Mencapai & Mempertahankan Persyaratan Kepatuhan PCI

Diterbitkan: 2022-06-30

Jika bisnis Magento 1 Anda menangani informasi kartu kredit, Anda mungkin sudah mengetahui 300+ persyaratan keamanan di PCI DSS. Jika Anda tidak terbiasa, artikel ini akan membahas beberapa dasar-dasar dan menawarkan sumber daya untuk sertifikasi kepatuhan.

Didirikan pada tahun 2006 oleh American Express, Discover, JCB International, Mastercard, dan Visa, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) menetapkan standar minimum untuk keamanan data seputar pemrosesan transaksi kartu kredit. Ini membantu mengurangi penipuan dan pelanggaran data di seluruh ekosistem pembayaran dan berlaku untuk organisasi mana pun yang menerima atau memproses pembayaran melalui kartu kredit.

Kepatuhan PCI DSS

Kepatuhan PCI DSS melibatkan tiga aturan utama:

  1. Data kartu kredit sensitif dari konsumen harus dikumpulkan dan dikirimkan dengan aman
  2. Data tersebut harus disimpan dengan aman dengan memanfaatkan enkripsi, pemantauan berkelanjutan, dan pengujian keamanan akses ke data kartu
  3. Setiap tahun, memvalidasi bahwa kontrol keamanan yang diperlukan sudah ada

Data sensitif dari konsumen

Perusahaan yang menangani data kartu mungkin diharuskan untuk memenuhi masing-masing dari 300+ kontrol keamanan di PCI DSS. Bahkan jika data kartu hanya melewati infrastruktur bisnis untuk sesaat, perusahaan perlu membeli, menerapkan, dan memelihara perangkat lunak dan perangkat keras keamanan.

Jika perusahaan tidak perlu menangani data kartu kredit yang sensitif, seharusnya tidak. Solusi pihak ketiga (seperti Stripe) menerima dan menyimpan data kartu kredit dengan aman, menghilangkan kerumitan, biaya, dan risiko yang cukup besar. Jika data kartu tidak pernah menyentuh server bisnis Anda, Anda hanya perlu mengonfirmasi 22 kontrol keamanan yang relatif mudah, seperti menggunakan kata sandi yang kuat.

Simpan data dengan aman

Jika sebuah organisasi menangani atau menyimpan data kartu kredit, organisasi tersebut perlu mendefinisikan ruang lingkup lingkungan data pemegang kartu (cardholder data environment/CDE). PCI DSS mendefinisikan CDE sebagai orang, proses, dan teknologi yang menyimpan, memproses, atau mengirimkan data kartu kredit—atau sistem apa pun yang terhubung dengannya.

Karena semua 300+ persyaratan keamanan di PCI DSS berlaku untuk CDE, penting untuk mengelompokkan lingkungan pembayaran dengan benar dari bisnis lainnya untuk membatasi cakupan validasi PCI. Jika sebuah organisasi tidak dapat memuat cakupan CDE, kontrol keamanan PCI kemudian akan berlaku untuk setiap sistem, laptop, dan perangkat di jaringan perusahaannya. Tidak ada yang punya waktu untuk itu.

Tinjauan tahunan atas kontrol keamanan yang diperlukan

Terlepas dari bagaimana data kartu diterima, organisasi yang menangani pembayaran kartu kredit diharuskan mengisi formulir validasi PCI setiap tahun untuk menjaga kepatuhan.

12 Persyaratan Utama untuk PCI DSS

Standar keamanan terbaru, PCI DSS versi 3.2.1, mencakup 12 persyaratan utama dengan lebih dari 300 sub-persyaratan yang mencerminkan praktik terbaik keamanan.

12 persyaratan utama tersebut adalah:

  1. Instal dan pertahankan konfigurasi firewall untuk melindungi informasi pemegang kartu
  2. Jangan pernah menggunakan default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya
  3. Lindungi data pemegang kartu yang tersimpan
  4. Enkripsikan transmisi data pemegang kartu melalui jaringan terbuka atau publik
  5. Lindungi semua sistem dari malware dan perbarui perangkat lunak anti-virus secara teratur
  6. Mengembangkan dan memelihara sistem dan aplikasi yang aman
  7. Batasi akses ke data pemegang kartu
  8. Identifikasi dan autentikasi akses ke komponen sistem
  9. Batasi akses fisik ke data pemegang kartu
  10. Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu
  11. Uji sistem dan proses keamanan secara teratur
  12. Mempertahankan kebijakan yang membahas keamanan informasi untuk semua karyawan

Bisnis baru dapat memvalidasi kepatuhan PCI melalui sembilan kuesioner penilaian mandiri yang masing-masing merupakan bagian dari seluruh persyaratan PCI DSS. Kesulitan datang dari mencoba mencari tahu persyaratan mana yang diperlukan untuk bisnis Anda . Beberapa bisnis akan mempekerjakan auditor yang disetujui Dewan PCI untuk memastikan bahwa setiap persyaratan PCI DSS telah dipenuhi. Dan seolah-olah itu tidak cukup rumit – Dewan PCI merevisi aturan setiap tiga tahun dan merilis pembaruan setiap tahun. Bagaimana bisnis mengamankan data kartu kredit mereka dan menjaga kepatuhan PCI dengan mempertimbangkan faktor-faktor ini?

Cara Mengamankan

Ada sejumlah cara yang diterima untuk mengamankan situs web Anda dengan persyaratan PCI DSS, mulai dari menyewa perusahaan penilai keamanan yang memenuhi syarat (QSA), hingga memanfaatkan Proses 3-Langkah PCI, dan melalui Nexcess Safe Harbor dalam kemitraan dengan Stripe.

1. Penilai Keamanan Berkualitas

Qualified Security Assesor adalah perusahaan keamanan data yang memenuhi syarat oleh Dewan PCI untuk melakukan penilaian Standar Keamanan Data PCI di lokasi. Penilai akan memverifikasi semua informasi teknis yang diberikan oleh pedagang atau penyedia layanan dan menggunakan penilaian independen untuk memastikan standar telah terpenuhi. Daftar perusahaan Qualified Security Assesor (QSA) dapat ditemukan di sini.

2. Proses 3-Langkah PCI

  1. Menilai Mengidentifikasi data pemegang kartu, melakukan inventarisasi aset TI dan proses bisnis untuk pemrosesan kartu pembayaran, dan menganalisis kerentanannya.
  2. Remediasi Memperbaiki kerentanan dan menghilangkan penyimpanan data pemegang kartu kecuali benar-benar diperlukan.
  3. Laporan Menyusun dan menyerahkan laporan yang diperlukan ke bank dan merek kartu yang mengakuisisi.

3. Pelabuhan Aman

Magento 1 mencapai akhir masa pakainya pada Juni 2020, menempatkan ribuan situs e-niaga ke area abu-abu kepatuhan ketika Adobe berhenti mengeluarkan pembaruan keamanan resmi.

Sementara aplikasi e-niaga itu sendiri hanya mewakili sebagian kecil dari apa yang benar-benar diperlukan oleh kepatuhan PCI, bagi pedagang yang masih menjalankan situs e-niaga mereka di Magento 1, hal penting yang perlu diperhatikan adalah tidak akan ada lagi patch keamanan dan pembaruan yang dikeluarkan untuk platform. Mereka sendirian kecuali mereka telah berinvestasi dalam solusi seperti Nexcess Safe Harbor. Kami sangat menyarankan Anda memeriksa Stripe, yang memiliki komitmen untuk menjaga modul Magento 1 mereka tetap berjalan untuk pelanggan mereka.

Garis

Stripe tetap berkomitmen untuk memungkinkan pengguna menggunakan produk Stripe dengan aman dalam Magento 1. Untuk itu, Nexcess mendorong Anda untuk menginstal modul resmi Magento 1 Stripe, yang menggunakan Stripe.js dan Elements untuk menyederhanakan kepatuhan PCI situs Anda. Stripe akan terus merilis perbaikan bug dan pembaruan keamanan untuk modul Stripe Magento 1 untuk memastikan solusi ini mengikuti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).

Kesimpulan

Seperti yang Anda lihat, mencapai dan mempertahankan kepatuhan PCI bukanlah prestasi kecil. Namun dengan informasi yang tepat, bantuan dari profesional kepatuhan, dan Nexcess Safe Harbor, bisnis yang masih beroperasi di Magento 1 dapat menjaga data kartu kredit pelanggan mereka tetap aman dan terlindungi.