbagai area fungsional di seluruh lingkungan data pemegang kartu, termasuk transaksi ecommerce, sistem titik penjualan, hotspot nirkabel, perangkat seluler, komputasi cloud, dan sistem penyimpanan berbasis kertas.

Kepatuhan PCI DSS memerlukan pelaporan tahunan oleh merchant dan penyedia layanan, dan pelaporan tambahan setelah perubahan signifikan pada CDE. Memvalidasi kepatuhan juga melibatkan penilaian berkelanjutan terhadap postur keamanan organisasi, dan remediasi berkelanjutan untuk mengatasi kesenjangan dalam kebijakan, teknologi, atau prosedur keamanan.

Organisasi dan penyedia layanan dapat dinilai oleh Penilai Keamanan Berkualifikasi (QSA) yang mengeluarkan Pengesahan Kepatuhan (AOC) setelah menyelesaikan penilaian yang berhasil. 

Versi pertama PCI DSS dirilis pada tahun 2004 oleh merek kartu pembayaran American Express, Discover, JCB International, MasterCard, dan Visa, yang secara kolektif membentuk Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC) untuk mengelola persyaratan teknis standar. Pada tahun 2020, PCI SSC menambahkan asosiasi kartu bank UnionPay. PCI DSS diperbarui secara berkala untuk mengatasi ancaman keamanan siber terbaru terhadap data kartu pembayaran seperti pencurian identitas, penipuan, dan pelanggaran data.
IBM Cloud dan PCI DSS

IBM adalah Penyedia Layanan Level 1 untuk PCI DSS, dan klien dapat membangun lingkungan dan aplikasi yang sesuai dengan PCI-DSS menggunakan IBM Cloud.

Banyak layanan platform IBM Cloud yang memiliki Pengesahan Kepatuhan (AOC) PCI DSS yang dikeluarkan oleh Penilai Keamanan Berkualifikasi (QSA).

Hubungi IBM untuk meminta PCI DSS AOC untuk layanan apa pun yang tercantum di bawah
    1. IBM Cloud Activity Tracker (via Mezmo)
    2. IBM Cloud App ID
    3. IBM Cloud Backup
    4. IBM Cloud Backup for VPC
    5. IBM Cloud Bare Metal
    6. IBM Cloud Bare Metal Servers for VPC
    7. IBM Cloud Block Storage
    8. IBM Cloud Block Storage for Virtual Private Cloud
    9. IBM Cloud Block Storage Snapshots for VPC
    10. IBM Cloud Container Registry
    11. IBM Cloud Databases for DataStax
    12. IBM Cloud Databases for Elasticsearch
    13. IBM Cloud Databases for EnterpriseDB
    14. IBM Cloud Databases for etcd
    15. IBM Cloud Databases for MongoDB
    16. IBM Cloud Databases for MySQL
    17. IBM Cloud Databases for PostgreSQL
    18. IBM Cloud Databases for Redis
    19. IBM Cloud Direct Link
    20. IBM Cloud Direct Link Connect (2.0)
    21. IBM Cloud Direct Link Dedicated (2.0)
    22. IBM Cloud DNS Services
    23. IBM Cloud File Storage
    24. IBM Cloud File Storage for Virtual Private Cloud
    25. IBM Cloud Flow Logs for VPC
    26. IBM Cloud for VMware Solutions (Khusus)
    27. IBM Cloud Hardware Security Module
    28. IBM Cloud Internet Services Enterprise Package (melalui Cloudflare)
    29. IBM Cloud Internet Services Enterprise Usage (melalui Cloudflare)
    30. IBM Cloud Internet Services Standard (via Cloudflare)
    31. IBM Cloud Kubernetes Service and Red Hat OpenShift on IBM Cloud
    32. IBM Cloud Load Balancer
    33. IBM Cloud Messages for RabbitMQ
    34. IBM Cloud Object Storage
    35. IBM Cloud Object Storage (IaaS)
    36. IBM Cloud Platform - Core Services - IBM Cloud Identity and Access Management
    37. IBM Cloud Secrets Manager
    38. IBM Cloud Transit Gateway
    39. IBM Cloud Virtual Private Cloud
    40. IBM Cloud Virtual Private Cloud - Load Balancer for VPC: Penyeimbang Beban Aplikasi dan Penyeimbang Beban Jaringan
    41. IBM Cloud Virtual Private Cloud — VPN for VPC: Gateway Situs-ke-Situs dan Server Klien-ke-Situs
    42. IBM Cloud Virtual Private Endpoint for VPC
    43. IBM Cloud Virtual Servers
    44. IBM Cloud Virtual Server for VPC
    45. IBM Cloud Virtual Server for VPC - Auto Scale for VPC
    46. IBM Cloud Virtual Server for VPC - Host Khusus untuk VPC
    47. IBM Cloudant for IBM Cloud
    48. IBM Event Streams for IBM Cloud Enterprise
    49. IBM Event Streams for IBM Cloud Standard
    50. IBM Key Protect for IBM Cloud
    51. IBM Log Analysis (via Mezmo)
    52. IBM Power Virtual Server on IBM Cloud
    53. IPSec VPN
    54. SAP-Certified Cloud Infrastructure
    Percepat kepatuhan Anda menggunakan layanan IBM Cloud

    Versi terbaru dari PCI DSS (v4.0) dirilis pada Maret 2022. Organisasi harus menerapkan 12 persyaratan ini sebelum tanggal 31 Maret 2025 untuk mencapai kepatuhan.

    IBM Cloud menawarkan rangkaian layanan berikut ini yang akan membantu Anda memenuhi persyaratan PCI DSS tertentu dan mempercepat perjalanan kepatuhan Anda.

     

    1. Menginstal dan memelihara kontrol keamanan jaringan

    IBM Cloud Internet Services (CIS)
    Jaringan

    IBM Cloud Internet Services menghadirkan keamanan dan kinerja terdepan di pasar untuk konten web eksternal dan aplikasi internet Anda sebelum mencapai cloud.

     Lihat layanannya

    IBM Cloud Direct Link
    Jaringan

    Kecepatan dan keandalan IBM Cloud Direct Link membantu Anda memperluas jaringan pusat data organisasi Anda, tanpa menyentuh internet publik.

     Lihat layanannya

    IBM Cloud Gateway Appliances
    Jaringan

    Peralatan gateway adalah perangkat yang memberikan Anda kontrol yang lebih baik atas lalu lintas jaringan, sehingga Anda dapat mempercepat kinerja jaringan, dan meningkatkan keamanan jaringan.

     Lihat layanannya

     IBM Cloud Transit Gateway
    Jaringan

    IBM Cloud Transit Gateway membantu Anda menghubungkan dan mengelola jaringan IBM Cloud Virtual Private Cloud (VPC) Anda.

     Lihat layanannya

    Perangkat Keamanan Fortigate
    Jaringan

    Terapkan sepasang Peralatan Virtual FortiGate ke lingkungan Anda, yang dapat membantu Anda mengurangi risiko dengan menerapkan kontrol keamanan penting dalam infrastruktur virtual Anda. 

     Lihat layanannya

    Firewall Perangkat Keras
    Jaringan

    Lapisan keamanan penting yang disediakan sesuai permintaan tanpa gangguan layanan.

     Lihat layanannya

    2. Menerapkan konfigurasi aman ke semua komponen sistem

    Perangkat Keamanan Fortigate
    Jaringan

    Terapkan sepasang Peralatan Virtual FortiGate ke lingkungan Anda, yang dapat membantu Anda mengurangi risiko dengan menerapkan kontrol keamanan penting dalam infrastruktur virtual Anda. 

     Lihat layanannya

    Firewall Perangkat Keras
    Jaringan

    Lapisan keamanan penting yang disediakan sesuai permintaan tanpa gangguan layanan.

     Lihat layanannya

    IBM Security and Compliance Center
    Keamanan

    Rangkaian solusi terintegrasi untuk mendefinisikan kebijakan sebagai kode, mengimplementasikan kontrol untuk penerapan data dan beban kerja yang aman, serta menilai postur keamanan dan kepatuhan.

     Lihat layanannya

    IBM Security and Compliance Center - Perlindungan Beban Kerja
    Keamanan

    Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.

     Lihat layanannya

    IBM QRadar Suite
    Keamanan

    IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.

     Lihat layanannya

    3. Melindungi data pemegang kartu yang disimpan

    IBM Key Protect for IBM Cloud
    Keamanan

    Layanan IBM Key Protect for IBM Cloud membantu Anda menyediakan dan menyimpan kunci terenkripsi untuk aplikasi di seluruh layanan IBM Cloud, sehingga Anda dapat melihat dan mengelola enkripsi data dan seluruh siklus proses kunci dari satu lokasi pusat.

     Lihat layanannya

    IBM Security and Compliance Center - Broker Keamanan Data - Manajer
    Keamanan

    Solusi keamanan dalam rangkaian Security and Compliance Center yang menyediakan kebijakan enkripsi terpusat dan audit data di berbagai sumber data.

     Lihat layanannya

    IBM Cloud Hyper Protect Virtual Servers
    Kontainer

    Waktu proses kontainer komputasi rahasia yang dikelola sepenuhnya yang memungkinkan penerapan beban kerja dalam kontainer yang sensitif di lingkungan yang sangat terisolasi dengan jaminan teknis.

     Lihat layanannya

    IBM Cloud Hardware Security Module
    Keamanan

    Melindungi infrastruktur kriptografi dengan mengelola, memproses, dan menyimpan kunci kriptografi dengan lebih aman di dalam perangkat keras yang tahan gangguan.

     Lihat layanannya

    IBM Security Guardium
    Keamanan

    Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.

     Lihat layanannya

    IBM Cloud Storage Services
    Penyimpanan

    Rumah yang dapat diskalakan, kaya akan keamanan, dan hemat biaya untuk data Anda sekaligus mendukung beban kerja tradisional dan cloud native. Penyediaan dan penerapan layanan seperti akses objek, blok, dan penyimpanan file. 

     Lihat layanannya

    IBM Cloud Database Services
    Basis Data

    Membebaskan pengembang dan TI dari tugas-tugas yang rumit dan memakan waktu termasuk penerapan & pembaruan perangkat lunak infrastruktur dan database, operasi infrastruktur, dan pencadangan. 

     Lihat layanannya

    4. Melindungi data pemegang kartu dengan kriptografi yang kuat selama transmisi melalui jaringan publik yang terbuka

    IBM Cloud Direct Link
    Jaringan

    Kecepatan dan keandalan IBM Cloud Direct Link membantu Anda memperluas jaringan pusat data organisasi Anda, tanpa menyentuh internet publik.

     Lihat layanannya

     IBM Cloud Transit Gateway
    Jaringan

    IBM Cloud Transit Gateway membantu Anda menghubungkan dan mengelola jaringan IBM Cloud Virtual Private Cloud (VPC) Anda.

     Lihat layanannya

    IBM Key Protect for IBM Cloud
    Keamanan

    Layanan IBM Key Protect for IBM Cloud membantu Anda menyediakan dan menyimpan kunci terenkripsi untuk aplikasi di seluruh layanan IBM Cloud, sehingga Anda dapat melihat dan mengelola enkripsi data dan seluruh siklus proses kunci dari satu lokasi pusat.

     Lihat layanannya

    5. Melindungi semua sistem dan jaringan dari perangkat lunak berbahaya

    IBM Cloud Internet Services (CIS)
    Jaringan

    IBM Cloud Internet Services menghadirkan keamanan dan kinerja terdepan di pasar untuk konten web eksternal dan aplikasi internet Anda sebelum mencapai cloud.

     Lihat layanannya

    IBM Cloud Direct Link
    Jaringan

    Kecepatan dan keandalan IBM Cloud Direct Link membantu Anda memperluas jaringan pusat data organisasi Anda, tanpa menyentuh internet publik.

     Lihat layanannya

    Perangkat Keamanan Fortigate
    Jaringan

    Terapkan sepasang Peralatan Virtual FortiGate ke lingkungan Anda, yang dapat membantu Anda mengurangi risiko dengan menerapkan kontrol keamanan penting dalam infrastruktur virtual Anda. 

     Lihat layanannya

    IBM QRadar Suite
    Keamanan

    IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.

     Lihat layanannya

    IBM Security Guardium
    Keamanan

    Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.

     Lihat layanannya

    6. Mengembangkan dan memelihara sistem dan perangkat lunak yang aman

    IBM Cloud Internet Services (CIS)
    Jaringan

    IBM Cloud Internet Services menghadirkan keamanan dan kinerja terdepan di pasar untuk konten web eksternal dan aplikasi internet Anda sebelum mencapai cloud.

     Lihat layanannya

    IBM Security and Compliance Center - Perlindungan Beban Kerja
    Keamanan

    Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.

     Lihat layanannya

    IBM Security Guardium
    Keamanan

    Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.

     Lihat layanannya

    IBM Cloud Container Registry
    Kontainer

    Simpan dan distribusikan gambar kontainer dalam registri pribadi yang dikelola sepenuhnya. Dorong gambar pribadi untuk menjalankannya dengan mudah di IBM Cloud Kubernetes Service dan lingkungan runtime lainnya.

     Lihat layanannya

    IBM Cloud Continuous Delivery
    Developer Tools

    Gunakan DevOps yang siap untuk perusahaan. Buat rantai alat yang mendukung tugas pengiriman aplikasi Anda. Otomatiskan pembuatan, pengujian, penerapan, dan lainnya. 

     Lihat layanannya

    IBM Cloud Kubernetes Service
    Kontainer

     Menerapkan klaster yang kaya keamanan dan sangat tersedia di pengalaman Kubernetes native.

     Lihat layanannya

    7. Membatasi akses ke komponen sistem dan data pemegang kartu berdasarkan kebutuhan bisnis yang perlu diketahui

    IBM Cloud App ID
    Keamanan

    Tambahkan autentikasi ke aplikasi web dan seluler dengan mudah. Tingkatkan aplikasi Anda dengan kemampuan keamanan tingkat lanjut seperti autentikasi multifaktor dan sistem masuk tunggal. 

     Lihat layanannya

    IBM Cloud Identity and Access Management (IAM)
    Keamanan

    Layanan IBM Cloud Identity and Access Management dengan aman mengautentikasi pengguna dan mengontrol akses ke semua sumber daya secara konsisten di IBM Cloud Platform.

     Lihat layanannya

    8. Mengidentifikasi pengguna dan mengautentikasi akses ke komponen sistem

    IBM Cloud App ID
    Keamanan

    Tambahkan autentikasi ke aplikasi web dan seluler dengan mudah. Tingkatkan aplikasi Anda dengan kemampuan keamanan tingkat lanjut seperti autentikasi multifaktor dan sistem masuk tunggal. 

     Lihat layanannya

    IBM Cloud Secrets Manager
    Keamanan

    Buat rahasia secara dinamis dan sewa ke aplikasi sambil mengontrol akses dari satu lokasi. Dibangun di atas Hashicorp Vault sumber terbuka.

     Lihat layanannya

    IBM Cloud Identity and Access Management (IAM)
    Keamanan

    Layanan IBM Cloud Identity and Access Management dengan aman mengautentikasi pengguna dan mengontrol akses ke semua sumber daya secara konsisten di IBM Cloud Platform.

     Lihat layanannya

    9. Membatasi akses fisik ke data pemegang kartu

    IBM Cloud menerapkan beberapa langkah untuk meningkatkan keamanan fisik:
    Keamanan
    • Keamanan fisik perimeter pusat data
    • Kontrol akses masuk dan keluar dan pencatatan
    • Mengamankan kantor, ruangan, dan fasilitas
    • Perlindungan terhadap ancaman eksternal dan lingkungan
    • Redundansi peralatan listrik dan jaringan
    • Pembuangan peralatan dengan aman selama de-provisioning
    • Kebijakan dan keamanan bisnis SDM perusahaan untuk orientasi, pelatihan, dan pemberhentian kerja
     Lihat layanannya

    10. Mencatat dan memantau semua akses ke komponen sistem dan data pemegang kartu

    IBM Cloud Flow Logs for VPC
    Jaringan

    Memungkinkan pengumpulan, penyimpanan, dan penyajian informasi tentang lalu lintas Internet Protocol (IP) yang menuju dan dari antarmuka jaringan dalam Virtual Private Cloud (VPC) Anda.

     Lihat layanannya

    IBM QRadar Suite
    Keamanan

    IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.

     Lihat layanannya

    IBM Cloud Identity and Access Management (IAM)
    Keamanan

    Layanan IBM Cloud Identity and Access Management dengan aman mengautentikasi pengguna dan mengontrol akses ke semua sumber daya secara konsisten di IBM Cloud Platform.

     Lihat layanannya

    IBM Security Guardium
    Keamanan

    Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.

     Lihat layanannya

    IBM Cloud Logs
    Pencatatan &amp; pemantauan

     Dapatkan observabilitas log dengan IBM Cloud Logs untuk membantu meningkatkan kinerja infrastruktur dan aplikasi.

     Lihat layanannya

    IBM Cloud Monitoring
    Pencatatan &amp; pemantauan

     Pemantauan dan pemecahan masalah cloud untuk infrastruktur, layanan cloud, dan aplikasi.

     Lihat layanannya

    11. Menguji keamanan sistem dan jaringan secara teratur

    IBM Security and Compliance Center
    Keamanan

    Rangkaian solusi terintegrasi untuk mendefinisikan kebijakan sebagai kode, mengimplementasikan kontrol untuk penerapan data dan beban kerja yang aman, serta menilai postur keamanan dan kepatuhan.

     Lihat layanannya

    IBM Security and Compliance Center - Perlindungan Beban Kerja
    Keamanan

    Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.

     Lihat layanannya

    IBM QRadar Suite
    Keamanan

    IBM Security QRadar Suite adalah solusi deteksi dan respons ancaman modern yang dirancang untuk memadukan pengalaman analis keamanan dan meningkatkan kecepatan mereka di seluruh durasi penuh insiden.

     Lihat layanannya

    IBM Security Guardium
    Keamanan

    Perangkat lunak keamanan data dalam portofolio IBM Security yang mengungkap kerentanan dan melindungi data sensitif on premises dan di cloud.

     Lihat layanannya

    12. Mendukung keamanan informasi dengan kebijakan dan program organisasi

    IBM Security and Compliance Center
    Keamanan

    Rangkaian solusi terintegrasi untuk mendefinisikan kebijakan sebagai kode, mengimplementasikan kontrol untuk penerapan data dan beban kerja yang aman, serta menilai postur keamanan dan kepatuhan.

     Lihat layanannya

    IBM Security and Compliance Center - Perlindungan Beban Kerja
    Keamanan

    Temukan dan prioritaskan kerentanan perangkat lunak, deteksi dan tanggapi ancaman, serta kelola konfigurasi, izin, dan kepatuhan dari sumber hingga dijalankan.

     Lihat layanannya

    IBM Cloud Logs
    Pencatatan &amp; pemantauan

     Dapatkan observabilitas log dengan IBM Cloud Logs untuk membantu meningkatkan kinerja infrastruktur dan aplikasi.

     Lihat layanannya

    IBM Cloud Monitoring
    Pencatatan &amp; pemantauan

     Pemantauan dan pemecahan masalah cloud untuk infrastruktur, layanan cloud, dan aplikasi.

     Lihat layanannya

    Pertanyaan umum

    Versi terbaru dari PCI DSS (v4.0) dirilis pada Maret 2022. Ini mencantumkan 12 persyaratan untuk melindungi data pemegang kartu. Organisasi harus menerapkan persyaratan ini sebelum tanggal 31 Maret 2025 untuk mencapai kepatuhan.

    Menginstal dan memelihara kontrol keamanan jaringan

    Kontrol keamanan jaringan (NSC) dapat mencakup firewall, perangkat virtual, sistem kontainer, sistem keamanan cloud, dan teknologi lain yang mengontrol akses ke sistem dan data.

    Menerapkan konfigurasi aman ke semua komponen sistem

    Kata sandi default dan pengaturan sistem default lainnya yang disediakan oleh vendor tidak boleh digunakan karena rentan terhadap serangan siber.

    Lindungi data pemegang kartu yang disimpan

    Kecuali diperlukan untuk kebutuhan bisnis, organisasi tidak boleh menyimpan data pemegang kartu. Jika disimpan, data harus dibuat tidak dapat dibaca melalui enkripsi, masking atau cara lain.

    Lindungi data pemegang kartu dengan kriptografi yang kuat selama transmisi melalui jaringan publik terbuka

    Untuk mencegah peretas mengakses informasi sensitif seperti nomor kartu dan informasi identifikasi pribadi (PII), data harus dienkripsi sebelum dan/atau selama transmisi jaringan publik.

    Lindungi semua sistem dan jaringan dari perangkat lunak berbahaya

    Pertahankan perangkat lunak anti-virus dan pertahanan lainnya terhadap malware seperti spyware, keylogger, ransomware, skrip, dan virus lainnya.

    Mengembangkan dan memelihara sistem dan perangkat lunak yang aman

    Dengan menerapkan patch keamanan terbaru dan mengikuti praktik aman saat mengembangkan aplikasi, organisasi dapat membantu meminimalkan risiko pelanggaran data.

    Batasi akses ke komponen sistem dan data pemegang kartu berdasarkan kebutuhan bisnis yang perlu diketahui

    Langkah-langkah kontrol akses yang kuat harus memastikan pengguna yang berwenang hanya melihat informasi pemegang kartu yang diperlukan untuk melakukan pekerjaan mereka.

    Mengidentifikasi pengguna dan mengautentikasi akses ke komponen sistem

    ID unik dengan data autentikasi yang dapat dilacak harus diberikan kepada setiap orang yang memiliki akses komputer ke sistem dan data sensitif.

    Batasi akses fisik ke data pemegang kartu

    Untuk mencegah orang yang tidak berwenang mengambil perangkat keras atau salinan cetak yang berisi data pemegang kartu, akses fisik ke sistem harus dibatasi.

    Catat dan pantau semua akses ke komponen sistem dan data pemegang kartu

    Kemampuan untuk mengotomatiskan pencatatan dan pemantauan sistem dan data sensitif dapat membantu mendeteksi aktivitas yang mencurigakan dan mendukung analisis forensik setelah terjadi pelanggaran.

    Uji keamanan sistem dan jaringan secara teratur

    Karena penjahat siber terus mencari kerentanan baru dalam lingkungan TI yang berubah, pengujian penetrasi dan pemindaian kerentanan harus dilakukan secara teratur.

    Mendukung keamanan informasi dengan kebijakan dan program organisasi

    Organisasi harus membuat kebijakan keamanan informasi komprehensif yang menguraikan prosedur untuk mengidentifikasi dan mengelola risiko, pendidikan kesadaran keamanan berkelanjutan, dan kepatuhan terhadap PCI DSS.

    Organisasi yang diatur oleh PCI DSS harus mendokumentasikan kepatuhannya setiap tahun. Organisasi yang lebih besar diwajibkan untuk menyerahkan Laporan Kepatuhan (ROC) dan Pengesahan Kepatuhan (AOC) yang terperinci. Dokumen ROC dan AOC harus dilengkapi dan ditandatangani oleh Penilai Keamanan Berkualifikasi (QSA) yang telah disertifikasi oleh PCI Standard Security Council. Organisasi kecil dan menengah dapat mengisi Kuesioner Penilaian Mandiri (SAQ) untuk memvalidasi kepatuhan.

    Jika organisasi melakukan transmisi data pemegang kartu melalui internet, organisasi mungkin juga perlu menerapkan manajemen kerentanan untuk mempertahankan jaringan yang aman. Untuk mencapai kepatuhan, Vendor Pemindaian yang Disetujui (ASV) yang telah disertifikasi oleh PCI SSC harus melakukan pemindaian kerentanan triwulanan untuk menguji keamanan jaringan.

    Persyaratan pelaporan untuk PCI DSS berbeda sesuai dengan jumlah transaksi yang diproses setiap tahun oleh organisasi. Ada empat tingkat kepatuhan.

    Tingkat 1

    Lebih dari 6 juta transaksi kartu pembayaran setiap tahun. Harus menyerahkan Laporan Kepatuhan yang diselesaikan oleh Penilai Keamanan yang Berkualifikasi. Harus memiliki Vendor Pemindaian yang Disetujui melakukan pemindaian kerentanan jaringan triwulanan.

    Tingkat 2

    Satu juta hingga 6 juta transaksi kartu pembayaran setiap tahun. Harus mengisi Kuesioner Penilaian Mandiri dan mungkin harus melakukan pemindaian kerentanan jaringan triwulanan.

    Tingkat 3

    20.000 hingga 1 juta transaksi kartu pembayaran setiap tahun. Harus mengisi Kuesioner Penilaian Mandiri dan mungkin harus melakukan pemindaian kerentanan jaringan triwulanan.

    Tingkat 4

    Kurang dari 20.000 transaksi kartu tahunan. Harus mengisi Kuesioner Penilaian Mandiri dan mungkin harus melakukan pemindaian kerentanan jaringan triwulanan.

    Meskipun merchant dan penyedia layanan pembayaran diwajibkan untuk mengikuti PCI DSS, kepatuhan mereka tidak ditegakkan oleh hukum, pemerintah, atau bahkan Dewan Standar Keamanan PCI. Sebaliknya, kepatuhan dikelola oleh perusahaan kartu kredit, seperti Visa atau MasterCard, dan acquirer, yang merupakan bank atau lembaga keuangan yang memproses pembayaran kartu.

    Setahun sekali, organisasi yang memproses atau menyimpan data pemegang kartu harus memvalidasi kepatuhan mereka terhadap PCI DSS. Jika sebuah organisasi mengalihdayakan pemrosesan pembayarannya, organisasi tersebut masih harus menegaskan bahwa transaksi kartu kredit dilindungi oleh persyaratan standar PCI DSS.

    Denda atas ketidakpatuhan terhadap PCI DSS ditetapkan oleh merek kartu pembayaran, dan dinegosiasikan antara merek, merchant atau penyedia layanan, dan bank atau lembaga keuangan lain yang terkena dampak. Merek kartu pembayaran tidak mempublikasikan denda atau biaya, dan biasanya tidak menyediakan informasi denda kepada publik.

    Sebagai patokan, denda untuk ketidakpatuhan dapat berkisar antara 5.000 hingga 10.000 USD selama tiga bulan pertama ketidakpatuhan, sampai 50.000 hingga 100.000 USD per bulan setelah enam bulan ketidakpatuhan. Jika terjadi pelanggaran data, pedagang atau penyedia layanan yang tidak patuh dapat didenda tambahan 50 hingga 90 USD per pelanggan hingga maksimum 500.000 USD.

    Merek kartu pembayaran dapat mengenakan denda yang jauh lebih tinggi sesuai kebijaksanaan mereka, dan hukuman akhir yang dinegosiasikan untuk ketidakpatuhan PCI DSS suatu organisasi—khususnya ketidakpatuhan yang mengarah pada pelanggaran data—dapat melonjak hingga jutaan atau ratusan juta dolar untuk menutupi kerugian biaya investigasi, klaim pemerintah, tuntutan hukum class action, dan banyak lagi.

    Selain menimbulkan denda, organisasi yang tidak patuh mungkin dilarang memproses transaksi kartu pembayaran.

    Melindungi data sensitif

    Konsekuensi dari pelanggaran data yang melibatkan data pemegang kartu sangat parah. Selain denda, penalti hukum, dan kerusakan reputasi, organisasi dapat mengalami kehilangan pelanggan saat ini dan calon pelanggan. Persyaratan PCI DSS membantu mempertahankan diri terhadap pencurian data sensitif.

    Meningkatkan kepercayaan pelanggan

    Karena penipuan dan pencurian identitas sering menjadi berita utama, konsumen mungkin enggan memberikan informasi kartu kredit sensitif kepada pengecer. Kepatuhan PCI DSS membantu pelanggan mempercayai bahwa data mereka dilindungi, memungkinkan mereka untuk lebih percaya diri saat melakukan pembelian.

    Mendukung kepatuhan peraturan yang lebih luas

    Meskipun PCI DSS bukan merupakan mandat hukum, kontrol keamanan yang diterapkannya dapat membantu organisasi mencapai kepatuhan terhadap peraturan pemerintah. Bagian-bagian dari PCI DSS melengkapi undang-undang perlindungan data seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA), Undang-Undang Sarbanes Oxley (SOX), dan Peraturan Perlindungan Data Umum (GDPR).

    Solusi terkait
    IBM Security and Compliance Center

    Atasi keamanan terpadu, kepatuhan, dan visibilitas risiko di seluruh lingkungan hybrid multicloud.

         Jelajahi IBM Z Security and Compliance Center
    Solusi IBM Cloud

    Bangun infrastruktur yang dapat diskalakan dengan biaya lebih rendah, terapkan aplikasi baru secara instan, dan tingkatkan beban kerja yang sangat penting dan sensitif berdasarkan permintaan, semuanya dalam platform yang kaya keamanan.

         Jelajahi solusinya
    Sumber daya Biaya Pembobolan Data 2022
    Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
    Apa yang dimaksud dengan informasi identifikasi pribadi (PII)?
    PII adalah informasi apa pun yang dapat digunakan untuk mengungkap identitas individu tersebut, seperti nomor jaminan sosial, nama lengkap, atau alamat email.
    Apa yang dimaksud dengan keamanan jaringan?
    Keamanan jaringan adalah bidang keamanan siber yang berfokus pada perlindungan jaringan komputer dari ancaman siber.
