Apa itu PCI DSS merchant levels?
Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) mengelompokkan pedagang (merchant) berdasarkan jumlah transaksi mereka per tahun untuk menentukan persyaratan verifikasi kepatuhan. Pedagang dibagi menjadi empat tingkatan: 1, 2, 3, dan 4.
PCI menggunakan tingkatan pedagang untuk menentukan risiko dan tingkat keamanan yang sesuai bagi bisnis pedagang. Tingkatan ini mencakup penilaian dan validasi keamanan yang diperlukan agar pedagang dapat lolos kepatuhan PCI DSS.
PCI DSS dibuat oleh perusahaan kartu kredit Visa, Mastercard, Discover, JCB, dan American Express pada tahun 2004 untuk mengurangi risiko penipuan kartu debit dan kredit serta kehilangan data. Pada tahun 2006, Dewan Standar Keamanan PCI (PCI SSC) dibentuk untuk menjalankan misi ini.
PCI DSS menjelaskan bagaimana penipuan online dan kehilangan data dapat dicegah dan dideteksi serta bagaimana perusahaan harus bereaksi jika terjadi pelanggaran data. Standar ini memberikan perlindungan bagi pemegang kartu dan pedagang.
Pedagang yang tidak mengikuti persyaratan dapat dikenakan denda dan dilarang memproses pembayaran kartu.
Tingkatan Pedagang PCI DSS
Meskipun PCI SSC menetapkan standar keamanan, setiap merek kartu pembayaran memiliki program kepatuhan, tingkat validasi, dan penegakan masing-masing. Secara umum, empat tingkatan pedagang PCI DSS adalah sebagai berikut:
- Tingkat 1. Pedagang dengan lebih dari 6 juta transaksi per tahun, di semua saluran.
- Tingkat 2. Pedagang dengan antara 1 juta hingga 6 juta transaksi per tahun, di semua saluran.
- Tingkat 3. Pedagang dengan antara 20.000 hingga 1 juta transaksi online per tahun.
- Tingkat 4. Pedagang dengan kurang dari 20.000 transaksi online per tahun atau pedagang yang memproses hingga 1 juta transaksi reguler per tahun.
Mengapa Tingkatan Pedagang Digunakan?
Tingkatan pedagang menentukan jumlah penilaian dan validasi keamanan yang diperlukan agar pedagang dapat lolos penilaian PCI DSS dan mempertahankan kepatuhannya.
Pedagang Tingkat 1, 2, dan 3 harus melaporkan status kepatuhan PCI mereka langsung ke bank perolehan mereka. Pedagang Tingkat 4 harus berkonsultasi dengan bank perolehan mereka untuk menentukan apakah mereka diwajibkan memvalidasi kepatuhan PCI mereka.
Pedagang Tingkat 1 harus menyerahkan Laporan Kepatuhan tahunan, yang juga dikenal sebagai penilaian di tempat Tingkat 1, oleh Asesor Keamanan Berkualifikasi atau audit internal jika ditandatangani oleh pejabat perusahaan. Pemindaian jaringan triwulanan oleh Penyedia Pemindaian yang Disetujui (ASV) juga diperlukan untuk pedagang Tingkat 1, serta formulir Pernyataan Kepatuhan. Pedagang Tingkat 2 dan 3 harus melengkapi kuesioner penilaian mandiri tahunan dan menjalani pemindaian kerentanan eksternal triwulanan oleh ASV. Persyaratan untuk pedagang Tingkat 4 dapat bervariasi tergantung pada bank perolehan mereka.
Siapa yang Terdampak oleh Tingkatan PCI DSS?
Tingkatan PCI DSS berlaku untuk semua pedagang, prosesor, bank perolehan, penerbit, dan penyedia layanan, tanpa memandang ukuran atau jumlah transaksi, yang menerima, mentransmisikan, atau menyimpan data pemegang kartu.
Apa Sanksi untuk Ketidakpatuhan PCI DSS?
Pedagang harus memverifikasi volume transaksi mereka selama 52 minggu terakhir dengan bantuan bank perolehan mereka untuk memastikan mereka memenuhi semua persyaratan kepatuhan.
Semua pedagang harus mengikuti persyaratan PCI yang ditetapkan untuk tingkat mereka. Pedagang mungkin memerlukan bantuan dari vendor yang disetujui atau mitra pemrosesan pembayaran untuk melakukan validasi. Setelah validasi selesai dan dikirim ke bank perolehan pedagang, bank akan mengirimkan status kepatuhan pedagang ke merek kartu yang mereka gunakan.
Perusahaan kartu dapat mengenakan denda kepada pedagang yang tidak patuh dengan jumlah antara $5.000 hingga $100.000 per bulan hingga setiap masalah kepatuhan diperbaiki.
Sanksi tergantung pada volume klien pedagang, jumlah transaksi, tingkat pedagang, dan lamanya waktu ketidakpatuhan. Jika pedagang tidak menyelesaikan masalah sesuai dengan standar perusahaan kartu, mereka dapat kehilangan hak untuk menerima pembayaran kartu.
Komisi Perdagangan Federal (FTC) mengawasi organisasi yang tidak mematuhi PCI DSS. Selain menerapkan regulasi ketat, FTC juga dapat memberikan sanksi kepada perusahaan yang tidak patuh.