FATMAWATI FEBRINA VITA

JUDUL :
1. Visa Security Alert
2. Tokenisasi
3. Panduan Mengurangi Resiko Penipuan CVV
 PERINGATAN KEAMANAN
VISA
 Pada bulan Agustus dan September 2019, gangguan
penipuan pembayaran visa menyelidiki dua pelanggaran
terpisah di pedagang bahan bakar Amerika Utara.
 Serangan melibatkan penggunaan malware point-of-sale
(POS) untuk memanen data kartu pembayaran dari
sistem POS pedagang bahan bakar.
 Dalam salah satu kasus yang diselidiki , pelaku berhasil
mengompromikan jaringan merchant melalui email
yang berisi lampiran malware.
 Setelah malware disebarkan di jaringan merchant,
ia menghapus pembayaran 1 dan 2 data kartu dari
memori akses acak (RAM) dari sistem POS yang
ditargetkan.
 Pelaku mampu mendapatkan data kartu
pembayaran ini karena kurangnya teknologi
penerimaan yang aman, (mis. EMV® Chip,
Enkripsi Pointto-Point, Tokenisasi, dll.) dan
ketidakpatuhan pada PCI DSS.
 IMPLIKASI BAGI PEDAGANG BAHAN BAKAR

 Pengecekan kartu pada pompa bahan bakar tetap

menjadi ancaman besar dan semakin meningkat bagi
pedagang bahan bakar.
 Banyak pedagang bahan bakar sedang memperbarui
sistem mereka untuk menerima dan memproses
transaksi yang lebih aman, dengan memutakhirkan ke
perangkat yang mendukung chip.
 Untuk mengurangi ancaman ini, visa
merekomendasikan pedagang bahan bakar untuk
melakukan tindakan berikut:
1. Menyebarkan dan memungkinkan penerimaan
chip pada semua perangkat point-of-sale (POS).
2. Menyebarkan Enkripsi Point-to-Pont (P2PE)
3. Mendidik karyawan tentang ancaman dan
phishing cyber.
4. Memberikan masing-masing pengguna admin
dengan kredensial pengguna mereka sendiri.
Akun pengguna juga harus diberikan izin yang
penting untuk tanggung jawab pekerjaan.
5. Pastikan penerapan tambalan keamanan yang
diperlukan: PCI DSS mensyaratkan bahwa
semua komponen dan perangkat lunak sistem
dilindungi dari kerentanan yang diketahui
dengan memasang tambalan keamanan.

6. Monitor lalu lintas jaringan untuk koneksi yang

mencurigakan, dan catat sistem dan acara
jaringan.
7. Menerapkan segmentasi jaringan, untuk mencegah
penyebaran perangkat lunak berbahaya dan membatasi
pijakan penyerang

8. Pertahankan kepatuhan dengan semua kontrol keamanan

yang ditentukan dalam PCI DSS

9. Dalam hal terjadi pelanggaran yang dikonfirmasi atau

dicurigai, rujuk ke apa yang harus dilakukan Visa jika
Terkompromikan (WTDIC), yang diterbitkan Oktober 2019.
 TOKENISASI

 Token merupakan teknologi keamanan baru dari Visa

dengan menggantikan informasi akun sensitif, seperti
nomor akun 16 digit, dengan digital unik
pengidentifikasi.
 Token memungkinkan pembayaran diproses tanpa
memaparkan detail akun aktual yang berpotensi
membahayakan.
 CARA KERJA TOKEN VISA
1. Konsumen mendaftarkan akun Visa mereka dengan layanan pembayaran
digital (seperti online atau melalui ponsel) dengan memasukkan nomor
akun utama, kode keamanan dan informasi akun pembayaran lainnya.
2. Penyedia layanan pembayaran digital meminta token pembayaran dari
Visa untuk akun terdaftar.
3. Visa membagikan token permintaan dengan penerbit akun (seperti bank
konsumen)
4. Dengan persetujuan penerbit akun, Visa menggantikan nomor akun utama
konsumen dengan pengidentifikasi digital yang unik (token).
5. Visa membagikan token dengan pemohon token untuk penggunaan
pembayaran online dan seluler .
 TOKEN DAPAT DIGUNAKAN
DI:
 ONLINE
Melakukan pembelian e-commerce adalah biasa. Tokenisasi memberikan
pengecer online cara yang inovatif dan aman untuk proses pembayaran.

 TOKO
Tokenisasi menyediakan cara yang aman bagi konsumen saat proses
pembayaran hanya dengan melambaikan tangan ke perangkat di dekat
terminal pembayaran.

 APLIKASI
Kemampuan untuk membayar dengan Visa melalui aplikasi inovatif
ponsel semakin meningkat, yang membuat anda lebih mudah bertransaksi
saat bepergian.
 CARA PENGGUNAAN TOKEN
1. Konsumen melakukan pembayaran online, di dalam toko atau
di dalam aplikasi.

2. Merchant mengirimkan token kepada pengakuisisi

Pada digital, penyedia layanan pembayaran (e-wallet, e-
commerce atau aplikasi) meneruskan token ke pihak
pengakuisisi sebagai bagian dari permintaan otorisasi .

3. Pengakuisisi merutekan token

Pengakuisisi menerima token dan mengarahkannya ke
jaringan Visa untuk mulai memproses transaksi.
4. Visa mengirimkan token kepada penerbit kartu
Visa mengirimkan token bersama dengan rincian kartu
pembayaran kepada penerbit untuk otorisasi.

5. Penerbit mengembalikan token dan otorisasi

Penerbit menerima atau menolak transaksi dan
mengirim tanggapannya kembali ke Visa

6. Transaksi selesai
Token dan pembayaran otorisasi dialihkan kembali ke bank
pedagang, pengakuisisi. 
 MENGURANGI RESIKO PENIPUAN
MELALUI VERIFIKASI DATA KARTU
(CVV)
I. Elemen Data Transaksi

A. Jenis Verifikasi Data Kartu

CVV, iCVV, dan CVV2 dapat ditemukan pada
kartu fisik dalam strip magnetik dalam chip.
Verifikasi data kartu didasarkan pada nomor
akun, tanggal kadaluwarsa, dan kode layanan
dihitung dengan menerapkan algoritma
kriptografi ke informasi akun yang disandikan.
 CVV — Magnetic-Stripe Interface
CVV adalah nomor tiga digit unik yang disandikan dan
dilacak didata pilihan dari strip magnetik. CVV dihitung
dengan menerapkan suatu algoritma ke informasi akun
yang disandikan dan diverifikasi online saat otorisasi.

 CVV2 — Card-Absent Environment

CVV2 adalah angka tiga digit yang tercetak di belakang
semua visa kartu, dihitung sedikit berbeda
menggunakan algoritma yang sama dengan CVV.
 dCVV—Magnetic-Stripe Data-Based Contactless
Interface
dCVV adalah teknik otentikasi untuk versi data
magnetic-stripe transaksi Visa payWave tanpa kontak.

 iCVV—Contact atau Contactless Chip Interfaces

iCVV adalah nilai yang disandikan ke chip setara
dataset yang memungkinkan penerbit dengan mudah
mendeteksi dan menolak kartu strip magnetik palsu
yang dibuat dari data kartu chip.
B. Mode Entri POS
Mode entri POS (Bidang 22) setiap transaksi dikirim dengan
memberikan penerbit informasi tentang bagaimana pedagang
memperoleh data transaksi. Verifikasi mode entri POS penting
dilakukan untuk mengidentifikasi dan mencegah penipuan.
Mode entri POS yang umum meliputi:
 01 — Entri Kunci Manual
 05 atau 95 — Membaca chip
 07 — Tanpa kontak, menggunakan aturan data chip
 02 atau 90 — Membaca garis magnetik
 91 — Tanpa kontak, menggunakan aturan membaca garis
magnetik
C. Kode Layanan

Kode layanan adalah urutan angka secara keseluruhan

yang menentukan berbagai layanan, membedakan kartu
penggunaan dalam pertukaran internasional atau domestik,
menetapkan persyaratan PIN dan mengidentifikasi batasan
kartu. Kode layanan berlaku untuk semua produk visa.

Kode layanan hanya digunakan untuk menunjukkan

metode verifikasi pemegang kartu (CVM) dan preferensi
otorisasi selama transaksi magnetic-stripe.
Contoh kode layanan umum:
 101 — Kartu stipe magnetik; penggunaan internasional
 120 — Kartu strip magnetik; penggunaan internasional;
diperlukan PIN
 121 — Kartu strip magnetik; penggunaan internasional;
diperlukan otorisasi online untuk semua transaksi
 201 — Kartu chip EMV; penggunaan internasional
 221 — Kartu chip EMV; penggunaan internasional;
diperlukan otorisasi online untuk semua transaksi
 601 — Kartu kredit dan debit chip EMV yang
digunakan secara nasional
II. Menggunakan Elemen Data untuk Mengurangi Penipuan
Penerbit harus mempertimbangkan nilai verifikasi kartu,
mode entri POS, dan kode layanan untuk
mengidentifikasi masalah dan mengurangi penipuan kartu
palsu. Sebagai prasyarat, penerbit harus memeriksa
bahwa entri POS mode mengidentifikasi pembayaran
yang didukung dengan kode layanan valid dan cocok
pada kartu yang disandikan.
 Jenis penipuan yang dapat teridentifikasi meliputi:
o Penipuan kartu menggunakan data yang tidak ada kartu:

Data yang dicuri dari transaksi yang tidak ada kartu tidak
akan berfungsi pada tatap muka, karena validasi CVV /
iCVV / dCVV akan gagal karena penipu tidak akan
memiliki akses ke data asli.
o Pemalsuan kartu strip magnetik menggunakan data chip

tanpa kontak: Penipu dapat mencuri data dari kartu tanpa

kontak atau ponsel dan diterapkan pada strip magnetik.
o Data chip skim palsu: Penipu dapat mencuri data dari
kartu chip (kontak atau tanpa kontak) dan dioleskan ke
strip magnetik.
o Penipuan tanpa kontak menggunakan data strip
magnetik yang dikompromikan: Penipu dapat
memalsukan data kartu strip magnetik ke aplikasi
pembayaran yang disimpan di perangkat seluler.
Visa sangat merekomendasikan agar penerbit menolak transaksi
dengan mode entri POS yang tidak relevan dengan produk yang
telah mereka keluarkan.

VisaNet memiliki pengeditan yang mencari kode layanan yang

tidak valid, mode entri POS, dan verifikasi kombinasi kartu, dan
itu akan menolak transaksi dan mengirimkannya ke penerbit.

Namun visa mendorong penerbit untuk memvalidasi nilai

verifikasi kartu sendiri dan melakukan pemeriksaan yang sama
pada semua permintaan otorisasi.
III. Praktik Terbaik Penerbit
Untuk mengoptimalkan portofolio manajemen penipuan,
visa merekomendasikan praktik terbaik berikut ini:
1. Prioritaskan Validasi Kriptogram Chip: Untuk transaksi
chip, validasi kriptogram aplikasi (versi cryptogram
nomor 10 atau 17) harus diutamakan daripada validasi
iCVV.
2. Aktifkan Tinjauan Multi-Bagian Otorisasi: Saat meninjau
permintaan otorisasi, penerbit harus memasukkan data
verifikasi kartu, kode layanan dan mode entri POS
sebagai bagian dari proses otorisasi.
3. Tolak Kode Layanan Tidak Valid: Penerbit harus menolak
transaksi dengan kode layanan yang tidak valid, seperti 999
atau 000.
4. Mengkonfigurasi VisaNet untuk skenario yang Gagal:
Penerbit harus meninjau semua data verifikasi kartu yang
gagal (CVV, CVV2, transaksi iCVV, dCVV) di tingkat
penerbit dengan alih-alih menyerahkan keputusan kepada
stand-in VisaNet processing (STIP).
5. Aktifkan Blok 'Soft‘: Penerbit harus mempertimbangkan
blok lunak pada akun di mana verifikasi kartu transaksi
yang disetujui tidak valid sampai mereka mengkonfirmasi
aktivitas akun dengan pemegang kartu.
6. Tolak Transaksi ATM yang dipertanyakan: Penerbit harus
mempertimbangkan penolakan kartu dimana kartu yang
diverifikasi tidak valid ketika transaksi berasal dari ATM karena
nilai verifikasi kartu yang tidak valid jarang terlihat dalam
transaksi ATM.
7. Gunakan CVV2 dalam Perlindungan Risiko: Selain
menggunakan CVV2 untuk mengotentikasi kartu dalam
lingkungan yang tidak ada kartu, penerbit harus
mempertimbangkan untuk menggunakan nomor tersebut untuk
meningkatkan perlindungan risiko dalam fungsi otentikasi
lainnya, seperti memverifikasi perubahan alamat pemegang
kartu yang diminta melalui telepon atau memverifikasi aktivasi
kartu baru.
8. Tetapkan Aturan Kecepatan: Aturan ini membantu
mengidentifikasi dan menghentikan serangan brute-force
atau pengujian / serangan probing (ketika penipu dapat
dengan cepat mengirimkan beberapa transaksi bernilai
rendah berturut-turut) sampai penerbit memberikan otorisasi
untuk mendapatkan nilai verifikasi kartu yang valid untuk
kartu tertentu.
9. Aplikasi Transaksi Leverage (ATC) untuk memeriksa
Transaksi Chip: Penerbit harus memantau dan melacak ATC
kartu chip untuk mengidentifikasi serangan balik oleh
penipu.
THANK YOU