Apa yang dimaksud dengan kepatuhan PCI dan apakah saya harus mematuhi PCI?

Kepatuhan PCI: Apa Itu?

Bisnis kartu kredit harus mematuhi kepatuhan PCI untuk membantu melindungi keamanan transaksi kartu kredit dalam sistem keuangan. Kepatuhan industri kartu pembayaran mengacu pada persyaratan teknis dan operasional perusahaan untuk menjaga dan melestarikan data pemegang kartu yang diberikan selama operasi pemrosesan kartu. Dewan Standar Keamanan PCI mengembangkan dan mengelola standar kepatuhan PCI.

Memahami Kepatuhan PCI

Pemrosesan kartu kredit diatur oleh Federal Trade Commission (FTC) karena berada di bawah perlindungan dan regulasi konsumen. Meskipun tidak ada paksaan legislatif untuk kepatuhan PCI, hal itu dipandang seperti yang dipersyaratkan di bawah preseden pengadilan.

Kepatuhan PCI, secara umum, merupakan komponen penting dari proses keamanan setiap perusahaan kartu kredit. Perusahaan kartu kredit sering membutuhkannya, dan ini disebutkan dalam perjanjian jaringan kartu kredit.

Dewan Persyaratan PCI bertanggung jawab untuk mengembangkan standar kepatuhan PCI. Standar ini berlaku untuk pemrosesan pedagang dan telah ditingkatkan untuk menyertakan persyaratan untuk transaksi Internet terenkripsi. Institusi penting lainnya yang terlibat dalam proses penetapan standar industri kartu kredit adalah Card Association Network dan National Automated Clearing House (NACHA).

Bagaimana jika saya tidak sesuai dengan PCI?

Sementara kepatuhan PCI adalah wajib, beberapa pemilik perusahaan mempertanyakan apakah mereka dapat menghindari standar - ini adalah ide yang tidak etis dan mungkin membawa bencana. Jika Anda tidak mematuhi PCI, Anda mempertaruhkan keamanan konsumen dan perusahaan Anda. Tanpa perlindungan yang disediakan oleh kepatuhan PCI, perusahaan Anda mungkin terkena serangan mahal dan pelanggaran data.

Jika pelanggaran data terjadi dan organisasi Anda tidak mematuhi PCI, Anda mungkin akan dikenakan penalti dan denda mulai dari $5.000 hingga $500.000. Namun, hukuman hanyalah awal dari kerugian yang ditimbulkan oleh ketidakpatuhan. Jika Anda tidak mematuhi PCI, Anda berisiko kehilangan akun pedagang Anda, yang akan mencegah Anda menerima pembayaran kartu kredit sama sekali. Selain itu, perusahaan Anda mungkin dimasukkan dalam Daftar Anggota untuk Mengontrol Pedagang Berisiko Tinggi (MATCH), membuat Anda tidak memenuhi syarat selama bertahun-tahun untuk membuat akun pedagang baru.

Selain itu, pelanggaran data dapat mengakibatkan kerugian ribuan dolar, hilangnya rasa hormat dan kepercayaan konsumen, dan hilangnya merek Anda. Karena berbagai hukuman yang terkait dengan kepatuhan non-PCI, selalu bijaksana untuk sepenuhnya mematuhi mungkin untuk menghindari denda yang mahal dan kerusakan lainnya.

Apa saja 12 persyaratan untuk kepatuhan PCI DSS?

Instal dan Pertahankan Firewall

Firewall secara efektif menolak akses ke data pribadi ke organisasi luar atau tidak dikenal. Tindakan pencegahan ini sering kali merupakan garis perlindungan pertama terhadap peretas (berbahaya atau lainnya). Karena kemampuannya dalam mencegah akses yang tidak sah, firewall diperlukan untuk kepatuhan PCI DSS.

Perlindungan Kata Sandi yang Efektif

Router, modem, sistem point-of-sale (POS), dan barang pihak ketiga lainnya sering kali menyertakan kata sandi umum dan mekanisme keamanan yang mudah diakses oleh masyarakat umum. Bisnis sering gagal melindungi kerentanan ini. Mempertahankan kepatuhan di area ini melibatkan pemeliharaan daftar semua perangkat dan aplikasi yang dilindungi kata sandi (atau keamanan lain untuk diakses). Dengan inventaris perangkat/kata sandi, perlindungan dan pengaturan penting harus diterapkan (misalnya, mengubah kata sandi).

Lindungi Data Pemegang Kartu

Kewajiban kepatuhan PCI DSS ketiga adalah mengamankan data pemegang kartu dengan dua cara. Data pemegang kartu harus dienkripsi menggunakan algoritma tertentu. Enkripsi ini diimplementasikan menggunakan kunci enkripsi — yang juga harus dienkripsi untuk tujuan kepatuhan. Pemeliharaan dan pemindaian nomor akun utama (PAN) secara teratur diperlukan untuk memverifikasi bahwa tidak ada data yang tidak terenkripsi.

Enkripsi Data yang Ditransmisikan

Data pemegang kartu dikirim melalui berbagai rute konvensional (yaitu, pemroses pembayaran, kantor pusat dari toko lokal, dll.). Ketika data ini ditransfer ke tujuan yang diketahui ini, itu harus dienkripsi. Selain itu, nomor akun tidak boleh diberikan ke situs yang tidak dikenal.

Gunakan Dan Pertahankan Anti-Virus

Di luar kepatuhan PCI DSS, menggunakan perangkat lunak anti-virus adalah praktik yang cerdas. Namun, semua perangkat yang berinteraksi dengan dan menyimpan PAN harus memiliki perangkat lunak anti-virus yang diinstal. Perangkat lunak ini harus ditambal dan diperbarui secara berkala. Selain itu, pemasok tempat penjualan Anda harus menggunakan perlindungan anti-virus di area yang tidak dapat digunakan secara langsung.

Perangkat Lunak yang Diperbarui

Firewall dan perangkat lunak anti-virus perlu diperbarui secara berkala. Selain itu, adalah bijaksana untuk selalu memperbarui semua perangkat lunak di perusahaan. Sebagian besar program perangkat lunak menggabungkan langkah-langkah keamanan, seperti patch untuk mengatasi kerentanan yang baru diidentifikasi, sebagai bagian dari pembaruan mereka, memberikan lapisan perlindungan tambahan. Pembaruan ini penting untuk perangkat lunak apa pun yang berjalan pada perangkat yang berinteraksi dengan atau menyimpan data pemegang kartu.

Batasi Akses Ke Data

Informasi pemegang kartu harus benar-benar "perlu diketahui". Semua karyawan, eksekutif, dan pihak ketiga yang tidak memerlukan informasi ini harus ditolak aksesnya. Tanggung jawab yang membutuhkan data sensitif harus didokumentasikan dengan baik dan diperbarui secara berkala, seperti yang disyaratkan PCI DSS.

Kode Akses Unik

Karyawan yang memiliki akses ke data pemegang kartu harus diidentifikasi dan masing-masing memiliki kredensial terpisah. Misalnya, data terenkripsi tidak boleh diakses melalui satu login, dengan beberapa pekerja mengetahui nama pengguna dan kata sandi. Pengidentifikasi unik mengurangi kerentanan dan menyediakan waktu reaksi yang lebih cepat jika data disusupi.

Batasi Akses Pada Level Fisik

Setiap data tentang pemegang kartu harus disimpan secara fisik di tempat yang aman. Data yang ditulis atau diketik secara fisik dan data yang disimpan secara digital (misalnya, pada hard drive) harus diamankan di ruang yang aman, laci, atau lemari. Tidak hanya akses harus dibatasi, tetapi setiap kali data sensitif diakses, catatan harus dipelihara untuk memastikan kepatuhan.

Kelola Log Akses

Semua transaksi yang melibatkan data pemegang kartu dan nomor rekening utama (PAN) harus dicatat. Mungkin masalah ketidakpatuhan yang paling umum adalah kurangnya pencatatan dan dokumentasi yang memadai untuk akses data sensitif. Kepatuhan memerlukan pelacakan aliran data yang masuk ke perusahaan Anda dan frekuensi akses yang diperlukan. Selain itu, perangkat lunak yang melacak akses diperlukan untuk memastikan akurasi.

Pemindaian dan Uji Kerentanan

Masing-masing dari sepuluh kriteria kepatuhan sebelumnya memerlukan penggunaan banyak produk perangkat lunak, lokasi fisik, dan personel. Banyak item mungkin gagal untuk beroperasi dengan benar, menjadi usang, atau menjadi subyek kesalahan manusia. Kami dapat mengurangi risiko ini dengan mengikuti kriteria PCI DSS untuk pemindaian reguler dan pengujian kerentanan.

Kebijakan Mengenai Dokumen

Kepatuhan akan membutuhkan dokumentasi peralatan, perangkat lunak, dan pekerja yang memiliki akses. Selain itu, catatan akses data pemegang kartu akan memerlukan dokumentasi. Penting juga untuk mencatat bagaimana informasi memasuki bisnis Anda, di mana disimpan, dan digunakan di luar titik penjualan.

Keuntungan dari Kepatuhan PCI

Keuntungan kepatuhan termasuk penurunan risiko pelanggaran data, perlindungan data pemegang kartu, dan penghindaran pencurian identitas. Kepatuhan adalah praktik terbaik untuk bisnis karena meminimalkan hukuman yang terkait dengan pelanggaran data, menguntungkan reputasi merek perusahaan, dan memastikan bahwa konsumen puas dan yakin bahwa mereka melakukan bisnis dengan perusahaan yang bertanggung jawab, menghasilkan loyalitas merek.

Semua bisnis yang menerima informasi kartu kredit diwajibkan berdasarkan perjanjian pemrosesan kartu mereka untuk menjaga kepatuhan PCI. Kepatuhan PCI adalah standar industri, dan bisnis yang tidak mematuhinya berisiko terkena hukuman yang signifikan untuk pelanggaran kontrak dan kecerobohan. Perusahaan yang tidak mematuhi PCI juga sangat rentan terhadap pencurian, penipuan, dan pelanggaran data.

Di Fixed.net kami sangat menyarankan agar Anda tidak pernah menyentuh data kartu . Itu berarti, gunakan penyedia seperti Stripe atau Braintree di mana data kartu di-token. Data kartu tidak disimpan oleh Anda, dan bahkan tidak terlihat oleh Anda. Pelanggan memasukkan detail menggunakan widget tersemat dari situs web penyedia pembayaran.

Kepatuhan PCI dan WordPress

WordPress adalah perangkat lunak sumber terbuka dan tidak memiliki sistem pembayaran bawaan. Sebaliknya, sistem pembayaran dibundel dengan plugin seperti WooCommerce. Plugin ini biasanya memiliki kemampuan untuk mengaitkan gateway pihak ketiga seperti Stripe. Jika Anda memilih gateway di mana Anda tidak menyentuh data kartu, maka Anda tidak perlu PCI Compliant.

Kepatuhan PCI dan WooCommerce

WooCommerce hadir dengan sejumlah opsi pembayaran yang dibundel dan Anda dapat memperluasnya dengan plugin pihak ketiga. Kami masuk ke opsi pembayaran di berbagai panduan lain di blog ini. Namun sebagian besar pelanggan Tetap cenderung menggunakan kombinasi Stripe dan PayPal.