Apa itu Compensating control ?
compensating controlĀ (Kompensasi kontrol), atau yang juga disebut alternative control (kontrol alternatif), adalah mekanisme yang diterapkan untuk memenuhi persyaratan langkah keamanan yang dianggap terlalu sulit atau tidak praktis untuk diterapkan saat ini.
Dalam industri kartu pembayaran (PCI), kompensasi kontrol diperkenalkan dalam PCI DSS 1.0 oleh PCI Security Standards Council (PCI SSC) pada Desember 2004. Sejak saat itu, PCI SSC terus merilis pembaruan standar secara berkala. Versi terbaru — 4.0 — diterbitkan pada Maret 2022. Sejak versi 1.0 hingga 4.0, informasi tentang kompensasi kontrol mengalami perubahan kecil, tetapi pedoman umumnya tetap konsisten.
Menurut PCI SSC, kompensasi kontrol memberi organisasi alternatif terhadap persyaratan keamanan yang tidak dapat dipenuhi “karena kendala teknis atau bisnis yang sah dan terdokumentasi.” Kompensasi kontrol harus cukup untuk mengurangi risiko yang terkait dengan persyaratan asli. Berdasarkan PCI DSS, kompensasi kontrol harus memenuhi kriteria berikut:
- Memenuhi maksud dan tingkat ketatnya persyaratan asli.
- Memberikan tingkat pertahanan yang setara dengan persyaratan PCI DSS asli, sehingga dapat mengimbangi risiko yang awalnya dimaksudkan untuk dicegah oleh persyaratan tersebut.
- Harus “lebih dari sekadar” kepatuhan terhadap persyaratan PCI DSS lainnya (hanya mematuhi persyaratan lain bukanlah kompensasi kontrol).
- Mengatasi risiko tambahan yang timbul akibat tidak mematuhi persyaratan PCI DSS.
- Berlaku saat ini dan di masa mendatang; kompensasi kontrol tidak dapat digunakan untuk menutupi kegagalan masa lalu (misalnya, jika tugas harus dilakukan dua kuartal yang lalu tetapi tidak dilakukan).
PCI DSS menyatakan bahwa seorang assessor harus mengevaluasi setiap kompensasi kontrol selama penilaian PCI DSS tahunan. Assessor harus memastikan bahwa setiap kontrol benar-benar menangani risiko yang ditargetkan oleh persyaratan PCI DSS asli. Sebagai bagian dari proses ini, assessor harus meninjau dan memvalidasi kontrol tersebut untuk memastikan bahwa kontrol tersebut cukup efektif dalam memenuhi tujuannya.
PCI DSS juga menekankan bahwa efektivitas kontrol bergantung pada lingkungan tempat kontrol diterapkan, konfigurasi kontrol, dan kontrol keamanan pendukung lainnya. Sebuah kompensasi kontrol tidak selalu efektif di semua lingkungan.
Lembar kerja kompensasi kontrol
Appendix B dari PCI DSS 4.0 mencakup detail tambahan tentang kompensasi kontrol, dan Appendix C menyediakan lembar kerja yang harus diisi oleh organisasi yang menerapkan kompensasi kontrol. Lembar kerja ini mencakup enam bagian berikut:
- Kendala. Kendala teknis atau bisnis yang sah yang menghalangi kepatuhan.
- Definisi kompensasi kontrol. Penjelasan tentang bagaimana kompensasi kontrol mengatasi tujuan asli dan risiko tambahan (jika ada).
- Tujuan. Tujuan dari kontrol asli dan tujuan yang dicapai oleh kompensasi kontrol.
- Risiko yang diidentifikasi. Risiko tambahan yang muncul akibat tidak adanya kontrol asli.
- Validasi kompensasi kontrol. Penjelasan tentang bagaimana kompensasi kontrol diuji dan divalidasi.
- Pemeliharaan. Proses dan kontrol yang diterapkan untuk menjaga efektivitas kompensasi kontrol.
Kompensasi kontrol bisa menjadi alat yang sangat berguna bagi organisasi yang memiliki kendala teknis atau bisnis yang membuat mereka sulit memenuhi persyaratan PCI DSS tertentu. Misalnya, PCI DSS mewajibkan adanya pemisahan tugas (SoD), yaitu kontrol internal yang bertujuan mencegah kesalahan dan kecurangan dengan memastikan bahwa setidaknya dua individu bertanggung jawab atas bagian terpisah dari suatu tugas. Namun, pemisahan tugas ini bisa jadi sulit bagi organisasi kecil.
Misalnya, sebuah bisnis kecil mungkin hanya memiliki satu orang yang bertugas memproses dan merekonsiliasi semua transaksi kartu kredit serta memelihara semua catatan terkait. Untuk memenuhi persyaratan SoD, bisnis ini mungkin menerapkan kompensasi kontrol berupa peninjauan berkala oleh pihak ketiga, yang akan meninjau transaksi, dokumentasi terkait, serta log dan jejak audit yang berlaku untuk memastikan keakuratan proses internal. Jika bisnis ini menerapkan kontrol tersebut, maka harus dicantumkan dalam lembar kerja kompensasi kontrol.
Lihat juga: deteksi penipuan, prinsip empat mata, penghindaran risiko, tata kelola perusahaan, kesalahan akuntansi, kepatuhan regulasi, beban kepatuhan.