Diterbitkan: 15 April 2024
Kontributor: Josh Schneider, Ian Smalley
Keamanan transaksi, yang juga dikenal sebagai keamanan pembayaran, mengacu pada kategori praktik, protokol, alat bantu, dan langkah-langkah keamanan lainnya yang digunakan selama dan setelah transaksi bisnis untuk melindungi informasi sensitif dan memastikan transfer data pelanggan yang aman dan terjamin.
Meskipun transaksi online menimbulkan tantangan unik bagi keamanan transaksi, transaksi online sangat penting bagi bisnis online dan offline dalam membangun kepercayaan konsumen, memitigasi penipuan, dan menjaga kepatuhan terhadap peraturan.
Bertepatan dengan peningkatan pesat e-commerce dan transaksi online, keamanan transaksi telah menjadi perhatian utama bagi setiap bisnis yang menangani pembayaran dan transfer aset berharga, seperti lembaga keuangan, pertukaran mata uang kripto, dan pengecer. Contoh penggunaan lainnya termasuk pasar game online, metode pembayaran alternatif seperti ApplePay dan Venmo, serta layanan apa pun yang bertanggung jawab untuk memproses dokumen hukum yang sensitif (seperti layanan pengajuan pajak online atau berbagai kantor resmi pemerintah).
Untuk mencegah kerugian finansial akibat transaksi penipuan dan memberikan pengalaman pengguna yang dapat dipercaya bagi pelanggan dan klien yang berbagi data pribadi mereka, langkah-langkah keamanan transaksi umum termasuk enkripsi data modern canggih, autentikasi multifaktor (MFA), dan tanda tangan digital. Protokol keamanan ini mengurangi risiko penipuan pembayaran dan pencurian data pelanggan yang diakibatkan oleh pelanggaran keamanan, yang mungkin banyak bisnis bertanggung jawab secara hukum, tergantung pada yurisdiksinya.
Meskipun sebagian besar tindakan keamanan transaksi dilakukan selama transaksi itu sendiri, keamanan transaksi juga mencakup kebijakan bisnis internal yang mengatur perlakuan terhadap data transaksi sensitif yang disimpan oleh organisasi atau bisnis, seperti nomor kartu kredit dan nomor rekening. Bagi para profesional keamanan siber yang berinvestasi dalam keamanan database, keamanan transaksi tidak hanya berarti memantau transaksi online secara real-time untuk aktivitas yang mencurigakan dan transaksi yang tidak sah, tetapi juga secara proaktif mengidentifikasi dan memitigasi setiap kerentanan keamanan internal. Penyedia layanan sistem keamanan transaksi modern sering kali menggabungkan fungsionalitas notifikasi yang dapat disesuaikan dan otomatisasi lainnya untuk memfasilitasi transaksi yang aman dalam skala besar.
Evolusi AI mengubah cara kita mendefinisikan dan melakukan pekerjaan serta cara kita mendukung orang-orang yang melakukannya. Ketahui cara pemimpin SDM memimpin dan menerapkan AI untuk mendorong transformasi SDM dan talenta.
Berlangganan Buletin IBM
Ancaman terhadap keamanan transaksi sering bersinggungan atau berkontribusi pada ancaman keamanan siber yang lebih luas. Berikut ini adalah daftar singkat dari beberapa ancaman keamanan transaksi yang paling umum.
Penipuan phishing, yaitu ketika penjahat siber menggunakan pesan palsu untuk memanipulasi target agar mengungkapkan informasi sensitif, menimbulkan ancaman bagi pelanggan dan bisnis. Penipuan phishing sering kali menargetkan konsumen untuk mencuri informasi kartu kredit mereka secara langsung untuk digunakan dalam transaksi penipuan. Mereka juga dapat menargetkan bisnis dalam upaya untuk mencuri informasi pembayaran pelanggan secara massal.
Meskipun transaksi secara langsung biasanya membutuhkan kartu kredit fisik, transaksi yang dilakukan secara online atau melalui telepon sering kali hanya membutuhkan nomor kartu kredit. Celah ini dapat membuka peluang terjadinya penipuan card-not-present berbasis online atau telepon, di mana penipu menggunakan nomor yang dicuri untuk melakukan transaksi palsu. Meskipun pelanggan mungkin masih menyimpan kartu kredit fisik mereka, mereka mungkin sama sekali tidak menyadari bahwa detail kartu mereka telah dicuri.
Risiko lain yang ditimbulkan oleh phishing adalah penipuan pengambilalihan akun. Penipu dapat menggunakan phishing atau cara lain untuk menyita akses tidak sah ke rekening perbankan atau belanja online konsumen dan melanjutkan untuk melakukan pembelian tidak sah.
Penipuan BEC juga merupakan konsekuensi umum dari skema phishing yang berhasil. Ketika penjahat siber mendapatkan akses ke akun email bisnis yang disusupi, mereka mungkin menyamar sebagai karyawan atau vendor yang berwenang dan mencoba meminta transfer uang tidak sah.
Risiko lain yang dihasilkan dari serangan phishing yang berhasil, SIF adalah jenis penipuan di mana scammer menggunakan kombinasi informasi identifikasi pribadi (PII) nyata yang dicuri untuk membuat identitas palsu untuk berbagai kegiatan penipuan, seperti skema default pembayaran di mana scammer membeli produk secara kredit atau layaway tanpa niat melakukan pembayaran di masa depan.
Bentuk serangan siber yang terkenal, selama serangan MITM, seorang peretas akan diam-diam memposisikan diri di antara dua pihak yang percaya bahwa mereka memiliki koneksi pribadi. Penyerang dapat mencoba memanipulasi data yang ditransfer atau sekadar menguping untuk mencuri informasi pembayaran pribadi yang mungkin dibagikan.
Dengan kemajuan teknologi baru yang berkelanjutan, serta strategi serangan penjahat siber yang terus berkembang, para pakar terus berupaya meningkatkan keamanan transaksi melalui semua vektor yang tersedia. Berikut ini adalah beberapa metode paling umum untuk memperkuat keamanan transaksi:
Tulang punggung privasi data, bisnis dan pelanggan mengandalkan enkripsi data untuk melindungi informasi sensitif selama dan setelah transaksi. Standar enkripsi yang umum digunakan seperti Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) sering digunakan selama transaksi online untuk mencegah akses yang tidak sah, perusakan, dan pencurian.
Tokenisasi adalah proses yang menggantikan data pelanggan yang sensitif, seperti nomor kartu kredit, dengan token unik yang tidak dapat digunakan untuk melakukan transaksi penipuan atau merekayasa informasi pembayaran asli. Token ini kemudian digunakan untuk mereferensikan informasi pembayaran asli, yang disimpan dalam brankas token yang aman. Tokenisasi mengurangi risiko yang terkait dengan pelanggaran data dan menyederhanakan kepatuhan terhadap peraturan karena token itu sendiri tidak berguna bahkan jika jatuh ke tangan yang salah.
Sebagai bentuk dasar keamanan transaksi, praktik autentikasi sudah lama mendahului era internet. Jika di masa lalu, pedagang mungkin meminta bentuk identifikasi foto sebelum menerima cek pribadi, langkah-langkah otentikasi digital modern telah meningkat dalam kecanggihannya. Autentikasi faktor tunggal (SFA) memerlukan satu bentuk identifikasi, seperti kata sandi atau pin; autentikasi dua faktor (2FA) memerlukan bentuk identifikasi tambahan, seperti kode sandi sekali pakai yang dikirim ke perangkat atau email yang terdaftar. Metode autentikasi standar lainnya termasuk memerlukan nilai verifikasi kartu (CVV) untuk pembayaran kartu kredit dan autentikasi biometrik (seperti pengenalan wajah atau pemindaian sidik jari).
Gerbang pembayaran yang aman adalah bagian penting dalam membangun keamanan transaksi yang kuat dan membangun serta menjaga kepercayaan pelanggan. Gateway ini memungkinkan pemrosesan transaksi antara pelanggan, bisnis dan pemroses pembayaran atau bank yang mengakuisisi. Gerbang pembayaran yang aman sering kali menggabungkan berbagai teknik keamanan transaksi, termasuk enkripsi, tokenisasi, dan autentikasi, untuk memastikan keamanan data.
Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) (tautan berada di luar ibm.com) adalah seperangkat standar keamanan transaksi yang dikembangkan oleh Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC), sebuah forum global pemangku kepentingan industri pembayaran.
Dikembangkan untuk mendorong adopsi standar keamanan data dan sumber daya untuk pembayaran yang aman di seluruh dunia, kepatuhan PCI DSS membantu bisnis memenuhi persyaratan regulasi sekaligus menjaga keamanan data pelanggan.
Untuk memenuhi kepatuhan PCI DSS, bisnis harus melakukan hal berikut:
- Membangun dan memelihara jaringan dan sistem yang aman: Menginstal dan memelihara konfigurasi firewall untuk melindungi data pemegang kartu. Menghindari menggunakan default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya.
- Melindungi data pemegang kartu: Mengenkripsi transmisi data pemegang kartu di jaringan publik yang terbuka.
- Mempertahankan program manajemen kerentanan: Mengembangkan dan memelihara sistem dan aplikasi yang aman serta melindungi semua sistem dari malware dengan perangkat lunak atau program anti-virus yang diperbarui secara berkala.
- Menerapkan langkah-langkah kontrol akses yang kuat: Mengidentifikasi dan mengautentikasi akses ke komponen sistem. Membatasi akses fisik ke data pemegang kartu dan membatasi akses internal ke data pemegang kartu dengan persyaratan berbasis bisnis yang perlu diketahui
- Memantau dan menguji jaringan secara teratur: Melacak dan memantau semua akses ke sumber daya jaringan dan data pemegang kartu dengan pengujian rutin untuk sistem dan proses keamanan.
- Mempertahankan kebijakan keamanan informasi: Mempertahankan kebijakan terkait keamanan informasi untuk semua personel.
IBM CICS Transaction Server, sering disebut CICS, adalah platform server aplikasi bahasa campuran kelas dunia yang aman, canggih, dapat diskalakan, dan dapat digunakan untuk menghosting aplikasi perusahaan transaksional Anda dalam arsitektur hybrid.
Sistem operasi yang sangat aman dan dapat diskalakan untuk menjalankan aplikasi yang sangat penting. IBM z/OS adalah sistem operasi (OS) untuk mainframe IBM Z, cocok untuk operasi bervolume tinggi yang berkelanjutan dengan keamanan dan stabilitas tinggi. Dengan IBM z/OS, Anda dapat mendorong transformasi bisnis dan mempercepat inovasi.
Mempercepat dan mencapai tujuan bisnis dengan IBM Consulting. Kami membantu Anda mewujudkan modernisasi aplikasi yang dibuat khusus untuk menyederhanakan manajemen teknologi dan mengurangi biaya dengan menanamkan dan mengoperasionalkan teknologi baru ke dalam proses bisnis inti dan strategi platform Anda.
Melindungi pengguna, aset, dan data Anda dengan mengelola dan mencegah penipuan sebelum terjadi. IBM Security membantu menyederhanakan upaya pencegahan penipuan Anda dan membangun kepercayaan identitas digital yang menyediakan autentikasi tanpa gesekan dan berkelanjutan di sepanjang perjalanan pengguna, sehingga menciptakan pengalaman pengguna yang positif.
Manajemen transaksi adalah proses integral dari sistem manajemen database (DBMS) ketika perangkat lunak manajemen transaksi mengawasi, mengoordinasikan, dan mengeksekusi setiap transaksi yang dicoba.
Sistem pemrosesan transaksi (TPS) adalah jenis perangkat lunak pemrosesan informasi manajemen data yang digunakan selama transaksi bisnis untuk mengelola pengumpulan dan pengambilan data pelanggan dan bisnis.
Autentikasi multi-faktor (MFA) adalah metode verifikasi identitas di mana pengguna harus memberikan setidaknya 2 bukti, seperti kata sandi dan kode sandi sementara, untuk membuktikan identitas mereka.
Keamanan database mengacu pada berbagai alat, kontrol, dan tindakan yang dirancang untuk membangun dan menjaga kerahasiaan, integritas, dan ketersediaan database. Kerahasiaan adalah elemen yang disusupi dalam sebagian besar pelanggaran data.
Pelanggaran data adalah setiap insiden keamanan di mana pihak yang tidak berwenang mendapatkan akses ke data sensitif atau informasi rahasia, termasuk data pribadi (nomor Jaminan Sosial, nomor rekening bank, data layanan kesehatan) atau data perusahaan (catatan data pelanggan, kekayaan intelektual, informasi keuangan).
Keamanan siber mengacu pada teknologi, langkah-langkah, atau praktik apa pun untuk mencegah serangan siber atau mengurangi dampaknya.