Survei PCI Menemukan Beberapa Pedagang Tidak Menggunakan Perangkat Lunak Antivirus

Konsumen menghadapi risiko yang lebih besar kehilangan kendali atas data mereka ketika melakukan bisnis dengan pengecer yang lebih kecil, karena banyak yang belum melakukan investasi untuk mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), menurut survei baru.

Survei, yang meliputi 560 organisasi AS dan multinasional, menanyakan kepada responden berbagai pertanyaan tentang investasi dan penyebaran teknologi mereka untuk mematuhi PCI DSS, yang diperkenalkan pada tahun 2005. Ini adalah standar industri dibuat oleh perusahaan kartu kredit utama yang dirancang untuk melindungi data pembayaran pelanggan.

Survei menemukan bahwa 55 persen organisasi hanya mendapatkan informasi kartu kredit tetapi tidak data lain seperti Jaminan Sosial dan nomor lisensi ver atau detail rekening bank. Juga, hanya 28 persen perusahaan kecil antara 501 hingga 1.000 karyawan yang mematuhi PCI DSS. Bandingkan dengan lebih dari 70 persen pedagang besar dengan 75.000 karyawan atau lebih yang mengklaim mereka patuh.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Jika Anda pergi ke organisasi yang lebih besar untuk melakukan bisnis, Anda lebih mungkin aman hari ini, "kata Amichai Shulman, CTO untuk Imperva, yang membuat perangkat lunak keamanan untuk bisnis untuk mematuhi PCI DSS. Imperva menugaskan survei dari Ponemon Institute, sebuah perusahaan yang melakukan penelitian tentang kebijakan privasi dan keamanan informasi.

Alasan utama mengapa perusahaan tidak mematuhi PCI DSS adalah biaya, kata Shulman. "Mereka tidak pergi ke upaya untuk menjadi patuh karena itu semua atau tidak sama sekali, sehingga mereka saat ini tidak melakukan apa-apa," kata Shulman.

Perusahaan-perusahaan besar merasa agak lebih mudah untuk menangani biaya, katanya. Rata-rata, perusahaan menghabiskan sekitar 35 persen dari anggaran keamanan TI mereka pada kepatuhan PCI DSS.

Perusahaan kartu pembayaran mengamanatkan kepatuhan, dan sebagian besar pedagang seharusnya patuh sekarang, menurut informasi di situs Web Standar Dewan Keamanan PCI.

Survei ini menghasilkan beberapa hasil yang membingungkan lainnya. Sekitar 10 persen dari responden yang mengatakan mereka PCI DSS compliant mengatakan mereka tidak menggunakan perangkat lunak keamanan dasar seperti antivirus, firewall dan SSL (Secure Sockets Layers), Shulman berkata.

PCI tidak meresepkan penggunaan spesifik produk perangkat lunak tetapi mempromosikan praktik dan saran umum, seperti menggunakan firewall dan antivirus. Dalam beberapa tahun terakhir, vendor telah mengembangkan produk untuk mempermudah implementasi PCI DSS. Namun, hasilnya mengejutkan dan mengindikasikan kebingungan atau kesulitan yang mungkin terjadi di beberapa bisnis dengan PCI DSS.

"Saya akan merasa sangat sulit untuk menjelaskan mengapa saya tidak menggunakan SSL sebagai bagian dari kepatuhan PCI saya," Shulman kata. "Sepertinya saya terlalu banyak ruang untuk salah tafsir persyaratan, dan perusahaan menyalahgunakannya."

PCI DSS sedang dalam proses diperbarui, dan survei akan digunakan sebagai masukan. Dewan Standar Keamanan PCI, yang didirikan oleh perusahaan kartu kredit utama pada tahun 2006, mengumpulkan umpan balik hingga 31 Oktober untuk perubahan ke versi baru dari standar, yang akan dirilis pada September 2010.