Keamanan digital baru saja mendapatkan aturan baru dan perusahaan yang memproses data kartu perlu beradaptasi. Dengan kedatangan versi 4.0 dari Standar Keamanan Data untuk Sektor Kartu Pembayaran (PCI DSS), ditetapkan oleh PCI Security Standards Council (PCI SSC), perubahan itu penting dan berdampak langsung pada perlindungan data pelanggan dan bagaimana data pembayaran disimpan, diproses dan ditransmisikan. Tetapi, akhirnya, apa yang benar-benar berubah
Perubahan utama adalah kebutuhan akan tingkat keamanan digital yang bahkan lebih tinggi. Perusahaan harus berinvestasi dalam teknologi canggih, sebagai kriptografi yang kuat dan autentikasi multifaktor. Metode ini memerlukan setidaknya dua faktor verifikasi untuk mengonfirmasi identitas pengguna sebelum memberikan akses ke sistem, aplikasi atau transaksi, menyulitkan invasi, meskipun penjahat memiliki akses ke kata sandi atau data pribadi
Di antara faktor-faktor autentikasi yang digunakan adalah
- Sesuatu yang diketahui penggunakata sandi, PIN atau jawaban untuk pertanyaan keamanan
- Sesuatu yang dimiliki penggunatoken fisik, SMS dengan kode verifikasi, aplikasi otentikator (seperti Google Authenticator) atau sertifikat digital
- Sesuatu yang pengguna adalahbiometrik digital, wajah, pengenalan suara atau iris
“Lapisan perlindungan ini membuat akses yang tidak sah menjadi jauh lebih sulit dan menjamin keamanan yang lebih besar untuk data sensitif”, jelaskan
Secara singkat, perlu memperkuat perlindungan data pelanggan, mengimplementasikan langkah-langkah tambahan untuk mencegah akses yang tidak sah, jelaskan Wagner Elias, CEO Conviso, pengembang solusi untuk keamanan aplikasi. "Ini bukan lagi soal 'beradaptasi saat diperlukan'", lebih dari bertindak secara preventif, highlight
Sesuai dengan aturan baru, implementasi terjadi dalam dua fase: yang pertama, dengan 13 persyaratan baru, jatuh tempo akhir pada Maret 2024. Sedangkan fase kedua, lebih menuntut, termasuk 51 persyaratan tambahan dan harus dipenuhi hingga 31 Maret 2025. Artinya,siapa yang tidak mempersiapkan diri dapat menghadapi hukuman berat
Untuk menyesuaikan diri dengan tuntutan baru, beberapa tindakan utama termasuk: menerapkanfirewalldan sistem perlindungan yang kuat; menggunakan kriptografi dalam transmisi dan penyimpanan data; memantau dan melacak secara terus-menerus akses dan aktivitas yang mencurigakan; menguji proses dan sistem secara konstan untuk mengidentifikasi kerentanan; membuat dan menjaga kebijakan keamanan informasi yang ketat
Wagner menekankan bahwa, dalam praktik, ini berarti bahwa perusahaan mana pun yang menangani pembayaran melalui kartu perlu meninjau seluruh struktur keamanan digitalnya. Ini melibatkan pembaruan sistem, memperkuat kebijakan internal dan melatih tim untuk meminimalkan risiko. Misalnya, sebuah e-commerce perlu memastikan bahwa data pelanggan dienkripsi dari ujung ke ujung dan hanya pengguna yang berwenang yang memiliki akses ke informasi sensitif. Sebuah jaringan ritel harus menerapkan mekanisme untuk terus memantau kemungkinan upaya penipuan dan kebocoran data, contohkan
Bank dan fintech juga perlu memperkuat mekanisme autentikasi mereka, memperluas penggunaan teknologi seperti biometrik dan autentikasi multifaktor. Tujuannya adalah untuk membuat transaksi lebih aman tanpa mengorbankan pengalaman pelanggan. Ini memerlukan keseimbangan antara perlindungan dan kegunaan, sesuatu yang telah diperbaiki oleh sektor keuangan dalam beberapa tahun terakhir, highlight
Tetapi, mengapa perubahan ini sangat penting? Tidak berlebihan untuk mengatakan bahwa penipuan digital semakin canggih. Kebocoran data dapat mengakibatkan kerugian jutaan dan kerusakan yang tidak dapat diperbaiki pada kepercayaan pelanggan.
Wagner Elias memperingatkan: “banyak perusahaan masih mengadopsi sikap reaktif, hanya peduli tentang keamanan setelah serangan terjadi. Perilaku ini mengkhawatirkan, karena kegagalan keamanan dapat mengakibatkan kerugian finansial yang signifikan dan kerusakan yang tidak dapat diperbaiki pada reputasi organisasi, yang dapat dihindari dengan langkah-langkah pencegahan
Dia masih menekankan bahwa untuk menghindari risiko ini, perbedaan besar adalah mengadopsi praktik Keamanan Aplikasi sejak awal pengembangan aplikasi baru, memastikan bahwa setiap fase dari siklus pengembangan perangkat lunak sudah memiliki langkah-langkah perlindungan. Ini menjamin penerapan langkah-langkah perlindungan di semua fase siklus hidup perangkat lunak, jauh lebih ekonomis daripada memperbaiki kerusakan setelah suatu insiden
Perlu diingat bahwa ini adalah tren yang semakin berkembang di seluruh dunia. Pasar keamanan aplikasi, yang menggerakkan US$ 11,62 miliar pada 2024, harus mencapai US$ 25,92 miliar hingga 2029, menurut Mordor Intelligence
Wagner menjelaskan bahwa solusi seperti DevOps, memungkinkan setiap baris kode dikembangkan dengan praktik perlindungan, selain layanan seperti pengujian penetrasi dan mitigasi kerentanan. Melakukan analisis keamanan dan otomatisasi pengujian secara terus-menerus memungkinkan perusahaan untuk mematuhi standar tanpa mengorbankan efisiensi, highlight
Selain itu, konsultasi khusus sangat penting dalam proses ini, membantu perusahaan beradaptasi dengan tuntutan baru PCI DSS 4.0. "Di antara layanan yang paling dicari adalah Pengujian Penetrasi", Tim Merah dan penilaian keamanan pihak ketiga, yang membantu mengidentifikasi dan memperbaiki kerentanan sebelum dapat dieksploitasi oleh penjahat, akun
Dengan penipuan digital yang semakin canggih, mengabaikan keamanan data bukan lagi pilihan. Perusahaan yang berinvestasi dalam langkah-langkah pencegahan menjamin perlindungan pelanggan mereka dan memperkuat posisi mereka di pasar. Mengimplementasikan pedoman baru adalah, sebelum segalanya, langkah penting untuk membangun lingkungan pembayaran yang lebih aman dan dapat diandalkan, menyimpulkan
