Daftar Periksa Kepatuhan PCI: Yang Perlu Diketahui Setiap Bisnis E-niaga
Diterbitkan: 2022-10-03Sepertinya setiap hari kita mendengar tentang pelanggaran data baru. Pada tahun 2020 saja, perusahaan besar seperti J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon, dan Staples semuanya mengalami pelanggaran data, menghabiskan banyak uang dan merusak kepercayaan pelanggan.
Sangat mudah untuk berpikir, "itu hanya terjadi pada orang-orang besar," tetapi kenyataannya, 90% pelanggaran berdampak pada bisnis kecil. Untuk alasan ini, pengecer eCommerce yang memproses pembayaran kartu kredit atau debit secara online – jadi, hampir semuanya! - harus sesuai dengan PCI. Jadi apa itu kepatuhan PCI, dan bagaimana hal itu dapat membantu bisnis Anda? Mari selami!
Apa itu Kepatuhan PCI?
PCI adalah akronim untuk "Industri Kartu Pembayaran." Anda juga dapat melihatnya sebagai PCI DSS, yang merupakan singkatan dari “Standar Keamanan Data Industri Kartu Pembayaran.” Apa pun itu, definisi kepatuhan PCI adalah “seperangkat persyaratan yang dimaksudkan untuk memastikan bahwa semua perusahaan yang memproses, menyimpan, atau mengirimkan informasi kartu kredit menjaga lingkungan yang aman.”
Kepatuhan PCI dikembangkan pada tahun 2006 oleh PCI Security Standards Council (PCI SSC) , sebuah badan independen yang terdiri dari para pemimpin industri kartu pembayaran dari Visa, MasterCard, American Express, Discover, dan JCB (itulah sebabnya kadang-kadang disebut sebagai "kredit kepatuhan kartu"). Tujuan mereka adalah untuk melindungi semua pihak yang terlibat dalam transaksi pembayaran, termasuk jaringan pembayaran, pemroses, lembaga keuangan, pelanggan, dan bisnis.
Mengapa Kepatuhan PCI Penting?
Kepatuhan PCI bukan merupakan persyaratan hukum. Namun, kegagalan untuk mengikuti protokol PCI dapat membuat pengecer eCommerce mengalami masalah hukum. Bagaimana? Jika bisnis Anda mengalami pelanggaran data, dan hasil investigasi mengungkapkan bahwa proses Anda tidak sesuai dengan PCI, Anda mungkin akan dikenakan denda dan biaya ribuan dolar oleh pemerintah dan penerbit kartu pembayaran, dan tuntutan hukum serta klaim asuransi dapat diajukan terhadap Anda karena gagal. untuk memenuhi standar PCI. Selain itu, Anda dapat kehilangan kepercayaan pelanggan, karyawan yang berharga, kemampuan untuk menerima kartu pembayaran (lonceng kematian bagi pengecer online) dan dikenakan biaya kepatuhan yang lebih tinggi.
Jadi, meskipun Anda tidak dapat dihukum hanya karena tidak mematuhi PCI, Anda dapat dimintai pertanggungjawaban atas pelanggaran apa pun yang terjadi jika Anda tidak mematuhinya. Dan, seperti yang disebutkan sebelumnya, 90% pelanggaran berdampak pada bisnis kecil, jadi lebih baik aman daripada menyesal.
Anda mungkin bertanya-tanya mengapa penjahat dunia maya ingin mengejar bisnis kecil; lagi pula, ada ikan yang jauh lebih besar untuk digoreng! Nah, penjahat dunia maya melihat usaha kecil sebagai mangsa yang mudah. Mereka tahu bahwa sebagian besar pengecer besar akan mematuhi PCI dan karenanya tidak terlalu rentan. Namun, mereka bertaruh bahwa banyak usaha kecil belum mengambil langkah-langkah yang diperlukan untuk menjadi sesuai dengan PCI, menjadikannya tanda yang mudah.
6 Jenis Pelanggaran Keamanan yang Dilindungi oleh Kepatuhan PCI
Sementara penjahat dunia maya akan selalu mencari jalan masuk meskipun ada perlindungan (itulah yang mereka lakukan), kepatuhan PCI dapat melakukan banyak hal untuk melindungi dari enam jenis bencana keamanan berikut .
- Perangkat lunak perusak. Penjahat menggunakan perangkat lunak berbahaya untuk menyusup ke sistem komputer dan mencuri data pembayaran. Ransomware , di mana seorang peretas menyimpan "sandera" data dengan imbalan uang dalam Bitcoin, adalah salah satu bentuk malware yang tumbuh paling cepat.
- Pengelabuan. Sarana pengiriman umum untuk malware, email phishing (seperti faktur atau permintaan informasi dari C-suite) terlihat sah untuk meyakinkan orang agar membukanya. Namun, mereka berisi tautan atau lampiran berbahaya yang dapat menginfeksi komputer dan seluruh sistem.
- Akses Jarak Jauh. Kontrol akses jarak jauh yang lemah, misalnya, yang digunakan oleh vendor terminal pembayaran Anda, memungkinkan penjahat dunia maya mendapatkan akses ke sistem Anda yang menyimpan, memproses, atau mengirimkan data pembayaran.
- Kata Sandi Lemah . Ada alasan mengapa kata sandi saat ini meminta huruf besar, angka, dan simbol khusus yang berbeda: Lebih dari 80% pelanggaran data melibatkan kata sandi yang dicuri/atau lemah.
- Perangkat Lunak Kedaluwarsa. Cacat dalam perangkat lunak usang sering kali "tidak ditambal", yang membuatnya mudah disusupi oleh penjahat dunia maya.
- Peluncuran. Meskipun ini hanya berlaku untuk lokasi toko fisik, skimming adalah saat penjahat memasang "perangkat skimming" perangkat keras kecil ke pembaca kartu yang mencuri data pembayaran pelanggan saat mereka menggunakan kartu pembayaran. Kemudian, kartu palsu dapat dibuat untuk melakukan pembelian ilegal.
4 Tingkat Kepatuhan PCI
Pikirkan tidak adil bahwa bisnis kecil Anda memiliki standar PCI yang sama dengan perusahaan multi-miliar dolar seperti Amazon? Berita baiknya adalah tidak! Ada empat tingkat kepatuhan PCI, yang ditentukan oleh jumlah transaksi yang ditangani bisnis setiap tahun.
- Level 1: Merchant yang memproses lebih dari 6 juta transaksi kartu setiap tahunnya.
- Level 2: Pedagang yang memproses 1 hingga 6 juta transaksi setiap tahun.
- Level 3: Pedagang yang memproses 20.000 hingga 1 juta transaksi setiap tahun.
- Level 4: Pedagang yang memproses kurang dari 20.000 transaksi setiap tahun.
PCI SSC juga menawarkan kuesioner penilaian mandiri sederhana di situs web mereka yang akan membantu Anda menentukan persyaratan Standar Keamanan Data PCI mana yang berlaku untuk bisnis Anda.
Bagaimana Startup dan Bisnis E-niaga Kecil Dapat Bersiap Menggunakan Daftar Periksa Kepatuhan PCI ini
Di bawah ini adalah cara Anda dapat meningkatkan tingkat kepatuhan PCI untuk melindungi bisnis dan pelanggan Anda. Anggap ini sebagai "Daftar Periksa Kepatuhan PCI" Anda. Semua 12 persyaratan kepatuhan PCI berkaitan dengan suatu prinsip, dan prinsip-prinsip ini adalah:
- Membangun dan memelihara jaringan yang aman
- Lindungi data pemegang kartu
- Pertahankan program manajemen kerentanan
- Terapkan langkah-langkah kontrol akses yang kuat
- Pantau dan uji jaringan secara teratur
- Menjaga kebijakan keamanan informasi
1. Menggunakan dan Memelihara Firewall
Ketika penjahat dunia maya atau aktor tidak dikenal lainnya, jahat atau lainnya, mencoba mengakses data pribadi di sistem Anda, firewall pada dasarnya memblokir mereka untuk masuk. Tentu saja, firewall tidak dapat ditembus, dan kerentanan dapat ditemukan (itulah sebabnya penting untuk mempertahankannya melalui pembaruan), tetapi mereka adalah garis pertahanan pertama yang baik.
2. Gunakan Proteksi Kata Sandi yang Tepat
Perangkat lunak dan perangkat keras pihak ketiga sering kali dilengkapi dengan kata sandi umum dan langkah-langkah keamanan default yang dapat dengan mudah diakses oleh penjahat dunia maya. Agar sesuai dengan PCI, Anda perlu mengubah kata sandi ini dan menyesuaikan konfigurasi dasar, serta menyimpan daftar setiap perangkat yang memerlukan kata sandi atau cara akses lainnya.
3. Lindungi Data Pemegang Kartu yang Tersimpan
Data pemegang kartu tidak boleh disimpan melebihi waktu yang diperlukan untuk menyelesaikan transaksi kecuali diperlukan untuk kebutuhan hukum, peraturan, atau bisnis. Jika penyimpanan diperlukan, bisnis harus membatasi waktu penyimpanan dan penyimpanan seminimal mungkin, menghapus data setidaknya setiap kuartal. Kepatuhan PCI juga membahas bagaimana nomor akun utama (PAN) harus ditampilkan, misalnya hanya mengungkapkan enam digit pertama dan empat digit terakhir.
4. Enkripsi Data yang Ditransmisikan
Ketika data pemegang kartu ditransmisikan melalui jaringan publik, ini adalah peluang utama bagi penjahat dunia maya untuk mencegatnya. Persyaratan PCI ini menyatakan bahwa data pemegang kartu harus dienkripsi setiap kali dikirim ke lokasi yang diketahui ini dan tidak boleh dikirim ke lokasi yang tidak diketahui.
5. Menggunakan dan Memelihara Perangkat Lunak Antivirus
Perangkat lunak antivirus seperti McAfee atau Norton diperlukan untuk perangkat apa pun yang berinteraksi dengan atau menyimpan PAN. Sama seperti firewall Anda, perangkat lunak ini perlu diperbarui secara berkala agar kerentanan dapat ditambal. Lihat daftar perangkat lunak antivirus terbaik PC untuk tahun 2021.
6. Menjaga Sistem dan Aplikasi yang Aman
Bisnis e-niaga harus menjaga keamanan perangkat lunak, bekerja sama dengan vendor perangkat lunak mereka untuk memastikan patch keamanan mutakhir dan mudah diakses serta dijalankan. Selain menerapkan patch penting secara tepat waktu, bisnis perlu membuat proses untuk menemukan kerentanan baru dan memeringkatnya. Pembaruan ini sangat penting untuk semua perangkat lunak pada perangkat yang berinteraksi dengan atau menyimpan data pemegang kartu.
7. Batasi Akses Data Pemegang Kartu
Data pemegang kartu adalah informasi yang sangat sensitif dan hanya boleh dilihat oleh agen yang benar-benar perlu mengetahuinya. Sebagian besar staf Anda dan pihak ketiga tidak memerlukan akses ke informasi ini, sehingga harus dibatasi. Peran-peran yang memang membutuhkan akses ke data ini harus sangat didokumentasikan dan diperbarui secara berkala.
8. Tetapkan ID Unik untuk Akses
Daripada memiliki satu nama pengguna dan kata sandi login untuk data pemegang kartu, individu yang membutuhkan akses harus memiliki kredensial dan identifikasi individu. Ini memastikan bahwa setiap kali seseorang mengakses data pemegang kartu, aktivitas itu dapat dilacak ke pengguna yang dikenal atau setidaknya segera dikenali sebagai akses yang tidak sah. Untuk akses jarak jauh, diperlukan otorisasi dua faktor yang memberikan lapisan keamanan ekstra.
9. Batasi Akses Fisik ke Data
Semua data pemegang kartu di tempat harus disimpan secara fisik di lokasi yang aman, dipantau, dan memerlukan log. Prosedur untuk mengidentifikasi orang-orang yang bukan milik dengan cepat harus diterapkan. Cadangan juga harus dipelihara di situs sekunder yang aman. Terakhir, ketika bisnis tidak lagi membutuhkan data, data tersebut harus dimusnahkan.
10. Audit Jaringan Secara Teratur
Kepatuhan PCI mengharuskan bisnis eCommerce untuk memantau dan menguji jaringan mereka secara teratur untuk memastikan tidak ada kerentanan fisik atau nirkabel. Jejak audit otomatis diperlukan, bersama dengan kemampuan untuk merekonstruksi peristiwa, jika terjadi pelanggaran. Data audit harus diamankan dan dipelihara setidaknya selama satu tahun.
11. Pindai dan Uji Kerentanan
Kerentanan terjadi karena aktivitas kejahatan dunia maya, malfungsi, kesalahan manusia, dan pengenalan kode baru. Ini berarti bahwa semua sistem dan proses internal dan eksternal harus diuji setiap tiga bulan untuk memastikan bahwa keamanan tetap terjaga. Persyaratan PCI DSS lainnya yang sedang berlangsung termasuk pengujian penetrasi serta penggunaan sistem deteksi dan pencegahan intrusi. Selain itu, pemantauan file diperlukan untuk kepatuhan PCI sehingga peringatan dimunculkan kapan saja pengguna telah memodifikasi konten, konfigurasi, atau file sistem dengan cara yang tidak sah.
12. Kebijakan Keamanan Dokumen
Inventarisasi peralatan, perangkat lunak, dan karyawan yang memiliki akses ke data perlu didokumentasikan untuk kepatuhan. Log mengakses data pemegang kartu dan cara informasi mengalir ke perusahaan Anda, di mana disimpan, dan bagaimana digunakan setelah penjualan juga harus didokumentasikan. Selain itu, individu atau tim perlu ditunjuk untuk menciptakan inisiatif kesadaran keamanan dan untuk menyaring calon karyawan, kontraktor, dll. sebagai bagian dari proses perekrutan untuk menghindari pelanggaran data internal.
Penganggaran untuk Kepatuhan PCI
Mencapai dan mempertahankan 12 langkah kepatuhan PCI tidak diragukan lagi akan membutuhkan biaya. Tentu saja, berapa banyak uang yang akan bergantung pada tingkat kepatuhan bisnis Anda, ukuran organisasi Anda, budaya keamanan perusahaan Anda, jenis teknologi yang Anda gunakan, dan apakah Anda mampu membayar profesional TI/PCI yang berdedikasi.
Namun, karena biaya ketidakpatuhan bisa sangat besar jika terjadi pelanggaran data (dan sejujurnya ini bukan masalah jika, tetapi kapan), ada baiknya mencari anggaran untuk itu bahkan jika itu berarti memotong pengeluaran di tempat lain atau menaikkan penetapan harga pada produk tertentu sementara untuk mengumpulkan uang. Pada akhirnya, Anda akan memiliki bisnis eCommerce yang aman dan ketenangan pikiran untuk Anda dan pelanggan Anda.
Kurangi Masalah Keamanan Data dengan The Fulfillment Lab
Teknologi memberi pengecer eCommerce banyak manfaat, mulai dari pemantauan inventaris hingga pelacakan pengiriman, pemrosesan pembayaran hingga keamanan data pelanggan. Tentu saja, memperoleh sistem ini membutuhkan investasi finansial yang besar—dan selalu ada kurva pembelajaran!
Saat Anda menurunkan pemenuhan pesanan ke The Fulfillment Lab, pemimpin dalam pemasaran eCommerce dengan 14 fasilitas internasional, tanggung jawab pengiriman Anda. Anda juga akan mengurangi banyak masalah kepatuhan PCI karena Anda akan mendapatkan akses ke perangkat lunak Global Fulfillment System (GFS) kami yang mutakhir. Sistem aman ini memungkinkan Anda untuk memantau inventaris, melacak pengiriman, menyesuaikan pengemasan, dan memproses pembayaran. Pastikan untuk memeriksa blog kami, 10 Alasan Menggunakan Pusat Pemenuhan untuk Pengiriman E-niaga Anda , untuk lebih lanjut, dan jangan ragu untuk menghubungi kami untuk mempelajari lebih lanjut.