Sebuah situs e-commerce tidak ada bedanya dengan toko fisik dalam hal transaksi pembayaran. Jika situs e-commerce menerima pembayaran kartu kredit, maka wajib menjaga keamanan data pengguna kartu kredit. Untuk itu, hal ini telah diatur oleh Dewan Standar Keamanan Transaksi Kartu Pembayaran (PCI DSS) yang berlaku global di seluruh dunia.
Sertifikasi PCI DSS untuk Tingkatkan Keamanan Transaksi e-Commerce
Sekarang ini, semakin banyak konsumen online yang khawatir dengan keamanan kartu kredit mereka. Tidak sedikit yang mengurungkan niat belanja online lantaran masih besar rasa khawatir tersebut. Oleh karena itu, situs e-commerce dapat lebih menjamin dalam keamanan transaksi kartu kredit dengan sertifikasi PCI DSS.
Sekilas mengenai PCI-DSS
PCI-DSS atau Payment Card Industry – Data Security Standard , yang berarti Standar Keamanan Data untuk Industri Kartu Pembayaran. Jadi PCI adalah standar yang berisi serangkaian persyaratan keamanan yang harus diikuti setiap pedagang, besar atau kecil, baik online maupun offline (toko fisik).
PCI dibuat dan diberi mandat oleh lima perusahaan kartu kredit utama: Visa, MasterCard, American Express, Discover, dan JCB. Dewan PCI sekarang mengelola dan terus memperbarui standar keamanan transaksi kartu kredit.
Sertifikasi PCI DSS untuk Situs E-Commerce
Situs E-commerce walau “etalse” mereka terbuat dari teknologi digital dan bukan dari bangunan fiisik, tidak berarti dewan PCI kurang tertarik pada bagaimana Anda mengamankan data sensitif pelanggan Anda. Selain mesin EDC dan mesin ATM, sebuah terminal kasir atau Point-of-Sale juga wajib memiliki sertifikasi PCI DSS. Demikian dengan situs e-commerce, dimana mesin kasir dan terminal EDC dalam bentuk digital, wajib memiliki sertifikasi PCI DSS pada komponen pemrosesan pembayaran kartu kredit tersebut.
Mungkin masih banyak orang pada industri e-commerce berpikir bahwa PCI tidak berlaku bagi mereka karena mereka terlalu kecil. Ini adalah kesalahpahaman yang sangat umum. PCI berlaku untuk bisnis apa pun yang memproses, menyimpan atau mentransmisikan data kartu kredit. Oleh karena itu, standar keamanan yang berlaku untuk perusahaan Fintech ini juga berlaku untuk perusahaan e-commerce dan market place.
Setiap pihak yang memproses pembayaran kartu kredit, berada di bawah dewan standar keamanan (PCI SSC). Jika situs e-commerce anda menerima pembayaran belanja online dengan kartu kredit atau menggunakan penyedia eksternal untuk melakukan outsourcing informasi kartu kredit anda, maka kepatuhan terhadap standar keamanan ini berlaku.
Menggunakan penyedia eksternal yang dimaksud diatas adalah seperti penggunaan infrastruktur IT yang terlibat pada proses transaksi kartu kredit. Misal, penyedia hosting cloud, penyedia solusi pencadangan, penyedia fasilitas colocation server, provider jaringan komunikasi data.
Pada dasarnya, sertifikasi PCI-DSS berlaku untuk seluruh lingkungan yang terlibat dalam pemrosesan dan penyimpanan data kartu kredit. Hal ini bertujuan untuk melindungi data sensitif dari penggunaan yang tidak sah.
Modus Pencurian Data Kartu Kredit
Salah satu cara hacker dapat menyedot kumpulan data dari situs web e-commece adalah dengan menempatkan perangkat lunak berbahaya (malware) ke situs e-commerce tersebut. Data akan diambil saat pelanggan memasukkan data dan sebelum mencapai titik akhir bisnis, yakni server web.
Bisnis e-commerce harus menggunakan saluran transportasi aman seperti Secure Sockets Layer (SSL) / Transport Layer Security (TLS), atau yang lebih dikenal dengan SSL / TLS, yang merupakan ukuran keamanan standar. Saat ini sudah banyak yang menerapkannya. Sangat penting bagi perusahaan untuk memahami bahwa sementara bisnis dapat menggunakan jalur transportasi aman standar, namun hal ini tidak cukup untuk melindungi data pengguna kartu kredit.
Lapisan keamanan seperti SSL / TLS adalah protokol kriptografi yang menyediakan keamanan komunikasi melalui jaringan. Namun, yang penting dalam konteks ini adalah sementara mereka menyediakan terowongan transportasi yang aman agar data mengalir, hanya dari satu titik ke titik lainnya.
Begitu data sampai ke sisi yang lain (application / server / load balancer) maka data harus didekripsi dan dalam bentuk teks jelas karena mentransversikan infrastruktur untuk diambil. Selain itu, sementara SSL / TLS tidak menyediakan keamanan untuk data yang digerakkan, ini juga tidak sepenuhnya mudah karena ada beberapa kerentanan yang telah dilaporkan.
Kasus Transaksi e-Commerce Menggunakan Kartu Kredit Curian
Untuk melihat tujuan dari sertifikasi PCI DSS ini, mari kita lanjut pada beberapa contoh kasus penggunaan kartu kredit yang tidak sah pada beberapa situs e-commerce.
Situs e-Commerce Acer
Perusahaan elektronik Taiwan – Acer – mulai mengirim surat kepada pelanggan setelah beberapa data keuangan sensitif dan data kartu kredit telah diakses selama setahun terakhir ini.
Nama pelanggan, alamat, nomor kartu, tanggal kadaluwarsa, dan tiga digit kode keamanan CVV mungkin telah diakses oleh pihak ketiga, menurut surat pelanggaran data yang disebarkan perusahaan kepada pelanggannya. Siapa pun yang membeli barang dari situs e-niaga Acer selama hampir setahun, dari 12 Mei 2015 sampai 28 April 2016, mungkin terkena dampak, menurut perusahaan.
Menurut laporan terakhir, sekitar 34.000 pelanggan di Amerika dan Kanada kemungkinan terkena dampak dari kasus pelanggaran data ini.
Masih belum jelas bagaimana penyusup mendapatkan akses ke database eBay. Maka ini sangat jelas untuk meningkatkan keamanan situs e-commerce anda dengan mengikuti standar yang di syaratkan pada sertifikasi PCI DSS tersebut.
Akses ke database Target dan Terminal POS dicapai melalui vendor pihak ketiga yang tidak mematuhi standar keamanan umum saat ini. Target juga gagal menyimpan informasi pelanggan di area aman yang berdedikasi, membuat data mudah di panen oleh para hacker. Informasi kartu kredit yang dicuri kemudian dijual di pasar gelap online.
Biaya Akibat Serangan Cyber pada Situs e-Commerce
Sebuah penyedia perangkat lunak keamanan cyber, Symantec (NASDAQ: SYMC) dan platform eCommerce – BigCommerce – mengungkapkan biaya sesungguhnya dari kasus pelanggaran data pada bisnis ritel e-Commerce. Menurut data tersebut, biaya pelanggaran data pada bisnis ritel e-Commerce kini mencapai Rp. 2.3 juta per akun.
Dan biaya untuk bisnis retail e-Commerce terus meningkat seperti halnya kemungkinan serangan yang juga meningkat. Data yang sama menunjukkan bahwa biaya akibat serangan cyber telah naik 29 persen sejak 2013. Saat ini, biaya rata-rata dari satu serangan cyber mencapai angka yang mencengangkan, yakni sekitar Rp. 54 Milyar!.
Manfaat Utama Sertifikasi PCI DSS untuk Bisnis e-Commece
Selain untuk meningkatkan keamanan dan melindungi data pengguna kartu kredit. Dengan mengetahui sebuah situs marketplace atau situs e-commerce memiliki sertifikasi PCI DSS yang terbaru, maka para konsumen akan lebih yakin dalam melakukan transaksi. Ini artinya, akan meningkatkan konversi penjualan terhadap jumlah kunjungan.
Disamping itu, para investor anda juga akan menilai risiko terhadap serangan cyber. Semakin dewasa bisnis e-commerce maka akan semakin patuh pada standar keamanan transaksi keuangan.
Semoga artikel ini dapat memberikan wawasan yang memadai bagi para pelaku e-commerce di seluruh dunia, untuk mengambil langkah-langkah selanjutnya.
