Apa itu PCI-DSS, dan Apa Perannya dalam Keamanan Layanan Kartu Kredit?

Penipuan/pemalsuan (fraud) masih menjadi masalah besar buat layanan kartu kredit. Nilson Report menyebutkan bahwa pada 2020 lalu kerugian mencapai US$ 28,58 miliar di seluruh dunia.

Kebocoran data dan penipuan, bila tidak ditangani dengan serius, tidak hanya menimbulkan  kerugian finansial untuk penyelenggara jasa kartu kredit, tapi juga memengaruhi kepercayaan pelanggan. Pelanggan yang kehilangan kepercayaan tidak hanya akan menghindari penggunaan kartu kredit, tetapi juga bank dan merchant yang dianggap tidak dapat menjamin keamanan transaksi.

Meskipun fraud dan kebocoran data belum dapat sepenuhnya dibasmi, penyelenggara layanan pembayaran masih bisa meminimalkan kerugian yang diperoleh dengan menerapkan standar keamanan data PCI-DSS (Payment Card Industry Data Security Standard).

Pentingnya PCI-DSS

PCI-DSS adalah standar keamanan data yang harus dipatuhi oleh setiap pihak yang menyelenggarakan layanan kartu kredit. Pihak-pihak ini tidak hanya berarti penyelenggara pembayaran seperti bank, tetapi juga merchant dan pihak ketiga yang ikut terlibat dalam penyelenggaraan layanan (third-party service provider).

Baca juga: 3 Peran Kecerdasan Buatan untuk Produk Kartu Kredit

Contoh penyedia layanan pihak ketiga ini termasuk penyedia infrastruktur teknologi informasi (seperti penyedia jasa Data Center, Managed Firewall, Managed Security Service), penyedia call center, dan pihak lain yang terlibat dalam memproses, menyimpan, dan mengirimkan informasi kartu kredit.

Standar PCI-DSS ini cukup kompleks bila dijabarkan secara terperinci. Namun secara garis besar, PCI-DSS menuntut suatu organisasi yang terlibat dalam transaksi kartu kredit untuk dapat memenuhi 12 persyaratan yang tergabung dalam 6 sasaran (objective). Keenam sasaran itu adalah:

1. Membangun dan memelihara sistem dan jaringan yang aman
2. Melindungi data pemegang kartu kredit
3. Menjalankan program pengelolaan kerentanan (vulnerability program)
4. Menerapkan tindakan akses kendali yang kuat
5. Secara teratur memantau dan menguji jaringan
6. Membuat dan menjalankan kebijakan keamanan informasi.

Baca juga: Nilai Tambah Baru dari Analisis Data Pembayaran Melalui Kartu Kredit

Sementara itu, 12 persyaratan yang harus dipenuhi adalah:

1. Memasang dan menjalankan Firewall untuk melindungi jaringan. Firewall terbukti efektif dalam mencegah akses dari pihak yang tidak berhak.
2. Perlindungan kata sandi yang layak. Misalnya, perangkat dan aplikasi yang digunakan harus dilindungi dengan kata sandi yang kuat, dan mengganti kata sandi default.
3. Perlindungan data pemegang kartu. Data harus dienkripsi, dan pemeriksaan harus dilakukan secara berkala agar dapat memastikan tidak ada data yang tidak terenkripsi.
4. Pengiriman data terenkripsi. Enkripsi data tidak hanya dilakukan pada saat penyimpanan, tetapi juga saat transmisi.
5. Gunakan antivirus. Antivirus dapat melindungi sistem dari virus dan malware.
6. Kembangkan dan pelihara aplikasi dan sistem yang aman. Untuk aplikasi pihak ketiga, ini antara lain dapat dilakukan dengan memperbarui perangkat lunak secara teratur. Vendor perangkat lunak biasanya akan menambal lubang keamanan lewat proses pembaruan.
7. Batasi akses ke data pemegang kartu. Pihak-pihak yang tidak memerlukan data ini tidak perlu diberi akses. Pihak yang membutuhkan akses harus dicatat dan didokumentasikan.
8. Gunakan identitas unik untuk akses. Ini berarti individu yang memiliki akses ke data harus memiliki kredensial sendiri-sendiri. Penggunaan identitas dan kata sandi yang digunakan bersama tidak boleh dilakukan.
9. Batasi akses fisik ke data pemegang kartu. Misalnya, perusahaan/penyedia jasa harus membatasi orang yang berhak masuk ke Data Center yang menyimpan data pelanggan. Proses akses ini juga harus direkam.
10. Pantau dan lacak semua akses ke jaringan dan data pemegang kartu. Sistem pemantauan seperti SIEM (Security Information and Event Management) dapat membantu pemantauan aktivitas, memberi peringatan bila ada aktivitas mencurigakan, dan mencatat setiap aksi pengguna sistem.
11. Uji sistem dan proses keamanan secara teratur. Kerentanan pada perangkat lunak (server web, sistem operasi, aplikasi, dan sebagainya) pada gilirannya akan menyebabkan kerentanan pada keamanan data. Untuk menemukan kerentanan ini, harus dilakukan pemindaian kerentanan dan uji penetrasi (penetration test/pentest) secara berkala.
12. Ciptakan kebijakan keamanan informasi untuk karyawan dan kontraktor. Perusahaan harus membuat dokumen, kebijakan dan prosedur tentang praktik keamanan dan keamanan informasi. Perusahaan juga harus melakukan analisis risiko yang mengidentifikasi aset kritikal, kelemahan, dan risikonya.

Bank yang ingin menyelenggarakan layanan kartu kredit harus memenuhi 12 persyaratan tersebut agar patuh terhadap standar PCI-DSS.

Lintasarta TPCM

Bank yang ingin menawarkan produk kartu kredit bisa menyelenggarakan sendiri sepenuhnya layanan pembayaran ini. Alternatif lain adalah menggunakan bantuan jasa Third Party Card Management (TPCM) yang ditawarkan Lintasarta. Saat ini, layanan Lintasarta merupakan jasa TPCM satu-satunya di Indonesia. Dengan Lintasarta TPCM, bank tidak perlu mengeluarkan biaya investasi dan operasional yang bisa cukup besar.

Standar PCI-DSS mensyaratkan bahwa bank menetapkan kebijakan dan prosedur pengelolaan penyedia layanan yang menangani data pemegang kartu, atau memengaruhi keamanan datanya. Ini termasuk memastikan bahwa penyedia layanan tersebut juga sudah memenuhi PCI-DSS.

Baca juga: Inilah Berbagai Inovasi Kartu Kredit

Lintasarta TPCM sendiri sudah mematuhi standar PCI-DSS, termasuk seluruh infrastruktur penunjang yang digunakan. Dengan demikian, bank dapat lebih mudah menjamin bahwa standar keamanan data pelanggan sudah terpenuhi.

Untuk mengetahui lebih lanjut tentang Lintasarta TPCM, silakan hubungi kami.