Hasil Pencarian  ::  Simpan CSV :: Kembali

"Salah satu bentuk transaksi elektronik yang semakin diminati oleh masyarakat pada saat ini adalah dompet digital. Dengan penggunaan yang mudah karena tidak menggunakan uang sebagai alat pembayaran langsung, proses registrasi pendaftarannya juga tidak sulit untuk dilakukan. Di balik semua kemudahan yang ada dalam dompet digital, sebagai suatu aplikasi yang didalamnya terdapat dana yang berasal dari pengguna, aplikasi dompet digital ini menjadi salah satu aplikasi yang banyak diincar oleh pelaku serangan siber. Tesis ini membahas dan menelaah proses desain suatu kerangka kerja keamanan infrastruktur untuk layanan dompet digital yang menggunakan standarisasi kombinasi PCI DSS 4.0 dan COBIT 2019 dengan pendekatan analisis berbasis manajemen risiko. Desain kerangka kerja tersebut kemudian diimplementasikan dalam suatu lingkup organisasi dompet digital XYZ. Penerapan kerangka kerja ini berisikan rangkaian proses berupa identifikasi ruang lingkup, aset dan celah keamanan, asesmen risiko, pengendalian risiko dalam bentuk validitas dan penerapan kontrol serta pengamatan dan umpan balik dari penerapan kendali terhadap risiko. Dalam proses pencarian data untuk penerapan kerangka kerja ini dilakukan juga wawancara dengan jumlah 10 pertanyaan terkait kebijakan teknis kepada Kepala Bagian IT dan Senior Expert divisi IT dengan hasil wawancara berupa data-data aset kritikal, celah keamanan dan kerentanan yang timbul dan kebijakan yang sudah diambil perusahaan untuk mengurangi risiko yang ditimbulkan oleh serangan keamanan sistem infrastruktur. Hasil kuesioner terhadap desain kerangka kerja yang dilakukan menyatakan 100% setuju bahwa kerangka kerja ini memiliki langkah-langkah yang lengkap dan dapat menjadi tolok ukur untuk digunakan dalam layanan dompet digital akan tetapi hanya 66,7% responden yang menyatakan kerangka kerja ini mudah untuk diterapkan. Dari hasil penerapan kerangka kerja di organisasi dompet digital XYZ ditemukan terdapat 27 aset kritikal dengan 30 faktor risiko teridentifikasi, dan 14 risiko dalam level sangat tinggi, tinggi dan sedang yang perlu dilakukan pengendalian kontrol baru.

---

e-Wallets are one form of electronic transaction that is increasingly favored by everyone. Apart from the convenience of not having to carry physical cash as a direct means of payment, the registration process is also considered relatively easy to do. However, behind all the conveniences found in digital wallets, as an application that contains funds originating from users, these digital wallet applications have become one of the applications that are being aggressively targeted by cyber attackers. This thesis examines the process of developing an infrastructure security framework for e-wallet services by combining a standardized of PCI DSS 4.0 and COBIT 2019 with an analytical risk management approach. The framework design is then implemented into practice within the parameters of the XYZ e-wallet company. This framework's implementation process entails the number of steps, including scope, asset, and security vulnerability identification; risk assessment; risk control, including the implementation of controls and monitoring their effectiveness; and observation feedback on the process. In the process of searching for data to implement this framework, interviews were also conducted with the Head of IT Department and Senior IT Expert of the IT division, consisting of 10 questions related to technical policies. The interview results include critical asset data, security vulnerabilities and weaknesses that arise, and the company's policies already implemented to mitigate the risks posed by security attacks on the infrastructure system. According to the survey findings on the framework design, 100% of respondents agreed that this framework contained complete stages and could serve as a benchmark for usage in digital wallet services, however only 66.7% said that it was simple to put into practice. Following the framework's implementation, it was discovered that the XYZ e-wallet company had 27 important assets, 30 recognized risk factors, and 14 risks at very high, high, and medium levels that needed for new controls."

"Salah satu bentuk transaksi elektronik yang semakin diminati oleh masyarakat pada saat ini adalah dompet digital. Dengan penggunaan yang mudah karena tidak menggunakan uang sebagai alat pembayaran langsung, proses registrasi pendaftarannya juga tidak sulit untuk dilakukan. Di balik semua kemudahan yang ada dalam dompet digital, sebagai suatu aplikasi yang didalamnya terdapat dana yang berasal dari pengguna, aplikasi dompet digital ini menjadi salah satu aplikasi yang banyak diincar oleh pelaku serangan siber. Tesis ini membahas dan menelaah proses desain suatu kerangka kerja keamanan infrastruktur untuk layanan dompet digital yang menggunakan standarisasi kombinasi PCI DSS 4.0 dan COBIT 2019 dengan pendekatan analisis berbasis manajemen risiko. Desain kerangka kerja tersebut kemudian diimplementasikan dalam suatu lingkup organisasi dompet digital XYZ. Penerapan kerangka kerja ini berisikan rangkaian proses berupa identifikasi ruang lingkup, aset dan celah keamanan, asesmen risiko, pengendalian risiko dalam bentuk validitas dan penerapan kontrol serta pengamatan dan umpan balik dari penerapan kendali terhadap risiko. Dalam proses pencarian data untuk penerapan kerangka kerja ini dilakukan juga wawancara dengan jumlah 10 pertanyaan terkait kebijakan teknis kepada Kepala Bagian IT dan Senior Expert divisi IT dengan hasil wawancara berupa data-data aset kritikal, celah keamanan dan kerentanan yang timbul dan kebijakan yang sudah diambil perusahaan untuk mengurangi risiko yang ditimbulkan oleh serangan keamanan sistem infrastruktur. Hasil kuesioner terhadap desain kerangka kerja yang dilakukan menyatakan 100% setuju bahwa kerangka kerja ini memiliki langkah-langkah yang lengkap dan dapat menjadi tolok ukur untuk digunakan dalam layanan dompet digital akan tetapi hanya 66,7% responden yang menyatakan kerangka kerja ini mudah untuk diterapkan. Dari hasil penerapan kerangka kerja di organisasi dompet digital XYZ ditemukan terdapat 27 aset kritikal dengan 30 faktor risiko teridentifikasi, dan 14 risiko dalam level sangat tinggi, tinggi dan sedang yang perlu dilakukan pengendalian kontrol baru.

---

e-Wallets are one form of electronic transaction that is increasingly favored by everyone. Apart from the convenience of not having to carry physical cash as a

direct means of payment, the registration process is also considered relatively easy

to do. However, behind all the conveniences found in digital wallets, as an

application that contains funds originating from users, these digital wallet

applications have become one of the applications that are being aggressively

targeted by cyber attackers. This thesis examines the process of developing an

infrastructure security framework for e-wallet services by combining a standardized

of PCI DSS 4.0 and COBIT 2019 with an analytical risk management approach.

The framework design is then implemented into practice within the parameters of

the XYZ e-wallet company. This framework's implementation process entails the

number of steps, including scope, asset, and security vulnerability identification;

risk assessment; risk control, including the implementation of controls and

monitoring their effectiveness; and observation feedback on the process. In the

process of searching for data to implement this framework, interviews were also

conducted with the Head of IT Department and Senior IT Expert of the IT division,

consisting of 10 questions related to technical policies. The interview results

include critical asset data, security vulnerabilities and weaknesses that arise, and

the company's policies already implemented to mitigate the risks posed by security

attacks on the infrastructure system. According to the survey findings on the

framework design, 100% of respondents agreed that this framework contained

complete stages and could serve as a benchmark for usage in digital wallet services,

however only 66.7% said that it was simple to put into practice. Following the

framework's implementation, it was discovered that the XYZ e-wallet company had

27 important assets, 30 recognized risk factors, and 14 risks at very high, high, and medium levels that needed for new controls"

"Berkembangnya teknologi informasi dan komunikasi di berbagai sektor, termasuk pada Sistem Pembayaran, menjadikan pentingnya upaya terhadap pemenuhan keamanan siber. Pelaku industri pembayaran berbasis kartu, seperti merchants, pemroses, acquirers, penerbit, dan penyedia layanan pembayaran, perlu waspada dengan serangan siber yang selalu berkembang tiap saat dan dapat menjadi Insiden Siber. Terdapat peraturan perundang-undangan dan standar industri yang perlu diterapkan untuk mengantisipasi dan menanggulangi Insiden Siber. Indonesia telah memiliki aturan yang mengatur mekanisme operasional Penyelenggara Sistem Elektronik dalam menanggulangi Insiden Siber. Di lain sisi, asosiasi yang menaungi pelaku industri pembayaran berbasis kartu, yaitu PCI, juga telah memberikan panduan kepada anggotanya terkait penanggulangan insiden siber dengan mengeluarkan PCI DSS. Menarik untuk diteliti perbedaan mekanisme operasional dalam menanggulangi Insiden Siber yang diatur oleh pemerintah dengan yang dibuat oleh asosiasi swasta. Sebelum itu, perlu diteliti dulu apakah Sistem Elektronik yang digunakan dapat termasuk sebagai IIV di Indonesia. Lalu, bagaimana keberlakuan dari standar PCI DSS terhadap pelaku industri pembayaran berbasis kartu di Indonesia. Kemudian yang terakhir, bagaimana kesesuaian dari PCI DSS dengan hukum positif di Indonesia tentang penanggulangan insiden siber untuk mengetahui apakah ada tumpang tindih antara keduanya. Hasil penelitian ini menunjukkan bahwa Sistem Elektronik dalam industri pembayaran berbasis kartu, terutama yang berskala besar, memiliki potensi tinggi untuk dikategorikan sebagai IIV mengingat perannya yang krusial dalam transaksi dan ekonomi nasional. PCI DSS yang secara luas diadopsi sebagai praktik terbaik industri adalah relevan dan sejalan dengan regulasi keamanan siber di Indonesia, meskipun tidak bersifat wajib secara hukum, PCI DSS memberikan pedoman yang komprehensif bagi organisasi dalam melindungi data pemegang kartu. Namun, terdapat perbedaan dalam tingkat detail antara PCI DSS dan hukum positif di Indonesia. Oleh karena itu, untuk memastikan keamanan data yang optimal dan kepatuhan terhadap regulasi, entitas yang memproses data pemegang kartu perlu memenuhi baik persyaratan PCI DSS maupun hukum yang berlaku.

---

The development of information and communication technology in various sectors, including the Payment System, makes it important to fulfill cybersecurity efforts. Payment card industry, such as merchants, processors, acquirers, issuers, and service providers, need to be aware of cyber-attacks that are always developing at any time and can become Cyber Incidents. Indonesia already has rules governing the operational mechanisms of Operators in dealing with Cyber Incidents. The Payment Card Industry (PCI) has also provided guidance to its members regarding cyber incident response by issuing a standard, namely PCI DSS. It is interesting to investigate the differences in operational mechanisms in overcoming Cyber Incidents regulated by the government and those made by private associations. Before that, it is necessary to first investigate whether the Electronic System used can be included as IIV in Indonesia. Then, how is the applicability of the PCI DSS to PCI in Indonesia. Finally, how is the compatibility of PCI DSS with law in Indonesia regarding cyber incident countermeasures to find out if there is an overlap between the two. The results of this study show that Electronic Systems in the card-based payment industry, especially large-scale ones, have a high potential to be categorized as IIV given their crucial role in transactions and the national economy. PCI DSS, which is widely adopted as an industry best practice, is relevant and in line with Indonesia's cybersecurity regulations. Although not legally mandatory, PCI DSS provides comprehensive guidelines for organizations in protecting cardholder data. However, there are differences in the level of detail between the PCI DSS and the positive law in Indonesia. Therefore, to ensure optimal data security and regulatory compliance, entities that process cardholder data need to meet both the requirements of PCI DSS and the applicable law.

"

"Berkembangnya teknologi informasi dan komunikasi di berbagai sektor, termasuk pada Sistem Pembayaran, menjadikan pentingnya upaya terhadap pemenuhan keamanan siber. Pelaku industri pembayaran berbasis kartu, seperti merchants, pemroses, acquirers, penerbit, dan penyedia layanan pembayaran, perlu waspada dengan serangan siber yang selalu berkembang tiap saat dan dapat menjadi Insiden Siber. Terdapat peraturan perundang-undangan dan standar industri yang perlu diterapkan untuk mengantisipasi dan menanggulangi Insiden Siber. Indonesia telah memiliki aturan yang mengatur mekanisme operasional Penyelenggara Sistem Elektronik dalam menanggulangi Insiden Siber. Di lain sisi, asosiasi yang menaungi pelaku industri pembayaran berbasis kartu, yaitu PCI, juga telah memberikan panduan kepada anggotanya terkait penanggulangan insiden siber dengan mengeluarkan PCI DSS. Menarik untuk diteliti perbedaan mekanisme operasional dalam menanggulangi Insiden Siber yang diatur oleh pemerintah dengan yang dibuat oleh asosiasi swasta. Sebelum itu, perlu diteliti dulu apakah Sistem Elektronik yang digunakan dapat termasuk sebagai IIV di Indonesia. Lalu, bagaimana keberlakuan dari standar PCI DSS terhadap pelaku industri pembayaran berbasis kartu di Indonesia. Kemudian yang terakhir, bagaimana kesesuaian dari PCI DSS dengan hukum positif di Indonesia tentang penanggulangan insiden siber untuk mengetahui apakah ada tumpang tindih antara keduanya. Hasil penelitian ini menunjukkan bahwa Sistem Elektronik dalam industri pembayaran berbasis kartu, terutama yang berskala besar, memiliki potensi tinggi untuk dikategorikan sebagai IIV mengingat perannya yang krusial dalam transaksi dan ekonomi nasional. PCI DSS yang secara luas diadopsi sebagai praktik terbaik industri adalah relevan dan sejalan dengan regulasi keamanan siber di Indonesia, meskipun tidak bersifat wajib secara hukum, PCI DSS memberikan pedoman yang komprehensif bagi organisasi dalam melindungi data pemegang kartu. Namun, terdapat perbedaan dalam tingkat detail antara PCI DSS dan hukum positif di Indonesia. Oleh karena itu, untuk memastikan keamanan data yang optimal dan kepatuhan terhadap regulasi, entitas yang memproses data pemegang kartu perlu memenuhi baik persyaratan PCI DSS maupun hukum yang berlaku.

---

The development of information and communication technology in various sectors, including the Payment System, makes it important to fulfill cybersecurity efforts. Payment card industry, such as merchants, processors, acquirers, issuers, and service providers, need to be aware of cyber-attacks that are always developing at any time and can become Cyber Incidents. Indonesia already has rules governing the operational mechanisms of Operators in dealing with Cyber Incidents. The Payment Card Industry (PCI) has also provided guidance to its members regarding cyber incident response by issuing a standard, namely PCI DSS. It is interesting to investigate the differences in operational mechanisms in overcoming Cyber Incidents regulated by the government and those made by private associations. Before that, it is necessary to first investigate whether the Electronic System used can be included as IIV in Indonesia. Then, how is the applicability of the PCI DSS to PCI in Indonesia. Finally, how is the compatibility of PCI DSS with law in Indonesia regarding cyber incident countermeasures to find out if there is an overlap between the two. The results of this study show that Electronic Systems in the card-based payment industry, especially large-scale ones, have a high potential to be categorized as IIV given their crucial role in transactions and the national economy. PCI DSS, which is widely adopted as an industry best practice, is relevant and in line with Indonesia's cybersecurity regulations. Although not legally mandatory, PCI DSS provides comprehensive guidelines for organizations in protecting cardholder data. However, there are differences in the level of detail between the PCI DSS and the positive law in Indonesia. Therefore, to ensure optimal data security and regulatory compliance, entities that process cardholder data need to meet both the requirements of PCI DSS and the applicable law.

"