1. Pengenalan PCI DSS

Dewan Standar Keamanan PCI adalah forum global dengan tujuan menetapkan standar keamanan untuk pengamanan data akun. Dewan didirikan oleh lima merek pembayaran utama (American Express, Discover Financial Services, JCB International, MasterCard, dan Visa Inc.).


Standar Keamanan Data PCI menetapkan persyaratan operasional dan teknis untuk entitas yang menyimpan, memproses, atau mengirimkan informasi kartu pembayaran, termasuk pedagang, prosesor, akuisisi, lembaga, dan penyedia layanan. PCI DSS diberikan dan dikelola oleh Dewan, namun, penegak kepatuhan terhadap PCI DSS dilakukan oleh merek-merek pembayaran.

2. Penerapan PCI DSS

Standar Keamanan Data PCI berlaku untuk semua entitas yang menyimpan, memproses atau mengirimkan informasi kartu pembayaran. Pedagang dapat dikategorikan ke dalam 4 tingkat, dari tingkat 1 hingga tingkat 4, berdasarkan volume transaksi per tahun dengan merek kartu pembayaran. Prinsip identifikasi tingkat pedagang ditentukan oleh merek kartu pembayaran. Oleh karena itu, pedagang perlu mencari tahu tingkat pedagang dengan mengonfirmasi kepada bank yang memperoleh. Dewan telah mendirikan mekanisme Pertanyaan Penilaian Mandiri untuk pedagang ukuran kecil ke sedang untuk validasi kepatuhan terhadap PCI DSS.


Pedagang perlu menentukan lebih lanjut jenis pertanyaan mana yang berlaku dan menyelesaikan kuesioner sesuai dengan instruksi dan panduan. Untuk jenis bisnis tertentu, misalnya, SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant dan SAQ D-Service Provider, pemindaian kerentanan triwulanan harus dilakukan oleh Vendor Pemindaian yang Disetujui (ASV) PCI SSC. Terakhir, pedagang harus melengkapi Atestasi Kepatuhan dan menyerahkan setiap dokumentasi yang diminta ke bank pengakuisisi untuk validasi.

3. Alibaba Cloud mematuhi PCI DSS

PCI DSS terdiri dari 12 persyaratan yang mencakup 6 kategori, termasuk membangun dan memelihara jaringan dan sistem yang aman, melindungi data pemegang kartu, memelihara program manajemen kerentanan, menerapkan langkah-langkah kontrol akses yang kuat, memantau dan menguji jaringan secara teratur, dan memelihara kebijakan keamanan informasi, untuk entitas yang berlaku untuk menilai apakah mereka telah mempertahankan lingkungan yang aman untuk melindungi data akun kartu pembayaran afiliasi mereka.


Alibaba Cloud terlibat dengan PCI SSC menyetujui coupler keamanan berkualifikasi (QSA) untuk melakukan penilaian tahunan onsite, yaitu, Bersertifikat level 1 PCI DSS v3.2.1. Cakupan penilaian PCI DSS mencakup produk cloud, layanan keamanan, dan layanan CDN yang tersedia di 12 wilayah global (termasuk Hong Kong). Laporan Atestasi Kepatuhan (AOC) tersedia untuk mengunduh. Untuk informasi lingkup yang lebih rinci, silakan lihat laporan AOC.

4. Bagaimana cara untuk mematuhi PCI DSS pada Alibaba Cloud

- Memahami tanggung jawab untuk memenuhi persyaratan PCI DSS

Kepatuhan Alibaba Cloud terhadap PCI DSS tidak berarti bahwa pelanggan kami juga memenuhi persyaratan dalam PCI DSS. Lingkungan penilaian untuk Alibaba Cloud adalah infrastruktur fisik dan virtual dasar yang mendukung layanan Alibaba Cloud, yang mencakup server fisik, sistem operasi host, jaringan, lingkungan virtualisasi, dan kontrol atas pengelolaan dan pengoperasian platform dan layanan Alibaba Cloud. Dengan mematuhi PCI DSS, Alibaba Cloud dapat menyediakan platform layanan cloud yang sangat aman dengan produk dan layanan keamanan untuk membantu pelanggan memenuhi kebutuhan keamanan di bawah PCI DSS.

Mengikuti model tanggung jawab keamanan bersama, Alibaba Cloud dan pelanggannya secara bersama-sama bertanggung jawab atas keamanan aplikasi pelanggan yang dibangun di Alibaba Cloud. Dalam 12 persyaratan PCI DSS, persyaratan terkait keamanan fisik hanya berlaku untuk Alibaba Cloud, lingkungan data pemilik kartu dan Kebijakan Keamanan informasi yang terkait berlaku hanya bagi pelanggan, dan persyaratan yang tersisa adalah upaya bersama antara Alibaba Cloud dan pelanggan kami.

- Penawaran Alibaba Cloud

Kami menyediakan Matriks Manajemen Tanggung Jawab PCI DSS Layanan Internasional Alibaba Cloud untuk pelanggan untuk memahami bagaimana mengandalkan laporan PCI AOC Alibaba Cloud dan apa yang harus mereka jawab per masing-masing persyaratan sehingga dapat mematuhi PCI DSS. Untuk informasi lebih lanjut, silakan unduh dokumen.

Secara umum, Pelanggan bertanggung jawab untuk mengonfigurasi dan menggunakan berbagai produk berbasis cloud dengan cara yang aman, dan membangun aplikasi dan layanan berbasis cloud mereka sendiri dengan cara yang aman dan dapat dikontrol berdasarkan kemampuan keamanan produk cloud tersebut untuk memastikan keamanan produk data di cloud. Alibaba Cloud menyediakan Cerdas dan Aman dengan Alibaba Cloud - Tinjauan Umum Layanan Keamanan yang menjelajahi skenario utama keamanan di enam domain.

- Dukungan lainnya dari Ekosistem Alibaba Cloud

Di pasar Alibaba Cloud, pelanggan dapat menikmati layanan PCI DSS Wizard yang disediakan oleh LGMS (Perusahaan Penilai Keamanan Berkualifikasi PCI internasional) gratis untuk menentukan jenis bisnis dan Tingkat Kepatuhan PCI DSS, diikuti oleh Wizard SAQ Kepatuhan PCI DSS LGMS, layanan Pemindaian ASV dan Pengesahan Kepatuhan yang tersedia di pasar sesuai dengan kebutuhan Anda.

LGMS PCI DSS Wizard >

Jika Anda ingin berbagi praktik terbaik atau kesulitan yang Anda temui selama perjalanan kepatuhan PCI DSS Anda dengan orang lain, jangan ragu untuk memublikasikannya di Forum Alibaba Cloud – Solusi.