Apakah PCI DSS
11 likes7,186 views
Dokumen tersebut membahas tentang PCI DSS (Payment Card Industry Data Security Standard), standar keamanan data untuk melindungi data pemegang kartu. PCI DSS dikembangkan oleh lima perusahaan kartu untuk meningkatkan keamanan data pemegang kartu secara konsisten secara global. Dokumen ini juga menjelaskan persyaratan dan proses sertifikasi PCI DSS bagi entitas yang mengolah data kartu pembayaran.
Apakah PCI DSS
- 2. Apakah PCI DSS? Payment Card Industry – Data Security Standard (PCI DSS) dikembangkan untuk meningkatkan keamanan data pemegang kartu (seperti kartu kredit, kertu debit, ATM, dsb) dan memfasilitasi pengadopsian pengamanan data secara konsisten serta global. PCI DSS menyediakan dasar persyaratan teknis dan operasional yang dirancang untuk melindungi data pemegang kartu. PCI DSS Indonesia
- 3. Kejahatan Kartu Data ini diambil dari financial fraud UK. Kenapa UK? Karena sebenarnya tidak mengacu ke suatu negara tertentu, jika di negara Indonesia terdapat data mengenai financial fraud maka akan lebih baik lagi untuk merepresentasikan keadaan lingkungan kita Dari data ini terlihat bahwa: 1. Financial Fraud masih tinggi angkanya. 2. Angka pada tahun 2012 mengalami kenaikan dari tahun sebelumnya (2011), seharusnya angka semakin menurun PCI DSS Indonesia
- 4. Informasi yg dicari pemalsu kartu Data pemegang kartu pada Magnetic Stripe: PAN USERNAME EXPIRY DATE CVC 1/ CVC 2 Begitu data ini didapat oleh pemalsu kartu, maka kejahatan kartu dapat dengan mudah dilakukan. Pemalsu kartu berpura2 menjadi pejabat bank yang sebenarnya. Bahkan jika pemegang kartu menelpon kembali nomor telp yg diberikan oleh pemalsu kartu, terdapat suara resepsionis ataupun mesin penjawab yang mirip dengan identitas bank yang sebenarnya. Padahal bukan. PCI DSS Indonesia
- 5. Siapa Pencetus PCI DSS PCI Security Standard Council (PCI DSS) adalah sebuah forum, yang didirikan pada tahun 2006, yang bertanggung jawab untuk pengembangan, pengelolaan, pendidikan, dan kesadaran mengenai standar keamanan kartu pembayaran. Terdapat tiga standar keamanan yaitu: PCI DSS (Payment Card Industry – Data Security Standard), PA-DSS (Payment Application – Data Security Standard), dan PTS (PIN Transaction Security). Lima pendiri PCI DSS - American Express, Discover Financial Services, JCB International, MasterCard, dan Visa Inc - telah sepakat untuk menggabungkan PCI DSS sebagai persyaratan teknis dari masing-masing program kepatuhan keamanan data mereka. PCI DSS Indonesia
- 6. Siapa yg perlu certified PCI DSS berlaku untuk semua entitas yang terlibat dalam pengolahan kartu pembayaran seperti pedagang (merchant), prosesor (processor), acquirers, penerbit (issuer), dan penyedia layanan, serta semua entitas lain yang menyimpan, memroses atau mengirimkan data pemegang kartu dan/atau data otentikasi sensitif (Sensitive Authentication Data). PCI DSS Indonesia
- 7. Persyaratan PCI DSS Tujuan Persyaratan PCI DSS Membangun dan melakukan maintenance jaringan yg aman. 1. Install dan maintain konfigurasi firewall untuk melindungi data pemegang kartu. 2. Tidak menggunakan password yang menjadi default-nya vendor, serta password- password lainnya yang umum yang mudah teridentifikasi. Melindungi data pemegang kartu. 3. Melindungi data pemegang kartu yang disimpan. 4. Melakukan enkripsi atas data pemegang kartu yang terdapat pada jaringan. Melakukan maintenance Vulnerability Management Program. 5. Selalu menggunakan dan melakukan update atas anti-virus software. 6. Membangun dan melakukan maintaining aplikasi yang aman. Melakukan implementasi ukuran Access Control yang kuat. 7. Membatasi akses ke data pemegang kartu. 8. Memberikan unique ID kepada masing2 pengguna yang menggakses komputer. 9. Membatasi akses fisik ke data pemegang kartu. Secara teratur melakukan monitor dan uji jaringan. 10. Menelusuri (track) dan memonitor semua akses ke jaringan dan data pemegang kartu. 11. Secara teratur menguji keamanan sistem serta proses-prosesnya. Melakukan maintenance Kebijakan Keamanan Informasi. 12. Selalu melakukan maintenance kebijakan keamanan informasi terutama kepada pegawai/karyawan maupun tamu perusahaan seperti vendor. PCI DSS Indonesia
- 8. Persiapan Sertifikasi PCI DSS P r o j e c t M a n a g e m e n t Persiapan Sertifikasi PCI DSS Assessment Pelatihan Implementasi Audit dan Sertifikasi Manajemen Kepatuhan • Pengumpulan Data • Current State • Gap Assessment • Specify roadmap • PCI DSS awareness • Code Review • Ethical Hacking • Manajemen Risiko • Melakukan verifikasi lingkup • Mengadakan teknologi yg kurang, atau proses yg blm ada Monitoring secara teratur. PCI DSS Indonesia
- 9. Hendrix Yapputro Berpengalaman dibidang FSI (Financial Service Industry) technology sejak Maret 1995 hingga sekarang saat menulis slide ini (Maret 2014 dimana ia adalah seorang General Manager di sebuah perusahaan system integration & strategic advisory consulting). Lima tahun diantaranya berpengalaman dalam bidang teknologi kartu pembayaran, yaitu kartu kredit dan ATM. Ia juga menerbitkan sebuah buku yang ia tulis sendiri, yaitu mengenai bagaimana cara menentukan transaksi kartu kredit itu fraud atau tidak dengan menggunakan metode statistik. Didalam buku itu juga ia menulis seberapa besar kemungkinan atau probabilitas sebuah transaksi itu adalah fraud. Ia juga certified ISO 27001 Lead Auditor.