Pada bulan Maret 2022, Payment Card Industry (PCI) Security Standards Council (SSC) merilis versi terbaru dari Standar Keamanan Data mereka, yaitu PCI DSS v4.0, dan secara resmi menghentikan penggunaan PCI DSS v3.2.1 pada akhir Maret 2024. PCI DSS adalah standar global yang menetapkan persyaratan keamanan teknis dan operasional minimum untuk kepatuhan bagi organisasi mana pun yang menyimpan, memproses, atau mentransmisikan data kartu pembayaran.
Merupakan sebuah lompatan besar dalam keamanan data kartu pembayaran, PCI DSS v4.0 dirancang dengan fleksibilitas dan kontrol risiko yang lebih besar dibanding versi sebelumnya. Versi terbaru ini (PCI DSS v4.0.1) memberikan praktik terbaik yang harus diikuti organisasi. Namun, dalam waktu sedikit lebih dari 3 bulan (setelah 31 Maret 2025), praktik terbaik ini akan menjadi persyaratan wajib yang berlaku dalam setiap penilaian PCI DSS.
PCI DSS v4.x menekankan pentingnya mengamankan data pemegang kartu sensitif sepanjang siklus hidup transaksi pembayaran. Enkripsi diwajibkan, baik untuk data yang sedang ditransmisikan maupun yang tersimpan, untuk memastikan perlindungan transaksi dan data pembayaran sekaligus sebagai pertahanan terhadap ancaman yang terus berkembang.
PCI DSS dan WAF
Dalam PCI DSS v3.2.1, organisasi dapat memilih untuk melindungi aplikasi web publik secara manual atau menggunakan alat penilaian kerentanan otomatis setidaknya setahun sekali atau setelah perubahan signifikan pada aplikasi. Alternatif lainnya adalah memasang solusi otomatis (seperti firewall aplikasi web/WAF) di depan aplikasi web publik untuk mendeteksi dan mencegah serangan web secara terus menerus.
Namun, PCI DSS v4.x mewajibkan organisasi untuk menerapkan solusi yang mendeteksi, mencegah, dan mengirim peringatan terhadap serangan web secara berkelanjutan (subbagian PCI DSS v4.0 6.4.2).
Inilah yang dilakukan oleh Web Application Firewall (WAF). WAF dipasang di depan aplikasi publik untuk memeriksa lalu lintas aplikasi, mendeteksi dan melindungi dari serangan berbasis web. WAF mencegah serangan pada lapisan aplikasi, termasuk eksploitasi terhadap kerentanan umum maupun tidak dikenal dalam kode inti aplikasi, pustaka pihak ketiga, alat pembuat, dan komponen rantai pasokan perangkat lunak lainnya. WAF juga melindungi dari serangan otomatis terhadap pembayaran, kredensial, dan konfigurasi aplikasi.
Bagaimana F5 dapat Membantu
F5 mengamankan aplikasi dan API di mana saja. Solusi WAF kami bisa diterapkan di depan aplikasi apa pun, baik di pusat data, on-premises, maupun di cloud. F5 memiliki solusi WAF dalam bentuk perangkat keras, perangkat lunak, maupun layanan cloud (swalayan maupun terkelola), termasuk untuk aplikasi dalam container dan Kubernetes.
Produk F5 bersertifikasi sebagai penyedia layanan PCI DSS Level 1. Penyedia layanan adalah organisasi yang tidak mengeluarkan kartu pembayaran, tetapi memproses, menyimpan, atau mentransmisikan data kartu atau data otentikasi sensitif atas nama organisasi lain. Layanan F5, seperti F5 Distributed Cloud Services, termasuk dalam kategori ini. Fitur-fitur produk F5 membantu pelanggan memenuhi persyaratan PCI DSS sebagai pedagang.
Layanan Keamanan dari F5 Distributed Cloud
- F5 Distributed Cloud WAF melindungi aplikasi di cloud, pusat data, dan edge. Sebagai proxy perantara, WAF ini memeriksa permintaan dan respons aplikasi, memblokir risiko seperti OWASP Top 10, kampanye ancaman, pengguna berbahaya, serangan DDoS layer 7, bot, dan serangan otomatis. Menggunakan deteksi berbasis tanda tangan dan AI, dengan tuning otomatis, WAF ini memberikan perlindungan lapisan aplikasi yang cepat dan efisien. Asisten AI baru juga membantu menyederhanakan keamanan API dan aplikasi melalui antarmuka bahasa alami dengan wawasan real-time dan rekomendasi.
- F5 NGINX App Protect adalah WAF ringan dan berkinerja tinggi untuk API dan aplikasi modern dalam arsitektur hybrid. Dapat menyatu dengan proses pengembangan aplikasi Anda, melindungi dari serangan layer 7 dan bot. WAF ini dapat diskalakan di Kubernetes dan cloud, mengurangi biaya komputasi dan melindungi dari kampanye serangan aktif serta melampaui perlindungan OWASP Top 10.
- F5 BIG-IP Advanced WAF adalah WAF unggulan F5, yang juga menjadi mesin untuk Distributed Cloud WAF dan NGINX App Protect. Dilengkapi dengan analitik perilaku, mitigasi DoS layer 7, enkripsi data aplikasi, dan layanan intelijen ancaman, BIG-IP Advanced WAF melindungi aplikasi di lingkungan hybrid dan terdistribusi. Dashboard-nya memungkinkan pemantauan cepat terhadap ancaman OWASP Top 10, dengan konfigurasi yang dipandu dan engine pembelajaran untuk penyesuaian kebijakan keamanan yang mendalam.
Perlindungan Menyeluruh dari F5
F5 juga menyediakan solusi tambahan untuk persyaratan lain dari PCI DSS v4.0:
- API Security: PCI DSS v4.0.1 memperkenalkan banyak persyaratan baru terkait keamanan API. F5 Distributed Cloud API Security membantu mencegah eksploitasi terhadap API dan kerentanan perangkat lunak. Untuk detail lebih lanjut, lihat blog Ian Dinno: PCI DSS 4.0.1 Update: Major New API Security Upgrades Required for Customer Payment Processors.
- Web App Scanning: F5 Distributed Cloud Web App Scanning secara dinamis memindai permukaan serangan eksternal, menemukan aplikasi dan API yang terekspos. Dengan kemampuan pengetesan penetrasi otomatis, ia menemukan kerentanan, termasuk di dalam rantai pasokan perangkat lunak. Solusi ini membantu Anda memenuhi subbagian PCI DSS v4.0 6.3.2.
- Mobile App Shield: F5 Distributed Cloud Mobile App Shield melindungi aplikasi seluler dari malware, bot, kebocoran data, akses tidak sah, dan serangan man-in-the-middle (MiTM), yang dapat menyebabkan pelanggaran kepatuhan, kerugian finansial, dan kerusakan reputasi. Solusi ini mengamankan aplikasi dalam runtime dan saat tidak aktif.
- MFA dan Akses Terbatas: Subbagian PCI DSS v4.0 8.4.2 mewajibkan MFA untuk semua akses ke Cardholder Data Environment (CDE). F5 BIG-IP Access Policy Manager (APM) menyediakan akses aplikasi berbasis zero trust, termasuk autentikasi bertingkat (step-up authentication) untuk akses ke CDE.
- Pemantauan dan Pengendalian Traffic Enkripsi: Untuk mendeteksi dan menanggapi kegagalan sistem kontrol keamanan seperti IDS/IPS dan anti-malware, F5 BIG-IP SSL Orchestrator menyediakan perlindungan terhadap ancaman terenkripsi. Ia dapat mendekripsi lalu lintas terenkripsi, mengarahkan lalu lintas melalui stack keamanan Anda, dan memantau kesehatan sistem keamanan. Jika salah satu sistem keamanan gagal, Anda bisa memitigasi dengan dynamic service chains, tanpa mengganggu aliran lalu lintas. Ini membantu memenuhi subbagian PCI DSS v4.0 10.7.2, 10.7.3, dan 11.5.1.1.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan F5 Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi f5.ilogoindonesia.id untuk informasi lebih lanjut!