Serangan cyber terhadap transaksi keuangan semakin mengkhawatirkan. Untuk meningkatkan keamanan transaksi keuangan, para startup fintech dianjurkan untuk segera memiliki sertifikasi PCI DSS. Dengan mengikuti prosedur yang ditetapkan oleh dewan standar keamanan transaksi kartu pembayaran, perusahaan fintech dapat lebih menjaga bisnis dan melindungi hak konsumen.

Dewan standarisasi PCI DSS tersebut selalu melakukan penelitian terhadap kemungkinan kerentanan dan kajian terhadap kasus-kasus pelanggaran data yang terjadi. Ini akan memberikan keuntungan bagi perusahaan yang memiliki sertifikasi PCI DSS, khususnya dalam meningkatkan keamanan transaksi keuangan.

Apa itu Sertifikasi PCI DSS ?

PCI DSS merupakan sebuah standar keamanan pada lingkungan pemrosesan transaksi dari kartu pembayaran. Standardisasi keamanan ini bersifat holisitik atau menyeluruh. Artinya, sertifikasi PCI DSS berlaku untuk seluruh pihak yang terlibat pada satu proses transaksi pembayaran kartu kredit.

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) berlaku untuk seluruh perusahaan yang menerima pembayaran dengan kartu kredit. Jika perusahaan Anda bermaksud menerima pembayaran kartu, dan menyimpan, memproses dan mengirimkan data pemegang kartu, Anda perlu meng-host data Anda dengan aman dengan penyedia hosting yang sesuai dengan PCI.

Baik melalui situs web, sistem respons suara interaktif atau agen call center, berpotensi ancaman yang tinggi untuk kecurangan kartu kredit dan kompromi data yang menjadi ajakan call center. Oleh karena itu, sertifikasi PCI DSS sangat dianjurkan bagi perusahaan Fintech. 

Apa tujuan dari Sertifikasi PCI DSS ?

Inti dari sertifikasi PCI DSS adalah mengamankan seluruh proses transaksi keuangan menggunakan kartu kredit (dan kartu debit berlogo Visa, Master, Discovery, dan sebagainya). Tujuan dari sertifikasi PCI DSS pada pihak yang terlibat antara lain:

  1. Meningkatkan keamanan jaringan
  2. Melindungi data pengguna kartu kredit
  3. Mengelola kerentanan
  4. Menerapkan pengendalian akses yang ketat
  5. Secara rutin memantau dan menguji keamanan jaringan
  6. Memelihara kebijakan keamanan informasi

Dewan standardisasi keamanan PCI DSS telah membentuk 12 syarat utama keamanan transaksi kartu kredit untuk mencapai tujuan tersebut diatas. Perusahaan fintech yang mana sering menggunakan layanan cloud, baik untuk operasional maupun untuk pengujian dan pencadangan, harus juga menggunakan penyedia layanan yang telah mematuhi persyaratan PCI DSS.

Standar PCI ini membantu penyedia solusi enkripsi point-to-point untuk memvalidasi pekerjaan mereka. Dengan menggunakan solusi enkripsi point-to-point yang disetujui, bisnis Fintech akan terbantu dalam mengurangi nilai data pemegang kartu curian karena tidak terbaca oleh pihak yang tidak berwenang.

Solusi berdasarkan standar ini juga dapat membantu mengurangi ruang lingkup lingkungan data pemegang kartu  dan membuat kepatuhan menjadi lebih mudah.

Selain itu, dengan memiliki sertifikasi PCI DSS, perusahaan Fintech dapat terhindar dari pengenaan denda hingga Rp. 6.5 Milyar per insiden. Risiko pembayaran tidak sah melalui jalur online lebih banyak terjadi ketimbang jalur offline. Oleh karena itu, perusahaan fintech harus mengikuti standar keamanan untuk penggunaan kartu kredit.

Dengan menggunakan standar keamanan ini, seluruh penerima pembayaran kartu kredit akan memiliki pengenalan terhadap kartu yang sah dan tidak sah.

Sertifikasi PCI DSS untuk Fintech

FinTech pada dasarnya memperdagangkan Layanan Keuangan dengan menggunakan perangkat yang terhubung, layanan API, dan fungsionalitas berbasis pengguna. Perusahaan-perusahaan ini menawarkan solusi berbasis perangkat lunak untuk konsumen, bisnis dan perusahaan, biasanya dalam model Software-as-a-Service dengan akses penuh ke profil keuangan pengguna mereka.

Sementara perusahaan FinTech menyentuh data yang sama dengan perusahaan Jasa Keuangan, FinTech harus benar-benar memperhatikan keamanan cyber untuk pengguna dan menghindari pelanggaran kepatuhan yang bisa berakibat mahal.

Setiap startup fintech harus berpikir untuk memenuhi kepatuhan PCI DSS. Kepatuhan PCI DSS dapat membantu startup fintech tumbuh dewasa pada banyak dimensi.

Mengapa startup Fintech harus mengikuti standar keamanan PCI ?

Salah satu manfaatnya adalah perusahaan Fintech akan mengembangkan pemahaman praktis tentang praktik keamanan terbaik. Banyak pemula menemukan bahwa saat mereka mencoba menjual produk dan usaha mereka ke dalam situasi bisnis yang lebih banyak, mitra dan pelanggan eksternal mereka akan bertanya tentang kepatuhan.

Seiring perusahaan dewasa, kepatuhan menjadi komponen penting dalam bisnis. Ketika sebuah startup membangun fungsi kepatuhannya, memiliki pemahaman praktis tentang praktik terbaik dapat membantu banyak hal.

Kerahasiaan data adalah suatu keharusan bagi setiap bisnis, dan ini selalu memerluikan praktik terbaik. Informasi pemegang kartu adalah target mayoritas serangan cyber terhadap bisnis. PCI DSS memiliki tingkat keamanan tertinggi untuk melindungi informasi pemegang kartu.

Informasi pemegang kartu bukan satu-satunya data sensitif yang harus dilindungi, perusahaan Fintech harus dapat menjamin bahwa semua data yang ada terlindungi dan dijaga kerahasiaannya secara aman.

Siapa saja yang terlibat dalam transaksi pembayaran kartu kredit ?

Merchant dan penyedia layanan merupakan pihak yang terlibat dalam transaksi pembayaran kartu kredit. Demikian peralatan yang digunakan, seperti mesin EDC atau alat gesek kartu kredit dan debit, software kasir atau Point of Sales seperti yang terlihat di minimarket, dan sebagainya. Terhadap seluruh perangkat dan pihak yang terlibat, wajib mengikuti standar keamanan PCI DSS yang mana sudah berlaku secara global.

Berikut bagan lingkungan yang dicakup pada proses transaksi pembayaran kartu kredit.

pihak yang wajib memiliki sertifikasi pci dss

Pada info grafis diatas, seluruh elemen yang terlibat merupakan cakupan dari standar keamanan PCI DSS. Perusahaan Fintech, apapun model bisnisnya, sepanjang menerima pembayaran dari kartu kredit, kartu debit, dan atau memiliki integrasi ke perbankan atau modul pembayaran lainnya yang melibatkan nasabah bank pemegang kartu, merupakan entitas yang dianjurkan memiliki sertifikasi PCI DSS. 

Paling tidak, seluruh infrastruktur yang digunakan, baik cloud ataupun bare-metal-server, harus mempunyai sertifikasi PCI DSS. Dengan menggunakan data center yang sudah tersertifikasi oleh PCI DSS, perusahaan Fintech akan lebih mudah dalam melalui proses audit kepatuhan.

Risiko bisnis akan semakin besar jika perusahaan Fintech tidak mengikuti standar keamanan ini. Risiko tersebut bukan isapan jempol, sudah banyak perusahaan fintech di luar negeri yang mengalami serangan cyber dan menderita kerugian besar.  Pada kebanyakan kasus, banyak perusahaan perbankan dan fintech tidak menyadari jika sedang mengalami serangan cyber.

Tips Untuk Para Startup Fintech

Demikian investor fintech, mereka akan mulai memperhatikan standar keamanan ini, termasuk pada seluruh elemen yang terlibat. Oleh karena itu, untuk penggunaan data center atau cloud, startup fintech harus mulai melihat pada sertifikasi PCI DSS, mereka miliki atau tidak.

Jangan sampai di 90% proses transaksi keuangan anda sudah memenuhi syarat keamanan, akan tetapi penggunaan pencadangan misalnya, terlewatkan. Ini akan memberikan konsekuensi serius saat terjadi sebuah insiden keamanan data. Sebuah insiden keamanan akan mengurangi kepercayaan investor Fintech dan para konsumen. Dengan mengikuti standar keamanan tingkat tinggi, perusahaan Fintech dapat menurunkan risiko bisnis tersebut.