Apa itu Keamanan Transaksi?

Penyusun

Senior Writer

IBM Blog

Senior Editorial Strategist

Apa itu keamanan transaksi?

Keamanan transaksi, yang juga dikenal sebagai keamanan pembayaran, mengacu pada kategori praktik, protokol, alat bantu, dan langkah-langkah keamanan lainnya yang digunakan selama dan setelah transaksi bisnis untuk melindungi informasi sensitif dan memastikan transfer data pelanggan yang aman dan terjamin.

Meskipun transaksi online menimbulkan tantangan unik bagi keamanan transaksi, transaksi online sangat penting bagi bisnis online dan offline dalam membangun kepercayaan konsumen, memitigasi penipuan, dan menjaga kepatuhan terhadap peraturan.

Bertepatan dengan peningkatan pesat e-commerce dan transaksi online, keamanan transaksi telah menjadi perhatian utama bagi setiap bisnis yang menangani pembayaran dan transfer aset berharga, seperti lembaga keuangan, pertukaran mata uang kripto, dan pengecer. Contoh penggunaan lainnya termasuk pasar digital game online, metode pembayaran alternatif seperti ApplePay dan Venmo, serta layanan apa pun yang bertanggung jawab untuk memproses dokumen hukum yang sensitif (seperti layanan pengajuan pajak online atau berbagai kantor resmi pemerintah).

Untuk mencegah kerugian finansial akibat transaksi penipuan dan memberikan pengalaman pengguna yang dapat dipercaya bagi pelanggan dan klien yang berbagi data pribadi mereka, langkah-langkah keamanan transaksi umum termasuk enkripsi data modern canggih, autentikasi multifaktor (MFA), dan tanda tangan digital. Protokol keamanan ini mengurangi risiko penipuan pembayaran dan pencurian data pelanggan yang diakibatkan oleh pelanggaran keamanan, yang mungkin banyak bisnis bertanggung jawab secara hukum, tergantung pada yurisdiksinya.

Meskipun sebagian besar tindakan keamanan transaksi dilakukan selama transaksi itu sendiri, keamanan transaksi juga mencakup kebijakan bisnis internal yang mengatur perlakuan terhadap data transaksi sensitif yang disimpan oleh organisasi atau bisnis, seperti nomor kartu kredit dan nomor rekening. Bagi para profesional keamanan siber yang berinvestasi dalam keamanan basis data, keamanan transaksi tidak hanya berarti memantau transaksi online secara real-time untuk aktivitas yang mencurigakan dan transaksi yang tidak sah, tetapi juga secara proaktif mengidentifikasi dan memitigasi setiap kerentanan keamanan internal. Penyedia layanan sistem keamanan transaksi modern sering kali menggabungkan fungsionalitas notifikasi yang dapat disesuaikan dan otomatisasi lainnya untuk memfasilitasi transaksi yang aman dalam skala besar.

Berita + Insight AI terbaru  

Temukan insight dan berita yang dikurasi oleh para pakar tentang AI, cloud, dan lainnya di Buletin Think mingguan.

Berlangganan hari ini

Ancaman keamanan transaksi

Ancaman terhadap keamanan transaksi sering bersinggungan atau berkontribusi pada ancaman keamanan siber yang lebih luas. Berikut ini adalah daftar singkat dari beberapa ancaman keamanan transaksi yang paling umum.

Phishing

Penipuanphishing, yaitu ketika penjahat siber menggunakan pesan palsu untuk memanipulasi target agar mengungkapkan informasi sensitif, menimbulkan ancaman bagi pelanggan dan bisnis. Penipuan phishing sering kali menargetkan konsumen untuk mencuri informasi kartu kredit mereka secara langsung untuk digunakan dalam transaksi penipuan. Para penipu juga dapat menargetkan bisnis dalam upaya untuk mencuri informasi pembayaran pelanggan secara massal.

Penipuan card-not-present

Meskipun transaksi secara langsung biasanya membutuhkan kartu kredit fisik, transaksi yang dilakukan secara online atau melalui telepon sering kali hanya membutuhkan nomor kartu kredit. Celah ini dapat membuka peluang terjadinya penipuan card-not-present berbasis online atau telepon, di mana penipu menggunakan nomor yang dicuri untuk melakukan transaksi palsu. Meskipun pelanggan mungkin masih menyimpan kartu kredit fisik mereka, mereka mungkin sama sekali tidak menyadari bahwa detail kartu mereka telah dicuri.

Penipuan pengambilalihan akun

Risiko lain yang ditimbulkan oleh phishing adalah penipuan pengambilalihan akun. Penipu dapat menggunakan phishing atau cara lain untuk menyita akses tidak sah ke rekening perbankan atau belanja online konsumen dan melanjutkan untuk melakukan pembelian tidak sah.

Penipuan penyusupan email bisnis (BEC)

Penipuan BEC juga merupakan konsekuensi umum dari skema phishing yang berhasil. Ketika penjahat siber mendapatkan akses ke akun email bisnis yang disusupi, mereka mungkin menyamar sebagai karyawan atau vendor yang berwenang dan mencoba meminta transfer uang tidak sah.

Penipuan identitas sintetis (SIF)

Risiko lain yang dihasilkan dari serangan phishing yang berhasil, SIF adalah jenis penipuan di mana scammer menggunakan kombinasi informasi identifikasi pribadi (PII) nyata yang dicuri untuk membuat identitas palsu untuk berbagai kegiatan penipuan, seperti skema default pembayaran di mana scammer membeli produk secara kredit atau layaway tanpa niat melakukan pembayaran di masa depan.

Serangan man-in-the-middle (MITM)

Bentuk serangan siber yang terkenal, selama serangan MITM, seorang peretas akan diam-diam memosisikan diri di antara dua pihak yang percaya bahwa mereka memiliki koneksi pribadi. Penyerang dapat mencoba memanipulasi data yang ditransfer atau sekadar menguping untuk mencuri informasi pembayaran pribadi yang mungkin dibagikan.

Jenis keamanan transaksi

Dengan kemajuan teknologi baru yang berkelanjutan, serta strategi serangan penjahat siber yang terus berkembang, para pakar terus berupaya meningkatkan keamanan transaksi melalui semua vektor yang tersedia. Berikut ini adalah beberapa metode paling umum untuk memperkuat keamanan transaksi:

Enkripsi

Tulang punggung privasi data, bisnis dan pelanggan mengandalkan enkripsi data untuk melindungi informasi sensitif selama dan setelah transaksi. Standar enkripsi yang umum digunakan seperti Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) sering digunakan selama transaksi online untuk mencegah akses yang tidak sah, perusakan, dan pencurian.

Tokenisasi

Tokenisasi adalah proses yang menggantikan data pelanggan yang sensitif, seperti nomor kartu kredit, dengan token unik yang tidak dapat digunakan untuk melakukan transaksi penipuan atau merekayasa informasi pembayaran asli. Token ini kemudian digunakan untuk mereferensikan informasi pembayaran asli, yang disimpan dalam brankas token yang aman. Tokenisasi mengurangi risiko yang terkait dengan pelanggaran data dan menyederhanakan kepatuhan terhadap peraturan karena token itu sendiri tidak berguna bahkan jika jatuh ke tangan yang salah.

Autentikasi

Sebagai bentuk dasar keamanan transaksi, praktik autentikasi sudah lama mendahului era internet. Jika di masa lalu, pedagang mungkin meminta bentuk identifikasi foto sebelum menerima cek pribadi, langkah-langkah otentikasi digital modern telah meningkat dalam kecanggihannya. Autentikasi faktor tunggal (SFA) memerlukan satu bentuk identifikasi, seperti kata sandi atau pin; autentikasi dua faktor (2FA) memerlukan bentuk identifikasi tambahan, seperti kode sandi sekali pakai yang dikirim ke perangkat atau email yang terdaftar. Metode autentikasi standar lainnya termasuk memerlukan nilai verifikasi kartu (CVV) untuk pembayaran kartu kredit dan autentikasi biometrik (seperti pengenalan wajah atau pemindaian sidik jari).

Gerbang pembayaran yang aman

Gerbang pembayaran yang aman adalah bagian penting dalam membangun keamanan transaksi yang kuat dan membangun serta menjaga kepercayaan pelanggan. Gateway ini memungkinkan pemrosesan transaksi antara pelanggan, bisnis dan pemroses pembayaran atau bank yang mengakuisisi. Gerbang pembayaran yang aman sering kali menggabungkan berbagai teknik keamanan transaksi, termasuk enkripsi, tokenisasi, dan autentikasi, untuk memastikan keamanan data.

Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS)

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah seperangkat standar keamanan transaksi yang dikembangkan oleh Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC), sebuah forum global pemangku kepentingan industri pembayaran.

Dikembangkan untuk mendorong adopsi standar keamanan data dan sumber daya untuk pembayaran yang aman di seluruh dunia, kepatuhan PCI DSS membantu bisnis memenuhi persyaratan regulasi sekaligus menjaga keamanan data pelanggan.

Untuk memenuhi kepatuhan PCI DSS, bisnis harus melakukan hal berikut:

Membangun dan memelihara jaringan dan sistem yang aman: Menginstal dan memelihara konfigurasi firewall untuk melindungi data pemegang kartu. Menghindari menggunakan default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya.
Melindungi data pemegang kartu: Mengenkripsi transmisi data pemegang kartu di jaringan publik yang terbuka.
Mempertahankan program manajemen kerentanan: Mengembangkan dan memelihara sistem dan aplikasi yang aman serta melindungi semua sistem dari malware dengan perangkat lunak atau program anti-virus yang diperbarui secara berkala.
Menerapkan langkah-langkah kontrol akses yang kuat: Mengidentifikasi dan mengautentikasi akses ke komponen sistem. Membatasi akses fisik ke data pemegang kartu dan membatasi akses internal ke data pemegang kartu dengan persyaratan berbasis bisnis yang perlu diketahui
Memantau dan menguji jaringan secara berkala: Melacak dan memantau semua akses ke sumber daya jaringan dan data pemegang kartu dengan pengujian rutin untuk sistem dan proses keamanan.
Mempertahankan kebijakan keamanan informasi: Mempertahankan kebijakan terkait keamanan informasi untuk semua personel.