Penting bagi semua perusahaan yang menggunakan kartu kredit sebagai alat pembayaran untuk mematuhi PCI DSS. Terutama karena standar ini dirancang untuk melindungi data pemegang kartu yang sangat sensitif dan pribadi.
Memahami PCI DSS untuk Pengujian Penetrasi
PCI DSS untuk penetration testing dilakukan dengan cara mensimulasikan serangan terhadap sistem dan jaringan untuk menguji dan melihat keamanannya. Hal ini dilakukan untuk mencari celah yang dapat disalahgunakan oleh hacker yang dapat menyebabkan pembobolan data yang sangat berbahaya bagi perusahaan.
Uji penetrasi dilakukan secara manual oleh pentester ahli sehingga bisa lebih dalam daripada menggunakan alat pemindaian kerentanan untuk melakukan pemindaian otomatis. Penguji akan mencari secara khusus masalah yang tidak dapat diidentifikasi oleh alat pemindaian otomatis dan mencoba mengeksploitasi kerentanan yang mereka temukan.
Dengan begitu, mereka dapat mempelajari risiko dan dampaknya yang kemudian akan menjadi data yang dapat digunakan untuk membuat solusi untuk mengurangi risiko yang dapat membantu membuat sistem dan jaringan menjadi lebih aman. pengujian ini sebenarnya merupakan salah satu persyaratan pelengkap yang perlu dilakukan secara berkala untuk menguji proses dan sistem proteksi serta memeriksa sistem internal dan eksternal.
Pengujian itu sendiri harus dilakukan berdasarkan lingkungan CDE serta struktur lain yang mungkin memiliki efek perlindungan CDE. Jika sistem diisolasi dari lingkungan lain yang digunakan untuk menyimpan data pemegang kartu, maka sistem tersebut berada di luar cakupan.
Perusahaan Anda bisa mencoba mengisolasi jaringan dengan menggunakan firewall yang ketat yang bisa membantu membatasi dampak pengujian. Dengan melakukan metode ini, dapat membantu menghilangkan positif palsu pada tahap pertama serta mengurangi biaya tes penetrasi karena tesnya lebih kecil.
Persyaratan DSS PCI
PCI SSC membuat persyaratan teknis dan operasional yang harus dipenuhi oleh perusahaan Anda untuk melindungi data pemegang kartu. Persyaratan yang harus diterapkan oleh perusahaan Anda untuk mematuhi PCI DSS adalah sebagai berikut:
- Memasang dan memelihara firewall dengan konfigurasi yang benar yang dapat digunakan untuk melindungi data pemegang kartu.
- Anda tidak dapat menggunakan kata sandi default yang disediakan oleh vendor untuk kata sandi yang digunakan pada sistem serta berbagai parameter keamanan yang diterapkan dalam sistem.
- Anda perlu melindungi data pemegang kartu yang disimpan dalam sistem Anda.
- Anda perlu menerapkan enkripsi saat mengirimkan data pemegang kartu melalui jaringan publik atau terbuka.
- Anda perlu menerapkan program dan perangkat lunak anti-virus serta melakukan pembaruan secara teratur.
- Anda perlu mengembangkan serta memelihara aplikasi dan sistem yang aman.
- Anda perlu menerapkan pembatasan akses untuk data pemegang kartu dengan menggunakan basis kebutuhan untuk mengetahui.
- Anda harus menggunakan ID unik yang diberikan kepada individu yang memiliki akses komputer.
- Anda perlu menerapkan pembatasan akses secara fisik untuk data pemegang kartu.
- Anda perlu memantau dan melacak semua akses ke data dan sumber daya jaringan pemegang kartu.
- Anda perlu melakukan pengujian rutin terhadap keamanan proses dan sistem.
- Anda perlu mempertahankan kebijakan yang dibuat untuk menangani keamanan informasi semua personel.
Mengapa Perusahaan Anda Harus Melakukan Uji Penetrasi?
Sebagian besar perencanaan, pembuatan, dan pemeliharaan sistem dilakukan oleh karyawan yang memiliki sedikit atau bahkan tidak memiliki pengalaman profesional di bidang keamanan. Sementara itu, uji penetrasi itu sendiri dilakukan oleh ahli keamanan.
Para ahli tersebut telah menerima pelatihan profesional untuk mengidentifikasi dan mendeteksi masalah dalam sistem Anda. Dengan demikian, laporan yang mereka buat akan membantu Anda untuk memperbaiki masalah keamanan yang mereka temukan sebelum serangan nyata terjadi dan menggunakan kerentanan.
Selain itu, menurut PCI DSS, Anda perlu melakukan penilaian keamanan serta uji segmentasi secara teratur setiap 6 bulan sekali untuk memenuhi standar. Anda juga harus melakukan tinjauan kontrol tambahan setiap kali Anda melakukan perubahan signifikan pada sistem Anda.
Itulah sebabnya, penting bagi perusahaan Anda untuk melakukan uji penetrasi karena membantu mematuhi peraturan serta membantu memperkuat jaringan.
Baca Selengkapnya : Memahami PCI DSS: Apa Itu dan Mengapa Itu Penting
Jenis-jenis Tes Penetrasi yang Dapat Anda Gunakan
Uji penetrasi dilakukan pada sistem yang Anda pilih untuk menemukan kerentanan. Sementara itu, kerentanan itu sendiri dapat berasal dari desain yang salah atau tidak memadai, cacat perangkat lunak dan perangkat keras yang tidak diketahui atau diketahui, serta kekurangan dalam penanggulangan teknologi atau proses. Berikut ini adalah jenis-jenis tes penetrasi yang dapat Anda gunakan:
Uji penetrasi jaringan
Uji penetrasi ini dilakukan untuk mengidentifikasi masalah keamanan di dalam workstation, server, dan implementasi, pemeliharaan, dan desain layanan jaringan. Tes ini dapat digunakan untuk menemukan kesalahan konfigurasi, OS dan perangkat lunak lama, serta protokol yang tidak aman di dalam sistem Anda.
Uji kontrol segmentasi
Pengujian ini dilakukan untuk mengetahui apakah kesalahan konfigurasi firewall akan memungkinkan akses yang tidak sah ke dalam jaringan perusahaan. Tes ini dapat digunakan untuk menemukan koneksi ke TCP yang diizinkan yang seharusnya tidak diizinkan, serta ping yang seharusnya tidak diizinkan.
Uji penetrasi aplikasi
Aplikasi tidak dapat dikembangkan dengan sempurna sehingga ada potensi kerentanan di dalam aplikasi yang digunakan perusahaan Anda. Kegagalan mengautentikasi aplikasi serta pengkodean yang buruk dapat menimbulkan kerentanan pada perangkat lunak yang digunakan perusahaan Anda. Dengan demikian, tes ini dilakukan untuk memastikan bahwa tidak ada kerentanan pada aplikasi yang digunakan perusahaan Anda.
Selain itu, meskipun Anda melanjutkan perlindungan, memperbaiki, dan memperbarui aplikasi, peretas juga akan terus meningkatkan metode peretasan mereka untuk menemukan kerentanan baru dalam sistem. Itulah mengapa penting bagi Anda untuk terus menguji aplikasi Anda sehingga Anda dapat menghindari bahaya yang terkait dengan kerentanan aplikasi.
Tes Jaringan Nirkabel
Pengujian ini dilakukan untuk menemukan kesalahan konfigurasi pada jaringan nirkabel yang telah diotorisasi untuk terhubung dengan sistem serta menemukan access point yang tidak diotorisasi untuk terhubung ke dalam sistem. Anda juga bisa menemukan metode enkripsi yang lemah, teknologi jaringan yang tidak didukung, enkripsi yang tidak aman, dan titik akses yang tidak sah.
Langkah demi Langkah untuk Melakukan Uji Penetrasi
- Cakupan
Langkah pertama yang dapat Anda lakukan untuk uji penetrasi adalah menentukan ruang lingkup pengujian. Untuk melakukannya, penguji penetrasi akan melihat persyaratan penilaian perusahaan untuk kepatuhan PCI DSS.
- Penemuan
Hal berikutnya yang akan dilakukan oleh penetration test adalah mengidentifikasi semua aset di dalam jaringan dalam ruang lingkup yang telah ditentukan menggunakan langkah sebelumnya. Tes ini diperlukan untuk menemukan semua informasi yang dibutuhkan untuk melakukan serangan yang akan dilakukan pada langkah berikutnya. Anda dapat memberikan penguji penetrasi beberapa informasi untuk mengurangi waktu yang diperlukan untuk melakukan langkah ini.
- Mengevaluasi
Setelah semua detail ditemukan, maka penetration tester akan mulai menguji aplikasi, jaringan, dan sistem. Uji penetrasi ini dilakukan untuk menemukan kerentanan di lingkungan yang mungkin menyebabkan masalah di masa depan.
Pengujian penetrasi berbeda dengan serangan nyata karena pentester akan masuk lebih dalam ke lingkungan yang dapat memakan banyak waktu untuk melakukannya. Dengan demikian, Anda perlu memutuskan di mana lokasi penguji penetrasi Anda harus menghabiskan sebagian besar waktunya.
Selain itu, informasi yang Anda berikan kepada mereka juga akan memengaruhi jumlah waktu yang mereka butuhkan untuk mengerjakan tes. Ada 3 jenis metodologi yang dapat digunakan untuk melakukan uji penetrasi, yaitu:
- Kotak putih
Dalam pengujian ini, penguji penetrasi akan diberikan informasi terperinci mengenai lingkungan yang perlu mereka uji sebelum pengujian dilakukan.
- Kotak abu-abu
Dalam pengujian ini, penguji penetrasi tidak diberikan informasi apa pun mengenai lingkungan yang perlu mereka uji.
- Kotak hitam
Dalam pengujian ini, penguji penetrasi akan diberikan informasi terbatas mengenai lingkungan yang perlu mereka uji sebelum pengujian dilakukan.
Anda dapat menentukan metodologi mana yang digunakan sesuai dengan area lingkungan yang akan menjadi fokus pengujian.
- Pelaporan
Setelah pengujian dilakukan maka hasilnya akan dievaluasi oleh penguji penetrasi. Kemudian mereka akan membuat laporan lengkap yang menjelaskan semua metodologi yang digunakan pada tes penetrasi serta hasil yang mereka temukan dari tes tersebut. Dengan begitu, Anda bisa melihat alur dan setiap tahapan uji penetrasi secara jelas. Laporan ini juga perlu digunakan sebagai bukti yang dapat Anda tunjukkan kepada pemangku kepentingan atau QSA yang ditugaskan.
- Pengujian ulang
Uji penetrasi tidak berhenti sampai di situ karena Anda masih perlu memastikan bahwa solusi yang diimplementasikan ke lingkungan yang diuji untuk mengatasi kerentanan berfungsi sebagaimana mestinya. Itulah sebabnya, pengujian ulang diperlukan yang juga perlu dilakukan secara teratur untuk menemukan kerentanan baru seiring dengan perubahan yang terus terjadi di lingkungan.
Kesimpulan
Penting bagi perusahaan Anda untuk mematuhi PCI DSS yang dapat membantu Anda melindungi data pemegang kartu dan mengamankan lingkungan Anda. Salah satu persyaratan yang perlu Anda lakukan untuk memenuhinya adalah melakukan penetration testing ke sistem dan lingkungan yang Anda gunakan.
Pengujian penetrasi ini juga akan membantu Anda menemukan kerentanan sebelum dieksploitasi oleh serangan nyata. Dengan begitu, Anda dapat mengurangi risiko dan memperkuat lingkungan Anda untuk menghindari kerusakan.
Tags: PCI DSS, persyaratan PCI DSS, kepatuhan PCI DSS, uji penetrasi PCI DSS, pentest PCI DSS