Video: GTN Data Center Raih Sertifikat PCI DSS 3.2 2024
Meskipun belum memiliki mandat hukum, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah salah satu contoh inisiatif industri untuk mengamanatkan dan menerapkan standar keamanan. PCI DSS berlaku untuk bisnis manapun di seluruh dunia yang mentransmisikan, memproses, atau menyimpan kartu pembayaran (berarti kartu kredit) untuk melakukan bisnis dengan pelanggan - apakah bisnis tersebut menangani ribuan transaksi kartu kredit sehari atau satu transaksi setahun.
Kesesuaian dimandatkan dan diberlakukan oleh merek kartu pembayaran (American Express, MasterCard, Visa, dan sebagainya) dan setiap merek kartu pembayaran mengelola program kepatuhannya sendiri.
Meskipun DSS PCI adalah standar industri daripada mandat hukum, banyak negara mulai memperkenalkan undang-undang yang akan membuat kepatuhan PCI (atau setidaknya sesuai dengan ketentuan tertentu) wajib bagi organisasi yang melakukan bisnis di negara tersebut.
PCI DSS mewajibkan organisasi untuk mengirimkan penilaian diri dan pemindaian jaringan tahunan, atau untuk melengkapi penilaian keamanan data PCI onsite dan pemindaian jaringan triwulanan. Persyaratan yang sebenarnya tergantung pada jumlah transaksi kartu pembayaran yang ditangani oleh organisasi dan faktor lainnya, seperti kejadian kehilangan data sebelumnya.
Versi PCI DSS 3. 0 terdiri dari enam prinsip inti, didukung oleh 12 persyaratan yang menyertainya, dan lebih dari 200 prosedur kepatuhan tertentu. Ini termasuk
- Prinsip 1: Bangun dan pertahankan jaringan aman:
- Requirement 1: Instal dan pertahankan konfigurasi firewall untuk melindungi data pemegang kartu.
- Requirement 2: Jangan gunakan default yang diberikan vendor untuk password sistem dan parameter keamanan lainnya.
- Prinsip 2: Lindungi data pemegang kartu:
- Persyaratan 3: Lindungi data pemegang kartu yang tersimpan.
- Requirement 4: Mengenkripsi transmisi data pemegang kartu di jaringan publik terbuka.
- Prinsip 3: Pertahankan program pengelolaan kerentanan:
- Requirement 5: Gunakan dan perbarui perangkat lunak antivirus secara teratur.
- Requirement 6: Mengembangkan dan memelihara sistem dan aplikasi yang aman.
- Prinsip 4: Terapkan tindakan pengendalian akses yang kuat:
- Requirement 7: Batasi akses ke data pemegang kartu oleh bisnis yang perlu diketahui.
- Persyaratan 8: Tetapkan ID unik untuk setiap orang yang memiliki akses komputer.
- Requention 9: Batasi akses fisik ke data pemegang kartu.
- Prinsip 5: Memantau dan menguji jaringan secara teratur:
- Persyaratan 10: Melacak dan memantau semua akses ke sumber daya jaringan dan data pemegang kartu.
- Persyaratan 11: Uji sistem dan proses keamanan secara teratur.
- Prinsip 6: Pertahankan kebijakan keamanan informasi:
- Requirement 12: Pertahankan kebijakan yang menangani keamanan informasi.
Hukuman untuk ketidakpatuhan dipungut oleh merek kartu pembayaran dan termasuk tidak diperbolehkan memproses transaksi kartu kredit, denda sampai $ 25.000 per bulan untuk pelanggaran ringan, dan denda sampai $ 500.000 untuk pelanggaran yang mengakibatkan data keuangan yang sebenarnya hilang atau dicuri
