INFRASTRUKTUR KEAMANAN E-BUSINESS

1. Security Standard Council

PCI DSS adalah Standar Keamanan Pembayaran Kartu seperti Kartu Kredit,
Kartu Debit dan kartu kartu lainnya yang ditransmisikan secara online. Standar keamanan
pembayaran menggunakan kartu ini pertama kalo dibentuk oleh sebuah lembaga yang
dibentuk oleh American Express, Discover Financial Services, JCB Internasional,
Mastercard dan Visa pada tanggal 7 September 2006. Lembaga ini kemudian lebih
dikenal dengan nama Payment Card Industry Data Security Standart(PCI DSS) yang
kemudian menerbitkan 12 (dua belas) persyaratan untuk mendapatkan sertifikasi bahwa
sebuah organisasi sudah melaksanakan standar keamanan PCI DSS tersebut. PCI DSS –
Standar keamanan pembayaran kartu. Selain PCI DSS lembaga tersebut juga menerbitkan
standar keamanan untuk Payment Application Data Security Standard (PA DSS).
Seperti halnya sertifikasi keamanan lainnya seperti ISO, PCI DSS memiliki 12
(dua belas) persyaratan untuk mendapatkan sertifikasinya. Ke 12 persyaratan tersebut
adalah :

 Membangun dan Mengelola jaringan dan sistem yang aman

 Melindungi data dari pemilik kartu
 Mengelola kelemahan yang muncul
 Mengimplementasikan Akses kontrol dan dapat mengukurnya secara baik
 Secara reguler memonitor dan melakukan testing pada jaringan yang ada
 Mengelola standar kebijakan keamanan yang diimplementasikan

Secara garis besar proses PCI DSS akan melalui 3 tahapan berikut ini :

 Deklarasi dari persyaratan PCI DSS yang menyatakan bahwa akan

mengimplementasikan PCI DSS
 Proses testing, dimana proses dan metodologi yang digunakan akan diaudit oleh
assesor untuk menjadi kesesuaiannya.
 Panduan, yaitu menerangkan semua aspek yang digunakan dan memilki relasi
dengan kebutuhan persyaratan dari PCI DSS

Assesment dari PCI DSS memiliki beberapa entitas, seperti berikut ini :

 Qualified Security Assessor (QSA) adalah seorang individu yang memiliki

sertifikasi tentang PCI DSS
  Internal Security Assessor (ISA) adalah seorang individu yang emmiliki
sertifikasi tentang PCI DSS yang disponsori oleh organisasi pelaksana PCI DSS
dan dapat melakukan assessment di organisasi tersebut dan bisa bekerjasama
dengan QSA
 Report on Compliance (ROC) adalah sebuah form yang diisikan oleh pihak
VISA dalam rangka audit PCI DSS. ROC ini akan digunakan sebagai verifikasi
bahwa sebuah organisasi sudah mematuhi persyaratan standar dari PCI DSS. Isi
dari ROC ini adalah tentang kebijakan, strategi, pendekatan dan alur kerja yang
diimplementasikan pada sebuah organisasi. PCI DSS – Standar keamanan
pembayaran kartu
 Self-Assesment Questionnaire (SAQ) adalah tools tambahan yang digunakan
sebagai validasi hasil dari pelaksanaan dari implementasi PCI DSS
Banyak faktor yang harus mengikuti standar dari PCI DSS diantaranya adalah
dalam penggunaan wifi dimana memiliki aturan-aturan tertentu yang harus dipatuhi
karena wifi adalah perangkat tambahan yang memungkinkan untuk bisa mengakses
jaringan LAN yang ada di dalam sebuah organisasi. Pada artikel berikutnya akan dibahas
mengenai standar keamanan dari wifi yang menjadi persyaratan dari PCI DSS.

2. Infrastruktur Keamanan E-Business

Infrastruktur dirancang untuk membantu organisasi untuk menerapkan keamanan

dalam melakukan kegiatan e-business. Rancangan keamanan e-business dibagi menjadi 4
lapis, yaitu

1. Akses fisik
Dengan apa pihak-pihak yang terlibat dalam e-business melakukan
kegiatannya ? Pembeli dan penjual dapat melakukan e-business dengan komputer,
smartphone dan lain-lain.
 2. Komunikasi jaringan
Jaringan yang dapat dipakai dalam e-business. Contoh : LAN, MAN, dan WAN.

3. Sistem Operasi
Sistem operasi yang dipakai dalam menjalankan sistem. Contoh : Windows,
Linux, dan lain-lain.

4. Aplikasi
Apakah aplikasi yang digunakan dibuat sendiri atau memakai pihak ketiga.
Contoh : dengan menggunakan jejaring 3ocial seperti Facebook atau Twitter.

3. Kontrol Keamanan dan Kebutuhan untuk PCI DSS

Setiap entitas yang terlibat dalam pengelolaan transaksi kartu kredit dan kartu
pembayaran lainnya, atau memproses informasi kartu kredit dan kartu pembayaran
lainnya, wajib memiliki sertifikasi PCI DSS untuk sebuah standar keamanan.
Cakupan entitas tidak hanya sampai pada perbankan dan vendor alat gesek kartu
(terminal EDC), akan tetapi termasuk pada penyelenggara data center, penyedia jaringan,
perusahaan e-commerce dan fintech yang menerima pembayaran digital menggunakan
kartu kredit. Dalam hal ini, Elitery Data Center Sudah Tersertifikasi oleh PCI
DSS sehingga seluruh layanan Elitery dapat diandalkan oleh perusahaan jasa keuangan di
Indonesia.
Tujuan persyaratan sertifikasi PCI DSS ini untuk menetapkan pedoman dan
praktik terbaik untuk standar keamanan transaksi kartu kredit dan debit. Untuk tujuan
kebijakan ini, penggunaan istilah “kartu kredit” mencakup penerimaan kartu dengan logo
perusahaan kartu kredit, seperti Visa, MasterCard, Discover, atau American Express.
Selain itu, persyaratan sertifikasi PCI DSS bertujuan untuk memberi kemampuan
dalam menerima kartu kredit disertai tanggung jawab yang signifikan untuk menjaga
keamanan pemegang kartu dan untuk mengurangi risiko kecurangan.
Seluruh pihak yang terlibat, memiliki tanggung jawab penuh untuk melindungi
informasi kartu kredit pelanggan, dan karenanya harus mematuhi persyaratan keamanan
ketat yang ditetapkan oleh Dewan Standar Keamanan Industri Kartu Pembayaran (PCI
SSC) atau menghadapi denda finansial yang signifikan jika terjadi pelanggaran atau
kecurangan.
Perlu dicatat, bahwa setiap pelanggaran informasi pemegang kartu dapat merusak
kepercayaan publik terhadap kemampuan perusahaan dalam mempertahankan bisnis.

4. Standard PCI Security

Penjahat A.S abad ke-20 Willie Sutton dikatakan merampok bank karena “dari situlah
uangnya”. Motivasi yang sama di era digital membuat merchants menjadi target baru untuk
penipuan finansial.
 Terkadang celah keamanan oleh beberapa merchants memungkinkan penjahat untuk
dengan mudah mencuri dan menggunakan informasi keuangan pribadi konsumen dari
transaksi kartu pembayaran dan sistem pemrosesan.

Ini adalah masalah serius, lebih dari 510 juta data dengan informasi sensitif telah
dilanggar sejak Januari 2005, menurut PrivacyRights.org. Sebagai merchants, Anda berada di
pusat transaksi kartu pembayaran sehingga sangat penting bahwa Anda menggunakan
prosedur dan teknologi keamanan standar untuk menggagalkan pencurian data pemegang
kartu.

Kerentanan berbasis merchants mungkin muncul hampir di manapun di ekosistem

pemrosesan kartu termasuk perangkat penjualan utama, komputer pribadi atau server, hotspot
nirkabel atau aplikasi belanja Web, dalam sistem penyimpanan berbasis kertas, dan
pengiriman data pemegang kartu ke penyedia layanan.

Kepatuhan terhadap Payment Card Industry (PCI) Data Security Standard (DSS)
membantu meminimalisir kerentanan ini dan melindungi data pemegang kartu.

Ada tiga tahapan untuk mengikuti PCI DSS:

Assess-mengidentifikasi data pemegang kartu, mencatat inventaris aset TI dan proses

bisnis Anda untuk memproses kartu pembayaran, dan menganalisisnya untuk kerentanan
yang dapat mengekspos data pemegang kartu.

Remediate-memperbaiki kerentanan dan tidak menyimpan data pemegang kartu

kecuali jika Anda memerlukannya.

Report-kompilasi dan kirimkan catatan validasi perbaikan yang diperlukan (jika ada),
dan kirimkan laporan kepatuhan kepada merek bank dan kartu yang diakuisisi yang Anda
ajak berbisnis.

PCI DSS mengikuti langkah-langkah yang mencerminkan praktik keamanan terbaik.

DSS secara global berlaku untuk semua entitas yang menyimpan, memproses atau
mengirimkan data pemegang kartu. PCI DSS dan standar keamanan terkait dikelola oleh
Dewan Standar Keamanan PCI, yang didirikan oleh American Express, Discover Financial
Services, JCB International, MasterCard Worldwide dan Visa Inc. Organisasi yang
berpartisipasi mencakup merchant, bank penerbit kartu pembayaran, prosesor, pengembang
dan vendor lainnya.