Pada Maret 2022, Payment Card Industry (PCI) Security Standards Council (SSC) merilis versi terbaru dari Data Security Standard-nya, PCI DSS v4.0, dan secara resmi menghentikan PCI DSS v3.2.1 pada akhir Maret 2024. PCI DSS adalah standar global yang menetapkan persyaratan keamanan teknis dan operasional minimum untuk kepatuhan oleh organisasi mana pun yang menyimpan, memproses, atau mentransmisikan data kartu pembayaran.
Menandakan kemajuan besar dalam keamanan data kartu pembayaran dengan merancang fleksibilitas dan kontrol risiko yang lebih besar dibandingkan dengan versi sebelumnya, PCI DSS v4.0 dan pembaruannya (versi terbaru dari standar PCI DSS adalah v4.0.1) memberikan praktik terbaik bagi organisasi untuk diikuti. Namun, dalam waktu sedikit lebih dari 3 bulan (setelah 31 Maret 2025), “praktik terbaik” PCI DSS v4.x ini akan beralih menjadi persyaratan yang akan diterapkan pada setiap penilaian PCI DSS.
PCI DSS v4.x menekankan pentingnya mengamankan data pemegang kartu yang sensitif sepanjang siklus hidup kartu pembayaran. Mengharuskan enkripsi, baik data pemegang kartu dalam perjalanan maupun saat istirahat, menekankan pentingnya transaksi pembayaran dan perlindungan data sambil memberikan pertahanan preventif terhadap ancaman yang muncul.
PCI DSS dan WAFs
Dalam PCI DSS v3.2.1, organisasi memiliki opsi untuk melindungi aplikasi web yang menghadap publik secara manual atau dengan alat penilaian keamanan kerentanannya otomatis setidaknya setiap tahun atau setelah perubahan signifikan pada aplikasi. Atau mereka dapat memilih untuk memasang solusi otomatis di depan aplikasi web yang menghadap publik untuk terus mendeteksi dan mencegah serangan berbasis web, yang dikonfigurasi untuk memblokir atau menghasilkan peringatan tentang serangan. Namun, PCI DSS v4.x akan mengharuskan organisasi untuk menerapkan solusi di depan aplikasi web yang menghadap publik untuk terus mendeteksi, mencegah, dan menghasilkan peringatan tentang serangan berbasis web (PCI DSS v4.0 subbagian 6.4.2).
Itulah yang dilakukan oleh web application firewall (WAF). WAF dipasang di depan aplikasi yang menghadap publik untuk memeriksa lalu lintas aplikasi, mendeteksi dan melindungi terhadap serangan berbasis web. WAF mencegah serangan pada lapisan aplikasi, termasuk serangan yang dapat mengeksploitasi kerentanannya yang umum dan tidak diketahui dalam aplikasi dan rantai pasokan perangkat lunaknya—kode inti, pustaka pihak ketiga, alat bangun, dan kode lainnya yang menyusun aplikasi kompleks dan canggih saat ini. WAF juga melindungi terhadap serangan yang berusaha mengeksploitasi kelemahan implementasi atau konfigurasi serta serangan otomatis terhadap pembayaran, kredensial, dan aplikasi yang terpasang.
Bagaimana F5 Dapat Membantu
F5 mengamankan aplikasi dan API mana saja, di mana saja. Solusi WAF kami dapat diterapkan di depan aplikasi mana pun, terlepas dari tempat aplikasi tersebut berada. Apakah Anda memerlukan WAF untuk melindungi aplikasi yang berada di tempat atau di pusat data atau di cloud, F5 memiliki solusi WAF yang akan memberikan keamanan lapisan aplikasi yang komprehensif dan perlindungan dari eksploitasi dan serangan. F5 WAF tersedia sebagai perangkat keras, perangkat lunak, atau di cloud melalui layanan mandiri atau layanan terkelola, mengamankan aplikasi yang dikontainerisasi dan Kubernetes, dan lainnya.
Produk F5 telah disertifikasi sebagai penyedia layanan PCI DSS Level 1. Penyedia layanan, sebagaimana didefinisikan oleh PCI SSC, adalah organisasi yang tidak menyediakan kartu pembayaran bermerek atau bentuk lainnya, tetapi memproses, menyimpan, atau mentransmisikan data pemegang kartu atau data otentikasi sensitif untuk organisasi lain. Perusahaan yang memberikan layanan untuk mengontrol atau mempengaruhi keamanan data pemegang kartu atau data otentikasi sensitif, seperti F5 melalui F5 Distributed Cloud Services, juga diklasifikasikan sebagai penyedia layanan PCI DSS v4.0. F5 membantu pelanggan kami memenuhi persyaratan PCI DSS sebagai pedagang, yang didefinisikan oleh PCI SSC sebagai entitas mana pun yang menerima kartu pembayaran yang menampilkan logo dari merek pembayaran yang berpartisipasi sebagai pembayaran untuk barang dan/atau layanan.
F5 Distributed Cloud Services menyediakan berbagai layanan yang menangani banyak bagian dan subbagian dari standar PCI DSS v4.0 untuk organisasi yang menyimpan, memproses, atau mentransmisikan data kartu pembayaran.
F5 Distributed Cloud WAF mengamankan aplikasi di mana saja—melintasi cloud, pusat data, dan lokasi edge. Sebagai proxy perantara, Distributed Cloud WAF memeriksa permintaan dan respons aplikasi, memblokir dan mengurangi risiko, termasuk kategori OWASP Top 10, kampanye ancaman, pengguna jahat, ancaman DDoS lapisan 7, bot, dan serangan otomatis, untuk menyebutkan beberapa. Ini mengurangi serangan aplikasi web dan kerentanannya melalui kontrol keamanan dan kebijakan yang komprehensif dan konsisten, dengan pengamatan yang mudah untuk dikonfigurasi, diterapkan, dikelola, dan diskalakan. F5 Distributed Cloud WAF mengintegrasikan perlindungan ke dalam proses pengembangan aplikasi Anda, memungkinkan siklus pengiriman dan rilis aplikasi yang lebih cepat dan lebih aman. Dengan menggunakan teknik deteksi berbasis tanda tangan dan AI dengan penyesuaian tanda tangan otomatis, F5 Distributed Cloud WAF memberikan keamanan lapisan aplikasi yang cepat dan sederhana dengan efektivitas maksimum. Asisten AI baru dalam Distributed Cloud Services membantu menyederhanakan keamanan untuk aplikasi dan API yang tersebar melalui antarmuka bahasa alami dengan wawasan waktu nyata, rekomendasi yang dapat ditindaklanjuti, dan ringkasan laporan data.
F5 NGINX App Protect adalah WAF ringan dan berkinerja tinggi yang dirancang untuk melindungi API dan aplikasi modern di seluruh arsitektur terdistribusi dan lingkungan hibrida dengan perlindungan yang konsisten. Tidak bergantung pada platform, NGINX App Protect mengintegrasikan dengan mulus dalam proses pengembangan aplikasi Anda, mendeteksi dan mengamankan terhadap serangan aplikasi, termasuk serangan penolakan layanan (DoS) lapisan 7 dan bot. Solusi keamanan aplikasi yang kuat dan berlatensi rendah, NGINX App Protect memungkinkan Anda untuk mengamankan aplikasi di klaster Kubernetes dan cloud, membantu mengurangi biaya komputasi secara signifikan. Ini memberikan pertahanan multi-lapis, mengurangi kampanye serangan dunia maya aktif dan melampaui perlindungan kategori OWASP Top 10.
F5 BIG-IP Advanced WAF adalah flagship web application firewall dari F5. Deteksi dan mitigasi dalam BIG-IP Advanced WAF yang memenangkan penghargaan berfungsi sebagai mesin untuk Distributed Cloud WAF dan NGINX App Protect. Dengan analitik perilaku, mitigasi DoS lapisan 7, enkripsi data sensitif di lapisan aplikasi, dan layanan intelijen ancaman, BIG-IP Advanced WAF melindungi aplikasi di seluruh lingkungan terdistribusi dan hibrida dari berbagai serangan aplikasi. BIG-IP Advanced WAF menyediakan dasbor dinamis yang didedikasikan yang dengan cepat dan sederhana memastikan keamanan dari ancaman yang tercantum dalam OWASP Top 10. BIG-IP Advanced WAF mencakup konfigurasi terarah untuk kasus penggunaan WAF umum, mesin pembelajaran, dan memungkinkan kustomisasi kebijakan keamanan secara rinci.
Perlindungan Luas dari F5
Selain itu, F5 dapat menangani lebih banyak area yang berlaku untuk standar PCI DSS v4.0.
API adalah komponen kunci dari hampir semua transaksi di berbagai industri dan organisasi. PCI DSS v4.0.1 memperkenalkan beberapa persyaratan baru yang dimaksudkan untuk melindungi dan mengamankan API sebagai bagian dari perangkat lunak khusus dan yang disesuaikan. F5 Distributed Cloud API Security membantu menangani banyak persyaratan baru ini, memberikan kontrol untuk melindungi API yang juga membantu mencegah atau mengurangi serangan dan kerentanannya yang umum dalam perangkat lunak. Untuk wawasan lebih lanjut mengenai persyaratan keamanan API yang ditemukan dalam PCI DSS v4.0.1, silakan baca blog Ian Dinno, PCI DSS 4.0.1 Update: Major New API Security Upgrades Required for Customer Payment Processors, dan nantikan blog baru pada awal 2025 dengan rincian tambahan.
F5 Distributed Cloud Web App Scanning secara dinamis dan terus-menerus memindai permukaan serangan eksternal Anda, mengungkap aplikasi web dan API yang terekspos. Melalui kemampuan pengujian penetrasi otomatis, Distributed Cloud Web App Scanning mengidentifikasi dan melaporkan kerentanannya yang dapat dieksploitasi, bahkan yang ada dalam rantai pasokan perangkat lunak Anda. Ini membantu Anda mengamankan aplikasi dan API Anda dari serangan dan eksploitasi. Distributed Cloud Web App Scanning juga membantu Anda menangani subbagian PCI DSS v4.0 6.3.2. F5 Distributed Cloud Mobile App Shield dengan mulus melindungi aplikasi seluler Anda dari malware, bot, kebocoran data, akses tidak sah, dan serangan man-in-the-middle (MiTM) yang dapat mengarah pada pelanggaran kepatuhan, kerugian finansial, kehilangan pelanggan, dan kerusakan reputasi. Distributed Cloud Mobile App Shield memberikan perlindungan runtime dan data yang tidak tertandingi untuk secara proaktif memperkuat aplikasi seluler Anda, mencegah pemalsuan, memblokir bot jahat, eksfiltrasi data, dan penyalahgunaan API.
Subbagian PCI DSS v4.0 8.4.2 mengharuskan penerapan otentikasi multi-faktor (MFA) untuk semua akses ke Cardholder Data Environment (CDE), yang mungkin terdiri dari komponen sistem yang menyimpan, memproses, atau mentransmisikan data pemegang kartu atau data otentikasi sensitif, atau memiliki konektivitas tanpa batas ke sistem tersebut. F5 BIG-IP Access Policy Manager (BIG-IP APM) memungkinkan akses aplikasi berbasis zero trust, yang termasuk membatasi akses ke aplikasi dan data sesuai dengan hak akses berdasarkan sejumlah faktor, termasuk tanggal dan waktu. BIG-IP APM dapat mengamankan data pemegang kartu dan data otentikasi sensitif yang sedang dalam perjalanan. Ini juga memungkinkan otentikasi bertahap, yang akan meminta pengguna yang terdefinisi—seperti mereka yang mengakses CDE atau pengguna jarak jauh—untuk memasukkan kredensial otentikasi yang berbeda dari yang mereka gunakan untuk akses awal, termasuk kredensial MFA yang berbeda. Untuk mendeteksi dan segera menangani kegagalan sistem kontrol keamanan kritis, termasuk solusi IDS/IPS dan anti-malware, ada F5 BIG-IP SSL Orchestrator. BIG-IP SSL Orchestrator memberikan perlindungan terhadap ancaman terenkripsi dengan mendekripsi lalu lintas terenkripsi dan mengarahkan lalu lintas yang didekripsi melalui tumpukan keamanan yang ada melalui rantai layanan dinamis yang dapat disesuaikan. Ini juga menyeimbangkan lalu lintas ke solusi dalam tumpukan keamanan Anda, memantau kesehatan semua solusi dalam tumpukan keamanan Anda, dan dapat mengelola pembaruan cipher untuk solusi keamanan Anda. Plus, jika salah satu solusi keamanan Anda offline, Anda dapat dengan cepat mengurangi bahaya melalui rantai layanan dinamis BIG-IP SSL Orchestrator, memungkinkan Anda melewati solusi yang offline dan mengurangi dampak buruk, seperti pengalihan lalu lintas yang tidak disengaja. Dan ketika Anda perlu mengganti solusi keamanan, BIG-IP SSL Orchestrator menangani perubahan dan penyisipan layanan keamanan dengan efisien, mentransfer lalu lintas yang didekripsi untuk inspeksi tanpa mengganggu aliran lalu lintas. BIG-IP SSL Orchestrator akan membantu Anda menangani subbagian PCI DSS v4.0 10.7.2, 10.7.3, dan 11.5.1.1.