Pengantar
Proses mencapai dan mempertahankan Kepatuhan PCI DSS tidak mudah bagi organisasi manapun. Baik itu organisasi skala besar, perusahaan menengah, atau perusahaan kecil, PCI DSS dapat menjadi tugas yang menakutkan karena terdiri dari serangkaian persyaratan keamanan yang komprehensif. Mencapai kepatuhan memerlukan pemahaman yang baik tentang kerangka keamanan pembayaran dan penerapan persyaratan kontrol keamanan. Organisasi yang memproses data kartu pembayaran diharapkan memenuhi: Persyaratan PCI DSS 12 untuk memastikan kepatuhan dan mengamankan lingkungan pembayaran. Persyaratan ini berfungsi sebagai pedoman bagi organisasi untuk mengamankan jaringan dan infrastruktur mereka dari ancaman dunia maya dan pelanggaran data. Menguraikan persyaratan ini, kami telah membagikan beberapa tips berguna untuk dipersiapkan Audit Kepatuhan PCI DSS.
Memahami Persyaratan Kepatuhan PCI DSS
Kepatuhan PCI DSS adalah standar dan kerangka kerja keamanan yang diberlakukan oleh Dewan Standar Keamanan PCI yang berfokus pada perlindungan data pemegang kartu. Standar ini terdiri dari 12 Persyaratan yang digariskan oleh dewan yang berfokus pada langkah-langkah teknis dan operasional untuk mengamankan data pemegang kartu pembayaran yang sensitif. Organisasi diharapkan untuk menerapkan langkah-langkah keamanan ini untuk mencapai dan memelihara Kepatuhan PCI DSS. Jadi, diberikan di bawah ini adalah 12 persyaratan yang dijelaskan secara singkat untuk pemahaman yang lebih baik tentang cara mempersiapkan Kepatuhan PCI DSS.
Persyaratan PCI DSS 1: Instal & Pertahankan Konfigurasi Firewall untuk Melindungi data Pemegang Kartu
Penjual dan Penyedia Layanan diwajibkan untuk memelihara jaringan yang aman dengan konfigurasi firewall dan router yang sesuai. Ini untuk melindungi lingkungan data kartu dan mencegah serangan cyber.
Persyaratan PCI DSS 2: Jangan Gunakan Default yang Disediakan Vendor untuk Kata Sandi Sistem dan Parameter Keamanan Lainnya
Sistem dan perangkat lunak dilengkapi dengan kata sandi dan pengaturan default. Jadi, untuk memastikan keamanan, diharapkan pedagang memastikan pengerasan sistem, jaringan, dan perangkat organisasi dengan kata sandi dan konfigurasi keamanan yang kuat. Selain itu, pedagang diharapkan untuk mendokumentasikan prosedur pengerasan sistem dan mengikuti protokol yang sesuai.
Persyaratan PCI DSS 3: Lindungi Data Pemegang Kartu yang Tersimpan
Merchant dan Penyedia Layanan diwajibkan untuk menerapkan langkah-langkah yang tepat untuk melindungi data pemegang kartu yang tersimpan. Menggunakan teknik enkripsi, data PAN harus diamankan dari pelanggaran data
Persyaratan PCI DSS 4: Enkripsi Transmisi Data Pemegang Kartu di Jaringan Terbuka atau Publik
Pedagang diharapkan untuk mengenkripsi data pemegang kartu dalam perjalanan melalui jaringan publik atau terbuka. Selanjutnya, mereka harus memastikan prosedur dan proses kebijakan keamanan tersedia untuk menegakkan langkah-langkah keamanan dan persyaratan enkripsi.
Persyaratan PCI DSS 5: Gunakan dan Perbarui Perangkat Lunak atau Program Anti-virus
Pedagang diharapkan untuk terus memperbarui dan mengamankan sistem dan aplikasi mereka dengan pemasangan perangkat lunak anti-virus terbaru pada perangkat dan aplikasi. Ini untuk memastikan perlindungan terhadap malware dan serangan cyber lainnya.
Persyaratan PCI DSS 6: Mengembangkan dan Memelihara Sistem dan Aplikasi yang Aman
Meninjau implementasi keamanan dan menginstal patch keamanan untuk mengurangi risiko sangat penting. Memperbarui patch keamanan ini secara teratur sangat penting untuk mencegah potensi risiko peretasan. Merchant diharuskan untuk menambal semua sistem dalam lingkungan data kartu dan menerapkan keamanan di semua fase pengembangan. Selain itu, proses harus ada untuk menemukan kerentanan baru dalam sistem dan aplikasi.
Persyaratan PCI DSS 7: Membatasi Akses ke Data Pemegang Kartu menurut Bisnis Perlu Diketahui
Merchant diharuskan menerapkan kontrol akses yang kuat untuk membatasi akses ke data pemegang kartu. Ini mencegah akses tidak sah ke data kartu sensitif dan potensi risiko pelanggaran atau pencurian data. Untuk ini, proses yang diperlukan harus ditetapkan untuk memastikan bahwa akses ke data pemegang kartu dibatasi berdasarkan kebutuhan bisnis untuk diketahui.
Persyaratan PCI DSS 8: Identifikasi & Otentikasi Akses ke Komponen Sistem
Akses ke sistem dan data harus dilacak dan dipantau secara teratur. Setiap karyawan yang berwenang harus diberi ID unik sebagai bagian dari langkah-langkah kontrol keamanan yang kuat. Ini untuk melacak aktivitas seputar mengakses sistem dan data di lingkungan kartu untuk menjaga akuntabilitas
Persyaratan PCI DSS 9: Batasi Akses Fisik ke Data Pemegang Kartu
Membatasi akses fisik ke data pemegang kartu adalah bagian penting dari penerapan langkah-langkah kontrol keamanan. Ini memerlukan penerapan kontrol akses di tempat, pemantauan log, dan memiliki kebijakan dan proses keamanan yang diperlukan. Selain itu, pedagang diharuskan untuk mengamankan semua perangkat dan sistem dengan langkah-langkah keamanan fisik dan memelihara cadangan semua data.
Persyaratan PCI DSS 10: Lacak dan Pantau Semua Akses ke Sumber Daya Jaringan dan Data Pemegang Kartu
PCI DSS memerlukan pelacakan dan penggerakan waktu nyata dari semua titik akses termasuk sistem dan jaringan yang terdiri dari data kartu. Ini untuk mengidentifikasi dan mencegah eksploitasi kerentanan dan ancaman terhadap lingkungan data kartu. Untuk penanaman log ini, manajemen sangat penting untuk pelacakan aktivitas secara teratur.
Persyaratan PCI DSS 11: Uji Sistem dan Proses Keamanan Secara Teratur
Melakukan penilaian kerentanan dan pengujian penetrasi secara teratur sangat penting untuk menguji semua proses sistem untuk kerentanan. Ini untuk memastikan dan mempertahankan tingkat keamanan yang konstan dalam lingkungan data kartu. Semua sistem dan proses harus sering diuji untuk memastikan keamanan data selalu terjaga.
Persyaratan PCI DSS 12: Pertahankan Kebijakan yang Menangani Keamanan Informasi untuk Semua Personil
Membuat dan memelihara kebijakan yang menangani proses keamanan informasi diperlukan dari sudut pandang penegakan. Setiap karyawan dan vendor pihak ketiga harus memiliki akses ke kebijakan ini untuk mengetahui tanggung jawab mereka dengan lebih baik. Selanjutnya, kebijakan keamanan informasi harus ditinjau setiap tahun untuk menyelaraskan program keamanan cyber merchant dengan persyaratan PCI DSS.
Sekarang setelah kita mengetahui persyaratan teknis dan operasional yang perlu diterapkan untuk mencapai PCI DSS, mari kita lihat bagaimana organisasi dapat mempersiapkan diri untuk Audit Kepatuhan DSS PCI.
Langkah-Langkah Mempersiapkan Audit PCI DSS
Mempersiapkan audit Kepatuhan PCI DSS bisa sangat menegangkan. Ini membutuhkan putaran tinjauan penilaian yang cermat dan penerapan proses untuk memastikan audit akhir berhasil. Yang mengatakan, berikut adalah beberapa langkah yang dapat diikuti seseorang untuk mempersiapkan Audit PCI DSS dan untuk memastikan itu sukses.
Jangan Berasumsi Menjadi Patuh – Persyaratan Kepatuhan PCI DSS sering diperbarui oleh Dewan PCI. Pembaruan ini didasarkan pada teknologi yang berkembang dan lanskap ancaman di industri. Dengan versi terbaru dari PCI-DSS 4.0 ditetapkan untuk dirilis pada Q1 2022, organisasi perlu waspada terhadap persyaratan baru yang akan diperkenalkan dan ditegakkan oleh dewan. Terlepas dari apakah Anda sebelumnya mematuhi PCI DSS, hanya audit mendatang yang akan menyarankan apakah Anda terus mematuhinya atau tidak. Audit kepatuhan adalah penilaian untuk memverifikasi apakah semua tindakan keamanan diterapkan dan sesuai dengan persyaratan keamanan data terbaru. Jadi, dengan asumsi Anda patuh berdasarkan audit PCI DSS Anda sebelumnya dapat menjadi alasan organisasi Anda tidak patuh dalam audit Mendatang.
Analisis Kesenjangan Kepatuhan – Jika organisasi Anda menjalani penilaian PCI DSS untuk pertama kalinya, sangat penting bagi Anda untuk mengidentifikasi di mana tingkat kepatuhan Anda berdasarkan “Apa adanya”, apa kesenjangan utama Anda dan juga investasi yang dibutuhkan. Untuk ini, organisasi Anda harus segera melakukan analisis kesenjangan terhadap persyaratan Kepatuhan PCI DSS. Hal ini untuk menilai dan memverifikasi kekurangan dalam persyaratan dan bekerja untuk menjembatani kesenjangan dalam sistem. PCI DSS adalah proses yang berkelanjutan dan memerlukan tinjauan rutin dan pembaruan prosedur kebijakan dan proses untuk menyelaraskan operasi bisnis dengan standar keamanan dan tujuan keamanan siber. Jadi, melakukan analisis kesenjangan dan memperbaiki potensi kesenjangan kepatuhan sangat penting, terutama sebelum audit akhir untuk memastikan Kepatuhan PCI DSS. Sekali lagi ini bukan hanya dari sudut pandang kepatuhan tetapi juga dari perspektif penguatan keamanan sistem, jaringan, dan infrastruktur.
Alamat Semua Persyaratan PCI DSS – Organisasi perlu memastikan bahwa mereka telah memenuhi semua 12 persyaratan yang diuraikan dalam kerangka kerja PCI DSS untuk memastikan kepatuhan terhadap kerangka standar keamanan. Memahami persyaratan dan implikasinya sangat penting bagi organisasi untuk menerapkan langkah-langkah yang diperlukan untuk kepatuhan. Semua persyaratan harus dipenuhi sepenuhnya sebagaimana berlaku. Gagal memenuhi bahkan salah satu dari persyaratan ini dapat mengakibatkan audit yang gagal dan ketidakpatuhan terhadap PCI DSS. Jadi, 12 persyaratan wajib dipenuhi dan semua tindakan keamanan yang diperlukan diterapkan dalam lingkungan data kartu organisasi.
Buat Jaringan dan Diagram Aliran Data – Organisasi harus membuat dan memelihara diagram jaringan yang akurat untuk memahami konektivitas jaringan di seluruh organisasi serta aliran data kartu di seluruh jaringan organisasi. Ini memberikan wawasan tentang jaringan dan sistem organisasi yang menangani data kartu termasuk penyimpanan, pemrosesan, dan pengiriman data kartu. Membuat diagram jaringan dengan representasi visual dari diagram alur data yang mencerminkan proses organisasi Anda dan aliran data kartu sensitif membantu mengidentifikasi kekurangan dalam operasi. Jadi, berdasarkan diagram jaringan yang terperinci, organisasi dapat memprioritaskan langkah-langkah keamanan di seluruh sistem, aplikasi, jaringan, dan semua titik akses yang berhubungan dengan data kartu.
Tugas beresiko - Penilaian Risiko adalah bagian penting dan integral dari setiap program kepatuhan dan keamanan siber. Penting bagi organisasi untuk menentukan dan memahami eksposur risiko yang mereka hadapi. Menilai risiko dan mengklasifikasikan tingkat eksposur risiko berdasarkan tingkat keparahan sangat penting bagi bisnis untuk memprioritaskan penerapan keamanannya. Untuk ini, organisasi setiap tahun harus melakukan penilaian risiko untuk mengidentifikasi aset penting yang terkena ancaman dan kerentanan. Penilaian semacam itu membantu organisasi mengambil tindakan proaktif untuk mengamankan jaringan dan data sistem mereka dari ancaman dunia maya yang terus berkembang. Ini juga membantu menyelaraskan program keamanan siber mereka dengan persyaratan PCI DSS secara konstan.
Kebijakan & Proses Dokumen – Dokumen mengenai kebijakan kepatuhan, proses, prosedur, serta kontrak dan perjanjian vendor harus terkini dan diperbarui dari waktu ke waktu. Menjaga semua dokumen yang relevan sebagai bukti dalam audit PCI DSS sangat penting. Dokumen harus terdiri dari semua tindakan keamanan yang diterapkan, prosedur, dan proses yang menegakkan penerapan kebijakan kepatuhan yang ditetapkan dalam organisasi. Catatan tersebut dengan jelas menunjukkan upaya organisasi untuk menerapkan dan memelihara Kepatuhan PCI DSS. Audit PCI DSS melibatkan verifikasi dokumen yang terkait dengan prosedur, kebijakan, dan catatan yang relevan dengan penerapan kebijakan. Jadi, organisasi harus memastikan semua dokumentasi diperbarui dan konsisten dengan operasi sehari-hari. Penting juga untuk dicatat bahwa setiap perubahan dalam kebijakan, prosedur, atau proses operasi perlu didokumentasikan dan diperbarui dalam catatan secara teratur.
Kepatuhan vendor pihak ketiga – Meskipun organisasi mengalihdayakan aktivitas pemrosesan data ke vendor pihak ketiga, mereka tetap bertanggung jawab untuk memastikan kepatuhannya. Merchant perlu memastikan bahwa vendor pihak ketiga yang mereka tangani mengetahui tanggung jawab mereka dan memproses data sesuai dengan persyaratan PCI DSS. Kegagalan untuk memastikan kepatuhannya dapat mengakibatkan pelanggaran data dan ketidakpatuhan terhadap PCI DSS untuk organisasi Anda juga. Ini akan merugikan organisasi jika tindakan yang diperlukan tidak diterapkan untuk memantau aktivitas mereka. Untuk alasan ini melibatkan vendor pihak ketiga dan pemangku kepentingan lainnya dalam kepatuhan dan keamanan cyber, program ini sangat penting.
Melakukan Penilaian Internal – Melakukan penilaian internal dari waktu ke waktu sangat penting untuk mengidentifikasi kesenjangan dalam proses dan kelemahan dalam sistem. Ini membantu dalam proses remediasi dan menjembatani kesenjangan dalam program kepatuhan. Melakukan penilaian internal tahunan sangat penting untuk membuat Audit Kepatuhan PCI DSS akhir tanpa kerumitan. Organisasi akan memiliki kesempatan yang lebih baik untuk mencapai Kepatuhan PCI DSS dengan melakukan pra-penilaian dan audit internal sebelum yang terakhir. Organisasi akan disiapkan dengan dokumen yang diperlukan sebagai bukti dan telah menerapkan langkah-langkah keamanan yang diperlukan untuk memastikan Kepatuhan PCI DSS.
Pemikiran Akhir
Kepatuhan PCI DSS tidak dapat dihindari bagi pedagang dan penyedia layanan di industri kartu pembayaran. Mereka harus selalu memastikan bahwa mereka memenuhi semua persyaratan dan memastikan kepatuhan terhadap standar dan kerangka keamanan pembayaran setiap saat. Untuk alasan ini, kami sangat menyarankan agar organisasi mempertimbangkan untuk merekrut konsultan dan auditor kepatuhan yang profesional dan berpengalaman untuk memastikan program kepatuhan mereka berjalan sesuai rencana dan sesuai dengan persyaratan PCI DSS. Audit dan penilaian internal reguler oleh profesional berpengalaman mencerminkan komitmen dan upaya organisasi Anda untuk mengamankan data kartu dan lingkungan serta mencerminkan pendekatan dan inisiatif proaktif mereka untuk memenuhi kewajiban kepatuhan mereka untuk melindungi data sensitif.
TERIMAKASIH UNTUK:
Narendra Saho
Blog terkait
