Apa itu PCI-DSS?
PCI-DSS (Payment Card Industry Data Security Standard) adalah sekumpulan persyaratan keamanan yang ditetapkan oleh PCI Security Standards Council untuk melindungi data pemegang kartu dan memastikan bahwa semua organisasi yang memproses, menyimpan, atau mentransmisikan informasi kartu kredit mempertahankan lingkungan yang aman.
Juga dikenal sebagai: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI-DSS mendefinisikan 12 persyaratan inti yang diorganisasikan ke dalam enam kategori: membangun dan memelihara jaringan yang aman, melindungi data pemegang kartu, mempertahankan program manajemen kerentanan, menerapkan langkah-langkah kontrol akses yang kuat, secara rutin memantau dan menguji jaringan, dan mempertahankan kebijakan keamanan informasi. Standar ini berlaku untuk setiap entitas yang terlibat dalam pemrosesan kartu pembayaran — pedagang, prosesor, acquirer, penerbit, dan penyedia layanan.
Persyaratan 3 dan 4 sangat relevan dengan enkripsi: Persyaratan 3 mengharuskan perlindungan data pemegang kartu yang tersimpan (dengan metode enkripsi, hashing, dan truncation tertentu), sementara Persyaratan 4 mengharuskan enkripsi data pemegang kartu selama transmisi melalui jaringan terbuka dan publik. Persyaratan 7 menegakkan akses hak istimewa minimum, dan Persyaratan 8 mengharuskan identifikasi unik dan autentikasi kuat untuk semua akses sistem. Kepatuhan divalidasi melalui kuesioner penilaian mandiri atau audit di tempat tergantung pada volume transaksi.
Kepatuhan PCI-DSS meluas melampaui cardholder data environment (CDE) itu sendiri ke sistem mana pun yang dapat memengaruhi keamanan CDE. Ini mencakup cara kredensial untuk sistem pembayaran dikelola dan dibagikan. Berbagi password basis data atau API key untuk sistem pemrosesan pembayaran melalui email atau saluran yang tidak terenkripsi melanggar semangat — dan sering kali ketentuan — persyaratan PCI-DSS untuk kontrol akses yang kuat dan enkripsi.
Cara Vaulted menggunakan PCI-DSS
Vaulted mendukung kepatuhan PCI-DSS dengan menyediakan saluran terenkripsi dan ephemeral untuk berbagi kredensial yang terkait dengan sistem pembayaran dan cardholder data environment. Ketika tim perlu berbagi kredensial basis data, API key gateway pembayaran, atau token akses untuk sistem yang tercakup PCI, Vaulted memastikan data dienkripsi sisi klien dengan AES-256-GCM sebelum transmisi dan secara otomatis dihapus setelah digunakan. Ini selaras dengan Persyaratan PCI-DSS 4 (enkripsi data saat transit) dan Persyaratan 7 (batasi akses berdasarkan kebutuhan) dengan menggantikan rahasia plaintext persisten dalam email dengan tautan zero-knowledge yang menghancurkan dirinya sendiri.