Masuk 

Panduan kepatuhan PCI

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) menetapkan standar minimum untuk keamanan data. Berikut panduan langkah demi langkah untuk mempertahankan kepatuhan, dan bantuan yang dapat diberikan oleh Stripe.

Avatar Photo of Mike Dahn
Mike Dahn

Mike Dahn mengepalai bagian hubungan kebijakan keamanan di Stripe. Ia adalah pelatih, auditor, dan pelaksana PCI yang kembali bertugas.

  1. Introduction
  2. Gambaran Umum Standar Keamanan Data PCI (PCI Data Security Standard/PCI DSS)
    1. Menangani data kartu
    2. Menyimpan data dengan aman
    3. Validasi tahunan
  3. Panduan langkah demi langkah untuk kepatuhan PCI DSS v3.2.1
    1. 1. Kenali persyaratan Anda
    2. 2. Petakan alur data Anda
    3. 3. Periksa kontrol dan protokol keamanan
    4. 4. Pantau dan pertahankan
  4. Cara Stripe membantu organisasi mencapai dan mempertahankan kepatuhan PCI
  5. Kesimpulan
    1. Kepatuhan PCI dapat membantu. Namun tidak cukup.
  6. Pelajari selengkapnya tentang Stripe 

Sejak tahun 2005, lebih dari 11 miliar data konsumen telah dibobol dari 8.500 pembobolan data. Berikut ini adalah angka terbaru dari The Privacy Rights Clearinghouse, yang melaporkan pembobolan data dan keamanan yang berdampak pada konsumen sejak tahun 2005.

Untuk meningkatkan keamanan data konsumen dan kepercayaan pada ekosistem pembayaran, maka dibuatlah standar minimum keamanan data. Visa, Mastercard, American Express, Discover, dan JCB membentuk Dewan Standar Keamanan Industri Kartu Pembayaran (Payment Card Industry Security Standards Council / PCI SSC) pada tahun 2006 untuk menerapkan dan mengelola standar keamanan bagi perusahaan yang menangani data kartu kredit. Sebelum PCI SSC dibentuk, kelima perusahaan kartu kredit ini semuanya memiliki program standar keamanannya sendiri—masing-masing dengan persyaratan dan tujuan yang kurang lebih sama. Mereka bersatu melalui PCI SSC untuk menyelaraskan satu kebijakan standar, yakni PCI Data Security Standards (dikenal sebagai PCI DSS) guna menjamin patokan level proteksi bagi konsumen dan bank di era internet.

Memahami PCI DSS barangkali rumit dan menantang

Jika model bisnis mengharuskan Anda menangani data kartu, Anda mungkin diharuskan untuk memenuhi 300-an kontrol keamanan di PCI DSS. Ada lebih dari 1.800 halaman dokumentasi resmi, yang diterbitkan oleh PCI Council, tentang PCI DSS, dan lebih dari 300 halaman hanya untuk memahami formulir mana yang harus digunakan saat memvalidasi kepatuhan. Hal ini akan memerlukan waktu lebih dari 72 jam hanya untuk membaca.

Guna meringankan beban ini, berikut adalah panduan langkah demi langkah untuk memvalidasi dan mempertahankan kepatuhan PCI.

Gambaran Umum Standar Keamanan Data PCI (PCI Data Security Standard/PCI DSS)

PCI DSS adalah standar keamanan global bagi semua entitas yang menyimpan, memproses, atau mengirim data pemegang kartu dan/atau data autentikasi sensitif. PCI DSS mengatur level patokan proteksi bagi konsumen serta membantu mengurangi penipuan dan pembobolan data dalam keseluruhan ekosistem pembayaran. Ini berlaku untuk organisasi yang menyetujui atau memproses kartu pembayaran.

Kepatuhan PCI DSS melibatkan tiga komponen utama:

  1. Menangani pemasukan data kartu kredit dari pelanggan; dengan kata lain, detail kartu yang bersifat sensitif dikumpulkan dan dikirim dengan aman
  2. Menyimpan data dengan aman, yang diuraikan dalam 12 domain keamanan standar PCI, seperti enkripsi, pemantauan kontinu, dan pengujian keamanan akses ke data kartu
  3. Memvalidasi setiap tahun apakah kontrol keamanan yang diperlukan sudah ada, yang dapat meliputi formulir, kuesioner, layanan pemindaian kerentanan eksternal, dan audit pihak ketiga (lihat panduan langkah demi langkah di bawah ini untuk melihat tabel berisi empat level persyaratan)

Menangani data kartu

Beberapa model bisnis memang mengharuskan penanganan langsung data kartu kredit yang sensitif saat menerima pembayaran, meskipun ada model lain yang tidak demikian. Perusahaan yang benar-benar perlu menangani data kartu (mis., menerima PAN yang tidak ditokenisasi di halaman pembayaran) mungkin diharuskan untuk memenuhi 300-an kontrol keamanan di PCI DSS. Sekalipun data kartu hanya melewati servernya sesaat, perusahaan perlu membeli, mengimplementasikan, dan memelihara perangkat lunak dan perangkat keras keamanan.

Jika perusahaan tidak perlu menangani data kartu kredit yang sensitif, hal ini tidak diharuskan. Solusi pihak ketiga (mis., Stripe Elements) menerima dan menyimpan data dengan aman, sehingga menghilangkan banyak kerumitan, biaya, dan risiko. Karena data kartu tidak pernah mencapai servernya, perusahaan hanya perlu mengonfirmasi 22 kontrol keamanan, yang kebanyakan bersifat langsung, seperti penggunaan kata sandi yang kuat.

Menyimpan data dengan aman

Jika organisasi menangani atau menyimpan data kartu kredit, organisasi perlu menetapkan lingkup lingkungan data pemegang kartu (CDE). PCI DSS mendefinisikan CDE sebagai orang, proses, dan teknologi yang menyimpan, memproses, atau mengirim data kartu kredit—atau sistem yang terhubung dengannya. Karena 300-an persyaratan keamanan dalam PCI DSS berlaku untuk CDE, maka perlu melakukan segmentasi lingkungan pembayaran dari bisnis lainnya dengan tepat guna membatasi lingkup validasi PCI. Jika suatu organisasi tidak dapat mengendalikan lingkup CDE dengan segmentasi terperinci, kontrol keamanan PCI akan berlaku untuk setiap sistem, laptop, dan perangkat di jaringan perusahaannya. Wah.

Validasi tahunan

Terlepas dari cara menyetujui data kartu, organisasi diharuskan untuk melengkapi formulir validasi PCI setiap tahun. Cara memvalidasi kepatuhan PCI tergantung sejumlah faktor, yang diuraikan di bawah ini. Berikut ini tiga skenario yang mengharuskan organisasi menunjukkan kepatuhannya pada PCI:

  • Pemroses pembayaran dapat memintanya sebagai bagian dari pelaporan wajib mereka ke pemilik merek kartu pembayaran.
  • Mitra bisnis dapat memintanya sebagai prasyarat menyepakati perjanjian bisnis.
  • Untuk bisnis platform (bisnis yang teknologinya memfasilitasi transaksi online di antara kelompok pengguna yang berbeda), pelanggan dapat memintanya untuk menunjukkan bahwa mereka menangani data dengan aman.

Rangkaian standar keamanan terbaru, PCI DSS versi 3.2.1, berisi 12 persyaratan utama dengan lebih dari 300 subpersyaratan yang mencerminkan praktik terbaik keamanan.

BANGUN DAN PELIHARA JARINGAN DAN SISTEM YANG AMAN

  • 1. Pasang dan pelihara konfigurasi firewall untuk memproteksi data pemegang kartu.
  • 2. Jangan gunakan nilai default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya.

LINDUNGI DATA PEMEGANG KARTU

  • 3. Lindungi data pemegang kartu yang tersimpan.
  • 4. Enkripsi transmisi data pemegang kartu melalui jaringan terbuka atau publik.

PELIHARA PROGRAM MANAJEMEN KERENTANAN

  • 5. Lindungi semua sistem terhadap malware dan perbarui perangkat lunak antivirus secara berkala.
  • 6. Kembangkan dan pelihara sistem dan aplikasi yang aman.

TERAPKAN TINDAKAN KONTROL AKSES YANG KUAT

  • 7. Batasi akses ke data pemegang kartu menurut yang perlu diketahui bisnis.
  • 8. Identifikasi dan autentikasi akses ke komponen sistem.
  • 9. Batasi akses fisik ke data pemegang kartu.

PANTAU DAN UJI JARINGAN SECARA BERKALA

  • 10. Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu.
  • 11. Uji sistem dan proses keamanan secara berkala.

PERTAHANKAN KEBIJAKAN KEAMANAN INFORMASI

  • 12. Pertahankan kebijakan yang menangani keamanan informasi untuk semua personel.

Agar bisnis "lebih mudah" memvalidasi kepatuhan PCI, PCI Council membuat sembilan formulir atau Kuesioner Penilaian Mandiri (SAQ) yang merupakan bagian dari keseluruhan persyaratan PCI DSS. Triknya adalah mencari tahu SAQ mana yang berlaku atau perlu tidaknya merekrut auditor yang disetujui PCI Council untuk memverifikasi apakah setiap persyaratan keamanan PCI DSS telah terpenuhi. Selain itu, PCI Council akan merevisi aturan setiap tiga tahun dan merilis pembaruan bertahap sepanjang tahun, yang membuat kompleksitas lebih dinamis.

Panduan langkah demi langkah untuk kepatuhan PCI DSS v3.2.1

1. Kenali persyaratan Anda

Langkah pertama dalam mencapai kepatuhan PCI adalah mengenali persyaratan mana yang berlaku untuk organisasi Anda. Ada empat level kepatuhan PCI yang biasanya didasarkan pada volume transaksi kartu kredit yang diproses bisnis Anda selama periode 12 bulan.

Level Kepatuhan
Berlaku untuk
Persyaratan
Level 1
  1. Organisasi yang setiap tahunnya memproses lebih dari 6 juta transaksi Visa atau MasterCard, atau lebih dari 2,5 juta untuk American Express; atau
  2. Pernah mengalami pembobolan data; atau
  3. Dianggap "Level 1" oleh suatu asosiasi kartu (Visa, Mastercard, dsb.)
  1. Laporan Tahunan tentang Kepatuhan (Report on Compliance/ROC) oleh Penilai Keamanan yang Kompeten (Qualified Security Assessor/QSA)—juga dikenal sebagai penilaian di-lokasi Level 1—atau auditor internal jika ditandatangani oleh pegawai perusahaan
  2. Pemindaian jaringan setiap triwulan oleh Vendor Pemindaian yang Disetujui (Approved Scan Vendor/ASV)
  3. Pengesahan Kepatuhan (Attestation of Compliance/AOC) untuk Penilaian Di-Lokasi–ada formulir khusus untuk merchant dan penyedia layanan
Level 2
Organisasi yang memproses antara 1–6 juta transaksi setiap tahun
  1. Kuesioner Penilaian Mandiri (Self-Assessment Questionnaire/SAQ) PCI DSS Tahunan—ada 9 tipe SAQ yang ditampilkan secara singkat dalam tabel di bawah ini
  2. Pengesahan Kepatuhan Pemindaian jaringan setiap triwulan oleh Vendor Pemindaian yang Disetujui (Approved Scan Vendor/ASV)
  3. Pengesahan Kepatuhan (Attestation of Compliance/AOC)—masing-masing dari 9 SAQ memiliki formulir AOC tersendiri
Level 3
  1. Organisasi yang memproses antara 20.000–1 juta transaksi setiap tahun
  2. Organisasi yang memproses kurang dari 1 juta total transaksi setiap tahun
 Sama seperti di atas
Level 4
  1. Organisasi yang memproses kurang dari 20.000 transaksi online setiap tahun; atau
  2. Organisasi yang memproses hingga 1 juta total transaksi setiap tahun
 Sama seperti di atas

Untuk Level 2–4, ada berbagai tipe SAQ yang bergantung pada metode integrasi pembayaran Anda. Inilah tabel singkatnya:

SAQ
Keterangan
A
Merchant card-not-present (pesanan via e-commerce atau pos/telepon), yang sepenuhnya mengalihdayakan semua fungsi data pemegang kartu ke penyedia layanan pihak ketiga yang mematuhi PCI DSS, tanpa penyimpanan elektronik, pemrosesan, atau pengiriman data pemegang kartu di sistem atau lokasi merchant.

Tidak berlaku untuk saluran tatap muka.
A-EP
Merchant e-commerce yang menyerahkan semua pemrosesan pembayaran ke pihak ketiga yang telah divalidasi PCI DSS, dan yang memiliki situs web yang tidak secara langsung menerima data pemegang kartu, tetapi dapat memengaruhi keamanan transaksi pembayaran. Tidak ada penyimpanan elektronik, pemrosesan, atau pengiriman data pemegang kartu di sistem atau lokasi merchant.

Hanya berlaku untuk saluran e-commerce.
B
Merchant yang hanya menggunakan:
  • Mesin pencetak tanpa penyimpanan data pemegang kartu elektronik, dan/atau
  • Terminal mandiri yang menggunakan saluran telepon tanpa penyimpanan data pemegang kartu elektronik.
Tidak berlaku untuk saluran e-commerce.
B-IP
Merchant yang hanya menggunakan terminal pembayaran mandiri yang disetujui PTS dengan koneksi IP ke pemroses pembayaran tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.
C-VT
Merchant yang memasukkan transaksi satu per satu secara manual melalui keyboard ke dalam solusi terminal pembayaran virtual berbasis internet yang disediakan dan di-hosting oleh penyedia layanan pihak ketiga yang telah divalidasi PCI DSS. Tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.
C
Merchant dengan sistem aplikasi pembayaran yang terhubung ke Internet, tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.
P2PE
Merchant yang hanya menggunakan terminal pembayaran perangkat keras yang disertakan dan dikelola melalui solusi Enkripsi Titik ke Titik (Point-to-Point Encryption/P2PE) yang terdaftar di PCI SSC dan telah divalidasi, tanpa penyimpanan data pemegang kartu elektronik.

Tidak berlaku untuk saluran e-commerce.
D
SAQ D UNTUK MERCHANT: Semua merchant yang tidak termasuk dalam keterangan tipe SAQ di atas.

SAQ D UNTUK PENYEDIA LAYANAN: Semua penyedia layanan yang dianggap memenuhi syarat untuk menyelesaikan SAQ oleh merek pembayaran.

2. Petakan alur data Anda

Agar dapat memproteksi data kartu kredit yang sensitif, Anda perlu tahu tempat penyimpanannya dan cara mengaksesnya. Anda nanti perlu membuat peta komprehensif dari sistem, koneksi jaringan, dan aplikasi yang berinteraksi dengan data kartu kredit di seluruh bagian organisasi Anda. Anda mungkin perlu bekerja sama dengan tim TI dan tim keamanan untuk melakukannya, tergantung peran Anda.

  • Pertama, identifikasi setiap bidang bisnis yang berhadapan langsung dengan konsumen dan melibatkan transaksi pembayaran. Misalnya, Anda dapat menerima pembayaran melalui keranjang belanja online, terminal pembayaran di toko, atau pesanan yang dibuat melalui telepon.
  • Berikutnya, tandai berbagai cara penanganan data pemegang kartu di seluruh bagian bisnis. Anda perlu mengetahui secara persis tempat menyimpan data dan pihak yang dapat mengaksesnya.
  • Kemudian, identifikasi sistem internal atau teknologi dasar yang menangani transaksi pembayaran. Termasuk sistem jaringan, pusat data, dan lingkungan cloud Anda.

3. Periksa kontrol dan protokol keamanan

Setelah Anda memetakan semua titik kontak potensial untuk data kartu kredit di seluruh organisasi Anda, bekerja samalah dengan tim TI dan tim keamanan untuk memastikan konfigurasi dan protokol keamanan yang ada sudah tepat (lihat daftar 12 persyaratan keamanan untuk PCI DSS di atas). Protokol-protokol ini dirancang untuk mengamankan transmisi data, seperti Keamanan Lapisan Transportasi (Transport Layer Security/TLS).

12 persyaratan keamanan untuk PCI DSS v3.2.1 berasal dari praktik terbaik untuk melindungi data sensitif bagi bisnis. Sejumlah persyaratan tumpang tindih dengan persyaratan yang diperlukan untuk memenuhi GDPR, HIPAA, dan mandat privasi lainnya, jadi beberapa di antaranya mungkin sudah ada di organisasi Anda.

4. Pantau dan pertahankan

Penting dicatat bahwa kepatuhan PCI bukanlah peristiwa sekali waktu. Ini merupakan proses berkelanjutan untuk memastikan bisnis Anda tetap patuh sekalipun alur data dan titik kontak pelanggan berubah. Beberapa merek kartu kredit mungkin mengharuskan Anda untuk menyerahkan laporan triwulanan atau tahunan, atau menyelesaikan penilaian lapangan tahunan untuk memvalidasi kepatuhan yang ada saat ini, khususnya jika Anda memproses lebih dari 6 juta transaksi setiap tahun.

Mengelola kepatuhan PCI sepanjang tahun (dan dari tahun ke tahun) sering kali memerlukan dukungan dan kerja sama lintas departemen. Jika belum demikian, mungkin ada gunanya membuat tim khusus secara internal untuk memelihara kepatuhan sebagaimana semestinya. Meskipun setiap perusahaan berbeda, titik awal yang baik bagi "tim PCI" mencakup perwakilan dari aspek berikut ini:

  • Keamanan: Chief Security Officer (CSO), Chief Information Security Officer (CISO), dan timnya memastikan organisasi selalu berinvestasi dengan baik dalam sumber daya serta kebijakan keamanan data dan privasi yang diperlukan.
  • Teknologi/Pembayaran: Chief Technology Officer (CTO), Wakil Kepala Pembayaran, dan timnya memastikan bahwa alat-alat inti, integrasi, dan infrastruktur tetap patuh bila sistem organisasi berubah.
  • Keuangan: Chief Financial Officer (CFO) dan timnya memastikan bahwa semua alur data pembayaran dicatat bila menyangkut sistem pembayaran dan mitra.
  • Legal: Tim ini dapat memberikan arahan terhadap banyaknya nuansa hukum dari kepatuhan PCI DSS.

Untuk informasi selengkapnya tentang kompleksitas kepatuhan PCI, kunjungi situs web PCI Security Standards Council. Jika Anda hanya membaca panduan ini dan beberapa dokumen PCI lainnya, kami merekomendasikan Anda memulainya dengan ini: pendekatan prioritas untuk PCI DSS, instruksi dan pedoman SAQ, Pertanyaan Umum tentang penggunaan kriteria kelayakan SAQ untuk menentukan persyaratan penilaian di-lokasi, dan Pertanyaan Umum tentang kewajiban bagi merchant yang mengembangkan aplikasi untuk perangkat konsumen yang menerima data kartu pembayaran.

Cara Stripe membantu organisasi mencapai dan mempertahankan kepatuhan PCI

Stripe menyederhanakan beban PCI secara signifikan bagi perusahaan yang berintegrasi dengan CheckoutElementsSDK seluler, dan SDK Terminal. Stripe Checkout dan Stripe Elements menggunakan bidang pembayaran yang di-hosting untuk menangani semua data kartu pembayaran, sehingga pemegang kartu memasukkan semua informasi pembayaran yang bersifat sensitif dalam kolom pembayaran yang berasal langsung dari server PCI DSS kami yang telah divalidasi. SDK seluler dan SDK Terminal Stripe juga memungkinkan pemegang kartu mengirim langsung informasi pembayaran yang bersifat sensitif ke server PCI DSS kami yang telah divalidasi.

Dengan metode penerimaan kartu yang lebih aman seperti ini, kami akan mengisikan formulir PCI (SAQ) di Dashboard Stripe, sehingga menjadikan validasi PCI semudah mengeklik tombol. Hal ini dapat menghemat waktu ratusan jam kerja bagi organisasi yang lebih kecil dan menghemat waktu ribuan jam kerja bagi organisasi yang lebih besar.

Bagi semua pengguna kami, apa pun tipe integrasinya, Stripe bertindak sebagai dukungan PCI dan dapat membantu dengan beberapa macam cara.

  • Kami akan menganalisis metode integrasi Anda dan menyarankan formulir PCI yang harus digunakan dan cara mengurangi beban kepatuhan.
  • Kami akan memberi tahu Anda sebelumnya jika volume transaksi yang bertumbuh akan mengharuskan perubahan dalam cara Anda memvalidasi kepatuhan.
  • Bagi merchant besar (Level 1), kami menyediakan paket PCI yang dapat mengurangi waktu validasi PCI dari hitungan bulan menjadi hari. Jika Anda perlu menggunakan PCI QSA (karena Anda menyimpan data kartu kredit atau memiliki alur pembayaran yang lebih rumit), ada lebih dari 350 perusahaan QSA di seluruh dunia, dan kami dapat menghubungkan Anda dengan beberapa auditor yang sangat memahami berbagai metode integrasi Stripe.

Kesimpulan

Penilaian dan validasi kepatuhan PCI biasanya terjadi setahun sekali, tetapi kepatuhan PCI bukanlah peristiwa sekali waktu — ini merupakan upaya penilaian dan remediasi yang kontinu dan substansial. Seiring pertumbuhan perusahaan, logika dan proses bisnis inti pun ikut tumbuh, yang berarti persyaratan kepatuhan juga akan berubah. Misalnya, sebuah bisnis online dapat memutuskan untuk membuka toko fisik, memasuki pasar baru, atau meluncurkan pusat dukungan pelanggan. Jika ada hal baru yang melibatkan data kartu pembayaran, sebaiknya proaktif memeriksa apakah hal ini berdampak pada metode validasi PCI Anda, dan memvalidasi kembali kepatuhan PCI bila diperlukan.

Kepatuhan PCI dapat membantu. Namun tidak cukup.

Kepatuhan terhadap pedoman PCI DSS adalah lapisan proteksi yang diperlukan untuk bisnis Anda — tetapi hal itu tidak cukup. PCI DSS mengatur standar penting untuk menangani dan menyimpan data pemegang kartu, tetapi tidak dengan sendirinya memberikan proteksi memadai bagi setiap lingkungan pembayaran. Berpindah ke metode persetujuan kartu yang lebih aman (seperti Stripe Checkout, Elements, dan SDK seluler) justru menjadi cara yang jauh lebih efektif untuk melindungi organisasi Anda. Manfaat jangka panjang yang diberikannya adalah Anda tidak perlu bergantung pada standar patokan industri atau mengkhawatirkan kemungkinan kegagalan kontrol keamanan. Pendekatan ini memberi bisnis yang luwes suatu cara mengurangi potensi pembobolan data dan menghindari pendekatan yang emosional, boros waktu, dan mahal untuk validasi PCI. Belum lagi, metode integrasi yang lebih aman dapat diandalkan setiap hari sepanjang tahun.

Level merchant Visa
Waktu audit rata-rata

(estimasi tahunan)
Waktu audit rata-rata pada Stripe Elements, Checkout, atau SDK Seluler

(estimasi tahunan)
Level 1
3–5 bulan 2–5 hari
Level 2
1–3 bulan 0 hari
Level 3
1–3 bulan 0 hari
Level 4
1–3 bulan 0 hari

Siap memulai? Hubungi kami atau buat akun.

Buat akun dan mulai terima pembayaran—tidak perlu kontrak atau detail perbankan. Anda juga dapat menghubungi kami untuk merancang paket kustom bagi bisnis Anda.