Bedah Polis Asuransi Siber Bagian 19 – Special definitions for this section PCI DSS

Apa itu Asuransi Siber?

Asuransi siber  atau risiko siber  adalah perlindungan asuransi yang dirancang secara khusus untuk melindungi bisnis Anda dari ancaman di era digital, seperti pencurian  data atau peretasan siber  berbahaya pada sistem komputer kerja.

Mengapa Anda membutuhkan Asuransi Siber ?

Di era digital seperti sekarang ini ancaman siber kini telah berubah menjadi masalah besar. Serangan siber  dapat menyebabkan, kegagalan bisnis, kegagalan transaksi bank, pemadaman listrik, kegagalan peralatan militer, dan pelanggaran rahasia keamanan perusahaan.

Tidak berlebihan untuk mengatakan bahwa ancaman siber  dapat mempengaruhi fungsi kehidupan  sehari-hari.

Bisnis apa saja yang membutuhkan asuransi siber?

Semua bisnis berpotensi terkenal resiko siber. Masalahnya “bukan bisa kena atau tidak terkena tapi masalah kapan waktunya serangan itu terjadi pada bisnis Anda”

Siapa yang membutuhkan Asuransi siber?

Semua perusahaan dan organisasi yang menggunakan aplikasi digital memerlukan asuransi ini. Perusahaan, kecil, menengah (UKM), perusahaan besar, organisasi sosial, yayasan Pendidikan, pemerintahan, lembaga lain serta perorangan.

Apakah ada penjelasan yang lengkap dari isi polis asuransi siber/asuransi cyber?

Terus terang tidaknya penjelasan yang bisa anda dapatkan. Tapi sebagai perusahaan broker asuransi dan konsultan asuransi profesional kami ingin membagikan pengetahuan dan penjelasan secara lengkap tentang isi polis asuransi siber untuk Anda.

Kami telah menyiapkan tulisan “Bedah Polis Asuransi Siber/Asuransi Cyber ” di website ini. Agar Anda bisa memahami secara lengkap dan utuh mohon ikuti seluruh judul yang ada di sebelah kanan tulisan ini.

Sebagai sumber tulisan, kami mengambil polis asuransi yang tersedia di website Hiscox: Cyber and Data Policy Wording (PDF)

Jika Anda tertarik dengan tulisan ini segera bagikan kepada rekan-rekan Anda agar mereka juga paham seperti Anda.

 


Special definitions for this section

Definisi khusus untuk bagian ini

 

Original Wordings

PCI DSS

Payment Card Industry Data Security Standard.


Terjemahan Bebas

PCI DSS

Standar Keamanan Data Industri Kartu Pembayaran.

 


Penjelasan Tambahan

Semua pihak yang menyimpan, memproses, atau meneruskan data pemegang kartu kredit, termasuk lembaga keuangan, merchant, serta penyedia layanan wajib mematuhi Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standard, DSS). Program Visa mengatur kepatuhan PCI DSS dengan mewajibkan partisipan menunjukkan kepatuhan secara berkala.

Untuk keterangan lebih lanjut, dapat dilihat dalam referensi berikut ini. Pada bagian akhir tulisan ini kami sampaikan juga link dari narasumber.

Referensi

The Payment Card Industry Data Security Standard (PCI DSS)

Adalah standar keamanan informasi untuk organisasi yang menangani kartu kredit bermerek dari skema kartu utama.

Standar PCI diamanatkan oleh merek kartu tetapi dikelola oleh Dewan Standar Keamanan Industri Kartu Pembayaran. Standar ini dibuat untuk meningkatkan kontrol seputar data pemegang kartu untuk mengurangi penipuan kartu kredit.

Validasi kepatuhan dilakukan setiap tahun atau triwulanan, sumber yang lebih baik diperlukan] dengan metode yang sesuai dengan volume transaksi yang ditangani.

  • Self-Assessment Questionnaire (SAQ) — volume yang lebih kecil
  • external Qualified Security Assessor (QSA) — volume sedang; melibatkan sebuah Attestation on Compliance (AOC)
  • firm-specific Internal Security Assessor (ISA) — volume yang lebih besar; Melibatkan penerbitan a Report on Compliance (ROC)

Lima program yang berbeda telah dimulai oleh perusahaan kartu:

  1. Visa’s Cardholder Information Security Program
  2. MasterCard’s Site Data Protection
  3. American Express’s Data Security Operating Policy
  4. Discover’s Information Security and Compliance
  5. the JCB’s Data Security Program

Niat masing-masing kira-kira serupa: untuk menciptakan tingkat perlindungan tambahan bagi penerbit kartu dengan memastikan bahwa pedagang memenuhi tingkat keamanan minimum ketika mereka menyimpan, memproses, dan mengirimkan data pemegang kartu. Untuk memenuhi masalah interoperabilitas di antara standar yang ada, upaya gabungan yang dilakukan oleh organisasi kartu kredit utama menghasilkan rilis versi 1.0 dari PCI DSS pada bulan Desember 2004. PCI DSS telah diimplementasikan dan diikuti di seluruh dunia.

The Payment Card Industry Security Standards Council (PCI SSC) Kemudian dibentuk, dan perusahaan-perusahaan ini menyelaraskan kebijakan masing-masing untuk membuat PCI DSS. MasterCard, American Express, Visa, JCB International dan Discover Financial Services mendirikan PCI SSC pada bulan September 2006 sebagai entitas administrasi / pemerintahan yang mengamanatkan evolusi dan pengembangan PCI DSS. Organisasi independen / swasta dapat berpartisipasi dalam pengembangan PCI setelah pendaftaran yang tepat. Setiap organisasi yang berpartisipasi bergabung dengan SIG tertentu (Special Interest Group) dan berkontribusi pada kegiatan yang diamanatkan oleh SIG. Versi berikut dari PCI DSS telah tersedia:

Standar Keamanan Data PCI menetapkan dua belas persyaratan untuk kepatuhan, yang disusun menjadi enam kelompok terkait logis yang disebut “tujuan kontrol”. Keenam kelompok tersebut adalah:

  1. Build and Maintain a Secure Network and Systems
  2. Protect Cardholder Data
  3. Maintain a Vulnerability Management Program
  4. Implement Strong Access Control Measures
  5. Regularly Monitor and Test Networks
  6. Maintain an Information Security Policy

Setiap versi PCI DSS (Payment Card Industry Data Security Standard) telah membagi enam persyaratan ini menjadi sejumlah sub-persyaratan secara berbeda, tetapi dua belas persyaratan tingkat tinggi tidak berubah sejak awal standar. Setiap persyaratan / sub-persyaratan juga diuraikan menjadi tiga bagian.

Deklarasi Persyaratan: Ini mendefinisikan deskripsi utama dari persyaratan. Pengesahan PCI DSS dilakukan pada implementasi yang tepat dari persyaratan.

Proses Pengujian: Proses dan metodologi yang dilakukan oleh penilai untuk konfirmasi implementasi yang tepat.

Panduan: Ini menjelaskan tujuan inti dari persyaratan dan konten yang sesuai yang dapat membantu dalam definisi yang tepat dari persyaratan.

Dua belas persyaratan untuk membangun dan memelihara jaringan dan sistem yang aman dapat diringkas sebagai berikut:

  1. Menginstal dan memelihara konfigurasi firewall untuk melindungi data pemegang kartu. Tujuan dari firewall adalah untuk memindai semua lalu lintas jaringan, memblokir jaringan yang tidak dipercaya dari mengakses sistem.
  2. Mengubah default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya. Kata sandi ini mudah ditemukan melalui informasi publik dan dapat digunakan oleh individu jahat untuk mendapatkan akses tidak sah ke sistem.
  3. Melindungi data pemegang kartu yang tersimpan. Enkripsi, hashing, masking dan truncation adalah metode yang digunakan untuk melindungi data pemegang kartu.
  4. Mengenkripsi transmisi data pemegang kartu melalui jaringan publik yang terbuka. Enkripsi yang kuat, termasuk hanya menggunakan kunci dan sertifikasi terpercaya mengurangi risiko menjadi sasaran individu jahat melalui peretasan.
  5. Melindungi semua sistem terhadap malware dan melakukan pembaruan rutin perangkat lunak anti-virus. Malware dapat memasuki jaringan melalui berbagai cara, termasuk penggunaan internet, email karyawan, perangkat seluler atau perangkat penyimpanan. Perangkat lunak anti-virus terbaru atau perangkat lunak anti-malware tambahan akan mengurangi risiko eksploitasi melalui malware.
  6. Mengembangkan dan memelihara sistem dan aplikasi yang aman. Kerentanan dalam sistem dan aplikasi memungkinkan individu yang tidak bermoral untuk mendapatkan akses istimewa. Patch keamanan harus segera dipasang untuk memperbaiki kerentanan dan mencegah eksploitasi dan kompromi data pemegang kartu.
  7. Membatasi akses ke data pemegang kartu hanya untuk personil yang berwenang. Sistem dan proses harus digunakan untuk membatasi akses ke data pemegang kartu berdasarkan “perlu tahu”.
  8. Mengidentifikasi dan mengautentikasi akses ke komponen sistem. Setiap orang dengan akses ke komponen sistem harus diberi identifikasi unik (ID) yang memungkinkan akuntabilitas akses ke sistem data penting.
  9. Membatasi akses fisik ke data pemegang kartu. Akses fisik ke data atau sistem pemegang kartu yang menyimpan data ini harus aman untuk mencegah akses atau penghapusan data yang tidak sah.
  10. Melacak dan memantau semua akses ke data pemegang kartu dan sumber daya jaringan. Mekanisme pencatatan harus dilakukan untuk melacak aktivitas pengguna yang sangat penting untuk mencegah, mendeteksi atau meminimalkan dampak kompromi data.
  11. Menguji sistem dan proses keamanan secara teratur. Kerentanan baru terus ditemukan. Sistem, proses, dan perangkat lunak perlu sering diuji untuk mengungkap kerentanan yang dapat digunakan oleh individu jahat.
  12. Mempertahankan kebijakan keamanan informasi untuk semua personil. Kebijakan keamanan yang kuat termasuk membuat personel memahami sensitivitas data dan tanggung jawab mereka untuk melindunginya.

Bagaimana cara mendapatkan Asuransi Siber/Cyber Insurance?

Asuransi siber/Cyber Insurance adalah asuransi jenis baru. Tidak banyak perusahaan asuransi yang mempunyai produk asuransi ini di Indonesia.

Luas jaminan yang diberikan juga belum banyak yang tahu padahal kini ia menjadi kebutuhan yang sangat penting.

Lalu bagaimana cara mendapatkannya?  Untuk mendapatkan jaminan asuransi ini Anda perlu bantuan dan bimbingan dari ahli asuransi. Ahli asuransi yang tepat adalah perusahaan Broker asuransi adalah konsultan asuransi yang berada di pihak Anda.

L&G Insurance Broker adalah perusahaan broker asuransi terkemuka di Indonesia. Untuk semua kebutuhan asuransi Anda hubungi L&G sekarang juga!


Source:

https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard