Sertifikasi PCI DSS Wajib Dimiliki Oleh Bisnis E-Commerce

Sertifikasi PCI DSS Wajib Dimiliki Oleh Bisnis E-Commerce

Maraknya kasus pencurian dan pemalsuan kartu kredit belakangan ini memunculkan keraguan konsumen dalam berbelanja online. Terutama pada situs e-commerce di Indonesia, penggunaan akses kartu kredit yang tidak sah dapat menimbulkan masalah pada bisnis. Untuk itu, kami akan mengulas pentingnya sertifikasi PCI DSS untuk bisnis e-commerce.

Sebuah situs e-commerce tidak ada bedanya dengan toko fisik dalam hal transaksi pembayaran. Jika situs e-commerce menerima pembayaran kartu kredit, maka wajib menjaga keamanan data pengguna kartu kredit. Untuk itu, hal ini telah diatur oleh Dewan Standar Keamanan Transaksi Kartu Pembayaran (PCI DSS) yang berlaku global di seluruh dunia.

Sertifikasi PCI DSS untuk Tingkatkan Keamanan Transaksi e-Commerce

Sekarang ini, semakin banyak konsumen online yang khawatir dengan keamanan kartu kredit mereka. Tidak sedikit yang mengurungkan niat belanja online lantaran masih besar rasa khawatir tersebut. Oleh karena itu, situs e-commerce dapat lebih menjamin dalam keamanan transaksi kartu kredit dengan sertifikasi PCI DSS.

Sekilas mengenai PCI-DSS

PCI-DSS atau Payment Card Industry – Data Security Standard , yang berarti Standar Keamanan Data untuk Industri Kartu Pembayaran. Jadi PCI adalah standar yang berisi serangkaian persyaratan keamanan yang harus diikuti setiap pedagang, besar atau kecil, baik online maupun offline (toko fisik).

PCI dibuat dan diberi mandat oleh lima perusahaan kartu kredit utama: Visa, MasterCard, American Express, Discover, dan JCB. Dewan PCI sekarang mengelola dan terus memperbarui standar keamanan transaksi kartu kredit.

Sertifikasi PCI DSS untuk Situs E-Commerce

Situs E-commerce walau “etalse” mereka terbuat dari teknologi digital dan bukan dari bangunan fiisik, tidak berarti dewan PCI kurang tertarik pada bagaimana Anda mengamankan data sensitif pelanggan Anda. Selain mesin EDC dan mesin ATM, sebuah terminal kasir atau Point-of-Sale juga wajib memiliki sertifikasi PCI DSS. Demikian dengan situs e-commerce, dimana mesin kasir dan terminal EDC dalam bentuk digital, wajib memiliki sertifikasi PCI DSS pada komponen pemrosesan pembayaran kartu kredit tersebut.

Mungkin masih banyak orang pada industri e-commerce berpikir bahwa PCI tidak berlaku bagi mereka karena mereka terlalu kecil. Ini adalah kesalahpahaman yang sangat umum. PCI berlaku untuk bisnis apa pun yang memproses, menyimpan atau mentransmisikan data kartu kredit. Oleh karena itu, standar keamanan yang berlaku untuk perusahaan Fintech ini juga berlaku untuk perusahaan e-commerce dan market place.

Setiap pihak yang memproses pembayaran kartu kredit, berada di bawah dewan standar keamanan (PCI SSC). Jika situs e-commerce anda menerima pembayaran belanja online dengan kartu kredit atau menggunakan penyedia eksternal untuk melakukan outsourcing informasi kartu kredit anda, maka kepatuhan terhadap standar keamanan ini berlaku.

Menggunakan penyedia eksternal yang dimaksud diatas adalah seperti penggunaan infrastruktur IT yang terlibat pada proses transaksi kartu kredit. Misal, penyedia hosting cloud, penyedia solusi pencadangan, penyedia fasilitas colocation server, provider jaringan komunikasi data.

Pada dasarnya, sertifikasi PCI-DSS berlaku untuk seluruh lingkungan yang terlibat dalam pemrosesan dan penyimpanan data kartu kredit. Hal ini bertujuan untuk melindungi data sensitif dari penggunaan yang tidak sah.

Modus Pencurian Data Kartu Kredit

Salah satu cara hacker dapat menyedot kumpulan data dari situs web e-commece adalah dengan menempatkan perangkat lunak berbahaya (malware) ke situs e-commerce tersebut. Data akan diambil saat pelanggan memasukkan data dan sebelum mencapai titik akhir bisnis, yakni server web.

Bisnis e-commerce harus menggunakan saluran transportasi aman seperti Secure Sockets Layer (SSL) / Transport Layer Security (TLS), atau yang lebih dikenal dengan SSL / TLS, yang merupakan ukuran keamanan standar. Saat ini sudah banyak yang menerapkannya. Sangat penting bagi perusahaan untuk memahami bahwa sementara bisnis dapat menggunakan jalur transportasi aman standar, namun hal ini tidak cukup untuk melindungi data pengguna kartu kredit.

Lapisan keamanan seperti SSL / TLS adalah protokol kriptografi yang menyediakan keamanan komunikasi melalui jaringan. Namun, yang penting dalam konteks ini adalah sementara mereka menyediakan terowongan transportasi yang aman agar data mengalir, hanya dari satu titik ke titik lainnya.

Begitu data sampai ke sisi yang lain (application / server / load balancer) maka data harus didekripsi dan dalam bentuk teks jelas karena mentransversikan infrastruktur untuk diambil. Selain itu, sementara SSL / TLS tidak menyediakan keamanan untuk data yang digerakkan, ini juga tidak sepenuhnya mudah karena ada beberapa kerentanan yang telah dilaporkan.

Kasus Transaksi e-Commerce Menggunakan Kartu Kredit Curian

Untuk melihat tujuan dari sertifikasi PCI DSS ini, mari kita lanjut pada beberapa contoh kasus penggunaan kartu kredit yang tidak sah pada beberapa situs e-commerce.

Situs e-Commerce Acer

Perusahaan elektronik Taiwan – Acer – mulai mengirim surat kepada pelanggan setelah beberapa data keuangan sensitif dan data kartu kredit telah diakses selama setahun terakhir ini.

Nama pelanggan, alamat, nomor kartu, tanggal kadaluwarsa, dan tiga digit kode keamanan CVV mungkin telah diakses oleh pihak ketiga, menurut surat pelanggaran data yang disebarkan perusahaan kepada pelanggannya. Siapa pun yang membeli barang dari situs e-niaga Acer selama hampir setahun, dari 12 Mei 2015 sampai 28 April 2016, mungkin terkena dampak, menurut perusahaan.

Menurut laporan terakhir, sekitar 34.000 pelanggan di Amerika dan Kanada kemungkinan terkena dampak dari kasus pelanggaran data ini.

eBay, platform eCommerce terbesar dan terpopuler di dunia, telah mengalami pelanggaran keamanan utama. Lebih dari 100 juta pengguna pada tahun 2014 telah terpengaruh pada sebuah kasus cybercrime terbesar.

Masih belum jelas bagaimana penyusup mendapatkan akses ke database eBay. Maka ini sangat jelas untuk meningkatkan keamanan situs e-commerce anda dengan mengikuti standar yang di syaratkan pada sertifikasi PCI DSS tersebut.

Pelanggaran keamanan ritel terbesar tahun 2013 terjadi di AS dimana jutaan pelanggan Target.Com mengalami pencurian informasi kartu kredit mereka. Para hacker melewati target anti-spyware dan firewall tradisional yang ada di tempat, mengalirkan semua informasi ke server jarak jauh tanpa terdeteksi. Lebih dari 110 juta pelanggan Target terpengaruh.

Akses ke database Target dan Terminal POS dicapai melalui vendor pihak ketiga yang tidak mematuhi standar keamanan umum saat ini. Target juga gagal menyimpan informasi pelanggan di area aman yang berdedikasi, membuat data mudah di panen oleh para hacker. Informasi kartu kredit yang dicuri kemudian dijual di pasar gelap online.

Biaya Akibat Serangan Cyber pada Situs e-Commerce

Sebuah penyedia perangkat lunak keamanan cyber, Symantec (NASDAQ: SYMC) dan platform eCommerce – BigCommerce – mengungkapkan biaya sesungguhnya dari kasus pelanggaran data pada bisnis ritel e-Commerce. Menurut data tersebut, biaya pelanggaran data pada bisnis ritel e-Commerce kini mencapai Rp. 2.3 juta per akun.

Dan biaya untuk bisnis retail e-Commerce terus meningkat seperti halnya kemungkinan serangan yang juga meningkat. Data yang sama menunjukkan bahwa biaya akibat serangan cyber telah naik 29 persen sejak 2013. Saat ini, biaya rata-rata dari satu serangan cyber mencapai angka yang mencengangkan, yakni sekitar Rp. 54 Milyar!.

Oleh karena itu, sekarang sudah saatnya bagi para pelaku e-commerce untuk mulai menilai ulang proses transaksi pembayaran kartu kredit mereka. Apakah seluruh pihak terlibat, termasuk penyedia jaringan, vendor, software, dan data center yang digunakan sudah memiliki sertifikasi PCI DSS atau belum?

Manfaat Utama Sertifikasi PCI DSS untuk Bisnis e-Commece

Selain untuk meningkatkan keamanan dan melindungi data pengguna kartu kredit. Dengan mengetahui sebuah situs marketplace atau situs e-commerce memiliki sertifikasi PCI DSS yang terbaru, maka para konsumen akan lebih yakin dalam melakukan transaksi. Ini artinya, akan meningkatkan konversi penjualan terhadap jumlah kunjungan.

Disamping itu, para investor anda juga akan menilai risiko terhadap serangan cyber. Semakin dewasa bisnis e-commerce maka akan semakin patuh pada standar keamanan transaksi keuangan.

Semoga artikel ini dapat memberikan wawasan yang memadai bagi para pelaku e-commerce di seluruh dunia, untuk mengambil langkah-langkah selanjutnya.

SEO enthusiast, Trainer, Praktisi Pemasaran Online, Penulis buku "Strategi Sukses Jualan Online", Gemstone Investor.