Saat COVID melanda bisnis di seluruh dunia, dan toko tutup atau tidak lagi menerima uang tunai sebagai metode pembayaran pilihan, kami melihat peningkatan dramatis dalam volume data kartu pembayaran. Maju cepat ke hari ini, dan volume transaksi online dan
penggunaan mesin point-of-sale terus melonjak. Karena sebagian besar data disimpan di cloud, peluang untuk serangan dunia maya melonjak pada saat yang sama, yang berarti bahwa Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi sebelumnya
tidak lagi memadai.
Sejak tahun 2004, PCI DSS telah memastikan bahwa organisasi yang memproses atau menyimpan informasi kartu kredit dapat melakukannya dengan aman. Setelah pandemi, panduan tentang kontrol keamanan sangat membutuhkan pembaruan. Inilah saatnya versi baru – PCI DSS v4.0 –
diumumkan. Sementara perusahaan memiliki waktu dua tahun untuk merencanakan implementasinya, sebagian besar bisnis keuangan harus memiliki semuanya pada Maret 2025. Namun, ada risiko bekerja dengan tenggat waktu yang lama karena gagal menciptakan rasa urgensi, dan banyak
dari pembaruan keamanan yang termasuk dalam standar baru adalah praktik yang seharusnya sudah diterapkan oleh bisnis.
Misalnya, "8.3.6 – Tingkat kerumitan minimum untuk kata sandi saat digunakan sebagai faktor autentikasi” atau “5.4.1 – Ada mekanisme untuk mendeteksi dan melindungi personel dari serangan phishing" terdaftar sebagai "pembaruan yang tidak mendesak untuk diterapkan dalam 36 bulan”.
Dengan tingginya tingkat ancaman dunia maya setelah konflik Rusia-Ukraina, kerangka waktu ini tidak cukup cepat untuk meningkatkan tingkat perlindungan dunia maya yang dibutuhkan oleh lembaga keuangan dan bisnis ritel yang menimbulkan ancaman nyata terhadap data dan privasi pelanggan.
Untuk memecahnya lebih jauh, ada beberapa angka penting dan menarik yang menggambarkan ruang lingkup dan batasannya:
-
51 dan 2025 mengilustrasikan masalah inti seputar PCI DSS V4.0 – 51 adalah jumlah usulan perubahan yang digolongkan sebagai "praktik terbaik" antara saat ini dan 2025 saat diberlakukan, yaitu tiga tahun lagi!
Mari kita lihat lebih dekat 13 perubahan langsung untuk semua penilaian V4.0, yang mencakup item seperti "Peran dan tanggung jawab untuk melakukan aktivitas didokumentasikan, ditetapkan, dan dipahami". Ini terdiri dari 10 dari 13 perubahan langsung, yang artinya
sebagian besar "pembaruan mendesak" pada dasarnya adalah poin akuntabilitas, di mana perusahaan menerima bahwa mereka harus melakukan sesuatu.
Dan sekarang mari kita lihat pembaruan yang “harus efektif pada Maret 2025”:
-
5.3.3: Pemindaian anti-malware dilakukan saat media elektronik yang dapat dipindahkan sedang digunakan
-
5.4.1: Tersedia mekanisme untuk mendeteksi dan melindungi personel dari serangan phishing.
-
7.2.4: Tinjau semua akun pengguna dan hak akses terkait dengan tepat.
-
8.3.6: Tingkat kerumitan minimum untuk kata sandi saat digunakan sebagai faktor autentikasi.
-
8.4.2: Otentikasi multi-faktor untuk semua akses ke CDE (lingkungan data Pemegang Kartu)
-
10.7.3: Kegagalan sistem kontrol keamanan kritis ditanggapi dengan segera
Ini hanya enam dari 51 pembaruan "tidak mendesak", dan saya merasa sulit dipercaya bahwa deteksi serangan phishing dan penggunaan pemindaian anti-malware adalah bagian dari daftar itu. Hari ini, dengan serangan phishing pada titik tertinggi sepanjang masa, saya mengharapkan keuangan global apa pun
institusi dengan data sensitif untuk dilindungi untuk memiliki ini sebagai persyaratan penting, bukan sesuatu yang harus dilakukan dalam waktu tiga tahun.
Terlepas dari ancaman denda yang sangat besar dan risiko penarikan kartu kredit sebagai metode pembayaran jika organisasi gagal mematuhi standar PCI, sejauh ini hanya beberapa penalti yang ditindaklanjuti. Menunggu tiga tahun lagi untuk menerapkan persyaratan baru
terkandung dalam V4.0 tampaknya menyiratkan kurangnya kepemilikan bahwa beberapa perubahan pantas dan terlalu berisiko.
Saya menghargai bahwa bukan berarti perusahaan belum menerapkan beberapa atau semua pembaruan. Namun, bagi mereka yang belum melakukannya, melakukan pembaruan tersebut akan memerlukan investasi dan perencanaan, dan untuk tujuan ini, PCI DSS V4.0 harus lebih spesifik.
Misalnya, jika kegagalan keamanan perlu ditanggapi “segera”, apakah itu berarti 24 jam, 24 hari, atau 24 bulan? Saya percaya bahwa pemangku kepentingan akan jauh lebih baik dilayani dengan tenggat waktu yang lebih spesifik.
Meskipun PCI DSS V4.0 merupakan dasar yang baik untuk memajukan standar, hal itu seharusnya diterapkan dengan urgensi yang lebih besar. Memang, ada banyak perubahan yang harus dilakukan, tetapi strategi yang lebih baik adalah mengadopsi pendekatan bertahap, yaitu memprioritaskan perubahan.
diperlukan segera, dalam 12 bulan, 24 bulan dan 36 bulan dari sekarang daripada mengatakan semuanya harus efektif dalam waktu tiga tahun.
Tanpa panduan ini, kemungkinan beberapa organisasi akan menangguhkan proyek-proyek ini untuk dilihat dalam waktu dua tahun ketika tenggat waktu rencana implementasi semakin dekat. Namun, di era ketika kejahatan kartu pembayaran terus menjadi risiko di mana-mana, hanya ada sedikit
yang akan diperoleh dari penundaan.
- keuangan semut
- blockchain
- fintech konferensi blockchain
- fintech berpadu
- coinbase
- kecerdasan
- fintech konferensi kripto
- fintech
- aplikasi tekfin
- inovasi fintech
- Fintextra
- OpenSea
- PayPal
- teknologi pembayaran
- jalur pembayaran
- plato
- plato ai
- Kecerdasan Data Plato
- Data Plato
- permainan plato
- razorpay.dll
- Revolut
- Ripple
- fintech persegi
- garis
- fintech tencent
- xero
- zephyrnet.dll
