Apa yang dimaksud dengan kepatuhan PCI Magento dan mengapa toko Magento Anda membutuhkannya?

Diterbitkan: 2022-06-01

E Commerce semakin berkembang pesat belakangan ini. Oleh karena itu, banyak bisnis membuka toko online mereka di berbagai platform seperti Woocommerce, Shopify,…terutama Magento karena fitur-fiturnya yang brilian. Namun, bersama dengan manfaat yang besar, keamanan juga menjadi perhatian utama dari kedua pelanggan dan pemilik. Pembeli tidak ingin informasi pribadi mereka diungkapkan kepada pihak ketiga yang dapat merugikan mereka dan bisnis ingin tetap menjadi citra profesional untuk mendapatkan kepercayaan dari pelanggan. Oleh karena itu, dalam artikel ini kami akan memperkenalkan kepada Anda solusi luar biasa untuk membantu Anda memecahkan masalah yang sulit: kepatuhan PCI Magento.

Pertama-tama, Anda harus berkenalan dengan kepatuhan PCI

Jadi, apa itu kepatuhan PCI?

apa itu kepatuhan PCI?

PCI adalah singkatan dari Industri Kartu Pembayaran. Kepatuhan PCI adalah kumpulan standar dan undang-undang dasar dengan tujuan meningkatkan keamanan data pembayaran di seluruh dunia. Kebijakan, manajemen keamanan, arsitektur jaringan, desain perangkat lunak, dan batasan lainnya termasuk di antaranya. PCI DSS menetapkan praktik terbaik bagi bisnis eCommerce untuk menghadirkan lingkungan yang aman bagi data sensitif. Pengetahuan lainnya adalah bahwa Dewan Standar Keamanan PCI mengembangkan dan mendistribusikan semua standar kepatuhan PCI. Dewan Standar Keamanan PCI didirikan pada tahun 2006 untuk mengembangkan peraturan ini dan mengawasi kepatuhan PCI dalam industri eCommerce. Visa, Mastercard, JCB International, Discover Financial Services, dan American Express termasuk di antara jaringan kartu pembayaran global terbesar yang diwakili di dewan.

Kepatuhan PCI adalah wajib untuk setiap bisnis yang mengoperasikan toko online. Bisnis yang mematuhi dan mencapai kepatuhan PCI DSS (Standar Keamanan Data Industri Kartu Pembayaran) disebut sebagai sesuai PCI.

Ada berbagai tingkat kepatuhan PCI DSS yang harus Anda ketahui

Kepatuhan PCI memiliki empat tahapan berbeda, masing-masing mengacu pada evaluasi tahunan oleh Penilai Keamanan yang Memenuhi Syarat dan pemindaian triwulanan oleh Vendor Pemindaian yang Disetujui dengan cakupan yang berbeda-beda.

Tingkat Kepatuhan PCI DSS 1

Ini adalah tingkat awal kepatuhan PCI untuk eCommerce, dan digunakan untuk organisasi yang memproses jutaan transaksi. Jenis bisnis berikut tunduk pada aturan ini:

  • Perusahaan eCommerce yang menangani lebih dari 6 juta transaksi Visa atau Mastercard setiap tahun, terdiri dari transaksi online dan offline (jika perusahaan memiliki kehadiran offline)
  • Setiap tahun, fasilitator pembayaran melakukan sekitar 300.000 transaksi.
  • Semua toko online yang dianggap Visa sebagai Level 1
  • Setiap tahun, auditor PCI resmi melakukan audit untuk memverifikasi kepatuhan mereka. Setiap kuartal, organisasi Level 1 harus memiliki pemindaian PCI yang dilakukan oleh Vendor Pemindaian yang Disetujui, atau ASV.

Tingkat Kepatuhan PCI DSS 2

Bentuk regulasi ini biasanya cocok untuk bisnis besar dengan volume transaksi kurang dari 6 juta:

  • 1-6 juta transaksi Visa dilakukan setiap tahun oleh pedagang, dengan pembayaran online dan fisik.
  • Dengan lebih dari 300.000 transaksi tahunan, fasilitator pembayaran sangat diminati.
  • Setiap tahun, perusahaan-perusahaan ini harus menyelesaikan Kuesioner Penilaian Diri, atau SAQ, serta pemindaian PCI setiap kuartal.

Tingkat Kepatuhan PCI DSS 3

Tingkat kepatuhan PCI untuk eCommerce ini adalah untuk pedagang yang melakukan 20.000 hingga 1 juta transaksi eCommerce Visa per tahun.

Perusahaan-perusahaan ini, seperti level 2, harus menyelesaikan SAQ tahunan tetapi hanya berkewajiban untuk melakukan pemindaian triwulanan dalam kondisi tertentu.

Tingkat Kepatuhan PCI DSS 4

Level 4 berkaitan dengan bisnis eCommerce yang lebih kecil dengan lebih sedikit transaksi:

  • Penjual yang melakukan kurang dari 20.000 transaksi Visa per tahun tidak memenuhi syarat.
  • Merchant yang melakukan satu juta atau lebih transaksi Visa per tahun (online dan offline)

Meskipun SAW tahunan diperlukan, pemindaian PCI triwulanan dilakukan atas dasar "sesuai kebutuhan".

Ikhtisar tingkat kepatuhan PCI DSS utama yang diberikan di atas akan membantu Anda menentukan tingkat kepatuhan mana yang harus dicapai perusahaan Anda.

Kepatuhan PCI Magento

Kepatuhan PCI Magento

Edisi Dagang Magento

Edisi Magento 2 Commerce (Cloud), khususnya versi terbaru Magento 2.4.4 disertifikasi PCI sebagai Penyedia Solusi Level 1, meneruskan warisan pendahulunya. Kepatuhan PCI semakin mudah diakses oleh perusahaan. Mereka mungkin mengandalkan Pengesahan Kepatuhan PCI Magento untuk membantu mereka menunjukkan bahwa mereka telah memenuhi kriteria.

Karena mayoritas orang yang menggunakan Commerce Edition adalah bisnis menengah dan besar yang menangani lebih dari 6 juta transaksi per tahun, ini penting.

Selanjutnya, toko Magento ditautkan ke gateway pembayaran, yang mengirim data langsung ke gateway pembayaran daripada menyimpannya di server Magento. Baik edisi Magento Open Source dan Commerce memiliki kemampuan ini.

Edisi Sumber Terbuka Magento

Edisi Sumber Terbuka tidak berisi kepatuhan PCI sebagai fitur. Namun, ada beberapa opsi untuk membuat situs web Magento Anda sesuai dengan PCI:

1. Lakukan pembayaran melalui layanan pihak ketiga (misalnya, PayPal express)

Ini adalah cara kami menyatakan di bagian edisi Commerce.

Anda tidak perlu mematuhi PCI jika memilih opsi ini karena informasi kartu kredit tidak akan disimpan di server Anda. Menggunakan gateway pembayaran pihak ketiga di masa lalu dapat menyebabkan proses checkout pelanggan Anda terganggu. Namun, ini tidak lagi menjadi masalah.

Dengan gateway pembayaran pihak ketiga misalnya integrasi Magento Stripe, pedagang kini dapat memberikan pengalaman checkout yang mulus. Anda dapat membuat perubahan pada aplikasi eCommerce Magento inti tanpa harus melalui penilaian ulang agar sesuai dengan PCI jika data sensitif tidak disimpan di server Magento.

2. Gunakan aplikasi pembayaran SaaS yang sesuai dengan PCI.

Anda dapat menggunakan CRE Secure, yang sesuai dengan PCI, sebagai contoh. Pelanggan diarahkan ke situs web yang berbeda (URL berubah), tetapi formulir dapat disesuaikan agar sesuai dengan desain toko Anda.

Dan pertanyaannya adalah mengapa Anda harus PCI Compliant?

Daftar periksa persyaratan Kepatuhan PCI DSS

Tidak berlebihan untuk menyatakan bahwa eCommerce telah mendominasi pasar selama beberapa tahun terakhir. Seiring dengan perkembangan tersebut, muncul kepedulian terhadap keamanan data klien yang berkaitan dengan transaksi keuangan online. Terlepas dari kenyataan bahwa kepatuhan PCI tidak diwajibkan oleh hukum, hal itu dianggap demikian oleh preseden. Ini terjadi karena, saat menerima pembayaran dengan kartu, Anda bertanggung jawab untuk melindungi informasi keuangan sensitif klien Anda.

Bisnis eCommerce mendapat manfaat dari kepatuhan terhadap PCI dalam berbagai cara, termasuk:

Pelanggaran data

  • Tanpa kepatuhan PCI, bisnis Anda berisiko terhadap pelanggaran data, kebocoran, dan peretas, yang dapat mengakibatkan hilangnya pendapatan yang parah.
  • Kepatuhan PCI memperkuat pertahanan Anda terhadap kejahatan dunia maya dan membantu pencegahan pelanggaran data.
  • Selain itu, perusahaan Anda dapat menghadapi tuntutan hukum, biaya penggantian kartu, dan biaya kompensasi pelanggan.
  • Jika pelanggaran data ditemukan dan perusahaan Anda mematuhi PCI, biaya pelanggaran akan berkurang.
  • Mengurangi jumlah pelanggaran data. Yang paling penting, melindungi data pemegang kartu (pelanggan kami) dari serangan dunia maya.

Hukuman dan denda yang besar

  • Kegagalan untuk mematuhi aturan PCI dapat mengakibatkan berbagai denda yang benar-benar dapat menghabiskan sumber daya keuangan Anda.
  • Mengandalkan volume transaksi dan lamanya ketidakpatuhan, hukuman dapat berkisar dari $5.000 hingga $100.000 per bulan.
  • Kegagalan kepatuhan pemerintah dapat mengakibatkan denda yang cukup besar selain hukuman yang dikenakan oleh penyedia pembayaran.
  • Untuk pelanggaran serius, denda bisa mencapai € 20 juta.
  • Tuduhan penipuan, pemeriksaan forensik, dan hukuman tambahan dapat dikenakan jika perusahaan melanggar hukum lagi

Kehilangan reputasi dan pendapatan

  • Menurut survei Verizon baru-baru ini, 69% pelanggan akan menghindari berbisnis dengan perusahaan yang telah mengalami pelanggaran data, bahkan jika mereka memberikan penawaran yang lebih baik daripada pesaing mereka.
  • Konsumen sekarang memiliki ekspektasi keamanan yang tinggi dan toleransi yang rendah terhadap kerentanan privasi data, berkat peningkatan pengetahuan tentang masalah privasi data konsumen.
  • Pelanggaran data dapat merusak reputasi merek Anda sekaligus mengurangi loyalitas pelanggan.

Menangguhkan penggunaan kartu kredit di toko Magento Anda

  • Setelah pelanggaran data, kegagalan untuk mematuhi kepatuhan PCI dapat mengakibatkan kemampuan Anda untuk menerima pembayaran kartu kredit dicabut.
  • Penangguhan rekening kartu kredit Anda adalah kerugian yang lebih serius bagi bisnis Anda karena mencegah toko Anda memproses kartu kredit di masa depan.
  • Anda akan memerlukan kebijakan keamanan yang ketat yang sesuai dengan pedoman PCI untuk menghindari kerugian tersebut.

Sekarang, kita pindah ke daftar periksa persyaratan Kepatuhan PCI DSS

12 Persyaratan Utama

Untuk perusahaan yang mengelola data pemegang kartu dan memelihara jaringan pemrosesan pembayaran, PCI SSC telah menetapkan 12 standar yang dibagi menjadi enam bagian. Semua persyaratan ini harus dipenuhi oleh perusahaan mana pun yang ingin mematuhinya.

Bangun dan Pertahankan Jaringan yang Aman

Kumpulan persyaratan pertama mengacu pada pemeliharaan jaringan yang aman, dan menetapkan bahwa perusahaan harus:

  • Menginstal dan menjaga firewall tetap up to date.
  • Pada data pelanggan, gunakan kata sandi asli yang dipilih pengguna daripada kata sandi yang disediakan vendor.

Lindungi Data Pemegang Kartu

Menjaga informasi tentang pemegang kartu yang telah disimpan.

  • Beberapa tingkat keamanan digunakan untuk menjaga data pemegang kartu yang disimpan.
  • Sangat penting untuk memenuhi persyaratan kepatuhan PCI ini dengan menghindari penyimpanan data pemegang kartu lebih lama dari yang diperlukan.
  • Biarkan pelanggan memasukkan informasi kartu kredit mereka melalui gateway pembayaran, dan jangan pernah mengirim informasi pembayaran tanpa enkripsi yang kuat.

Enkripsi data tentang pemegang kartu yang dikirim melalui internet.

  • Enkripsi transmisi data pemegang kartu melalui jaringan terbuka dan publik.
  • Sebelum mengirimkan data kartu sensitif ke beberapa sistem, penting untuk mengenkripsinya. Dengan menggunakan teknologi SSL dan TLS, Anda dapat melakukannya.
  • Mengenkripsi data selama transit sangat penting karena melindungi data konsumen bahkan jika jaringan dilanggar selama transfer.
  • Sertifikat SSL meningkatkan kepercayaan konsumen sekaligus menyetujui pengiriman data yang aman.

Mengelola kerentanan

Kategori ketiga menyangkut bagaimana perusahaan mengelola kerentanan jaringan, dan mengharuskan perusahaan:

  • Perangkat lunak anti-virus harus digunakan dan diperbarui secara teratur.
  • Membuat dan memelihara perangkat lunak dan sistem yang aman.

Terapkan Tindakan Kontrol Akses yang Kuat

Batasi akses ke data kartu

Akses ke data pemegang kartu harus menjadi batasan bagi mereka yang memiliki kebutuhan bisnis untuk mengetahuinya.

Dengan membatasi akses data pemegang kartu ke sejumlah kecil orang, Anda dapat mengurangi penipuan dan pencurian data.

Admin dengan kredensial resmi dapat diberikan akses.

Ini juga membantu Anda melacak semua modifikasi sistem dengan memantau dan mendokumentasikan kontrol akses.

Entri terbatas memungkinkan Anda untuk mengkategorikan prosedur keamanan berdasarkan siapa yang perlu tahu, memberi Anda gambaran yang jelas tentang semua tugas admin.

ID unik untuk akses data

Setiap orang yang memiliki akses ke komputer harus diberi ID unik.

Anda dapat melacak aktivitas setiap individu yang berwenang menggunakan ID unik.

Lakukan otorisasi 2 faktor untuk perlindungan tambahan, ubah kata sandi akses secara teratur, dan simpan log terperinci.

ID unik juga membantu Anda mengontrol akun pengguna dan menjaga akses pengguna di semua tingkatan, membuat Manajemen Identitas dan Akses (IAM) lebih mudah.

Batasi akses fisik ke data

Akses fisik ke data pemegang kartu harus dibatasi

Keamanan data meluas ke pusat data dan server di dunia fisik.

Data harus disimpan di lingkungan yang aman dengan akses resmi, baik di dalam maupun di luar lokasi.

Pusat data internal harus mengawasi pekerja dan pengunjung ilegal. Sebelum memberikan akses ke pusat data, Anda juga dapat memperbarui pemeriksaan keamanan secara berkala.

Jika Anda menyimpan data di luar situs, lihat tindakan pencegahan keamanan yang digunakan oleh penyedia penyimpanan dan pilih layanan hosting Magento yang bereputasi baik.

Pantau dan Uji Jaringan Secara Teratur

Kumpulan standar kelima berfokus pada bagaimana perusahaan memantau dan menguji jaringannya, dan ini mengamanatkan bahwa perusahaan:

  • Semua akses ke data pemegang kartu dan sumber daya jaringan dilacak dan dipantau.
  • Secara teratur mengevaluasi sistem dan protokol keamanan.

Menjaga Kebijakan Keamanan Informasi

Dan terakhir, semua sistem dan prosedur harus diuji secara teratur, seperti yang dipersyaratkan oleh PCI DSS, untuk memastikan bahwa keamanan tetap terjaga.

Lalu, bagaimana Anda mendapatkan kepatuhan PCI? Beberapa singkat tentang Python (17)

Setiap perusahaan atau organisasi yang melakukan pembayaran kartu secara online atau menyimpan data kartu kredit harus mematuhi PCI, melalui Dewan Standar Keamanan Kepatuhan PCI.

Bisnis biasanya harus memeriksa kepatuhan PCI mereka setiap tahun atau kuartal dengan mempekerjakan penilai profesional atau perusahaan untuk menentukan apakah mereka melakukan transaksi dengan benar.

Jadi, bagaimana Anda mematuhi PCI?

  • Tentukan level PCI yang ingin Anda gunakan. Jumlah transaksi kartu yang diproses organisasi Anda setiap tahun menentukan yang mana dari empat level yang akan ditugaskan kepada Anda. Mereka akan memengaruhi pendekatan Anda terhadap kepatuhan PCI DSS.
  • Pilih kuesioner untuk evaluasi diri Anda (SAQ). Berikan tujuh jenis berbeda berdasarkan tingkat pedagang Anda dan cara Anda memproses informasi kartu kredit. Setiap kelas menunjukkan serangkaian standar terpisah yang harus dipenuhi agar sesuai dengan PCI.
  • Buat jaringan yang aman untuk memenuhi standar sertifikasi PCI DSS. Dari pemindaian kerentanan hingga pemeliharaan dan perbaikan keamanan, metode ini dapat menangani semuanya. Untuk menangani semua pekerjaan berat, Anda memerlukan bantuan kontraktor teknologi informasi.
  • Isi formulir Attestation of Compliance (AOC) – Dokumen yang memverifikasi temuan audit PCI DSS.
  • Jalan menuju kepatuhan PCI mungkin sulit dinavigasi. Namun, jika Anda ingin mengamankan persepsi pelanggan tentang Anda dan data penting Anda dari peretas, perjalanan ini layak dilakukan.

Kami mengusulkan bahwa sebagai pemilik toko Magento, Anda menyiapkan plugin SecurePay yang sesuai dengan PCI DSS. Untuk pengecer, ini akan menjadi cara yang lebih hemat biaya untuk mengirim informasi transaksi ke SecurePay untuk diproses.

Selain itu, Anda mungkin khawatir tentang berapa biaya Kepatuhan PCI?

Biaya kepatuhan PCI bervariasi tergantung pada ukuran perusahaan Anda, prosedur pemrosesan kartu, dan pertimbangan lainnya.

Kepatuhan PCI DSS dapat menelan biaya hanya $300 per tahun untuk perusahaan kecil, tergantung pada faktor-faktor berikut:

  • $50 – $200 untuk Self-Assessment Questionnaire (SAQ).
  • Biaya pemindaian kerentanan antara $100 dan $200 per alamat IP.
  • Sekitar $70 per karyawan untuk pelatihan dan perumusan kebijakan.
  • Dari $100 hingga $10.000 untuk perbaikan (tergantung pada jumlah pekerjaan yang diperlukan untuk memenuhi kepatuhan dan keamanan).

Biaya keseluruhan pemeriksaan PCI DSS untuk bisnis besar diperkirakan sekitar $70.000, termasuk

  • Audit di tempat: Sekitar $40,000
  • Biaya pemindaian kerentanan sekitar $1.000.
  • Sekitar $15.000 untuk pengujian penetrasi
  • $5.000 untuk perumusan kebijakan dan pelatihan.
  • Remediasi (pembaruan perangkat lunak dan perangkat keras, dll.): $10,000 – $500,000

Harga menjadi patuh PCI di tingkat perusahaan tidak murah. Namun, biaya kepatuhan PCI tidak berarti membahayakan informasi pelanggan Anda atau citra jangka panjang perusahaan Anda.

Last but not least, kami akan memberi Anda beberapa praktik terbaik untuk kepatuhan PCI Magento

bagaimana Anda mendapatkan kepatuhan PCI?

Pelatihan Karyawan

Kepatuhan PCI Magento adalah persyaratan teknologi yang memerlukan pengetahuan dan pelatihan ekstensif sebelum implementasi.

Pastikan bahwa platform Magento Anda diamankan oleh tim ahli.

Bertekadlah dalam pelatihan karyawan atau pekerjakan pakar industri untuk membantu Anda dengan kepatuhan dan keamanan Magento.

Kuesioner Penilaian Diri (SAQ)

Dengan pengecer kecil, PCI DSS telah merilis sembilan kuesioner penilaian diri.

SAQ adalah ujian penilaian keamanan dasar ya/tidak yang memungkinkan Anda menilai keamanan Anda dan melakukan tindakan perbaikan yang efektif.

Anda dapat menyelesaikan penilaian dan menambahkan Pengesahan Kepatuhan setelah Anda menentukan kuesioner mana yang tepat untuk perusahaan Anda.

PCI SAQ berfungsi sebagai verifikasi kepatuhan dan keamanan. Saat berkolaborasi dengan perusahaan pihak ketiga, itu menguntungkan.

Kebijakan dokumen dan laporan kepatuhan

Catat peraturan keamanan dengan mendokumentasikan perubahan dan proses operasional di perusahaan Anda secara teratur.

Laporan PCI tentang Kepatuhan dan Pengesahan Kepatuhan (RoC/AoC) adalah evaluasi kepatuhan keamanan.

Ini dilakukan oleh Qualified Security Assesor (QSA) atau penilai internal yang memenuhi syarat untuk menentukan apakah penyimpanan Magento Anda aman untuk memproses data pemegang kartu.

Lakukan perawatan rutin

Kepatuhan PCI Magento adalah proses manajemen yang berkelanjutan, bukan penilaian satu kali.

Pemindaian kerentanan harus dilakukan secara teratur, keamanan harus diperbarui, dan prosedur kepatuhan harus didokumentasikan secara menyeluruh.

Konfigurasi sistem Magento berubah setiap saat, dan jika Anda tidak mengikutinya, Anda akan kehilangan kontrol kepatuhan dan membahayakan keamanan data.

Kesimpulan

Dalam lingkungan internet, mengatasi masalah keamanan tidak mudah bagi bisnis dan pelanggan. Oleh karena itu, kepatuhan PCI Magento dapat menjadi bantuan bagi perusahaan untuk mengurangi risiko yang berasal dari lingkungan online. Ini tidak hanya membantu pembeli merasa lebih aman saat berbelanja di toko Anda, tetapi juga Anda dapat membangun kepercayaan pelanggan yang dapat meningkatkan citra merek dan menarik lebih banyak pelanggan. Kemudian jika Anda adalah pemilik toko Magento, jangan ragu untuk menerapkan kepatuhan PCI Magento. Jika Anda tidak tahu apa yang harus dilakukan, Anda dapat mengunjungi layanan kami: Pengembangan Magento untuk menemukan solusi atau hubungi kami secara langsung untuk kenyamanan.