Kapan Anda Perlu Menjalankan Pemindaian PCI?

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) mengharuskan pedagang yang berurusan dengan data pemegang kartu kredit untuk melakukan pemindaian kerentanan secara teratur, untuk menjaga kelemahan keamanan mereka tetap tertutup. Pedagang sering datang dengan pertanyaan, “Kapan Anda perlu menjalankan PCI Scan?” jawaban atas pertanyaan ini cukup sederhana.

Apa Persyaratan PCI DSS untuk Pemindaian Kerentanan?

Untuk mengetahui kapan PCI Scan diperlukan, kita harus mengetahui tentang persyaratan PCI DSS terlebih dahulu. PCI DSS mengharuskan pedagang untuk menjalankan pemindaian kerentanan “Internal dan Eksternal”, untuk menjaga agar sistem informasi pemegang kartu kredit memenuhi standar keamanan saat ini.

Pemindaian Eksternal: Pemindaian eksternal harus dilakukan dari luar organisasi dan harus menyertakan semua alamat IP eksternal. Pemindaian ini akan membantu Anda mengetahui tentang kerentanan dalam sistem keamanan Anda yang mungkin dilanggar oleh peretas untuk mendapatkan data pemegang kartu kredit yang sensitif.

Pemindaian Internal: Pemindaian internal harus dilakukan dari dalam jaringan organisasi dari berbagai lokasi untuk mengetahui tentang sistem keamanan dalam lingkungan data pemegang kartu.

Pemindaian ini akan menunjukkan kekurangan dan akan memberi Anda ulasan tentang keamanan internal Anda yang mungkin dieksploitasi oleh penyerang, begitu mereka mendapatkannya.

Kapan Pemindaian PCI diperlukan?

Pemindaian PCI setidaknya harus dilakukan setiap tiga bulan. Untuk membuat sistem lebih aman, pemindaian triwulanan harus dilengkapi dengan pemindaian antar-empat; selain ini, pemindaian perlu dilakukan setiap kali ada perubahan pada sistem data pemegang kartu.

Bisakah Saya Melakukan Pemindaian?

Jawaban atas pertanyaan ini adalah ya dan tidak. Anda mungkin dapat melakukan semua pemindaian internal untuk memenuhi persyaratan pemindaian internal; tetapi PCI DSS mengharuskan Anda menggunakan Approved Scanning Vendor (ASV) untuk pemindaian eksternal. Jika Anda ingin melakukan pemindaian internal sendiri, pastikan pemindaian dilakukan oleh anggota staf yang berkualifikasi; yang independen dari staf yang bertanggung jawab atas sistem keamanan Anda.

Setiap pedagang, selain dari tingkat pedagang mana pun, yang memiliki alamat IP eksternal harus melalui pemindaian kerentanan seperti yang dipandu di atas. Ini menjadi sangat membingungkan di komunitas keamanan dan banyak orang percaya bahwa pedagang level 4 (mereka yang memproses kurang dari 1.000.000 transaksi tahunan) tidak perlu melalui pemindaian seperti itu. Ini tidak benar sama sekali seperti yang dipetakan dalam persyaratan program Perlindungan Data Situs MasterCard dan persyaratan Program Keamanan Informasi pemegang Kartu Visa.

Apa yang termasuk dalam Pemindaian Kerentanan PCI DSS?

Pemindaian yang dilakukan oleh Vendor Pemindaian yang Disetujui (ASV) harus memiliki karakteristik sebagai berikut:

· Harus tidak mengganggu dan tidak boleh menyertakan Denial of Service (DOS) atau buffering yang berlebihan yang dapat mengakibatkan masalah dalam bisnis merchant.

· Elemen penemuan host harus disertakan dalam pemindaian untuk mencari sistem langsung di jaringan.

· Elemen penemuan layanan harus ada dalam pemindaian untuk menyertakan pemindaian port UDP dan TCP pada setiap sistem langsung.

· Pemindaian harus dapat menjelaskan sistem IDS/IPS dan penyeimbang beban dan memberikan pandangan yang akurat tentang lingkungan keamanan pelanggan, bahkan dengan adanya perangkat ini.

Leave a Reply

Your email address will not be published.