Kepatuhan PCI DSS berlaku untuk setiap bisnis yang menerima kartu kredit. Baik itu e-commerce atau pedagang fisik. Lagi pula, hanya karena etalase Anda terbuat dari piksel dan bukan dari bata-dan-mortir, bukan berarti dewan PCI kurang tertarik pada cara Anda mengamankan data sensitif pelanggan.

PCI DSS adalah singkatan dari Payment Card Industry Data Security Standards. Dewan ini melakukan riset mengenai keamanan pembayaran kartu kredit dan menerapkan persyaratan kepatuhan. Tetapi kepatuhan PCI DSS sangat kompleks, dan banyak bisnis berjuang untuk memenuhi kepatuhan tersebut.

Dalam artikel ini, kami akan menggali beberapa mitos dan kesalahpahaman seputar kepatuhan PCI DSS dan e-niaga secara khusus. Jelajahi cara bisnis dapat menjawab masalah tersebut.

1. Saya Mengalihkan Data, Jadi Saya Telah Memiliki Kepatuhan

Dewan PCI menyarankan agar Anda memisahkan data pemegang kartu yang sensitif untuk mengurangi ruang lingkup kepatuhan.

Jika bisnis Anda hanya online, maka Anda dapat mengambil prinsip “mengurangi cakupan” lebih jauh daripada pedagang fisik. Hal ini biasanya dilakukan dengan melakukan outsourcing sejumlah infrastruktur penting ke platform e-commerce secara khusus.

Dalam skenario ini, penyedia solusi pihak ketiga menyediakan Anda dengan semua alat yang sudah memenuhi kepatuhan PCI yang Anda butuhkan untuk membangun situs Anda.

Termasuk hosting dan bahkan memproses pembayaran untuk Anda. Karena mereka menangani semua informasi sensitif, beban kepatuhan jatuh di pundak mereka, dan Anda, pedagang, dapat tidur dengan mudah — bukan?.

Sayangnya hal tersebut belum cukup untuk dapat di katakan telah memenuhi kepatuhan PCI DSS:

“Meskipun Anda melakukan outsourcing, Anda masih memiliki tanggung jawab sebagai pedagang untuk memastikan bahwa perusahaan pemrosesan pembayaran sesuai PCI, dan untuk memeriksa setiap tahun bahwa mereka tetap menjadi PCI-compliant”.

Klausul dalam kontrak seperti, Pemroses pembayaran secara tahunan harus menunjukkan bahwa mereka memenuhi syarat kepatuhan PCI DSS terkait dengan layanan adalah hal minimum. Jika saya adalah [pengecer online], saya ingin mereka menunjukkan kepada saya sedikit lebih dari itu”.

John Summers, wakil presiden bisnis keamanan di Akamai, penyedia layanan cloud terkemuka, menyatakan hal yang sama.

“Anda bertanggung jawab untuk proses [transaksi bisnis] dari ujung ke ujung,” katanya. “Auditor Anda harus memeriksanya, dan Anda harus mendapatkan bahan audit dari pihak ketiga. Pastikan kontrak ditulis dengan benar. Sering kali, pedagang tidak mengerti bahwa mereka bertanggung jawab atas semua itu”.

Lagi pula, jika Anda tidak dapat menunjukkan bukti kepatuhan PCI kepada auditor bahwa Anda telah melakukan uji tuntas Anda tentang siapa yang menangani informasi sensitif pelanggan Anda, maka mereka bertanggung jawab untuk mulai mencari dengan lebih detail.

Apa yang Harus Anda Lakukan?

Selalu pertahankan hubungan kerja yang erat dengan penyedia layanan pihak ketiga Anda. Jangan takut meminta detail. Misalnya, Anda dapat meminta hasil pengujian kerentanan aplikasi Web pada aplikasi Web yang Anda gunakan.

[PCI] selalu melakukan perubahan dan diperbaiki seiring waktu. Memasukkan syarat dan ketentuan ke dalam kontrak Anda untuk berikan hak mengaudit, dan pastikan bahwa penyedia hosting akan memberi Anda semua jalur audit yang diperlukan dan bahwa mereka berkomitmen untuk menjaga kepatuhan dengan standar PCI yang berlaku saat itu.

2. Pemrosesan Pembayaran via Telepon Jadi Bebas Kepatuhan PCI DSS

Beberapa pedagang yang melakukan outsourcing sering tidak menyadari bahwa mereka dapat secara tidak sengaja kembali dalam lingkup dengan melakukan sesuatu yang sederhana seperti menerima pesanan telepon.

Anda dapat mengalihkan semua proses pembayaran dan proses belanja. Dengan menerima pesanan lewat telepon, mereka beranggapan tidak dalam lingkup PCI DSS.

Ini adalah kesalahan besar, karena dengan menerima informasi kartu kredit melalui telepon, sistem telepon itu sendiri termasuk dalam lingkup syarat kepatuhan PCI DSS. Ini berlaku jika anda memakai sistem telepon yang terhubung ke internet atau bahkan jaringan lokal.

Kita harus selalu memikirkan ancaman dan cara menyerang. Dalam skenario ini, seorang penjahat dapat dengan mudah menerapkan keylogger di komputer. Ia bahkan bisa mendapatkan banyak informasi kartu kredit melalui konten suara.

Singkatnya: Dengan menerima kartu kredit itu secara langsung, kepatuhan menjadi tanggung jawab situs e-commerce.

Apa yang Harus Anda Lakukan?

Jika Anda menerima pesanan telepon, maka Anda perlu mengidentifikasi di jaringan mana interaksi pelanggan yang melibatkan data pemegang kartu sensitif terjadi. Mengidentifikasi mereka, membatasi ruang lingkup dan menerapkan semua persyaratan PCI yang berlaku bukanlah tugas yang mudah.

Anda juga harus membuat sistem telepon Anda aman. Banyak perusahaan yang memberikan solusi keamanan untuk VoIP. Anda harus berbicara dengan vendor yang menjual solusi ini untuk mencari tahu apakah mereka tepat untuk bisnis Anda.

 

3. Saya Dapat Melakukan Semuanya Sendiri

Beberapa pedagang e-niaga kecil dan menengah lebih memilih untuk membangun platform mereka sendiri. Ini artinya, mereka mempertahankan kontrol atas keamanan dan data pelanggan mereka sendiri. Tentu saja, jika Anda ambil jalan itu, maka Anda juga memiliki tanggung jawab penuh untuk kepatuhan PCI DSS.

Rick Wilson, presiden perangkat lunak e-commerce dan perusahaan hosting Miva Merchant, mengatakan ada banyak faktor yang perlu dipertimbangkan jika Anda berharap untuk ‘terbang solo’, dan menguraikan beberapa dasar-dasar yang sering diabaikan oleh para start-up dan UKM. Sebagai contoh:

Hosting murah tidak sebanding dengan penghematan biaya. “Kebanyakan penyedia hosting tidak dikonfigurasi untuk melakukan hosting yang sesuai PCI.

Penyedia hosting komoditas rata-rata mengenakan biaya Rp. 100.000 per bulan untuk hosting web … yah, boleh saja menempatkan blog Anda di sana, tetapi Anda tidak boleh meng-host situs e-niaga di hosting seperti itu”.

Secara realistis, Anda harus membayar setidaknya Rp. 2 juta per bulan atau lebih untuk hosting dedicated dan memenuhi standar kepatuhan PCI DSS.

Server bersama membawa banyak masalah potensial. Server bersama tidak secara tegas dilarang oleh PCI. Tetapi, dengan tidak pernah memiliki database di server yang sama dengan situs web Anda — itu adalah aturan nomor satu. Ini karena jauh lebih mudah untuk meretas dan mendapatkan akses ke data sensitif. Tidak ada kemungkinan Anda sesuai dengan PCI, jadi jangan lakukan seperti itu.

Apa yang Harus Anda Lakukan?

Jika Anda ingin melakukannya sendiri, para praktisi menyarankan untuk mendapatkan para profesional berkualitas yang dapat membantu Anda. Anda akan membutuhkan orang-orang dengan keahlian keamanan dan kepatuhan.

Anda juga harus mempertimbangkan secara serius outsourcing setidaknya sebagian dari platform Anda, Khususnya, untuk yang menggunakan gateway pembayaran pihak ketiga yang bereputasi seperti Authorize.Net atau Payflow PayPal.

Sementara itu, Anda tidak boleh lupa bahwa bahkan setelah membangun situs, menjaga kepatuhan PCI menimbulkan biaya berkelanjutan.

4. Saya Telah Lakukan Pencatatan dan Pemantauan

Sekarang katakanlah Anda membangun platform e-commerce Anda sendiri, dan itu bekerja dengan sangat baik. Anda membentuk tim yang hebat, dan segera, pesanan mulai bergulir.

Namun seiring pertumbuhan bisnis Anda, begitu pula kuantitas informasi yang dihasilkannya — dan coba tebak? PCI ingin Anda untuk mengaudit dan memantau data itu. Banyak bisnis kecil dan menengah (UKM) berjuang dengan persyaratan ini.

PCI ibarat polis asuransi. Pencatatan log dan pemantauan sangat penting. Kapan saja setiap orang dapat mengakses data sensitif di toko Anda, maka di sana akan menjadi log di suatu tempat.

Jadi, jika Anda menerapkan aturan PCI dengan benar, Anda akan dapat menganalisis dan mengidentifikasi contoh dari akses yang tidak sah di server Anda. Namun, ini merupakan tantangan besar bagi bisnis UKM.

Anda harus berurusan dengan ratusan hingga ribuan log setiap hari. Ini karena Anda memiliki log di server, dari sistem keamanan, dari komputer yang ada dalam lingkup, dari perlindungan antivirus dan sebagainya.

Satu hal yang Anda benar-benar kehilangan dari perspektif UKM adalah keahlian tentang apa yang di butuhkan untuk mengumpulkan dan berapa lama Anda perlu mengumpulkannya.

Bahkan persyaratan penyimpanan dapat membingungkan. Apakah perlu menyimpan semua log dari semua aplikasi ?.

Apa yang Harus Anda Lakukan?

Para ahli merekomendasikan untuk mempertimbangkan melakukan outsourcing kepada pihak ketiga — setidaknya untuk menangani pemrosesan pembayaran. Sebab, hampir tidak mungkin bagi pedagang kecil untuk melakukan ini sendiri, menurut para ahli.

Jika Anda memutuskan untuk melakukan ini sendiri, bagaimanapun, ada alat yang dapat membantu Anda menangani banjir informasi yang berasal dari log Anda.

Beberapa alat ini — seperti Sistem Informasi Keamanan dan Manajemen Kejadian (SIEM) — sangat mahal dan sulit dioperasikan. Vendor lain menjual produk yang dirancang untuk membantu pemfilteran dan analisis yang diperlukan untuk membuat log, seperti Dell ChangeAuditor.

“Kami telah mencoba mengotomatiskan sebanyak mungkin keahlian yang kami bisa,” kata Sedlack. “Pedoman umum tentang apa yang Anda kumpulkan dan berapa lama Anda menyimpannya untuk di otomatiskan sebanyak mungkin”.

Namun, ia menambahkan, jumlah terkecil pengguna sistem yang didukung adalah 200-300. Jika Anda memiliki kurang dari itu, dan tidak ingin memasang iklan — itu semua pada Anda.

5. WAF? Bukan masalah saya

Lalu ada masalah firewall aplikasi Web (Web Application Firewall). PCI merekomendasikan, tetapi tidak mengharuskan, bahwa pedagang melindungi platform e-commerce mereka dengan WAF.

Namun, jika Anda tidak membaca dengan baik di cybersecurity, maka perbedaan antara “firewall” dan “firewall aplikasi Web” mungkin agak membingungkan.

Ketika firewall tradisional melihat struktur protokol lapisan jaringan, firewall aplikasi web menyediakan pengawasan yang lebih dalam dari lapisan aplikasi. Dalam memberikan jasa pembuatan website baik untuk e-commerce maupun tidak, kami selalu tempatkan aplikasi firewall untuk website client.

Perlindungan khusus yang Anda dapatkan dari WAF yang biasanya tidak Anda dapatkan dari infrastruktur tradisional termasuk:

  • pertahanan terhadap berbagai serangan yang sering dilakukan peretas
  • pertahanan terhadap injeksi SQL atau scripting lintas situs — yang biasanya digunakan untuk mencuri data dari e-mail. -commerce dan sistem perusahaan lainnya.

Tetapi bahkan jika Anda tidak tahu apa-apa tentang peretasan, para ahli menjelaskan bahwa WAF menawarkan dua manfaat utama:

  • Perlindungan terhadap pencurian data, dan
  • Penetrasi pada lapisan aplikasi dari proses bisnis.

Sementara itu, menggunakan WAF tidak merubah fakta bahwa Anda masih perlu melakukan pengujian, dan memiliki praktik pengkodean yang aman dan melakukan tinjauan kode.

Apa yang Harus Anda Lakukan?

WAF menambahkan lapisan keamanan ekstra ke situs e-commerce Anda. Namun, mereka adalah mesin yang rumit. Untuk menggunakannya, Anda harus menggabungkan pengetahuan tentang serangan di lapisan aplikasi, dan melacak ancaman tersebut ketika mereka berevolusi.

Anda harus tahu serangan mana yang relevan dengan cara struktur ke aplikasi, dan mana yang tidak. Menyesuaikannya dengan bisnis akan membutuhkan waktu. Akan lebih ideal jika memanfaatkan keahlian pihak ketiga (outsource).

6. Tidak Ada Data sensitif di Situs saya, jadi saya baik-baik saja

Sementara itu, pertanyaan lain muncul sehubungan dengan WAF:

Jika Anda melakukan outsourcing pemrosesan pembayaran, tetapi telah membangun sisa situs Anda, apakah Anda memerlukannya?.

Jika tidak ada data di situs saya, tetapi saya masih melihat transaksi dan mendapatkan laporan dari data, dan bahkan jika itu ‘hidup’ di pihak ketiga, Anda masih mengakses data itu melalui Web maka Anda harus memiliki salah satu firewall aplikasi Web ini dan mengelolanya dengan tepat.

Memang, situs-situs yang berhubungan dengan pihak ketiga sering rentan; jika koneksi antara situs Anda dan pihak ketiga tidak aman, ini memberi peluang bagi peretas untuk campur tangan.

Skenario umum adalah bahwa ketika informasi kartu kredit dimasukkan di browser dan kemudian dikirim ke server yang menghosting laman pesanan, ada peluang bagi pencuri untuk mencuri data kartu kredit itu dan informasi lainnya. Jadi Anda harus memastikan ada perlindungan lapisan-aplikasi, seperti WAF.

Apa yang Harus Anda Lakukan?

  • Jika Anda ingin menghindari rasa sakit dari serangan cyber terhadap situs Anda tetapi tidak ingin berinvestasi dalam WAF, maka Anda harus menggunakan vendor yang disetujui PCI.
  • Anda juga dapat bermitra pada penyedia solusi pembayaran seperti Paypal yang telah lulus kepatuhan PCI.
  • Anda harus mempertimbangkan untuk mendatangkan konsultan untuk memberi saran tentang seberapa aman dan patuh situs Anda.
Kesimpulan

Kepatuhan PCI DSS adalah tantangan. Usaha kecil dan menengah sering meremehkan berapa banyak waktu dan energi yang diperlukan untuk memastikan bahwa platform mereka sesuai.

Jika Anda meluangkan waktu untuk melakukan due diligence, maka Anda dapat sangat mengurangi risiko sesuatu yang dapat terjadi kemudian.

Ini semua tentang menjaga siapa pun yang mencoba mengakses data yang memungkinkan mereka mencuri informasi kartu kredit.

Persyaratan PCI jelas, tetapi sering tidak dikerjakan untuk diselesaikan. Jika Anda memulai dari awal, mungkin yang terbaik adalah mendapatkan bantuan ahli untuk mencapai kepatuhan lebih cepat.

Pin It on Pinterest

Share This