Organisasi Payment Card Industry Security Standards Council (PCI SSC) memperkenalkan PCI 3.0, keamanan dan prosedur operasi terbaru untuk ritel. Standar baru dari PCI ini akan mulai diberlakukan pada 1 Januari 2014.
Menurut Dewan, perubahan dilakukan berdasarkan umpan balik dari semua organisasi dan pemerintahan yang berpartisipasi selama siklus tiga tahun dari standar PCI 2.0.
Perubahan yang diusulkan adalah:
• Peraturan keamanan dan prosedur operasi yang dibuat untuk setiap persyaratan (PCI requirements).
• Petunjuk untuk semua persyaratan dalam standar.
• Persyaratan yang lebih komprehensif untuk penetration test dan validasi.
• Rekomendasi dalam membuat Payment Card Industry Data Security Standards (PCI DSS) dan praktik terbaik untuk menjaga kepatuhan PCI DSS.
• Peningkatan fleksibilitas dan edukasi terhadap kekuatan password dan kompleksitasnya.
• Persyaratan baru untuk keamanan.
• Pertimbangan untuk pemegang kartu data dalam memori.
• Meningkatkan prosedur tes untuk memperjelas tingkat validasi pada setiap kebutuhan; dan
• Pengembangan persyaratan SDLC.
• Peraturan keamanan dan prosedur operasi yang dibuat untuk setiap persyaratan (PCI requirements).
• Petunjuk untuk semua persyaratan dalam standar.
• Persyaratan yang lebih komprehensif untuk penetration test dan validasi.
• Rekomendasi dalam membuat Payment Card Industry Data Security Standards (PCI DSS) dan praktik terbaik untuk menjaga kepatuhan PCI DSS.
• Peningkatan fleksibilitas dan edukasi terhadap kekuatan password dan kompleksitasnya.
• Persyaratan baru untuk keamanan.
• Pertimbangan untuk pemegang kartu data dalam memori.
• Meningkatkan prosedur tes untuk memperjelas tingkat validasi pada setiap kebutuhan; dan
• Pengembangan persyaratan SDLC.
” PCI 3.0 akan membantu mendorong peningkatan keamanan dan kepatuhan dengan banyak klarifikasi, ” ujar Randolph Simonetti, Direktor Marketing Verizon Communication Inc.’s Payment Card Industry Services, yangdiceritakan kepada CSNews Online. “PCI [ 3.0 ] secara signifikan lebih sulit untuk memenuhi 2,0 , dan bahkan memungkinkan lebih banyak fleksibilitas untuk mencapai tujuan keamanan dalam standar melalui manajemen risiko dan pendidikan”.
Ritel perbelanjaan harus fokus pada perubahan dalam penetration test dan validasi, saran Simonetti, dimana “hal tersebut penting dan akan membantu untuk lebih menyelaraskan keamanan dan kepatuhan”.
“Dengan [Dewan keamanan] jumlahnya sendiri, level 1 menjelaskan kepatuhan sepenuhnya dan level 2 hampir mencapai kesana. Jadi, yang kurang adalah porsi dari merchant (yang terdiri dari 95.000 ritel perbelanjaan) yang berdiri tanpa departemen teknologi, mencoba untuk menemukan kepatuhan ini”. Ujar Taylor pada email yang dikirim ke CSNews Online. “Tujuan kami, bekerja dengan kelompok lainnya, secara langsung dengan merek kartu kredit dan [dewan], mempunyai SQA (software quality assurance) baru yang akan dirilis tahun depan berdasarkan targetnya.
Biaya yang berhubungan dengan kepatuhan
Ritel C-store mungkin akan menghadapi sejumlah biaya sesuai dengan PCI 3.0, tergantung pada ukuran mereka, tetapi biaya dari kepatuhan jauh lebih sedikit daripada ketidakpatuhan, ujar Simonetti pada CSNews Online.
“Berdasarkan kasus yang ditangani Verizon sepanjang periode lima tahun terakhir, rata-rata biaya dari ketidakpatuhan ($7 milyar) sekitar tiga kali rata-rata dari biaya kepatuhan ($2,5 milyar), sementara biaya penilaian PCI sekitar 5% sampai 10% dari jumlah biaya kepatuhan”, penjelasan Simonetti. Estimasi tersebut tergantung pada ukuran dari perusahaan dan hubungannya dengan kartu kredit. “Pengalaman kami bahwaassessment PCI DDS memakan biaya sekitar $30.000 untuk teknologi informasi terpusat pada lingkungan satu Negara, sampai $1,5 miliar per tahun untuk infrastruktur teknologi information yang didistribusikan ke seluruh dunia”.
PCI SSC adalah forum global terbuka yang bertanggung jawab untuk pengembangan, manajemen, pendidikan dan kesadaran dari PCI DSS dan standar lainnya yang meningkatkan keamanan data pembayaran. Ditemukan pada tahun 2006 oleh merek kartu pembayaran ternama, American Express, Discover Financial Services, JCB International, MasterCard Worldwide and Visa Inc., Dewan mempunyai lebih dari 650 organisasi yang terlibat termasuk merchant, bank, prosesor dan vendor diseluruh dunia.