Kepatuhan PCI untuk E-commerce: Apa itu, persyaratan, level, dan cara mematuhinya

  • PCI DSS adalah standar kontraktual yang melindungi data kartu dan berlaku untuk semua bisnis e-commerce yang memproses, mengirimkan, atau menyimpan informasi ini.
  • Ini mencakup 6 tujuan dan 12 persyaratan: jaringan aman, perlindungan data, manajemen kerentanan, kontrol akses, pemantauan, dan kebijakan keamanan.
  • Validasi bervariasi berdasarkan volume (Level 1–4) dan melibatkan pemindaian SAQ/ROC, AOC, dan ASV triwulanan jika sesuai.
  • Menggunakan gateway bersertifikat, tokenisasi, dan segmentasi mengurangi jangkauan dan risiko, tetapi tidak dapat menggantikan kepatuhan yang tepat.
Susana Maria Urbano Mateos

4 menit

Kepatuhan PCI

Banyak pengecer dengan file situs web e-niaga Anda mungkin pernah mendengar istilah Kepatuhan PCI, tetapi tidak semua orang memahami maknanya bagi bisnis online mereka. Oleh karena itu, di bawah ini kami akan menjelaskan sedikit tentangnya. Kepatuhan PCI dan mengapa ini penting untuk E-niaga Anda.

Apa itu Kepatuhan PCI?

Keamanan PCI untuk E-commerce

Pertama, Anda harus memahami itu Kepatuhan PCI bukanlah hukum atau peraturan pemerintahNama yang benar adalah PCI DSS, yang merupakan singkatan dari “Payment Card Industry – Data Security” Standar“dan itu pada dasarnya mengacu pada standar dengan persyaratan keselamatan yang harus dipatuhi oleh semua pedagang, besar atau kecil.

Setiap pedagang harus mematuhi Kepatuhan PCI, bahkan jika Anda tidak menangani sejumlah besar transaksi atau menggunakan penyedia pihak ketiga, seperti platform e-commerce yang dihosting, untuk mengalihdayakan informasi kartu kredit. Bagi pedagang yang mengalihdayakan proses pembayaran mereka, Cakupan PCI Biasanya lebih kecil, dan persyaratan verifikasi Jumlahnya sedikit, tetapi tidak hilang.

Kepatuhan PCI berlaku untuk bisnis apa pun

Kepatuhan PCI di Toko Online

Muchos Pengecer e-niaga Mereka berpikir bahwa Kepatuhan PCI tidak berlaku untuk bisnis mereka karena bisnis mereka terlalu kecil. Padahal, standar ini berlaku untuk perusahaan mana pun yang memproses, menyimpan, atau mengirimkan data kartu pembayaranJika, sebagai pemilik toko e-commerce, Anda tidak menganggap serius keamanan dan peretasan mengakibatkan pencurian informasi pelanggan, Anda bisa menghadapi akibat serius.

Akibatnya, Kepatuhan PCI wajib dilakukan jika pembayaran kartu kredit diterima.; kegagalan untuk mematuhi dapat menyebabkan denda kontraktual, biaya tambahan insiden, biaya akuisisi yang lebih tinggi dan, dalam kasus ekstrim, kehilangan kemampuan untuk memproses kartuOleh karena itu pentingnya Kepatuhan PCI untuk E-commerce dan agar dapat diterapkan lebih dapat diandalkan bagi pelanggan Anda.

Persyaratan Utama PCI DSS: Tujuan dan Kontrol

Kontrol PCI DSS

PCI DSS mengelompokkan kontrolnya ke dalam 6 tujuan y 12 persyaratan teknis dan organisasi yang memperkuat keamanan:

  • Membangun dan memelihara jaringan yang aman: 1) firewall dikonfigurasi dengan benar; 2) mengubah kredensial default.
  • Lindungi data pemilik: 3) melindungi data yang disimpan; 4) enkripsi dalam perjalanan di jaringan publik.
  • Kelola kerentanan: 5) antivirus/antimalware yang diperbarui; 6) patching dan pengembangan yang aman.
  • akses kontrol: 7) akses berdasarkan kebutuhan untuk mengetahui; 8) ID Unik dan MFA; 9) kontrol fisik.
  • Pantau dan uji: 10) pendaftaran dan ketertelusuran akses; 11) pengujian dan pemindaian berkala.
  • Kebijakan keamanan: 12) pemerintahan dan pelatihan untuk semua staf.

Praktik yang baik meliputi: segmentasi jaringan, yang tokenization untuk meminimalkan data yang disimpan, pengujian penetrasi, dan tinjauan aturan firewall dua kali setahun.

Tingkat kepatuhan dan validasi

Validasi PCI untuk E-commerce

  • Tingkat 1: lebih dari 6 juta transaksi/tahun. Membutuhkan ROC oleh QSA atau auditor internal yang berkualifikasi, AOC tahunan dan pemindaian ASV triwulanan.
  • Tingkat 2–4: volume lebih rendah. Mereka membutuhkan SAQ tahunan (jenis berdasarkan integrasi: misalnya, A, A-EP, D), AOC dan, jika berlaku, ASV Triwulanan.

Persyaratan ini adalah kontraktual dengan merek kartuKegagalan untuk mematuhi dapat menyebabkan dampak ekonomi dan operasional.

Cara mencapai dan mempertahankan kepatuhan dalam e-commerce

1) Mengurangi jangkauan: Gunakan gateway yang dihosting, tokenisasi, dan segmentasi untuk memastikan lingkungan Anda menangani data yang kurang sensitif. 2) Konfigurasi pengerasan: Hapus kata sandi default, terapkan MFA dan prinsip hak istimewa paling sedikit. 3) Lindungi data: Enkripsi saat transit (TLS kuat) dan, jika disimpan, enkripsi dengan manajemen kunci aman. 4) Pengawasan berkelanjutan: SIEM, retensi log, peringatan dan Pemindaian ASV triwulanan. 5) Tes: pengujian penetrasi berkala dan koreksi temuan. 6) manajemen kerentanan: inventaris, patching dan antivirus. 7) Kebijakan dan pelatihan: Kesadaran karyawan dan respons insiden. 8) dokumentasi: menyiapkan SAQ/ROC dan AOC dengan bukti terkini.

Gerbang pembayaran dan dompet

Los gateway pembayaran y dompet digitalSebagai Paysafecard, juga harus mematuhi PCI DSS. Sertifikasi mereka membantu mengurangi cakupannya dari pedagang, tapi tidak pengecualian untuk mematuhi kontrol yang berlaku di lingkungan Anda sendiri (misalnya, keamanan web, manajemen akses, dan log).

Data yang dilindungi dan praktik yang baik

PCI melindungi informasi seperti PAN (nomor kartu), nama pemegang kartu, tanggal kedaluwarsa, kode layanan, data trek dan elemen otentikasi sensitif seperti CVV y PIN (yang terakhir tidak boleh disimpan). Rekomendasi utama: jangan simpan data kecuali jika diperlukan, meminimalkan retensi Anda dan menggunakan tokenisasi.

Manfaat dan manfaat

Mematuhi PCI DSS mengurangi penipuan, melindungi reputasi dan meningkatkan keyakinan dari klien. Ketidakpatuhan memperlihatkan celah, kemungkinan denda, tinjauan forensik wajib, dan hilangnya kemampuan untuk menerima kartu.

Mengadopsi PCI DSS mengkonsolidasikan budaya keamanan berdasarkan desain yang mencegah insiden mahal, memfasilitasi audit, dan memastikan pengalaman pembayaran yang lancar dan andal bagi pelanggan Anda.

pembayaran aman e-niaga
Artikel terkait:
Keamanan dalam pembayaran digital: kunci untuk melindungi perusahaan dan pelanggan Anda.