PCI memperketat aturan dan e-commerce membutuhkan tingkat keamanan yang lebih tinggi

Keamanan digital baru saja mendapat aturan baru dan perusahaan yang memproses data kartu perlu beradaptasi. Dengan kedatangan versi 4.0 Standar Keamanan Data Sektor Pembayaran Kartu (PCI DSS), yang ditentukan oleh PCI Security Standards Council (PCI SSC), perubahan tersebut penting dan secara langsung mempengaruhi perlindungan data pelanggan serta bagaimana data pembayaran disimpan, diproses, dan ditransmisikan. Tetapi, apa sebenarnya yang berubah?

Perubahan utama adalah kebutuhan akan tingkat keamanan digital yang lebih tinggi lagi. Perusahaan harus berinvestasi dalam teknologi canggih, seperti enkripsi yang kuat dan autentikasi multifaktor. Metode ini mengharuskan setidaknya dua faktor verifikasi untuk mengkonfirmasi identitas pengguna sebelum memberikan akses ke sistem, aplikasi, atau transaksi, sehingga mempersulit peretasan, bahkan jika penjahat memiliki akses ke kata sandi atau data pribadi.

Di antara faktor autentikasi yang digunakan adalah:

• Sesuatu yang pengguna tahu: kata sandi, PIN, atau jawaban pertanyaan keamanan.
• Sesuatu yang dimiliki pengguna: token fisik, SMS dengan kode verifikasi, aplikasi otentikasi (seperti Google Authenticator) atau sertifikat digital.
• Translate from pt to id: Algo que o usuário é Sesuai dengan apa yang dimiliki pengguna: biometri digital, wajah, pengenalan suara atau iris.

"Lapisan perlindungan ini membuat akses tidak resmi jauh lebih sulit dan memastikan keamanan yang lebih tinggi untuk data sensitif," jelasnya.

"Singkatnya, perlu memperkuat perlindungan data pelanggan dengan menerapkan langkah-langkah tambahan untuk mencegah akses yang tidak sah," jelas Wagner Elias, CEO Conviso, pengembang solusi untuk keamanan aplikasi. "Ini bukan lagi masalah 'menyesuaikan diri ketika perlu', tetapi untuk bertindak secara preventif," ujarnya.

Sesuai dengan peraturan baru, implementasinya terjadi dalam dua tahap: yang pertama, dengan 13 persyaratan baru, memiliki tenggat waktu akhir pada bulan Maret 2024. Sedangkan tahap kedua, yang lebih ketat, mencakup 51 persyaratan tambahan dan seharusnya dipenuhi paling lambat pada 31 Maret 2025. Artinya, mereka yang tidak mempersiapkan dapat menghadapi sanksi yang berat.

Untuk menyesuaikan diri dengan persyaratan baru, beberapa tindakan utama meliputi: mengimplementasikan firewall dan sistem perlindungan yang kuat; menggunakan enkripsi pada transmisi dan penyimpanan data; terus memantau dan melacak akses serta aktivitas yang mencurigakan; terus menguji proses dan sistem untuk mengidentifikasi kerentanan; membuat dan mempertahankan kebijakan keamanan informasi yang ketat.

Wagner menekankan bahwa, secara praktis, ini berarti bahwa setiap perusahaan yang menangani pembayaran melalui kartu perlu mereview seluruh struktur keamanan digital mereka. Ini melibatkan pembaruan sistem, penguatan kebijakan internal, dan pelatihan tim untuk meminimalkan risiko. "Misalnya, e-commerce perlu memastikan bahwa data pelanggan dienkripsi dari ujung ke ujung dan hanya pengguna yang diberi wewenang yang memiliki akses ke informasi sensitif. Sedangkan jaringan ritel harus mengimplementasikan mekanisme untuk terus memantau upaya penipuan dan kebocoran data yang berpotensi," jelasnya.

Bank dan fintech juga perlu memperkuat mekanisme autentikasi mereka, meningkatkan penggunaan teknologi seperti biometrik dan autentikasi multifaktor. "Tujuannya adalah membuat transaksi lebih aman tanpa mengurangi pengalaman pelanggan. Ini membutuhkan keseimbangan antara perlindungan dan kemudahan penggunaan, sesuatu yang telah ditingkatkan oleh sektor keuangan selama beberapa tahun terakhir," ujarnya.

Tapi, mengapa perubahan ini begitu penting? Tidak berlebihan untuk mengatakan bahwa penipuan digital semakin canggih. Kebocoran data dapat mengakibatkan kerugian jutaan dan kerusakan yang tidak dapat diperbaiki pada kepercayaan pelanggan. 

Wagner Elias memperingatkan: "banyak perusahaan masih mengadopsi sikap reaktif, hanya peduli pada keamanan setelah serangan terjadi. Perilaku ini mengkhawatirkan, karena kekurangan keamanan dapat menyebabkan kerugian finansial yang signifikan dan kerusakan yang tidak dapat diperbaiki pada reputasi organisasi, yang bisa dihindari dengan langkah-langkah pencegahan."

Dia juga menyoroti bahwa untuk menghindari risiko tersebut, perbedaan utama adalah mengadopsi praktik Keamanan Aplikasi (Application Security) sejak awal pengembangan aplikasi baru, memastikan bahwa setiap fase dari siklus pengembangan perangkat lunak sudah memiliki langkah-langkah perlindungan. Ini menjamin penyisipan langkah-langkah perlindungan pada semua fase dari siklus hidup perangkat lunak, menjadikan pendekatan ini jauh lebih ekonomis dibandingkan memperbaiki kerusakan setelah insiden terjadi.”

Perlu diingat bahwa ini adalah tren yang terus bertumbuh di seluruh dunia. Pasar keamanan aplikasi, yang bernilai US$11,62 triliun pada tahun 2024, diperkirakan akan mencapai US$25,92 triliun pada tahun 2029, menurut Mordor Intelligence.

Wagner menjelaskan bahwa solusi seperti DevOps, memungkinkan setiap baris kode dikembangkan dengan praktik perlindungan, selain layanan seperti pengujian penetrasi dan mitigasi kerentanan. "Melakukan analisis keamanan berkelanjutan dan otomatisasi pengujian memungkinkan perusahaan untuk memenuhi norma tanpa mengurangi efisiensi," ujarnya.

Selain itu, konsultan spesialis penting dalam proses ini, membantu perusahaan menyesuaikan diri dengan persyaratan baru PCI DSS 4.0. "Di antara layanan yang paling dicari adalah Uji Penetrasi, Tim Merah, dan penilaian keamanan pihak ketiga, yang membantu mengidentifikasi dan memperbaiki kerentanan sebelum dapat dieksploitasi oleh penjahat," kata dia.

Dengan penipuan digital yang semakin canggih, mengabaikan keamanan data sudah tidak lagi menjadi pilihan. "Perusahaan yang berinvestasi dalam langkah-langkah pencegahan memastikan perlindungan bagi pelanggan mereka dan memperkuat posisinya di pasar. Menerapkan garis panduan baru, pertama-tama, adalah langkah penting untuk membangun lingkungan pembayaran yang lebih aman dan dapat dipercaya," kesimpulan tersebut.