Dokumen tersebut membahas tentang PCI DSS (Payment Card Industry Data Security Standard), standar keamanan data untuk melindungi data pemegang kartu. PCI DSS dikembangkan oleh lima perusahaan kartu untuk meningkatkan keamanan data pemegang kartu secara konsisten secara global. Dokumen ini juga menjelaskan persyaratan dan proses sertifikasi PCI DSS bagi entitas yang mengolah data kartu pembayaran.

1. PCI DSS
Hendrix Yapputro

2. Apakah PCI DSS?
Payment Card Industry – Data Security Standard (PCI DSS) dikembangkan untuk meningkatkan
keamanan data pemegang kartu (seperti kartu kredit, kertu debit, ATM, dsb) dan memfasilitasi
pengadopsian pengamanan data secara konsisten serta global.
PCI DSS menyediakan dasar persyaratan teknis dan operasional yang dirancang untuk
melindungi data pemegang kartu.
PCI DSS Indonesia

3. Kejahatan Kartu
Data ini diambil dari financial fraud UK. Kenapa UK?
Karena sebenarnya tidak mengacu ke suatu negara
tertentu, jika di negara Indonesia terdapat data
mengenai financial fraud maka akan lebih baik lagi
untuk merepresentasikan keadaan lingkungan kita
Dari data ini terlihat bahwa:
1. Financial Fraud masih tinggi angkanya.
2. Angka pada tahun 2012 mengalami
kenaikan dari tahun sebelumnya (2011),
seharusnya angka semakin menurun
PCI DSS Indonesia

4. Informasi yg dicari pemalsu kartu
Data pemegang kartu pada Magnetic Stripe:
 PAN
 USERNAME
 EXPIRY DATE
 CVC 1/ CVC 2
Begitu data ini didapat oleh pemalsu kartu, maka
kejahatan kartu dapat dengan mudah dilakukan.
Pemalsu kartu berpura2 menjadi pejabat bank yang
sebenarnya. Bahkan jika pemegang kartu menelpon
kembali nomor telp yg diberikan oleh pemalsu kartu,
terdapat suara resepsionis ataupun mesin penjawab
yang mirip dengan identitas bank yang sebenarnya.
Padahal bukan.
PCI DSS Indonesia

5. Siapa Pencetus PCI DSS
PCI Security Standard Council (PCI DSS) adalah sebuah forum, yang didirikan
pada tahun 2006, yang bertanggung jawab untuk pengembangan, pengelolaan,
pendidikan, dan kesadaran mengenai standar keamanan kartu pembayaran.
Terdapat tiga standar keamanan yaitu: PCI DSS (Payment Card Industry – Data
Security Standard), PA-DSS (Payment Application – Data Security Standard),
dan PTS (PIN Transaction Security).
Lima pendiri PCI DSS - American Express, Discover Financial Services, JCB
International, MasterCard, dan Visa Inc - telah sepakat untuk menggabungkan
PCI DSS sebagai persyaratan teknis dari masing-masing program kepatuhan
keamanan data mereka.
PCI DSS Indonesia

6. Siapa yg perlu certified
PCI DSS berlaku untuk semua entitas yang terlibat
dalam pengolahan kartu pembayaran seperti
pedagang (merchant), prosesor (processor),
acquirers, penerbit (issuer), dan penyedia layanan,
serta semua entitas lain yang menyimpan,
memroses atau mengirimkan data pemegang kartu
dan/atau data otentikasi sensitif (Sensitive
Authentication Data).
PCI DSS Indonesia

7. Persyaratan PCI DSS
Tujuan Persyaratan PCI DSS
Membangun dan melakukan
maintenance jaringan yg aman.
1. Install dan maintain konfigurasi firewall untuk melindungi data pemegang kartu.
2. Tidak menggunakan password yang menjadi default-nya vendor, serta password-
password lainnya yang umum yang mudah teridentifikasi.
Melindungi data pemegang
kartu.
3. Melindungi data pemegang kartu yang disimpan.
4. Melakukan enkripsi atas data pemegang kartu yang terdapat pada jaringan.
Melakukan maintenance
Vulnerability Management
Program.
5. Selalu menggunakan dan melakukan update atas anti-virus software.
6. Membangun dan melakukan maintaining aplikasi yang aman.
Melakukan implementasi ukuran
Access Control yang kuat.
7. Membatasi akses ke data pemegang kartu.
8. Memberikan unique ID kepada masing2 pengguna yang menggakses komputer.
9. Membatasi akses fisik ke data pemegang kartu.
Secara teratur melakukan
monitor dan uji jaringan.
10. Menelusuri (track) dan memonitor semua akses ke jaringan dan data pemegang kartu.
11. Secara teratur menguji keamanan sistem serta proses-prosesnya.
Melakukan maintenance
Kebijakan Keamanan Informasi.
12. Selalu melakukan maintenance kebijakan keamanan informasi terutama kepada
pegawai/karyawan maupun tamu perusahaan seperti vendor.
PCI DSS Indonesia

8. Persiapan Sertifikasi PCI DSS
P r o j e c t M a n a g e m e n t
Persiapan Sertifikasi PCI DSS
Assessment Pelatihan Implementasi Audit dan Sertifikasi Manajemen Kepatuhan
• Pengumpulan Data
• Current State
• Gap Assessment
• Specify roadmap
• PCI DSS awareness
• Code Review
• Ethical Hacking
• Manajemen Risiko
• Melakukan verifikasi lingkup
• Mengadakan teknologi yg kurang,
atau proses yg blm ada
Monitoring
secara teratur.
PCI DSS Indonesia

9. Hendrix Yapputro
Berpengalaman dibidang FSI (Financial
Service Industry) technology sejak Maret
1995 hingga sekarang saat menulis slide
ini (Maret 2014 dimana ia adalah seorang
General Manager di sebuah perusahaan
system integration & strategic advisory
consulting). Lima tahun diantaranya
berpengalaman dalam bidang teknologi
kartu pembayaran, yaitu kartu kredit dan
ATM.
Ia juga menerbitkan sebuah buku yang ia
tulis sendiri, yaitu mengenai bagaimana
cara menentukan transaksi kartu kredit itu
fraud atau tidak dengan menggunakan
metode statistik. Didalam buku itu juga ia
menulis seberapa besar kemungkinan atau
probabilitas sebuah transaksi itu adalah
fraud.
Ia juga certified ISO 27001 Lead Auditor.