Pada bulan Maret 2022, Payment Card Industry (PCI) Security Standards Council (SSC) merilis versi terbaru dari Data Security Standard, yaitu PCI DSS v4.0, yang secara resmi menggantikan PCI DSS v3.2.1 pada akhir Maret 2024. PCI DSS adalah standar global yang menetapkan persyaratan teknis dan operasional minimum bagi organisasi yang menyimpan, memproses, atau mentransmisikan data kartu pembayaran.
PCI DSS v4.0 mewakili kemajuan besar dalam keamanan data kartu pembayaran dengan menawarkan fleksibilitas dan kontrol risiko yang lebih baik dibandingkan versi sebelumnya. Pembaruan pada standar ini (versi terbaru adalah PCI DSS v4.0.1) menyediakan praktik terbaik yang dapat diikuti oleh organisasi. Namun, dalam waktu sekitar 3 bulan lagi (setelah 31 Maret 2025), praktik terbaik dari PCI DSS v4.x ini akan berubah menjadi persyaratan wajib yang harus diterapkan pada setiap penilaian kepatuhan PCI DSS.
PCI DSS v4.x menekankan pentingnya melindungi data sensitif pemegang kartu sepanjang siklus hidup pembayaran. Dengan mewajibkan enkripsi, baik saat data pemegang kartu sedang ditransmisikan maupun saat disimpan, standar ini menegaskan pentingnya perlindungan transaksi pembayaran dan data, serta memberikan pertahanan proaktif terhadap ancaman yang terus berkembang.
PCI DSS dan WAF
Pada PCI DSS v3.2.1, organisasi memiliki opsi untuk melindungi aplikasi web yang dapat diakses publik secara manual atau dengan menggunakan alat penilaian keamanan kerentanannya secara otomatis, setidaknya setahun sekali atau setelah perubahan signifikan pada aplikasi. Atau mereka dapat memilih untuk memasang solusi otomatis di depan aplikasi web yang dapat diakses publik untuk mendeteksi dan mencegah serangan berbasis web secara terus-menerus, yang dikonfigurasi untuk memblokir atau menghasilkan peringatan atas serangan. Namun, PCI DSS v4.x akan mewajibkan organisasi untuk memasang solusi di depan aplikasi web yang dapat diakses publik untuk mendeteksi, mencegah, dan menghasilkan peringatan atas serangan berbasis web secara terus-menerus (subbagian PCI DSS v4.0 6.4.2).
Itulah yang dilakukan oleh web application firewall (WAF). WAF dipasang di depan aplikasi yang dapat diakses publik untuk memeriksa lalu lintas aplikasi, mendeteksi dan melindungi terhadap serangan berbasis web. WAF mencegah serangan lapisan aplikasi, termasuk serangan yang mungkin mengeksploitasi kerentanannya aplikasi yang umum dan tidak diketahui serta rantai pasokan perangkat lunaknya—kode inti, pustaka pihak ketiga, alat pembangun, dan kode lainnya yang membentuk aplikasi modern yang kompleks dan canggih. WAF juga melindungi terhadap serangan yang mencoba mengeksploitasi cacat implementasi atau konfigurasi serta serangan otomatis terhadap pembayaran, kredensial, dan aplikasi yang terpasang.
Bagaimana F5 Dapat Membantu
F5 mengamankan aplikasi dan API di mana saja. Solusi WAF kami dapat dipasang di depan aplikasi apa pun, terlepas dari di mana aplikasi tersebut berada. Apakah Anda membutuhkan WAF untuk melindungi aplikasi yang ada di tempat, di pusat data, atau di cloud, F5 memiliki solusi WAF yang akan memberikan keamanan lapisan aplikasi secara komprehensif dan perlindungan dari eksploitasi dan serangan. F5 WAF tersedia sebagai perangkat keras, perangkat lunak, atau di cloud melalui layanan mandiri atau dikelola, mengamankan aplikasi yang tercontainerisasi dan Kubernetes, dan lainnya.
Produk F5 telah disertifikasi sebagai penyedia layanan PCI DSS Level 1. Penyedia layanan, seperti yang didefinisikan oleh PCI SSC, adalah organisasi yang tidak menyediakan kartu pembayaran bermerek atau bentuk lainnya, tetapi memproses, menyimpan, atau mentransmisikan data pemegang kartu atau data otentikasi sensitif untuk organisasi lain. Perusahaan yang memberikan layanan untuk mengontrol atau memengaruhi keamanan data pemegang kartu atau data otentikasi sensitif, seperti F5 melalui F5 Distributed Cloud Services, juga diklasifikasikan sebagai penyedia layanan PCI DSS v4.0. Fitur produk F5 membantu pelanggan kami memenuhi persyaratan PCI DSS sebagai pedagang, yang didefinisikan oleh PCI SSC sebagai entitas apa pun yang menerima kartu pembayaran yang memuat logo salah satu merek pembayaran yang berpartisipasi sebagai pembayaran untuk barang dan/atau layanan.
F5 Distributed Cloud Services menyediakan berbagai layanan yang memenuhi banyak bagian dan subbagian dari standar PCI DSS v4.0 untuk organisasi yang menyimpan, memproses, atau mentransmisikan data kartu pembayaran.
F5 Distributed Cloud WAF mengamankan aplikasi di mana saja—di seluruh cloud, pusat data, dan lokasi edge. Sebagai proxy perantara, Distributed Cloud WAF memeriksa permintaan dan respons aplikasi, memblokir dan mengurangi risiko, termasuk kategori OWASP Top 10, kampanye ancaman, pengguna berbahaya, ancaman DDoS lapisan 7, bot, dan serangan otomatis, dan lainnya. Ini mengurangi serangan dan kerentanannya aplikasi web melalui kontrol dan kebijakan keamanan yang komprehensif dan konsisten, dengan observabilitas yang mudah untuk dikonfigurasi, diterapkan, dikelola, dan diskalakan. F5 Distributed Cloud WAF mengintegrasikan perlindungan secara sederhana dan mulus ke dalam proses pengembangan aplikasi Anda, memungkinkan siklus pengiriman dan rilis aplikasi yang lebih cepat dan lebih aman. Dengan memanfaatkan teknik deteksi berbasis tanda tangan dan AI dengan penyetelan tanda tangan otomatis, F5 Distributed Cloud WAF memberikan keamanan lapisan aplikasi yang cepat dan sederhana dengan efektivitas maksimal. Asisten AI baru dalam Distributed Cloud Services membantu menyederhanakan keamanan untuk aplikasi dan API terdistribusi melalui antarmuka bahasa alami dengan wawasan waktu nyata, rekomendasi yang dapat ditindaklanjuti, dan ringkasan laporan data.
F5 NGINX App Protect adalah WAF ringan dan berkinerja tinggi yang dirancang untuk melindungi API dan aplikasi modern di seluruh arsitektur terdistribusi dan lingkungan hybrid dengan perlindungan yang konsisten. Platform-agnostik, NGINX App Protect mengintegrasikan dengan mulus dalam proses pengembangan aplikasi Anda, mendeteksi dan mengamankan serangan aplikasi, termasuk serangan penolakan layanan (DoS) lapisan 7 dan bot. Sebagai solusi keamanan aplikasi yang kuat dan latensi rendah, NGINX App Protect memungkinkan Anda untuk mengukur keamanan aplikasi di klaster Kubernetes dan cloud, membantu mengurangi biaya komputasi secara signifikan. Ini memberikan pertahanan bertingkat, mengurangi kampanye serangan dunia maya aktif dan melampaui perlindungan kategori OWASP Top 10.
F5 BIG-IP Advanced WAF adalah flagship web application firewall (WAF) F5. Deteksi dan mitigasi dalam BIG-IP Advanced WAF yang telah memenangkan penghargaan ini menjadi mesin untuk Distributed Cloud WAF dan NGINX App Protect. Dengan analitik perilaku, mitigasi DoS lapisan 7, enkripsi data sensitif lapisan aplikasi, dan layanan intelijen ancaman, BIG-IP Advanced WAF melindungi aplikasi di seluruh lingkungan terdistribusi dan hybrid dari berbagai serangan aplikasi. BIG-IP Advanced WAF menyediakan dasbor dinamis yang didedikasikan untuk memastikan keamanan dari ancaman yang tercantum dalam OWASP Top 10 dengan cepat dan sederhana. BIG-IP Advanced WAF mencakup konfigurasi panduan untuk kasus penggunaan WAF umum, mesin pembelajaran, dan memungkinkan penyesuaian kebijakan granular dari kebijakan keamanan.
Perlindungan Ekstensif dari F5
Selain itu, F5 dapat menangani lebih banyak area yang relevan dengan standar PCI DSS v4.0.
- API adalah komponen kunci dari hampir semua transaksi di berbagai industri dan organisasi. PCI DSS v4.0.1 memperkenalkan beberapa persyaratan baru yang bertujuan untuk melindungi dan mengamankan API sebagai bagian dari perangkat lunak khusus dan yang disesuaikan. F5 Distributed Cloud API Security membantu menangani banyak persyaratan baru ini, memberikan kontrol untuk melindungi API yang juga membantu mencegah atau mengurangi serangan dan kerentanannya perangkat lunak yang umum. Untuk wawasan lebih dalam tentang persyaratan keamanan API yang ada di PCI DSS v4.0.1, silakan baca blog Ian Dinno, PCI DSS 4.0.1 Update: Major New API Security Upgrades Required for Customer Payment Processors, dan nantikan blog baru pada awal 2025 dengan rincian tambahan.
- F5 Distributed Cloud Web App Scanning secara dinamis dan terus-menerus memindai permukaan serangan eksternal Anda, menemukan aplikasi web dan API yang terpapar. Melalui kemampuan uji penetrasi otomatisnya, Distributed Cloud Web App Scanning mengidentifikasi dan melaporkan kerentanannya yang dapat dieksploitasi, bahkan yang dalam rantai pasokan perangkat lunak Anda. Ini membantu Anda mengamankan aplikasi dan API dari serangan dan eksploitasi. Distributed Cloud Web App Scanning juga membantu Anda menangani PCI DSS v4.0 subseksi 6.3.2.
- F5 Distributed Cloud Mobile App Shield secara mulus melindungi aplikasi mobile Anda dari malware, bot, kebocoran data, akses tidak sah, dan serangan man-in-the-middle (MiTM) yang dapat menyebabkan pelanggaran kepatuhan, kerugian finansial, churn pelanggan, dan kerusakan reputasi. Distributed Cloud Mobile App Shield memberikan perlindungan runtime dan at-rest yang tiada tandingannya untuk secara proaktif memperkuat aplikasi mobile Anda, mencegah pemalsuan, memblokir bot berbahaya, eksfiltrasi data, dan penyalahgunaan API.
- PCI DSS v4.0 subseksi 8.4.2 mengharuskan implementasi otentikasi multi-faktor (MFA) untuk semua akses ke Cardholder Data Environment (CDE), yang dapat terdiri dari komponen sistem yang menyimpan, memproses, atau mentransmisikan data pemegang kartu atau data otentikasi sensitif, atau memiliki konektivitas tanpa batas ke sistem tersebut. F5 BIG-IP Access Policy Manager (BIG-IP APM) memungkinkan akses aplikasi dengan kepercayaan nol, yang mencakup pembatasan akses ke aplikasi dan data berdasarkan hak istimewa berdasarkan faktor-faktor tertentu, termasuk tanggal dan waktu. BIG-IP APM dapat mengamankan data pemegang kartu dan data otentikasi sensitif dalam perjalanan. Itu juga memungkinkan otentikasi bertahap, yang mengharuskan pengguna terdefinisi—seperti mereka yang mengakses CDE atau pengguna jarak jauh—untuk memasukkan kredensial otentikasi yang berbeda dari yang mereka gunakan untuk akses awal, termasuk kredensial MFA yang berbeda.
Untuk mendeteksi dan segera menangani kegagalan sistem kontrol keamanan kritis, termasuk IDS / IPS dan solusi anti-malware, ada F5 BIG-IP SSL Orchestrator. BIG-IP SSL Orchestrator menyediakan perlindungan ancaman terenkripsi dengan mendekripsi lalu lintas terenkripsi dan mengarahkan lalu lintas yang didekripsi melalui tumpukan keamanan Anda yang ada melalui rantai layanan dinamis yang dapat disesuaikan. Itu juga melakukan penyeimbangan beban lalu lintas ke solusi dalam tumpukan keamanan Anda, memantau kesehatan semua solusi dalam tumpukan keamanan Anda, dan dapat mengelola pembaruan cipher untuk solusi keamanan Anda. Selain itu, jika salah satu solusi keamanan Anda mati, Anda dapat dengan cepat mengurangi bahaya melalui rantai layanan dinamis BIG-IP SSL Orchestrator, memungkinkan Anda untuk menghindari solusi offline dan mengurangi dampak merugikan, seperti penghindaran lalu lintas yang tidak sengaja. Dan ketika Anda perlu mengganti solusi keamanan, BIG-IP SSL Orchestrator menangani perubahan dan penambahan layanan keamanan dengan efisien, memindahkan lalu lintas yang didekripsi untuk inspeksi tanpa mengganggu aliran lalu lintas. BIG-IP SSL Orchestrator akan membantu Anda menangani PCI DSS v4.0 subseksi 10.7.2, 10.7.3, dan 11.5.1.1.