Shoplazza, platform e-commerce global terkemuka, mengumumkan sertifikasi terbarunya terhadap Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) v4.0.1, kerangka kerja keamanan wajib terbaru yang mengatur perlindungan data kartu pembayaran. Sertifikasi ini hadir setelah PCI DSS v3.2.1 secara resmi dihentikan pada tanggal 31 Maret 2024, menjadikan v4.0.1 sebagai satu-satunya standar yang valid untuk organisasi yang menangani informasi kartu pembayaran.
Shoplazza menetapkan tolok ukur dalam kepatuhan keamanan pembayaran
Dengan kepatuhan penuh terhadap PCI DSS v4.0.1, Shoplazza mengonfirmasi bahwa infrastruktur dan prosesnya memenuhi standar global tertinggi untuk melindungi data pemegang kartu. Sertifikasi ini sangat penting untuk menjaga integrasi yang mulus dengan penyedia pembayaran seperti PayPal, karena ketidakpatuhan terhadap mandat PCI DSS akan mengakibatkan pembatasan atau penghentian hak pemrosesan pembayaran.
"Mengadopsi PCI DSS v4.0.1 bukanlah pilihan, melainkan sebuah kebutuhan bisnis dalam lanskap digital saat ini," kata Alyson, COO Shoplazza. "Dengan menyematkan kontrol keamanan terbaru, kami memungkinkan para pedagang untuk beroperasi tanpa gangguan, mengetahui bahwa sistem pembayaran mereka memenuhi persyaratan ketat dari jaringan kartu utama dan penyedia pembayaran."
Apa yang dimaksud dengan PCI DSS v4.0.1?
Dikembangkan oleh Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC), PCI DSS merupakan kerangka kerja yang diakui secara global yang dirancang untuk mencegah penipuan kartu pembayaran, pembobolan data, dan pencurian identitas. Pembaruan v4.0.1, yang dirilis pada Juni 2024, memperkenalkan tujuan utama dan peningkatan, termasuk:
-
Terus memenuhi kebutuhan keamanan industri pembayaran
-
Mempromosikan keamanan sebagai proses yang berkelanjutan
-
Meningkatkan fleksibilitas bagi organisasi yang menggunakan beragam pendekatan keamanan
-
Meningkatkan metode validasi dan prosedur pendukung
Selain itu, juga menjawab tantangan teknis dan keamanan
-
Lingkungan Cloud dan Keamanan API: Persyaratan baru memperkenalkan kontrol khusus untuk mengamankan infrastruktur berbasis cloud dan memperkuat langkah-langkah keamanan API.
-
Phishing dan Malware Tingkat Lanjut: Perlindungan yang ditingkatkan disertakan untuk melawan skema phishing yang semakin canggih dan serangan perangkat lunak berbahaya.
-
Enkripsi dan Manajemen Kunci: Standar ini sekarang menerapkan protokol enkripsi yang lebih kuat dan praktik manajemen kunci yang lebih ketat untuk melindungi data pembayaran yang sensitif.
Pembaruan utama: PCI DSS v4.0 vs. v3.2.1
Untuk persiapan yang lebih baik, bagan berikut menyoroti tiga perbedaan utama antara PCI DSS v3.2.1 dan v4.0.1 yang telah diperbarui.
|
Aspek
|
PCI DSS v3.2.1
(sepenuhnya dihentikan pada tanggal 31 Maret 2024)
|
PCI DSS v4.0 ( sepenuhnya efektif pada 31 Maret 2025)
|
|
Kerangka Kerja Kepatuhan
|
Pendekatan yang Ditetapkan: Ini adalah metode default, yang mengharuskan organisasi untuk mengikuti kontrol terperinci dan prosedur pengujian yang ditetapkan oleh PCI SSC, yang memungkinkan kontrol kompensasi hanya jika diperlukan.
|
Pendekatan Khusus: Pendekatan ini memungkinkan organisasi untuk memanfaatkan teknologi inovatif (misalnya, enkripsi dinamis, keamanan cloud-native) untuk memenuhi tujuan keamanan. Namun, analisis risiko yang ditargetkan untuk setiap kontrol yang disesuaikan dan penyerahan dokumentasi penilaian diperlukan.
|
|
Kebijakan Kata Sandi
|
Minimal 7 karakter dan harus diganti dalam waktu 90 hari
|
Panjang minimum ditingkatkan menjadi 12 karakter (8 karakter jika ada batasan sistem). Memperkenalkan mekanisme analisis keamanan akun yang dinamis, dan tidak perlu mengganti kata sandi/frasa sandi setidaknya sekali dalam 90 hari.
|
|
Autentikasi Multi-Faktor (MFA)
|
Secara khusus, Persyaratan 8.3 mewajibkan MFA untuk akses jaringan jarak jauh (oleh pengguna, admin, atau pihak ketiga) yang berasal dari luar jaringan perusahaan.
|
MFA wajib digunakan untuk semua akun yang mengakses Lingkungan Data Pemegang Kartu (CDE), termasuk akun administratif dan sistem, untuk meningkatkan keamanan autentikasi.
|
Risiko ketidakpatuhan: mengapa kepatuhan itu penting
Kegagalan mengadopsi PCI DSS v4.0.1 akan membuat perusahaan menghadapi risiko besar:
-
Pelanggaran Keamanan: Sistem yang sudah ketinggalan zaman rentan terhadap ancaman modern seperti e-skimming dan phishing, yang menyebabkan kerugian triliunan dolar bagi bisnis global setiap tahunnya. Misalnya, Wawasan Pasar Statista memproyeksikan biaya kejahatan siber global melonjak dari $9,22 triliun pada tahun 2024 menjadi $13,82 triliun pada tahun 2028.
-
Hukuman Regulasi: Entitas yang tidak patuh akan menghadapi pembatasan pemrosesan transaksi, denda, atau bahkan kehilangan hak istimewa pemrosesan pembayaran.
-
Gangguan Bisnis: Ketidakmampuan untuk memenuhi standar PCI DSS dapat menghambat kemitraan dengan penyedia pembayaran global dan pengakuisisi, sehingga membatasi ekspansi pasar.
Bagaimana Shoplazza menyederhanakan kepatuhan untuk pedagang?
Kepatuhan PCI DSS v4.0.1 Shoplazza meringankan beban merchant dari beban sertifikasi independen. Dengan memanfaatkan platform ini, penjual dapat:
-
Fokus pada pertumbuhan bisnis sementara Shoplazza mengelola keamanan pembayaran secara menyeluruh.
-
Berintegrasi secara mulus dengan penyedia pembayaran seperti PayPal, karena mengetahui bahwa seluruh alur transaksi telah sesuai dengan PCI.
-
Mengakses fitur keamanan yang kuat, termasuk transmisi data terenkripsi, pemantauan penipuan secara real-time, dan manajemen kerentanan otomatis.
Langkah selanjutnya untuk pedagang
Karena PCI DSS v3.2.1 akan berakhir pada 31 Maret 2024, dan v4.0.1 akan sepenuhnya diwajibkan pada 31 Maret 2025, para merchant diminta untuk memprioritaskan kepatuhan. Platform bersertifikasi Shoplazza menawarkan solusi siap pakai untuk bisnis yang mencari pemrosesan pembayaran yang aman dan patuh tanpa kerumitan implementasi independen.
