Keamanan digital baru saja menerapkan aturan baru, dan perusahaan yang memproses data kartu perlu beradaptasi. Dengan hadirnya versi 4.0 Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), yang ditetapkan oleh Dewan Standar Keamanan PCI (PCI SSC), perubahannya signifikan dan berdampak langsung pada perlindungan data pelanggan serta cara data pembayaran disimpan, diproses, dan dikirimkan. Namun, apa yang sebenarnya berubah?
Perubahan utamanya adalah kebutuhan akan tingkat keamanan digital yang lebih tinggi. Perusahaan harus berinvestasi dalam teknologi canggih seperti enkripsi yang kuat dan autentikasi multi-faktor. Metode ini membutuhkan setidaknya dua faktor verifikasi untuk mengonfirmasi identitas pengguna sebelum memberikan akses ke sistem, aplikasi, atau transaksi, sehingga peretasan menjadi lebih sulit, bahkan jika penjahat mendapatkan akses ke kata sandi atau data pribadi.
Di antara faktor otentikasi yang digunakan adalah:
- Sesuatu yang diketahui pengguna : kata sandi, PIN, atau jawaban atas pertanyaan keamanan.
- Sesuatu yang dimiliki pengguna : token fisik, SMS dengan kode verifikasi, aplikasi autentikator (seperti Google Authenticator), atau sertifikat digital.
- Sesuatu yang dimiliki pengguna : biometrik pengenalan digital, wajah, suara, atau iris.
“Lapisan perlindungan ini membuat akses tidak sah menjadi jauh lebih sulit dan menjamin keamanan yang lebih baik untuk data sensitif,” jelasnya.
"Singkatnya, kita perlu memperkuat perlindungan data pelanggan dengan menerapkan langkah-langkah tambahan untuk mencegah akses tanpa izin," jelas Wagner Elias, CEO Conviso, pengembang solusi keamanan aplikasi. "Ini bukan lagi soal 'beradaptasi bila perlu', tetapi bertindak secara preventif," tegasnya.
Berdasarkan aturan baru, implementasinya berlangsung dalam dua tahap: tahap pertama, dengan 13 persyaratan baru, memiliki batas waktu Maret 2024. Tahap kedua, yang lebih menantang, mencakup 51 persyaratan tambahan dan harus dipenuhi paling lambat 31 Maret 2025. Dengan kata lain, mereka yang gagal mempersiapkan diri dapat menghadapi sanksi berat.
Untuk beradaptasi dengan persyaratan baru, beberapa tindakan utama meliputi: menerapkan firewall dan sistem perlindungan yang kuat; menggunakan enkripsi dalam transmisi dan penyimpanan data; terus memantau dan melacak akses dan aktivitas yang mencurigakan; terus menguji proses dan sistem untuk mengidentifikasi kerentanan; dan membuat serta memelihara kebijakan keamanan informasi yang ketat.
Wagner menekankan bahwa, dalam praktiknya, ini berarti bahwa setiap perusahaan yang menangani pembayaran kartu perlu meninjau seluruh struktur keamanan digitalnya. Hal ini mencakup pembaruan sistem, penguatan kebijakan internal, dan pelatihan tim untuk meminimalkan risiko. "Misalnya, perusahaan e-commerce perlu memastikan bahwa data pelanggan dienkripsi secara menyeluruh dan hanya pengguna yang berwenang yang memiliki akses ke informasi sensitif. Di sisi lain, jaringan ritel perlu menerapkan mekanisme untuk terus memantau kemungkinan upaya penipuan dan kebocoran data," jelasnya.
Bank dan perusahaan fintech juga perlu memperkuat mekanisme autentikasi mereka, memperluas penggunaan teknologi seperti biometrik dan autentikasi multifaktor. "Tujuannya adalah membuat transaksi lebih aman tanpa mengorbankan pengalaman pelanggan. Hal ini membutuhkan keseimbangan antara perlindungan dan kegunaan, sesuatu yang telah ditingkatkan oleh sektor keuangan dalam beberapa tahun terakhir," tegasnya.
Namun, mengapa perubahan ini begitu penting? Tidaklah berlebihan jika dikatakan bahwa penipuan digital semakin canggih. Kebocoran data dapat mengakibatkan kerugian jutaan dolar dan kerusakan kepercayaan pelanggan yang tak tergantikan.
Wagner Elias memperingatkan: "Banyak perusahaan masih mengadopsi pendekatan reaktif, baru mengkhawatirkan keamanan setelah serangan terjadi. Perilaku ini mengkhawatirkan, karena pelanggaran keamanan dapat menyebabkan kerugian finansial yang signifikan dan kerusakan reputasi organisasi yang tidak dapat diperbaiki, yang sebenarnya dapat dihindari dengan langkah-langkah pencegahan."
Ia lebih lanjut menekankan bahwa untuk menghindari risiko-risiko ini, kuncinya adalah menerapkan praktik Keamanan Aplikasi sejak awal pengembangan aplikasi baru, memastikan bahwa setiap fase siklus pengembangan perangkat lunak sudah memiliki langkah-langkah perlindungan. Hal ini memastikan bahwa langkah-langkah perlindungan diterapkan di semua tahap siklus hidup perangkat lunak, yang jauh lebih hemat biaya daripada memulihkan kerusakan setelah insiden.
Perlu dicatat bahwa ini adalah tren yang berkembang di seluruh dunia. Pasar keamanan aplikasi, yang bernilai $11,62 miliar pada tahun 2024, diperkirakan akan mencapai $25,92 miliar pada tahun 2029, menurut Mordor Intelligence.
Wagner menjelaskan bahwa solusi seperti DevOps memungkinkan setiap baris kode dikembangkan dengan praktik yang aman, di samping layanan seperti uji penetrasi dan mitigasi kerentanan. "Melakukan analisis keamanan berkelanjutan dan otomatisasi pengujian memungkinkan perusahaan untuk mematuhi peraturan tanpa mengorbankan efisiensi," tegasnya.
Lebih lanjut, layanan konsultasi khusus berperan penting dalam proses ini, membantu perusahaan beradaptasi dengan persyaratan PCI DSS 4.0 yang baru. "Di antara layanan yang paling banyak dicari adalah Uji Penetrasi, Red Team, dan penilaian keamanan pihak ketiga, yang membantu mengidentifikasi dan memperbaiki kerentanan sebelum dapat dieksploitasi oleh penjahat," jelasnya.
Dengan semakin canggihnya penipuan digital, mengabaikan keamanan data bukan lagi pilihan. "Perusahaan yang berinvestasi dalam langkah-langkah pencegahan memastikan perlindungan pelanggan mereka dan memperkuat posisi pasar mereka. Menerapkan pedoman baru ini, yang terpenting, merupakan langkah penting untuk membangun lingkungan pembayaran yang lebih aman dan andal," pungkasnya.
