Ensiklopedia keuangan

Kepatuhan PCI

Apa Kepatuhan PCI?

Kepatuhan industri kartu pembayaran (PCI) diamanatkan oleh perusahaan Dewan Standar Keamanan PCI .

Poin Penting

  • Perusahaan yang mengikuti dan mencapai Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dianggap mematuhi PCI.
  • Dewan Standar Keamanan PCI bertanggung jawab untuk mengembangkan PCI DSS.
  • PCI DSS memiliki 12 persyaratan utama, 78 persyaratan dasar, dan 400 prosedur pengujian untuk memastikan bahwa organisasi sesuai dengan PCI.
  • Sesuai dengan PCI mengurangi pelanggaran data, melindungi data pemegang kartu, menghindari denda, dan meningkatkan reputasi merek.
  • Kepatuhan PCI tidak diwajibkan oleh hukum tetapi dianggap wajib melalui preseden pengadilan.

Memahami Kepatuhan PCI

The preseden pengadilan .

Secara umum, kepatuhan PCI adalah komponen inti dari protokol keamanan perusahaan kartu kredit mana pun. Ini umumnya diamanatkan oleh perusahaan kartu kredit dan dibahas dalam perjanjian jaringan kartu kredit.

Dewan Standar PCI bertanggung jawab atas pengembangan standar kepatuhan PCI. Standar ini berlaku untuk pemrosesan pedagang dan juga telah diperluas untuk menguraikan persyaratan untuk transaksi Internet entitas kunci yang juga terkait dengan penetapan standar dalam industri kartu kredit termasuk The Card Association Jaringan dan National Automated Clearing House (NACHA).

Persyaratan untuk Kepatuhan PCI

Standar kepatuhan PCI mengharuskan pedagang dan bisnis lain untuk menangani informasi kartu kredit dengan cara yang aman yang membantu mengurangi kemungkinan pemegang kartu akan mencuri informasi rekening keuangan yang sensitif. Jika pedagang tidak menangani informasi kartu kredit sesuai dengan Standar PCI, informasi kartu dapat diretas dan digunakan untuk banyak tindakan penipuan. Selain itu, informasi sensitif tentang pemegang kartu dapat digunakan dalam  penipuan identitas .

Sesuai dengan PCI berarti secara konsisten mematuhi serangkaian pedoman yang ditetapkan oleh Dewan Standar PCI. Kepatuhan PCI diatur oleh PCI Standards Council, sebuah organisasi yang dibentuk pada tahun 2006 dengan tujuan mengelola keamanan kartu kredit.

Persyaratan yang dikembangkan oleh Dewan ini dikenal sebagai Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).PCI DSS memiliki 12 persyaratan utama, 78 persyaratan dasar, dan lebih dari 400 prosedur pengujian. Panduan ini juga dianggap sebagai praktik keamanan terbaik. 12 persyaratan utamanya meliputi:

  1. Terapkan firewall untuk melindungi data
  2. Perlindungan kata sandi yang tepat
  3. Lindungi data pemegang kartu
  4. Enkripsi data pemegang kartu yang dikirimkan
  5. Memanfaatkan perangkat lunak antivirus
  6. Perbarui perangkat lunak dan pelihara sistem keamanan
  7. Batasi akses ke data pemegang kartu
  8. ID unik diberikan kepada mereka yang memiliki akses ke data
  9. Batasi akses fisik ke data
  10. Buat dan pantau log akses
  11. Uji sistem keamanan secara teratur
  12. Buat kebijakan yang didokumentasikan dan bisa diikuti

Versi terbaru PCI DSS dirilis pada Mei 2018 dan disebut sebagai versi 3.2.1. Secara keseluruhan, enam tujuan dan 12 persyaratan menguraikan serangkaian langkah yang harus terus diikuti oleh pemroses kartu kredit. Perusahaan terlebih dahulu diminta untuk menilai jaringan dan sistem mereka, yang melibatkan infrastruktur teknologi informasi, proses bisnis, dan prosedur penanganan kartu kredit.

Manfaat Kepatuhan PCI

Pemeliharaan dan penilaian yang konstan atas setiap celah dalam keamanan juga sangat penting untuk menghindari pencurian informasi sensitif pemegang kartu, seperti   nomor jaminan sosial dan SIM, jika memungkinkan.

Perusahaan diharuskan untuk memberikan laporan kepatuhan secara teratur sebagai bagian dari perjanjian pemrosesan kartu mereka. Pemantauan, penilaian, dan audit Standar Keamanan Data Industri Kartu Pembayaran adalah bagian penting dari departemen keamanan perusahaan.

Semua perusahaan yang memproses informasi kartu kredit diharuskan untuk menjaga kepatuhan PCI seperti yang diarahkan oleh perjanjian pemrosesan kartu mereka. Kepatuhan PCI adalah standar industri dan bisnis tanpanya dapat mengakibatkan denda besar untuk pelanggaran perjanjian dan kelalaian. Tanpa kepatuhan PCI, perusahaan juga sangat rentan terhadap pencurian, penipuan, dan pembobolan data.

95%

Persentasepelanggaran keamanan siber yang disebabkan oleh kesalahan manusia.

Manfaat kepatuhan termasuk berkurangnya risiko pelanggaran data, melindungi data pemegang kartu, sehingga menghindari kemungkinan pencurian identitas. Merupakan praktik yang baik bagi perusahaan untuk patuh karena mengurangi denda yang terkait dengan pelanggaran data, membantu reputasi merek perusahaan, membuat pelanggan senang dan yakin bahwa mereka berbisnis dengan perusahaan yang bertanggung jawab, yang mengarah pada loyalitas merek.

Pada paruh pertama tahun 2020, ada 36 miliar catatan yang terungkap melalui pelanggaran data.Delapan puluh enam persen pelanggaran bermotif finansial dan dengan pasar keamanan informasi global yang diperkirakan mencapai $ 170 miliar pada tahun 2020, risiko finansial menjadi lebih tinggi.Melindungi data pemegang kartu tidak hanya baik untuk bisnis tetapi juga hal yang benar untuk dilakukan, memastikan bahwa orang tidak dirugikan secara negatif atau menderita kerugian finansial apa pun.

Kepatuhan PCI dan Pelanggaran Data

Kepatuhan PCI membantu menghindari aktivitas penipuan dan mengurangi pelanggaran data. Verizon memberikan penilaian tahunan keamanan pembayaran dalam “Laporan Keamanan Pembayaran Verizon”. Laporan 2019 menyediakan seluruh bagian untuk PCI DSS, yang disebut “Status kepatuhan PCI DSS, 2019: Dan 12 persyaratan utama”. Beberapa sorotan PCI DSS dari “Laporan Keamanan Pembayaran Verizon 2019” meliputi yang berikut ini:

  • 36,7% organisasi secara aktif memelihara program PCI DSS pada tahun 2018.
  • Wilayah Asia-Pasifik mengungguli Amerika, Eropa, Timur Tengah, dan Afrika.
  • Dari perspektif industri, perhotelan agak tertinggal di belakang sektor lain.

FAQ Kepatuhan PCI

Apa yang dimaksud dengan kepatuhan PCI?

Kepatuhan PCI berarti bahwa setiap perusahaan atau organisasi yang menerima, mengirimkan, atau menyimpan data pribadi pemegang kartu mematuhi berbagai langkah keamanan yang diuraikan oleh Dewan Standar Keamanan PCI untuk memastikan bahwa data disimpan dengan aman dan pribadi.

Apakah kepatuhan PCI diwajibkan oleh hukum?

Tidak ada mandat peraturan yang mensyaratkan kepatuhan PCI, tetapi dianggap wajib melalui preseden pengadilan.

Bagaimana cara mendapatkan kepatuhan PCI?

Untuk menjadi patuh PCI, Anda harus terlebih dahulu menentukan kuesioner penilaian diri mana yang perlu Anda ikuti untuk menjadi patuh.Setelah Anda menyelesaikan kuesioner, Anda harus melengkapi dan menyimpan bukti pemindaian kerentanan yang lolos dengan Vendor Pemindaian yang Disetujui PCI SSC.Pemindaian hanya berlaku untuk beberapa pedagang.Anda kemudian harus menyelesaikan Pengesahan kepatuhan.Langkah terakhir adalah mengirimkan semua informasi di atas.

Siapa yang harus patuh PCI?

Setiap perusahaan atau organisasi yang menerima, mengirimkan, atau menyimpan data pribadi pemegang kartu.

Garis bawah

Kepatuhan PCI mengacu pada standar teknis dan operasional yang ditetapkan oleh Dewan Standar Keamanan PCI yang perlu diterapkan dan dipelihara oleh organisasi. Tujuan dari kepatuhan PCI adalah untuk melindungi data pemegang kartu dan berlaku untuk organisasi mana pun yang menerima, mengirimkan, atau menyimpan data tersebut. Sesuai dengan PCI adalah praktik bisnis yang baik karena mengutamakan keamanan data konsumen dan juga menguntungkan organisasi melalui reputasi merek yang positif.