Maturity Model Untuk Payment Card Industry Data Security Standard (PCI DSS)
Payment Card Industry Data Security Standard (PCI DSS) juga dikenal sebagai Standar Keamanan PCI adalah standar keamanan informasi untuk setiap organisasi yang menangani informasi pemegang kartu dari penyedia kartu kredit terkemuka seperti American Express, JCB Data Internasional, MasterCard Worldwide dan Visa Inc. Keamanan adalah perhatian utama dari PCI DSS, yang didefinisikan dalam program kepatuhan keamanan data. Organisasi apa saja yang menyimpan, memproses, atau mengirimkan data pemegang kartu diharuskan untuk memenuhi persyaratan PCI DSS. PCI DSS dihadirkan untuk panduan praktik keamanan terbaik yang dapat diadopsi sebagai langkah yang masuk akal dalam hal untuk melindungi aset informasi secara keseluruhan. PCI DSS tidak hanya berisi 12 (dua belas) persyaratan tingkat tinggi yang harus dipenuhi, tetapi juga mengandung keamanan informasi terbaik secara praktik yang harus diadopsi dan diterapkan pada setiap pedagang dan pemroses kartu pembayaran. Keamanan PCI diharapkan menjadi acuan yang penting dari kerangka kerja yang diadopsi. Inti dari kepatuhan PCI bergantung pada tiga langkah: menilai, memulihkan, dan melaporkan. Program keamanan informasi yang sukses, harus berdasar pada standar kerangka kerja (frame work) yang secara prinsip bertujuan untuk melindungi aset informasi yang didorong oleh orang-orang (human), dan dengan dukungan dokumentasi, proses yang tepat yang mencakup kebijakan, prosedur, dan pedoman yang diformalkan.
Untuk mencapai standar PCI, banyak organisasi berfokus pada peningkatan teknologi tanpa memperhatikan untuk meninjau dan meningkatkan proses saat ini, dan melupakan elemen manusia dari teknologi informasi itu sendiri. Pendekatan implementasi PCI dengan focus pada teknologi, tidak memungkinkan untuk sebuah organisasi untuk memenuhi 12 (dua belas) persyaratan tingkat tinggi yang diatur oleh PCI DSS secara efektif. Sebagian besar organisasi gagal memenuhi kontrol keamanan minimum yang diperlukan untuk mengamankan data saat mentransmisikan (data bergerak), memproses (data dalam proses), dan menyimpan (data saat istirahat) sensitif dan data rahasia pemegang kartu. Kemungkinan “scope creep” dan ketidak-mampuan organisasi juga meningkatkan kemungkinan penundaan dan bahkan kegagalan untuk mematuhi PCI DSS.
Yang pertama kali harus dilakukan untuk memenuhi atau mematuhi PCI DSS adalah mengidentifikasikan kelemahan dan kemungkinan faktor lain yang akan mempengaruhi (internal dan eksternal) dalam implementasi PCI. Faktor factor tersebut harus diidentifikasi sesegera mungkin di tahap awal implementasi PCI DSS untuk menghindari atau tidak membuang waktu, biaya, dan tenaga serta bisnis berisiko.
Kesesuaian PCI DSS jelas merupakan tujuan utama selain meningkatkan dan memelihara keamanan informasi secara keseluruhan pada sebuah organisasi. Faktor dominan yang mempengaruhi pencapaian kepatuhan harus dievaluasi untuk mengidentifikasi faktor kunci keberhasilan serta gap yang paling umum untuk memenuhi persyaratan. Mekanisme evaluasi atau alat yang digunakan untuk mengukur keadaan keamanan informasi organisasi sebelum mengimplementasikan PCI DSS sangat dibutuhkan. Mekanisme atau cara penilaian yang diharapkan harus sederhana, andal, mudah digunakan, dan dapat dimanfaatkan oleh industry dalam proses bisnisnya. Selain itu juga dapat memberikan peta jalan yang jelas yang dapat diikuti dengan strategi sesuai, tidak hanya untuk mematuhi PCI DSS, tetapi juga untuk meningkatkan keadaan keamanan informasi organisasi secara keseluruhan serta untuk melindungi aset informasi mereka dari serangan siber.
Model maturitas yang kami usulkan adalah mekanisme untuk mengukur keamanan informasi organisasi dengan benar sehingga dapat digunakan untuk mematuhi PCI DSS, dengan pemilihan kontrol yang tepat, dan dengan strategi yang sesuai serta disajikan sebagai opsi strategis sesuai dengan tingkat kedewasaannya. Model yang kami usulkan mempertimbangkan beberapa model kematangan keamanan informasi yang dianalisis untuk diadopsi atau berdasarkan Systems Security Engineering Capability Maturity Models (SE-CMM).
Informasi keamanan manajemen, evaluasi, dan kesadaran adalah tiga hal utama kategori ditemukan di sebagian besar model. Berdasarkan sifat mekanismenya yang akan digunakan bersama dengan PCI DSS untuk evaluasi kepatuhan, model akan disebut ” Information Security Maturity Model for PCI DSS”PCI DSS” (ISMM-PCI). Model ini memungkinkan organisasi untuk mengevaluasi informasi kemampuan keamanan terhadap standar industri dan kerangka kerja dalam bentuk pendekatan praktik terbaik.
Gambar proposed model untuk mengukur kematangan persiapan PSI DSS
(Benfano Soewito dan Semi Yulianto)