PCI DSS
Payment Card Industry Data Security Standard mewajibkan setiap organisasi yang memproses, menyimpan, atau mengirimkan data pemegang kartu untuk memelihara program kesadaran keamanan formal. Roleplays mengubah persyaratan itu menjadi pelatihan yang terukur dan menarik.
Apa itu PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) adalah standar keamanan informasi global yang dikembangkan oleh PCI Security Standards Council, yang didirikan oleh Visa, Mastercard, American Express, Discover, dan JCB. Saat ini dalam versi 4.0.1, PCI DSS mendefinisikan persyaratan teknis dan operasional untuk melindungi data pemegang kartu di sepanjang siklus pembayaran.
PCI DSS berlaku untuk organisasi mana pun yang menerima, memproses, menyimpan, atau mengirimkan informasi kartu kredit. Ini termasuk pedagang dari segala ukuran, pemroses pembayaran, acquirer, issuer, dan penyedia layanan. Dalam praktiknya, ini berarti agen call center yang menerima nomor kartu melalui telepon, karyawan ritel yang memproses transaksi, dan tim TI yang mengelola infrastruktur pembayaran semuanya termasuk dalam cakupan.
Ketidakpatuhan dapat mengakibatkan denda mulai dari $5.000 hingga $100.000 per bulan dari merek kartu, peningkatan biaya transaksi, hilangnya kemampuan untuk memproses pembayaran kartu, dan kerusakan reputasi yang signifikan setelah pelanggaran. Standar ini tidak opsional, ditegakkan melalui kewajiban kontraktual antara pedagang dan bank acquirer mereka.
Siapa yang harus mematuhi
- Call center yang menangani data kartu pembayaran
- Bisnis ritel dan e-commerce
- Bank, fintech, dan pemroses pembayaran
- Penyedia SaaS dalam ekosistem pembayaran
Konsekuensi ketidakpatuhan
- Denda hingga $100.000/bulan per merek kartu
- Peningkatan biaya pemrosesan transaksi
- Pencabutan hak istimewa pemrosesan kartu
- Tanggung jawab atas transaksi penipuan pasca-pelanggaran
Persyaratan pelatihan
PCI DSS v4.0 Persyaratan 12.6 menetapkan pelatihan kesadaran keamanan wajib untuk semua personel dengan akses ke lingkungan data pemegang kartu.
Persyaratan 12.6, Program Kesadaran Keamanan
Program kesadaran keamanan formal harus diterapkan untuk membuat semua personel sadar akan kebijakan dan prosedur keamanan data pemegang kartu. Ini lebih dari sekadar dokumen kebijakan, organisasi harus secara aktif mengedukasi karyawan tentang ancaman, penanganan data yang tepat, dan tanggung jawab individual mereka dalam melindungi data pemegang kartu.
Apa yang diverifikasi auditor QSA: Bahwa program terdokumentasi ada, disetujui oleh manajemen, dan mencakup semua personel, bukan hanya staf TI. Program harus menangani ancaman terkini dan disesuaikan dengan lingkungan data pemegang kartu spesifik organisasi.
Persyaratan 12.6.1, Program Kesadaran Formal
Program kesadaran keamanan harus ditinjau setidaknya sekali setiap 12 bulan dan diperbarui sesuai kebutuhan untuk menangani ancaman dan kerentanan baru. Program harus mencakup berbagai metode untuk mengomunikasikan kesadaran dan mengedukasi personel, misalnya, poster, surat, rapat, pelatihan berbasis web, atau latihan phishing tersimulasi.
Apa yang diverifikasi auditor QSA: Dokumentasi yang menunjukkan program ditinjau dan diperbarui dalam 12 bulan terakhir, dengan bukti berbagai saluran komunikasi yang digunakan.
Persyaratan 12.6.2, Pelatihan Tahunan
Personel harus menerima pelatihan kesadaran keamanan setidaknya sekali setiap 12 bulan. Karyawan baru harus menyelesaikan pelatihan saat onboarding. Ini adalah frekuensi minimum, organisasi yang menghadapi risiko lebih tinggi atau dengan pergantian karyawan lebih tinggi sebaiknya mempertimbangkan siklus pelatihan yang lebih sering.
Apa yang diverifikasi auditor QSA: Catatan penyelesaian pelatihan untuk semua personel dalam cakupan dalam 12 bulan terakhir, ditambah bukti bahwa karyawan baru menerima pelatihan sebelum memperoleh akses ke data pemegang kartu.
Persyaratan 12.6.3, Pengakuan Karyawan
Personel harus mengakui setidaknya sekali setiap 12 bulan bahwa mereka telah membaca dan memahami kebijakan serta prosedur kesadaran keamanan. Persyaratan ini memastikan karyawan tidak terdaftar secara pasif tetapi secara aktif terlibat dengan konten. Sekadar kotak centang tidak cukup, pengakuan harus menunjukkan keterlibatan yang bermakna.
Apa yang diverifikasi auditor QSA: Pengakuan yang ditandatangani atau dicatat secara elektronik dari semua personel dalam cakupan, bertanggal dalam 12 bulan terakhir. Auditor mencari bukti bahwa pengakuan terkait dengan penyelesaian pelatihan yang sebenarnya, bukan sekadar tanda tangan yang berdiri sendiri.
Bagaimana Roleplays membantu
Ganti presentasi slide dengan simulasi realistis yang menguji perilaku nyata, lalu dokumentasikan semua yang dibutuhkan QSA Anda.
Skenario spesifik PCI
Simulasi siap pakai untuk mode kegagalan PCI yang paling umum: panggilan rekayasa sosial yang meminta nomor kartu, email phishing yang menargetkan sistem pembayaran, tailgating ke area aman, dan penyimpanan data kartu yang tidak tepat. Skenario diperbarui seiring berkembangnya lanskap ancaman, memenuhi mandat tinjauan tahunan Persyaratan 12.6.1.
Pelatihan penyamaran data
Latih agen untuk tidak pernah membacakan ulang nomor kartu lengkap, menggunakan teknik penyamaran yang tepat (hanya menampilkan empat digit terakhir), dan mengenali ketika penelepon mencoba memancing lebih banyak data daripada yang diperlukan. Penelepon tersimulasi menguji apakah agen mengikuti protokol penyamaran di bawah tekanan.
Penilaian perilaku agen
Evaluasi AI multi-kriteria menilai setiap agen pada kesadaran keamanan, kepatuhan penanganan data, ketahanan terhadap rekayasa sosial, dan prosedur eskalasi yang tepat. Hasil dipetakan ke persyaratan PCI DSS tertentu, menyediakan bukti kompetensi yang diharapkan auditor QSA di luar sekadar catatan kehadiran.
Dokumentasi kepatuhan
Setiap sesi pelatihan menghasilkan catatan dengan stempel waktu termasuk identifikasi peserta, konten pelatihan, durasi, skor evaluasi, dan status penyelesaian. Ekspor laporan kepatuhan yang menunjukkan 100% personel dalam cakupan dilatih dalam jendela 12 bulan, persis seperti yang dituntut Persyaratan 12.6.2.
Pertahanan rekayasa sosial
Penyerang tersimulasi menggunakan taktik rekayasa sosial dunia nyata: berpura-pura sebagai dukungan TI, manipulasi berbasis urgensi, peniruan otoritas, dan serangan pretexting bertahap. Agen belajar mengenali dan menahan taktik ini di lingkungan yang aman sebelum menghadapinya dalam produksi.
Pengakuan bawaan
Menyelesaikan simulasi adalah pengakuan itu sendiri. Tidak seperti formulir kotak centang pasif, setiap sesi yang diselesaikan membuktikan karyawan secara aktif terlibat dengan konten keamanan. Catatan penyelesaian sesi berfungsi sebagai pengakuan Persyaratan 12.6.3, dengan stempel waktu penuh dan data kinerja sebagai bukti.
Pertanyaan yang sering diajukan
Apakah Roleplays memenuhi Persyaratan PCI DSS 12.6.2 untuk pelatihan tahunan?
Ya. Platform melacak tanggal penyelesaian pelatihan untuk setiap karyawan dan menghasilkan laporan yang menunjukkan status kepatuhan di seluruh organisasi Anda. Anda dapat mengonfigurasi siklus pelatihan tahunan atau lebih sering, mengatur pengingat otomatis untuk tenggat yang akan datang, dan mengekspor bukti penyelesaian dalam format yang diharapkan auditor QSA.
Bisakah kami membuat skenario yang spesifik untuk lingkungan call center kami?
Tentu saja. Selain skenario PCI siap pakai, Anda dapat membuat simulasi khusus yang mencerminkan alur panggilan, proses pembayaran, dan lanskap ancaman spesifik Anda. Misalnya, simulasikan penelepon yang meminta agen membacakan ulang nomor kartu lengkap mereka untuk "verifikasi", atau serangan pretexting di mana seseorang menyamar sebagai departemen TI Anda.
Bagaimana platform menangani persyaratan pengakuan Persyaratan 12.6.3?
Setiap simulasi yang diselesaikan berfungsi sebagai pengakuan aktif. Tidak seperti kotak centang pasif, menyelesaikan sesi pelatihan membuktikan karyawan terlibat dengan konten keamanan, memahami skenario yang disajikan, dan mendemonstrasikan kompetensi melalui tanggapan mereka. Catatan sesi mencakup stempel waktu, durasi, dan skor kinerja, bukti yang jauh lebih kuat daripada formulir yang ditandatangani.
Apakah konten pelatihan diperbarui seiring munculnya ancaman baru?
Ya. PCI DSS Persyaratan 12.6.1 mengharuskan program kesadaran keamanan ditinjau dan diperbarui setidaknya setahun sekali. Roleplays terus memperbarui pustaka skenarionya untuk mencerminkan ancaman terkini, teknik vishing, rekayasa sosial bertenaga AI, pola phishing baru. QSA Anda dapat memverifikasi bahwa konten pelatihan mencerminkan lanskap ancaman terkini.
Bisakah Roleplays sepenuhnya menggantikan pelatihan kesadaran keamanan kami yang sudah ada?
Roleplays dapat berfungsi sebagai alat utama pelatihan kesadaran keamanan PCI Anda, mencakup semua sub-persyaratan Persyaratan 12.6. Banyak organisasi menggunakannya bersama LMS yang sudah ada, Roleplays menangani komponen interaktif berbasis simulasi sementara LMS mengelola distribusi dan pelacakan dokumen kebijakan. API platform memungkinkan integrasi dengan sebagian besar sistem manajemen pembelajaran.
Patuhi lebih cepat.
Ganti presentasi slide tahunan dengan simulasi yang benar-benar menguji perilaku keamanan. Penuhi setiap sub-persyaratan PCI DSS 12.6 dengan bukti terdokumentasi.