Apa Itu Payment Application Data Security Standard (PA-DSS)?
Payment Application Data Security Standard (PA-DSS) adalah serangkaian persyaratan yang dirancang untuk membantu pengembang perangkat lunak membuat aplikasi pembayaran yang aman untuk transaksi kartu kredit.
PA-DSS memastikan bahwa perusahaan tidak menyimpan data yang dilarang, seperti PIN keamanan, strip magnetik, atau CVV2. PA-DSS diterapkan pada aplikasi pihak ketiga yang menyimpan, memproses, atau mengirimkan data pemegang kartu sebagai bagian dari otorisasi atau penyelesaian transaksi.
Kepatuhan terhadap Persyaratan PA-DSS
Payment Card Industry Security Standards Council (PCI SSC) yang mengelola PA-DSS, yang pertama kali diterbitkan pada tahun 2008 untuk menggantikan *Visa’s Payment Application Best Practices* (PABP). PABP adalah upaya Visa untuk membimbing pengembang perangkat lunak dalam membuat aplikasi yang aman, namun tidak banyak diadopsi.
Berbeda dengan PABP, kepatuhan terhadap PCI DSS (Payment Card Industry Data Security Standard) diwajibkan oleh semua merek kartu kredit, seperti American Express, Mastercard, JCB International, dan Visa. Meskipun demikian, kepatuhan terhadap PA-DSS tidak diwajibkan oleh hukum.
Aplikasi perangkat lunak yang dikembangkan oleh pedagang dan penyedia layanan untuk digunakan di dalam perusahaan mereka tidak wajib mematuhi PA-DSS, tetapi mereka tetap harus mematuhi persyaratan PCI DSS.
Cara Mendapatkan Kepatuhan PA-DSS
Untuk mencapai kepatuhan PA-DSS, penyedia perangkat lunak harus mengaudit aplikasinya melalui Penilai Keamanan yang Tersertifikasi PA-DSS. Persyaratan PA-DSS meliputi:
- Jangan menyimpan data strip magnetik penuh, kode validasi kartu, nilai, atau data blok PIN.
- Menawarkan fitur kata sandi yang aman.
- Melindungi data pemegang kartu yang disimpan.
- Mencatat aktivitas aplikasi.
- Mengembangkan aplikasi yang aman.
- Melindungi transmisi nirkabel.
- Menguji aplikasi untuk mengatasi kerentanannya.
- Memfasilitasi implementasi jaringan yang aman.
- Jangan menyimpan data pemegang kartu di server yang terhubung ke internet.
- Memfasilitasi pembaruan perangkat lunak jarak jauh yang aman.
- Memfasilitasi akses jarak jauh yang aman ke aplikasi.
- Enkripsi lalu lintas sensitif melalui jaringan publik.
- Enkripsi semua akses administratif yang tidak menggunakan konsol.
- Menjaga dokumentasi instruksional dan program pelatihan untuk pelanggan, pengecer, dan integrator.
Lihat juga: 12 persyaratan PCI DSS dan tingkatan pedagang PCI DSS.