Membentuk postur keamanan yang sehat merupakan salah satu faktor kunci dalam mencapai sertifikasi PCI DSS. Terutama bagi perusahaan yang menerima, memproses dan menyimpan data transaksi pembayaran kartu kredit.

Sebetulnya, ketika menyangkut keamanan, bahkan rincian terkecil pun penting dan bisa menyebabkan masalah besar. Mari kita bahas tentang bagaimana mencapai hasil keamanan yang lebih baik dengan bantuan kontrol versi dan otomasi. Setelah itu kita akan pahami bagaimana hal tersebut dapat membantu memelihara sertifikasi PCI DSS anda.

Lingkungan Sertifikasi PCI DSS

Seperti yang sudah kita ketahui, PCI DSS adalah seperangkat standar keamanan. Dan seperti yang anda tahu, siapa pun yang menangani data kartu kredit dan transaksi harus memenuhi persyaratan PCI. Bergantung pada tingkat merchant, persyaratan bisa sangat ketat. Misalnya, sementara pedagang Level 4 dapat melakukan penilaian sendiri untuk mendapatkan sertifikasi, pedagang Level 1 harus menyewa dan memiliki lokasi di tempat auditor independen untuk menilai keamanan bisnis secara menyeluruh.

Terlepas dari tempat perusahaan anda berada dalam spektrum tingkat merchant, kunci yang harus kita tekankan di sini adalah bahwa bisnis anda bertanggung jawab untuk keamanan. Ini dicapai dengan mengamankan lingkungan di mana arus lalu lintas data kartu kredit di proses dan disimpan. Ini bisa berupa segala sesuatu mulai dari server di datacenter anda, hingga komputer di kantor dan bahkan orang-orang yang menggunakan sistem tersebut.

Penyedia layanan seperti AWS memiliki penawaran yang divalidasi PCI DSSĀ  sesuai dengan penilaian independen. Namun, karena AWS hanya penyedia layanan, mereka tidak bertanggung jawab langsung atas keamanan anda, atau sertifikasi PCI anda. Dengan kata lain, sementara AWS menyediakan lingkungan yang aman, organisasi anda tetap bertanggung jawab untuk mengamankan dan mencapai sertifikasi PCI DSS.

Sebagai contoh, AWS bertanggung jawab untuk mengamankan bangunan data center dari akses yang tidak sah atau untuk patching perangkat lunak server database. Mereka tidak bertanggung jawab atas kata sandi database anda atau bagaimana anda memilih untuk menyimpannya.

Bekerja dari dasar yang aman, dan mengetahui bahwa kepemilikan tertinggi untuk sertifikasi PCI DSS adalah milik organisasi anda, konsultan DevOps dapat menemukan bahwa sangat membantu untuk mengambil pendekatan DevOps untuk menciptakan infrastruktur PCI-ready.

Praktik terbaik DevOps memberikan mekanisme yang bagus untuk memastikan dan melakukan audit tindakan. Dua aspek yang menonjol bagi kita khususnya adalah otomasi dan kemampuan untuk mengatur kontrol versi otomasi secara efektif.

Kontrol Versi

Mari kita mulai dengan kontrol versi karena merupakan salah satu komponen dasar dari setiap operasi DevOps. Sebagian besar organisasi sudah menyimpan kode mereka, membangun, mengkonfigurasi di bawah kontrol versi.

Bayangkan jika kita memiliki puluhan tim dan pengembang dan kita ingin mengontrol akses mereka terhadap lingkungan keseluruhan. Praktik terbaik keamanan mendikte bahwa kita perlu mengatur perizinan seakurat mungkin untuk menghindari kejadian apapun. Namun, biaya overhead untuk mengikuti semua peraturan tersebut tanpa mekanisme kontrol bisa berakhir dalam bencana.

Solusi paling sederhana untuk meningkatkan visibilitas peraturan adalah dengan meletakkannya di bawah sistem kontrol versi seperti git (kecuali informasi sensitif tentunya).

Dengan cara ini kita dapat dengan mudah menindaklanjuti, memodifikasi dan / atau menghapus peraturan sambil mendapatkan masukan kolaboratif yang lebih baik. Tidak hanya izin penting untuk keamanan tapi juga termasuk konfigurasi.

Dalam banyak pengalaman, menggunakan praktik terbaik DevOps untuk keamanan yang ditingkatkan dan berkelanjutan, banyak yang telah menemukan bahwa kontrol versi akan sangat membantu dengan menambahkan visibilitas dan fleksibilitas yang lebih besar.

Otomatisasi

Unsur DevOps penting kedua adalah otomasi. Bila kita menyediakan sumber daya di lingkungan, kita harus yakin bahwa itu akan memiliki izin dan patch keamanan yang benar. Melakukan hal tersebut secara manual dapat memberikan sakit kepala yang sangat besar – terutama bila perusahaan memiliki banyak sumber daya.

Sebagai gantinya, kita bisa mencegah banyak masalah di depan waktu dengan otomasi dan kontrol versi. Misalnya, ketika kita menambahkan server baru atau bila ingin menghapus akses pengguna ke komponen tertentu, dengan otomasi dan kontrol versi kita dapat yakin tidak ada lubang keamanan yang terlewatkan.

Secara khusus, otomatisasi dapat dengan mudah mengendalikan hampir setiap komponen lingkungan. Contohnya seperti patch sistem operasi, aturan firewall, izin pengguna, dan lainnya. Meskipun pada awalnya mungkin tampak seperti beban dalam mengotomatisasi semua komponen ini, setelah selesai, manajemen keamanan dan keamanan keseluruhan akan naik level.

Pada akhirnya, ketika penilai sertifikasi PCI DS memperingatkan tentang kelemahan, kita dapat memperbaikinya dengan mudah. Selain itu, dengan prose ini kita dapat lebih yakin bahwa masalah yang sama tidak akan muncul kembali. Selain meredakan manajemen, otomasi adalah teman terbaik dalam hal kesalahan manusia.

Keamanan harus memiliki kebijakan nol toleransi untuk menghilangkan komponen tunggal karena akan membuka risiko bagi organisasi. Sementara kita semua melupakan banyak hal dari waktu ke waktu, dengan otomatisasi yang tepat, kita hanya perlu mengingat untuk memulai proses otomatis dan sisanya akan bebas dari kesalahan.

Meskipun ada banyak aplikasi konsep DevOps dalam keamanan, otomasi dan kontrol versi adalah dua tempat yang bagus untuk memulai. Yang penting, praktik terbaik DevOps dapat membantu membangun lingkungan yang aman dari awal ke atas, pendekatan yang lebih bermanfaat.

Tips untuk Startup Fintech

Dalam penggunaan backup atau cloud DRaaS, sebaiknya para pelaku bisnis FinTech dan InsurTech mulai melihat pada penyedia layanan cloud yang memiliki sertifikasi PCI DSS. Terutama, untuk bisnis FinTech yang melayani transaksi lintas negara. Hal ini akan bermanfaat untuk meningkatkan keamanan transaksi, kepercayaan investor, dan kenyamanan konsumen.