Tema: Standarisasi keamanan PDP bagi setiap E-Commerce
Optimalisasi Keamanan Transaksi E-Commerce : Penerapan PCI DSS (Payment Card Industry Data Security Standard) untuk Melindungi Data Pengguna Kartu Debit dan Kredit
(Diandra Adristiara, Deva Sinta Rahmawati, Tiara Putri Basyra)
LATAR BELAKANG
Dalam era digital yang terus berkembang, transaksi e-commerce semakin menjadi bagian integral dari kehidupan sehari-hari. Kemudahan dan kenyamanan yang ditawarkan oleh e-commerce telah menarik perhatian banyak pengguna di seluruh dunia. Pada e-commerce metode pembayaran tidak lagi terbatas pada uang tunai, melainkan juga melibatkan penggunaan kartu kredit atau debit, terutama dalam transaksi besar. Namun, seiring dengan peningkatan volume transaksi e-commerce, risiko terhadap keamanan data pengguna juga semakin meningkat. Keamanan dalam penggunaan kartu kredit atau debit masih menjadi perhatian utama. Oleh karena itu, PCI DSS (Payment Card Industry Data Security Standard) dikembangkan untuk meningkatkan keamanan data pemegang kartu secara global dan mendorong praktik-praktik keamanan yang lebih baik di seluruh industri.
Untuk menghadapi tantangan ini, PCI DSS (Payment Card Industry Data Security Standard) muncul sebagai standar keamanan yang sangat penting. PCI DSS dikembangkan oleh PCI SSC (PCI Security Standards Council), sebuah forum global yang berdedikasi untuk pengembangan, penyimpanan, penyebaran, dan implementasi standar keamanan data akun. PCI SSC berperan dalam meningkatkan keamanan data pembayaran global dengan mengembangkan standar dan mendukung layanan yang mendorong pendidikan, kesadaran, dan implementasi efektif oleh para pemangku kepentingan.
PCI DSS dirancang untuk melindungi data pemegang kartu dari ancaman keamanan dengan menetapkan serangkaian persyaratan keamanan yang harus dipatuhi oleh semua entitas yang menyimpan, memproses, atau mentransmisikan data pembayaran. Standar ini mencakup berbagai aspek, mulai dari pengelolaan standar keamanan global, validasi dan listing produk serta solusi yang memenuhi persyaratan PCI SSC, hingga pelatihan, pengujian, dan kualifikasi profesional dan
organisasi keamanan. PCI Security Standards Council sendiri dibentuk oleh American Express, Discover Financial Services, JCB International, MasterCard Worldwide, dan Visa Inc. Standar keamanan PCI DSS harus dipatuhi oleh setiap pihak yang menyelenggarakan layanan pembayaran menggunakan kartu. Tak cukup itu, pihak-pihak yang berkewajiban tak hanya penyelenggara pembayaran seperti bank, tetapi juga merchant atau pihak ketiga yang turut terlibat dalam penyelenggaraan layanan (third-party service provider). Pihak ketiga yang dimaksud, misalnya adalah penyedia infrastruktur teknologi informasi (seperti penyedia jasa Data Center, Managed Firewall, Managed Security Service), penyedia call center, dan pihak lain yang terlibat dalam memproses, menyimpan, dan mengirimkan informasi transaksi dan data pengguna.
Penerapan PCI DSS dalam e-commerce dapat meningkatkan keamanan transaksi dan melindungi data kartu debit dan kredit konsumen melalui beberapa cara. Pertama, dengan menangani masuknya data kartu kredit dari nasabah secara aman. Hal ini berarti detail kartu yang sensitif harus dikumpulkan dan dikirimkan dengan aman. Kedua, data yang disimpan harus dilindungi dengan metode seperti enkripsi, pemantauan berkelanjutan, dan pengujian keamanan akses ke data kartu. Ketiga, setiap tahun, kontrol keamanan yang diperlukan harus divalidasi melalui audit pihak ketiga, layanan pemindaian kerentanan eksternal, dan kuesioner.
Dengan menerapkan langkah-langkah ini, perusahaan dapat memastikan bahwa data konsumen tetap aman dari berbagai ancaman. Selain itu, adanya sertifikasi PCI DSS menunjukkan bahwa sebuah perusahaan telah melaksanakan standar keamanan untuk melindungi dan mendukung data transaksi dan penggunanya, yang pada gilirannya meningkatkan kepercayaan pelanggan. Kepatuhan terhadap PCI DSS membantu mengidentifikasi kelemahan dalam proses keamanan, prosedur, dan konfigurasi situs web, serta memberikan perlindungan terhadap pelanggaran keamanan. Dengan demikian, PCI DSS tidak hanya melindungi data konsumen tetapi juga meningkatkan kepercayaan konsumen dan integritas keseluruhan sistem pembayaran.
Melalui tulisan ini, kita akan mengeksplorasi pentingnya optimalisasi keamanan transaksi e-commerce melalui penerapan PCI DSS. Fokus utamanya adalah untuk melindungi data pengguna kartu debit dan kredit dari ancaman
keamanan, serta bagaimana kepatuhan terhadap PCI DSS ini dapat membantu dalam menciptakan ekosistem pembayaran digital yang lebih aman dan andal
RUMUSAN MASALAH
- Sejauh mana kepatuhan terhadap PCI DSS (Payment Card Industry Data Security Standard) dapat mencegah kebocoran data dan ancaman keamanan siber dalam transaksi e-commerce?
- Bagaimana penilaian kepatuhan Platform E-Commerce terhadap PCI DSS (Payment Card Industry Data Security Standard) dilakukan?
ANALISIS
Kepatuhan Terhadap PCI DSS (Payment Card Industry Data Security Standard) Dapat Mencegah Kebocoran Data Dan Ancaman Keamanan Siber Dalam Transaksi E-Commerce
Seiring dengan perkembangan teknologi, pemanfaatan sosial media merupakan hal yang erat kaitannya dengan kehidupan sehari-hari manusia, sosial media juga menjadi kebutuhan primer akut bagi manusia.1 Sektor perdagangan merupakan salah satu dari pemanfaatan penggunaan teknologi melalui sosial media, dimana dalam perkembangannya, kegiatan berbelanja dapat dilakukan secara online dan dapat dilakukan kapanpun dan dari manapun tanpa adanya batasan jarak dan waktu. Penggunaan e-commerce juga semakin masif dan tentunya pembayaran yang dilakukan pun berbasis elektronik, tak jarang para pengguna e-commerce menggunakan kartu debit atau kredit dalam melakukan pembayaran. Dari penggunaan kartu debit atau kredit sebagai alat pembayaran tentunya menimbulkan kekhawatiran apabila sewaktu-waktu terjadi kebocoran data yang merupakan sebuah ancaman dari serangan siber dalam melakukan transaksi secara elektronik.
Data pribadi terkait dengan kartu pembayaran menghadirkan risiko tambahan, apabila dalam praktiknya data tersebut jatuh ke tangan oknum yang tidak bertanggung jawab, maka hal tersebut dapat menyebabkan pencurian identitas atau bahkan berbagai jenis penipuan lain yang lebih kompleks. Dampak negatif dari kejadian tersebut bagi konsumen sangat besar dan di luar kendali industri kartu pembayaran. Kemungkinan bahwa sewaktu-waktu akan terdapat serangan siber menunjukkan betapa pentingnya pelindungan data yang ketat dan kepatuhan terhadap standar keamanan seperti PCI DSS (Payment Card Industry Data Security Standard).2 Kepatuhan terhadap PCI DSS (Payment Card Industry Data Security Standard) yang selanjutnya disebut memegang peran yang sangat krusial guna mencegah kebocoran data dan ancaman keamanan siber dalam transaksi e-commerce, hal tersebut juga relevan dengan hadirnya Undang-Undang Pelindungan Data Pribadi yang memiliki tujuan dan fungsi utama untuk menetapkan kerangka hukum guna melindungi data pribadi individu.
Standar Keamanan Data PCI DSS ini berlaku dan ditujukan kepada entitas yang melakukan penyimpanan, pemrosesan, atau mengirimkan data rekening pembayaran, entitas yang menerima atau memproses transaksi pembayaran, serta untuk pengembang dan produsen perangkat lunak dan perangkat lainnya yang digunakan dalam transaksi tersebut.3 Dalam konteks perdagangan secara online, situs e-commerce yang selanjutnya merupakan sebuah entitas yang didalamnya terdapat proses transaksi elektronik dapat lebih menjamin keamanan transaksi kartu debit dan kredit dengan memperoleh sertifikasi PCI DSS, adanya sertifikasi PCI DSS ini berguna untuk mengamankan data sensitif yang tertera pada kartu debit dan kredit dari akses yang tidak sah dan penyalahgunaan, hal tersebut juga tertuang dalam Pasal 16 ayat (2) huruf e Undang-Undang No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi yang menyebutkan bahwa :
“Pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi”4
Ketika melakukan proses transaksi secara online atau elektronik, PCI DSS memegang peran krusial, manfaat dari memperoleh sertifikasi ini dalam proses transaksi online meliputi :
- Guna mengamankan data bisnis dan pelanggan dari adanya ancaman malware, rekayasa sosial, dan serangan siber.
- Melindungi dan menjamin data pelanggan agar tetap aman, sehingga konsumen dapat bertransaksi dengan aman.
- Menyediakan keamanan sistem perlindungan data berstandar internasional yang diakui secara global.
- Membantu para pelaku usaha atau bisnis dalam menghindari denda apabila terdapat kebocoran data atau masalah keamanan data.
- Meminimalisir biaya pelanggaran data jika dalam praktiknya terdapat tuntutan hukum akibat dari kebocoran data atau keamanan data.5
Sebagai pelaku usaha, penting untuk meng-upgrade sistem keamanan data dan memperoleh sertifikasi berstandar internasional karena sejatinya keamanan data transaksi maupun konsumen merupakan tanggung jawab besar yang diemban oleh para pelaku usaha. Salah satu payment gateway di Indonesia yang telah memperoleh izin dari Bank Indonesia serta telah memiliki sertifikat PCI DSS dan ISO 27001 atau International Organization for Standaritation, yaitu “Duitku” yang dapat membantu para pelaku usaha dalam memastikan keamanan data dalam proses transaksi secara online.6 Dilansir dari laman resmi milik Duitku, Duitku merupakan perusahaan PJSP atau Penyelenggara Jasa Sistem Pembayaran yang dapat melayani pembayaran melalui kartu kredit, transfer antar bank, internet banking, e-wallet, dan gerai retail langsung ke toko online.
Kepatuhan terhadap sertifikat PCI DSS tentu memiliki banyak manfaat guna menjamin keamanan data pengguna kartu debit dan kredit dalam melakukan transaksi online, perusahaan e-commerce juga dapat menjalankan operasinya dengan lebih aman, membangun kepercayaan konsumen untuk menggunakan platform e-commerce dalam melakukan transaksi online, serta menunjukan komitmen terhadap integritas dan kualitas layanan.
Penilaian Kepatuhan Platform E-Commerce terhadap PCI DSS (Payment Card Industry Data Security Standard)
Mematuhi standar PCI DSS (Payment Card Industry Data Security Standard) merupakan langkah penting untuk Platform E-Commerce agar keamanan saat melakukan proses dan mengirimkan transaksi kartu kredit terjaga. PCI DSS mengurangi risiko informasi pribadi dan keuangan pelanggan dari data kartu pembayaran tersebar kepada pihak yang tidak bertanggung jawab apabila terjadi penyerangan terhadap perusahaan.7 Persyaratan untuk patuh terhadap standar PCI DSS (Payment Card Industry Data Security Standard), yaitu melalui enam tujuan dan dua belas persyaratan sebagai berikut:8
| Tujuan Persyaratan PCI DSS |
Bangun dan Pelihara Jaringan yang 1: Instal dan kelola konfigurasi firewall Aman untuk melindungi data pemegang kartu 2: Jangan menggunakan default dari vendor untuk password sistem dan parameter keamanan lainnya |
Lindungi Pemegang Kartu data 3: Lindungi data pemegang kartu yang tersimpan 4: Enkripsikan transmisi data pemegang kartu di jaringan publik yang terbuka Kelola Program Manajemen 5: Gunakan dan update software Vulnerabiliitas anti-virus secara berkala 6: Kembangkan dan kelola sistem dan aplikasi yang aman |
Implementasikan Kendali Terhadap 7: Batasi akses ke data pemegang kartu Akses sampai dengan 8: Menetapkan ID yang unik untuk setiap orang dengan akses komputer 9: Batasi akses fisik ke data pemegang |
| kartu |
Secara teratur Memantau dan Uji 10: Lacak dan pantau semua akses ke Jaringan sumber daya jaringan dan data pemegang kartu 11: Uji coba sistem keamanan dan proses secara rutin |
Mengelola Kebijakan Keamanan 12: Kelola kebijakan yang membahas Informasi keamanan informasi |
Untuk menilai atau memvalidasi kepatuhan Platform E-Commerce terhadap PCI DSS setiap tahunnya, dilakukan dengan melalui dua pendekatan utama. Pendekatan pertama melibatkan penilaian lingkungan oleh Qualified Security Assessor (QSA), yang kemudian menghasilkan Laporan Kepatuhan (ROC) dan Pengesahan Kepatuhan (AOC). Metode ini sering diterapkan oleh entitas dengan volume transaksi besar. Pendekatan kedua adalah menggunakan Kuesioner Penilaian Mandiri (SAQ), yang lebih cocok untuk entitas dengan volume transaksi yang lebih kecil. Pendekatan ini memungkinkan entitas untuk mengevaluasi sendiri kepatuhan mereka terhadap standar keamanan PCI DSS tanpa penilaian langsung oleh QSA.9
KESIMPULAN
Seiring dengan perkembangan teknologi saat ini, media sosial dan e-commerce menjadi bagian yang tak terpisahkan dari kehidupan manusia. Aktivitas belanja online yang masif dan cara pembayaran yang sering kali menggunakan kartu debit dan kredit selain mempermudah proses pembayaran juga menimbulkan risiko tinggi akan adanya kebocoran data dan serangan siber yang dapat berdampak negatif pada data pribadi konsumen. Kepatuhan terhadap PCI DSS (Payment Card Industry Data Security Standard) sangat penting sebagai salah satu upaya dalam hal mencegah kebocoran data dan ancaman keamanan siber dalam transaksi online pada platform e-commerce. PCI DSS menetapkan kerangka hukum untuk melindungi data pribadi, hal ini relevan dengan Undang-Undang No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi khususnya pada Pasal 16 ayat (2) huruf e. Standar ini dinilai dapat membantu mengamankan data yang bersifat sensitif dari akses yang tidak sah, menjamin keamanan data pelanggan, menyediakan sistem perlindungan data internasional, menghindari denda, serta meminimalisir biaya pelanggaran apabila terjadi kebocoran data atau kegagalan dalam menjaga keamanan serta kerahasiaan data pengguna.
Dengan maraknya kasus kebocoran data saat ini, sebagai pelaku usaha harus mengimbangi perkembangan teknologi dengan terus meng-upgrade sistem keamanan data serta memperoleh sertifikasi internasional, karena keamanan data transaksi dan konsumen merupakan suatu tanggung jawab besar bagi para pelaku usaha. Contoh penyedia jasa sistem pembayaran di Indonesia yang telah memperoleh sertifikasi PCI DSS adalah Duitku, yang melayani berbagai metode pembayaran online dengan keamanan yang terjamin. Dengan kepatuhan terhadap sertifikasi PCI DSS, perusahaan e-commerce dapat beroperasi lebih aman, membangun kepercayaan konsumen, dan menunjukan komitmen serius terhadap integritas dan kualitas layanan.
Mematuhi standar PCI DSS merupakan hal penting bagi platform e-commerce dalam menjaga keamanan dalam hal terkait dengan pemrosesan dan pengiriman transaksi menggunakan kartu debit dan kredit. PCI DSS mengurangi risiko penyebaran informasi pribadi dan keuangan pelanggan kepada oknum tak bertanggung jawab dalam kasus serangan siber. Kepatuhan terhadap PCI DSS melibatkan enam tujuan utama dan dua belas persyaratan, seperti membangun dan memelihara jaringan yang aman, melindungi data pemegang kartu, mengelola program manajemen kerentanan, mengimplementasikan kendali akses, memantau dan menguji jaringan secara teratur, serta mengelola kebijakan keamanan informasi. Untuk menilai kepatuhan terhadap PCI DSS, platform e-commerce dapat menggunakan dua pendekatan, yaitu penilaian oleh Qualified Security Assessor (QSA) yang menghasilkan laporan dan Pengesahan Kepatuhan (ROC dan AOC) khusus untuk entitas dengan jumlah transaksi yang besar, serta Kuesioner Penilaian Mandiri (SAQ) untuk entitas dengan jumlah transaksi yang lebih kecil.
SARAN
Saran yang dapat diberikan adalah untuk perusahaan e-commerce untuk mengimplementasikan sertifikasi PCI DSS guna memastikan keamanan data pelanggan saat berbelanja online. Keamanan data ini meliputi data pemegang kartu dan data kartu kredit atau debit. Langkah ini tidak hanya menunjukkan komitmen perusahaan e-commerce dalam menjaga privasi pengguna, tetapi juga membangun kepercayaan yang kuat di antara konsumen terhadap keamanan transaksi mereka. Implementasi PCI DSS juga dapat memberikan manfaat tambahan berupa peningkatan reputasi perusahaan dan kemungkinan pengurangan biaya yang terkait dengan kejadian keamanan data yang tidak diinginkan.
DAFTAR PUSTAKA
Undang-Undang
Undang-Undang No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi.
Buku
Danrivanto Budhijanto, Hukum Pelindungan Data Pribadi di Indonesia Cyberlaw dan Cybersecurity, PT Refika Aditama, Bandung, 2023, hlm 83.
Jurnal
Edward A. Morse and Vasant Raval, “PCI DSS: Payment Card Industry Data Security Standards In Context”, Computer Law & Security Review, Vol 24, Issue 6, 2008, Page 540-554.
Rujukan Elktronik
Amazon Web Services, “Kepatuhan PCI”, https://aws.amazon.com/id/compliance/pci-dss-level-1-faqs/, [diakses pada 17/7/2024].
PCI Security Standards Council (PCI SSC) https://www.pcisecuritystandards.org/about_us/#, [diakses pada 16/7/2024].
Duitku “Apa Itu PCI DSS dan Pentingnya Untuk Pembayaran Online”, https://www.duitku.com/apa-itu-pci-dss-dan-pentingnya-untuk-pembaya ran-online/, [diakses pada 17/7/2024].
Mastercard, “Kepatuhan PCI DSS Mastercard”, https://www.mastercard.co.id/id-id/business/merchants/safety-and-secu rity/security-recommendations/site-data-protection-PCI.html, [diakses pada 17/7/2024].
Verizon, “Payment Card Industry Data Security Standard Assessment”, https://www.verizon.com/business/products/security/cyber-risk-manage ment/governance-risk-compliance/payment-card-industry-data-security -standard-assessment/, [diakses pada 17/7/2024].
Nama penulis: Diandra Adristiara, Deva Sinta Rahmawati, Tiara Putri Basyra
Anda Masih Bingung Terkait Legalitas?
Yuk Langsung AJa klik toMbol di kanan untuk Bertanya Ke Tim DOCUMENTA
