Autentikasi PCI DSS 4.0: Passkeys

Lanskap digital terus berevolusi, dan seiring dengannya, kecanggihan dan frekuensi ancaman siber terus meningkat. Data kartu pembayaran tetap menjadi target utama bagi para pelaku kejahatan, sehingga standar keamanan yang kuat menjadi esensial bagi setiap organisasi yang menanganinya. Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) telah lama menjadi tolok ukur untuk melindungi data pemegang kartu. Iterasi terbarunya, PCI DSS 4.0, merupakan langkah maju yang signifikan, yang secara langsung mengatasi ancaman modern melalui, di antara peningkatan lainnya, persyaratan autentikasi yang diperkuat secara substansial.

Saat organisasi menangani tuntutan baru ini, teknologi yang sedang berkembang menawarkan solusi yang menjanjikan. Passkeys, yang dibangun di atas standar FIDO (Fast Identity Online) Alliance dan protokol WebAuthn, berada di garis depan gelombang baru autentikasi ini. Passkeys menawarkan pendekatan tanpa kata sandi yang tahan phishing dan meningkatkan cara akses ke data sensitif diamankan. Artikel ini menganalisis perubahan penting yang dibawa oleh PCI DSS 4.0, terutama terkait autentikasi yang aman, mengeksplorasi kemampuan autentikasi passkey, dan menyediakan peta jalan untuk memanfaatkan teknologi ini guna mencapai dan mempertahankan kepatuhan.

Eksplorasi ini mengarah pada dua pertanyaan penting bagi organisasi yang menavigasi ranah baru ini:

1. Autentikasi: Seiring PCI DSS 4.0 menaikkan standar autentikasi, bagaimana organisasi dapat secara efektif memenuhi persyaratan baru yang ketat ini tanpa membebani pengguna atau tim keamanan?
2. Passkeys & Kepatuhan PCI: Dapatkah teknologi baru seperti passkeys memenuhi kontrol autentikasi PCI DSS 4.0, meningkatkan keamanan, dan memperbaiki efisiensi operasional?

Artikel ini bertujuan untuk memberikan jawaban, membimbing para profesional teknis menuju masa depan yang lebih aman dan patuh.

Untuk memahami peran passkeys dalam lanskap kepatuhan saat ini, penting untuk memahami kerangka kerja PCI DSS dan evolusi signifikan yang ditandai oleh versi 4.0.

Standar Keamanan Data PCI adalah standar keamanan informasi global yang dirancang untuk melindungi data pembayaran. Standar ini berlaku untuk semua entitas yang menyimpan, memproses, atau mentransmisikan data pemegang kartu, yang mencakup merchant, pemroses, acquirer, issuer, dan penyedia layanan. Standar ini dikembangkan oleh merek kartu pembayaran utama (American Express, Discover Financial Services, JCB International, MasterCard, dan Visa) yang membentuk Dewan Standar Keamanan PCI (PCI SSC) pada 7 September 2006, untuk mengelola evolusinya yang berkelanjutan. PCI DSS terdiri dari serangkaian persyaratan teknis dan operasional yang komprehensif, membentuk dasar untuk melindungi data pembayaran di seluruh siklus hidupnya.

PCI SSC beroperasi sebagai forum global, menyatukan para pemangku kepentingan industri pembayaran untuk mengembangkan dan mendorong adopsi standar keamanan data dan sumber daya untuk pembayaran yang aman di seluruh dunia. Selain PCI DSS, Dewan ini mengelola berbagai standar yang menangani berbagai aspek keamanan pembayaran. Misinya adalah untuk meningkatkan keamanan data akun pembayaran global dengan mengembangkan standar dan layanan pendukung yang mendorong pendidikan, kesadaran, dan implementasi yang efektif oleh para pemangku kepentingan.

Standar PCI DSS 4.0, yang secara resmi dirilis pada Maret 2022, dengan revisi minor berikutnya (v4.0.1) untuk menanggapi umpan balik pemangku kepentingan, menandai pembaruan paling signifikan pada standar ini dalam beberapa tahun terakhir. Pendorong utama evolusi ini adalah kebutuhan untuk mengatasi lanskap ancaman siber yang semakin canggih dan lingkungan teknologi yang berubah dalam industri pembayaran.

Tujuan inti dari PCI DSS 4.0 adalah:

• Memenuhi kebutuhan keamanan industri pembayaran yang terus berkembang: Memastikan standar tetap efektif terhadap ancaman saat ini dan yang akan datang, seperti phishing berbasis AI.
• Mempromosikan keamanan sebagai proses berkelanjutan: Mengalihkan fokus dari kepatuhan sesaat ke disiplin keamanan yang berkelanjutan.
• Meningkatkan metode dan prosedur validasi: Meningkatkan ketelitian dan konsistensi penilaian kepatuhan.
• Menambahkan fleksibilitas dan mendukung metodologi tambahan: Memberi organisasi lebih banyak keleluasaan dalam cara mereka mencapai tujuan dan hasil keamanan.

PCI DSS 4.0 memperkenalkan beberapa perubahan mendasar yang memengaruhi cara organisasi mendekati kepatuhan:

Fokus pada Hasil Keamanan vs. Kontrol Preskriptif

Perubahan penting adalah pergeseran dari kontrol yang sebagian besar bersifat preskriptif ke penekanan pada hasil keamanan. Standar itu sendiri menguraikan fleksibilitas ini:

Pergeseran ini berarti bahwa sementara PCI DSS 3.2.1 menawarkan instruksi terperinci tentang apa yang harus dilakukan, versi 4.0 memungkinkan organisasi lebih banyak fleksibilitas dalam bagaimana mereka memenuhi persyaratan. Bisnis dapat menerapkan kontrol yang paling sesuai dengan lingkungan mereka, asalkan mereka dapat menunjukkan bahwa kontrol ini mencapai tujuan keamanan yang dinyatakan. Hal ini sangat relevan untuk mengadopsi teknologi inovatif seperti passkeys, yang mungkin tidak cocok dengan deskripsi kontrol yang lebih tua dan lebih kaku. Fleksibilitas ini, bagaimanapun, datang dengan harapan bahwa organisasi akan melakukan penilaian risiko yang menyeluruh dan dengan jelas membenarkan metodologi kontrol yang mereka pilih.

Keamanan Berkelanjutan (Business-as-Usual)

Prinsip kunci lain dalam PCI DSS 4.0 adalah promosi keamanan sebagai proses yang berkelanjutan, atau business-as-usual (BAU). Standar ini merincinya di Bagian 5:

Penekanan pada proses "business-as-usual" (BAU) ini berarti organisasi harus menanamkan keamanan ke dalam aktivitas rutin mereka. Ini tentang menumbuhkan budaya di mana keamanan bukan lagi renungan atau kesibukan tahunan, melainkan bagian integral dari operasi, memastikan pemantauan berkelanjutan, penilaian rutin, dan postur keamanan yang adaptif untuk memastikan perlindungan data pemegang kartu yang berkelanjutan. Untuk implementasi passkey, ini berarti kewaspadaan berkelanjutan dalam memantau efektivitasnya, pola adopsi pengguna, dan setiap ancaman yang muncul, menjadikan keamanan sebagai upaya berkelanjutan daripada latihan kepatuhan sesaat.

Implementasi yang Disesuaikan & Analisis Risiko Tertarget

Fitur baru yang signifikan dalam PCI DSS 4.0 adalah opsi yang diformalkan untuk implementasi yang disesuaikan, yang secara intrinsik terkait dengan penilaian risiko yang ketat. Standar ini mengamanatkan hubungan ini dalam Persyaratan 12.3.2:

Opsi yang diformalkan ini memungkinkan organisasi untuk memenuhi tujuan keamanan menggunakan teknologi baru dan kontrol inovatif yang disesuaikan dengan lingkungan unik mereka, daripada secara ketat mematuhi metode preskriptif. Namun, seperti yang ditekankan oleh kutipan tersebut, fleksibilitas ini didasarkan pada pelaksanaan analisis risiko tertarget untuk setiap kontrol yang disesuaikan. Analisis ini harus didokumentasikan, disetujui oleh manajemen senior, dan ditinjau setiap tahun. Penilai pihak ketiga (Qualified Security Assessor atau QSA) kemudian memvalidasi kontrol yang disesuaikan ini dengan meninjau pendekatan yang didokumentasikan organisasi, termasuk analisis risiko, dan mengembangkan prosedur pengujian khusus. Jalur ini adalah pendorong utama untuk solusi seperti passkeys, yang memungkinkan organisasi untuk memanfaatkan fitur keamanan canggih mereka secara efektif, asalkan mereka dapat menunjukkan melalui penilaian risiko bahwa pendekatan mereka memenuhi tujuan keamanan. Kemampuan untuk menyesuaikan implementasi, didukung oleh analisis risiko yang kuat, mencerminkan pemahaman bahwa evolusi cepat dari ancaman dan teknologi pertahanan membuat kontrol preskriptif yang kaku menjadi kurang adaptif seiring waktu.

Linimasa Transisi

PCI DSS 3.2.1 tetap aktif bersama v4.0 hingga 31 Maret 2024, setelah itu standar tersebut dipensiunkan. Persyaratan baru yang diperkenalkan dalam PCI DSS 4.0 dianggap sebagai praktik terbaik hingga 31 Maret 2025. Setelah tanggal ini, persyaratan baru ini menjadi wajib untuk semua penilaian. Pendekatan bertahap ini memberi organisasi jendela waktu untuk memahami, merencanakan, dan menerapkan perubahan.

Perubahan-perubahan ini secara kolektif menandakan pendekatan yang lebih matang, adaptif, dan berfokus pada risiko terhadap keamanan kartu pembayaran, yang menyiapkan panggung untuk adopsi mekanisme autentikasi yang lebih kuat dan modern.

Kegagalan untuk mematuhi persyaratan PCI DSS bukan sekadar kelalaian; hal ini membawa konsekuensi signifikan dan multifaset yang dapat sangat memengaruhi stabilitas keuangan, kedudukan hukum, dan reputasi organisasi.

Konsekuensi paling langsung dari ketidakpatuhan adalah pengenaan denda finansial. Denda ini biasanya dikenakan oleh bank acquirer dan pemroses pembayaran, bukan secara langsung oleh PCI SSC. Denda bisa sangat besar, berkisar dari $5.000 hingga $100.000 per bulan, tergantung pada volume transaksi yang diproses (yang menentukan level merchant, misalnya, Level 1 untuk lebih dari 6 juta transaksi per tahun vs. Level 4 untuk di bawah 20.000 transaksi e-commerce) serta durasi dan tingkat keparahan ketidakpatuhan. Misalnya, merchant Level 1 yang tidak patuh selama beberapa bulan lebih mungkin menghadapi denda di ujung atas kisaran ini, sementara bisnis Level 4 yang lebih kecil mungkin dikenakan denda mendekati $5.000 per bulan.

Penting untuk dipahami bahwa denda ini bisa menjadi beban bulanan yang berulang. Tekanan finansial yang terus-menerus ini, yang berpotensi diperparah oleh peningkatan biaya transaksi yang mungkin dikenakan oleh pemroses pembayaran kepada bisnis yang tidak patuh, berarti bahwa biaya kumulatif dari ketidakpatuhan jauh melebihi investasi yang diperlukan untuk mencapai dan mempertahankan kepatuhan. Hal ini membingkai ulang kepatuhan bukan sebagai pusat biaya semata, tetapi sebagai investasi mitigasi risiko yang kritis. Berinvestasi dalam langkah-langkah keamanan yang kuat, termasuk autentikasi yang kuat seperti passkeys, menjadi keputusan yang bijaksana secara finansial untuk menghindari biaya yang lebih besar, seringkali tidak terduga, dan berpotensi melumpuhkan ini.

Selain denda langsung, ketidakpatuhan dapat menyebabkan tantangan hukum yang serius, terutama jika mengakibatkan pelanggaran data. Pelanggan yang datanya disusupi dapat mengajukan gugatan, dan merek kartu juga dapat mengambil tindakan hukum. Status tidak patuh dapat membuatnya jauh lebih mudah bagi penggugat untuk menunjukkan kelalaian di pihak organisasi, yang berpotensi menyebabkan penyelesaian dan putusan yang mahal.

Salah satu konsekuensi yang paling merusak, meskipun kurang dapat diukur, adalah kerusakan pada reputasi organisasi. Satu kegagalan kepatuhan, terutama yang mengarah pada pelanggaran data, dapat secara serius mengikis kepercayaan pelanggan. Sekali hilang, kepercayaan ini sulit untuk didapatkan kembali, sering kali mengakibatkan pelanggan beralih, kehilangan bisnis ke pesaing, dan kerusakan jangka panjang pada citra merek. Pelanggaran yang berulang atau parah bahkan dapat menyebabkan pencabutan hak pemrosesan pembayaran organisasi oleh merek kartu atau bank acquirer, yang secara efektif memutus kemampuan mereka untuk menerima pembayaran kartu. Hal ini menggarisbawahi pentingnya memandang kepatuhan bukan hanya sebagai persyaratan teknis tetapi sebagai komponen fundamental dari kepercayaan merek dan kelangsungan bisnis.

Jika ketidakpatuhan berkontribusi pada pelanggaran data, organisasi kemungkinan akan bertanggung jawab atas biaya kompensasi yang besar di atas denda dan biaya hukum. Biaya-biaya ini dapat mencakup penyediaan layanan kepada pelanggan yang terkena dampak seperti pemantauan kredit gratis, asuransi pencurian identitas, dan penggantian biaya untuk tagihan penipuan atau biaya layanan. Selain itu, biaya penerbitan ulang kartu pembayaran yang disusupi, diperkirakan $3 hingga $5 per kartu, dapat dengan cepat meningkat menjadi jutaan dolar untuk pelanggaran yang memengaruhi sejumlah besar pemegang kartu. Sebaliknya, jika sebuah organisasi mengalami pelanggaran saat sepenuhnya patuh terhadap PCI DSS, denda terkait dapat diturunkan atau bahkan dihilangkan, karena kepatuhan menunjukkan uji tuntas dan komitmen terhadap keamanan, bukan kelalaian.

Berbagai hasil negatif yang potensial menyoroti bahwa kepatuhan PCI DSS adalah aspek yang sangat diperlukan dari operasi bisnis modern untuk setiap entitas yang terlibat dalam ekosistem kartu pembayaran.

Persyaratan 8 dari PCI DSS selalu menjadi landasan standar. Dengan versi 4.0, ketentuannya telah diperkuat secara signifikan, mencerminkan peran penting dari autentikasi yang kuat dalam mencegah akses tidak sah ke data pemegang kartu yang sensitif dan sistem yang memprosesnya.

Tujuan utama dari Persyaratan 8 adalah untuk memastikan bahwa setiap individu yang mengakses komponen sistem di dalam Lingkungan Data Pemegang Kartu (CDE) atau yang terhubung dengannya dapat diidentifikasi secara unik dan diautentikasi dengan kuat. Hal ini penting untuk menjaga integritas dan keamanan data pemegang kartu dengan mencegah akses tidak sah dan memastikan bahwa semua tindakan dapat dilacak kembali ke pengguna tertentu yang dikenal, sehingga membangun akuntabilitas individu.

Evolusi utama dalam PCI DSS 4.0 adalah perluasan dan penguatan persyaratan Autentikasi Multi-Faktor (MFA):

• MFA Universal untuk Akses CDE: Tidak seperti PCI DSS 3.2.1, yang terutama mengamanatkan MFA untuk akses administratif dan semua akses jarak jauh ke CDE, versi 4.0 memerlukan MFA untuk semua akses ke CDE. Ini termasuk akses oleh administrator, pengguna umum, dan vendor pihak ketiga, terlepas dari apakah akses berasal dari dalam atau luar jaringan. Perluasan signifikan ini menggarisbawahi pengakuan PCI SSC terhadap MFA sebagai kontrol keamanan fundamental.
  Standar ini menetapkan persyaratan ini:

  Kutipan Persyaratan 8

  "8.4.1 MFA diterapkan untuk semua akses non-konsol ke CDE bagi personel dengan akses administratif." 

  "8.4.3 MFA diterapkan untuk semua akses jarak jauh yang berasal dari luar jaringan entitas yang dapat mengakses atau memengaruhi CDE." 

• Persyaratan Faktor: Implementasi MFA harus menggunakan setidaknya dua dari tiga jenis faktor autentikasi yang diakui:

  • Sesuatu yang Anda ketahui (misalnya, kata sandi, PIN)
  • Sesuatu yang Anda miliki (misalnya, perangkat token, smart card, atau perangkat yang menyimpan passkey)
  • Sesuatu yang Anda miliki (misalnya, data biometrik seperti sidik jari atau pengenalan wajah). Yang terpenting, faktor-faktor ini harus independen, artinya kompromi satu faktor tidak membahayakan faktor lainnya.

• Integritas Sistem MFA: Sistem MFA harus dirancang untuk menahan serangan replay (di mana penyerang mencegat dan menggunakan kembali data autentikasi) dan harus memberikan akses hanya setelah semua faktor autentikasi yang diperlukan berhasil divalidasi.

• Tidak Ada Bypass yang Tidak Sah: MFA tidak boleh dapat dilewati oleh pengguna mana pun, termasuk administrator, kecuali pengecualian spesifik yang didokumentasikan diberikan oleh manajemen berdasarkan per-kasus untuk periode waktu yang terbatas.

• Autentikasi Tahan Phishing sebagai Pengecualian: PCI DSS 4.0 juga memperkenalkan panduan tambahan mengenai faktor autentikasi yang tahan phishing, yang dalam beberapa kasus, dapat memenuhi maksud dari MFA.

  Kutipan Persyaratan 8

  "Persyaratan ini tidak berlaku untuk … akun pengguna yang hanya diautentikasi dengan faktor autentikasi yang tahan phishing." — Catatan Penerapan untuk 8.4.2 

  "Autentikasi tahan phishing … Contoh autentikasi tahan phishing termasuk FIDO2." — Lampiran G, Definisi Glosarium Autentikasi Tahan Phishing 

  Implikasi dari autentikasi tahan phishing, seperti yang disorot oleh kutipan-kutipan ini, akan dieksplorasi lebih lanjut di bagian berikutnya (4.3).

PCI DSS 4.0 memberikan penekanan yang nyata pada penggunaan metode autentikasi yang tahan phishing. Ini adalah respons langsung terhadap prevalensi dan keberhasilan serangan phishing dalam mengkompromikan kredensial tradisional.

• Autentikasi Tahan Phishing sebagai Alternatif/Pelengkap MFA:
  • Perkembangan penting di bawah Persyaratan 8.4.2 adalah bahwa metode autentikasi tahan phishing dapat digunakan sebagai pengganti MFA tradisional untuk semua akses non-administratif ke CDE yang berasal dari dalam jaringan entitas. Ini adalah ketentuan signifikan untuk teknologi seperti passkeys, yang secara inheren tahan phishing. Ini menandakan bahwa PCI SSC memandang metode canggih ini memberikan tingkat jaminan yang sebanding atau bahkan lebih unggul dari beberapa kombinasi MFA tradisional untuk kasus penggunaan spesifik ini.

**Namun, untuk akses administratif ke CDE (Persyaratan 8.4.1) dan untuk semua akses jarak jauh yang berasal dari luar jaringan entitas ke CDE (Persyaratan 8.4.3), meskipun autentikasi tahan phishing sangat direkomendasikan, itu harus dikombinasikan dengan setidaknya satu faktor autentikasi lain untuk memenuhi persyaratan MFA. Perbedaan ini memerlukan pendekatan bernuansa untuk implementasi passkey, berpotensi strategi berjenjang di mana passkeys saja sudah cukup untuk pengguna internal umum, tetapi passkeys yang dikombinasikan dengan faktor lain digunakan untuk skenario akses berisiko lebih tinggi.

• Pengakuan FIDO dan Wawasan Ahli: Standar ini secara khusus menyebutkan autentikasi berbasis FIDO (yang mendasari passkeys) sebagai metode yang lebih disukai untuk mencapai MFA, sebagian besar karena karakteristiknya yang kuat dan tahan phishing. Wawasan lebih lanjut tentang topik ini dibagikan dalam episode podcast PCI SSC "Coffee with the Council", "Passwords Versus Passkeys: A Discussion with the FIDO Alliance" (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  Dalam podcast tersebut, Andrew Jamieson, VP Distinguished Standards Architect di PCI SSC, menekankan nilai dari teknologi ini:

  "Saya akan menegaskan kembali bahwa saya pikir autentikasi tahan phishing adalah teknologi yang hebat. Ini adalah sesuatu yang dapat menyelesaikan banyak masalah yang kita miliki dengan kata sandi. Dan saya akan sangat menyarankan ketika orang melihat teknologi apa yang akan mereka terapkan untuk autentikasi, mereka melihat autentikasi tahan phishing dan apa yang bisa dibawanya, tetapi juga memahami bahwa itu sedikit berbeda dari apa yang biasa orang lakukan dan mencari tahu bagaimana mereka dapat mengintegrasikannya dengan benar dan aman ke dalam arsitektur autentikasi mereka secara keseluruhan."

  Megan Shamas, Chief Marketing Officer di FIDO Alliance (lihat FIDO Leadership), menyoroti pergeseran mendasar yang diwakili oleh teknologi ini dan kebutuhan kebijakan untuk beradaptasi:

  "Ini secara fundamental berbeda dari apa yang biasa kita lakukan dengan kata sandi plus faktor, faktor, faktor, dan kita telah mengembangkan teknologi dan sekarang orang-orang juga perlu mengembangkan persyaratan dan kebijakan mereka seiring dengan itu. Dan itu akan sangat membantu organisasi berada di jalur yang benar untuk menyingkirkan autentikasi yang dapat di-phishing."

  Perspektif bersama ini menggarisbawahi pergerakan industri menuju metode autentikasi yang lebih aman dan modern.

Sementara PCI DSS 4.0 sangat mendorong ke arah MFA dan metode tahan phishing, ia juga memperketat persyaratan untuk kata sandi dan frasa sandi jika masih digunakan:

• Peningkatan Panjang dan Kompleksitas: Panjang kata sandi minimum telah ditingkatkan dari tujuh karakter di v3.2.1 menjadi 12 karakter di v4.0 (atau setidaknya 8 karakter jika sistem tidak mendukung 12). Kata sandi juga harus menyertakan campuran karakter numerik dan alfabet.
• Frekuensi Perubahan Kata Sandi: Kata sandi harus diubah setidaknya setiap 90 hari jika itu adalah satu-satunya faktor yang digunakan untuk autentikasi (yaitu, tidak ada MFA yang diterapkan pada akun tersebut untuk akses tersebut). Persyaratan ini dapat dikesampingkan jika MFA diterapkan untuk akses tersebut, atau jika organisasi menggunakan autentikasi berkelanjutan berbasis risiko yang secara dinamis mengevaluasi akses secara real-time.

Penguatan signifikan aturan kata sandi, ditambah dengan mandat MFA yang diperluas dan dukungan yang jelas untuk pendekatan tahan phishing, menandakan arah strategis dari PCI SSC: untuk secara sistematis mengurangi ketergantungan pada kata sandi sebagai mekanisme autentikasi utama atau tunggal. Kata sandi telah lama diakui sebagai mata rantai yang lemah dalam keamanan, dan PCI DSS 4.0 secara aktif berupaya untuk mengurangi risiko inherennya dengan membuat penggunaan mandirinya lebih ketat dan kurang menarik, sambil secara bersamaan mempromosikan alternatif yang lebih kuat dan modern.

Untuk mengilustrasikan pergeseran ini dengan jelas, tabel berikut membandingkan aspek autentikasi utama antara PCI DSS 3.2.1 dan 4.0:

Tabel 1: Perbedaan Utama dalam Autentikasi: PCI DSS 3.2.1 vs. 4.0

Fokus yang meningkat pada autentikasi di PCI DSS 4.0 ini menetapkan arah yang jelas bagi organisasi untuk mengevaluasi kembali strategi mereka saat ini dan menjelajahi solusi yang lebih tangguh seperti passkeys.

Berdasarkan standar FIDO Alliance, passkeys menawarkan alternatif yang secara fundamental lebih aman dan ramah pengguna dibandingkan kata sandi tradisional dan bahkan beberapa bentuk MFA lawas.

Passkey adalah kredensial digital yang memungkinkan pengguna untuk masuk ke situs web dan aplikasi tanpa perlu memasukkan kata sandi. Passkeys dibangun di atas standar FIDO2, serangkaian spesifikasi terbuka yang dikembangkan oleh FIDO Alliance. WebAuthn adalah standar World Wide Web Consortium (W3C) yang memungkinkan browser dan aplikasi web untuk melakukan autentikasi yang kuat dan tahan phishing menggunakan pasangan kunci kriptografis. Pada dasarnya, passkeys adalah implementasi dari standar FIDO2 ini, memanfaatkan WebAuthn untuk interaksi di lingkungan web. Passkeys menggantikan kata sandi tradisional dengan kunci kriptografis unik yang disimpan dengan aman di perangkat pengguna, seperti smartphone, komputer, atau kunci keamanan perangkat keras.

Keamanan passkeys berakar pada kriptografi kunci publik. Ketika pengguna mendaftarkan passkey dengan sebuah layanan ("relying party" atau RP), sepasang kunci kriptografis unik dihasilkan:

• Kunci privat, yang disimpan dengan aman di perangkat pengguna. Kunci ini mungkin berada di dalam modul keamanan perangkat keras (misalnya, TPM atau Secure Enclave). Kunci privat tidak pernah meninggalkan penyimpanan aman ini (kecuali dalam kasus passkeys yang disinkronkan, seperti yang akan dijelaskan nanti).
• Kunci publik, yang dikirim dan disimpan oleh relying party (layanan situs web atau aplikasi) dan dikaitkan dengan akun pengguna.

Selama autentikasi, prosesnya adalah sebagai berikut:

1. Relying party mengirimkan "tantangan" unik (sepotong data acak) ke perangkat pengguna.
2. Untuk membuka dan menggunakan kunci privat, pengguna melakukan verifikasi lokal di perangkat mereka. Ini biasanya melibatkan penggunaan pengenal biometrik (seperti sidik jari atau pemindaian wajah), memasukkan PIN perangkat, atau menggambar pola). Pentingnya, data biometrik atau PIN ini tidak pernah meninggalkan perangkat pengguna dan tidak dikirimkan ke relying party.
3. Setelah dibuka, kunci privat di perangkat menandatangani tantangan yang diterima dari relying party.
4. Tantangan yang ditandatangani ini ("assertion") dikirim kembali ke relying party.
5. Relying party menggunakan kunci publik yang tersimpan yang sesuai dengan pengguna tersebut untuk memverifikasi tanda tangan pada assertion. Jika tanda tangan valid, autentikasi berhasil.

Ada dua jenis utama passkeys:

• Passkeys yang Disinkronkan: Passkeys ini dapat disinkronkan di seluruh perangkat tepercaya pengguna menggunakan pengelola kredensial berbasis cloud seperti iCloud Keychain Apple atau Google Password Manager. Ini memberikan kemudahan, memungkinkan passkey yang dibuat di satu perangkat untuk digunakan di perangkat lain yang dimiliki oleh pengguna yang sama dalam ekosistem yang sama.
• Passkeys Terikat Perangkat: Passkeys ini terikat pada authenticator fisik tertentu, seperti kunci keamanan perangkat keras USB (misalnya, YubiKey) atau aplikasi di ponsel tertentu. Passkey tidak meninggalkan perangkat spesifik ini.

Dasar kriptografis dan proses verifikasi pengguna lokal ini memberikan manfaat keamanan inheren yang secara langsung mengatasi banyak vektor serangan umum.

Desain passkeys menawarkan beberapa keuntungan keamanan dibandingkan metode autentikasi tradisional:

• Ketahanan Phishing: Ini adalah manfaat utama. Passkeys secara kriptografis terikat pada asal situs web tertentu (Relying Party ID atau RP ID) tempat mereka dibuat. Jika pengguna tertipu untuk mengunjungi situs phishing palsu yang meniru situs yang sah, browser atau sistem operasi akan mengenali bahwa domain saat ini tidak cocok dengan RP ID yang terkait dengan passkey. Akibatnya, passkey tidak akan berfungsi, dan autentikasi akan gagal. Ini mengalihkan beban mengidentifikasi upaya phishing dari pengguna manusia yang sering kali salah ke protokol keamanan yang kuat dari teknologi itu sendiri.
• Tanpa Rahasia Bersama: Dengan passkeys, tidak ada "rahasia bersama" seperti kata sandi yang diketahui oleh pengguna dan server, dan yang dapat dicuri. Kunci privat, yang merupakan komponen penting untuk autentikasi, tidak pernah meninggalkan perangkat aman pengguna. Kunci publik, yang disimpan oleh server, secara matematis terkait dengan kunci privat tetapi tidak dapat digunakan untuk menurunkan kunci privat atau untuk meniru pengguna. Ini berarti bahwa bahkan jika server relying party diretas dan kunci publik dicuri, mereka tidak berguna bagi penyerang tanpa kunci privat yang sesuai.
• Perlindungan Terhadap Credential Stuffing dan Serangan Replay: Serangan credential stuffing, di mana penyerang menggunakan daftar nama pengguna dan kata sandi yang dicuri untuk mencoba mendapatkan akses ke berbagai akun, menjadi tidak efektif karena tidak ada kata sandi untuk dicuri dan digunakan kembali. Selain itu, setiap autentikasi passkey melibatkan mekanisme tantangan-respons yang unik. Tanda tangan yang dihasilkan oleh kunci privat spesifik untuk tantangan yang diterima untuk sesi login tertentu, sehingga tidak mungkin bagi penyerang untuk mencegat assertion autentikasi dan memutarnya kembali nanti untuk mendapatkan akses tidak sah.
• Pengurangan signifikan risiko Pengambilalihan Akun (ATO): Dengan secara efektif menetralkan phishing, menghilangkan rahasia bersama, dan mencegah serangan credential stuffing dan replay, passkeys secara drastis mengurangi vektor serangan utama yang digunakan untuk pengambilalihan akun. Karena penyerang tidak dapat dengan mudah memperoleh atau menyalahgunakan kredensial autentikasi pengguna, kemungkinan keberhasilan ATO menurun drastis.

Pergeseran mendasar dari autentikasi berbasis pengetahuan (apa yang diketahui pengguna, seperti kata sandi) ke kombinasi berbasis kepemilikan (apa yang dimiliki pengguna – perangkat mereka dengan kunci aman) dan berbasis inherensi atau berbasis pengetahuan lokal (siapa pengguna melalui biometrik, atau apa yang mereka ketahui secara lokal melalui PIN perangkat) secara fundamental memutus rantai serangan yang mengandalkan kompromi rahasia bersama yang dapat digunakan dari jarak jauh. Tidak seperti banyak tindakan keamanan yang menambah friksi, passkeys sering kali meningkatkan pengalaman pengguna dengan menawarkan login yang lebih cepat dan lebih sederhana tanpa perlu mengingat kata sandi yang rumit, manfaat ganda yang dapat mendorong adopsi dan meningkatkan postur keamanan secara keseluruhan.

Fitur keamanan kuat yang melekat pada passkeys sangat selaras dengan kontrol autentikasi yang diperkuat yang diamanatkan oleh PCI DSS 4.0, terutama yang diuraikan dalam Persyaratan 8. Passkeys tidak hanya memenuhi persyaratan ini tetapi sering kali melebihi keamanan yang diberikan oleh metode tradisional.

Passkeys secara inheren memenuhi prinsip inti Autentikasi Multi-Faktor seperti yang didefinisikan oleh PCI DSS 4.0:

• Sifat Multi-Faktor: Peristiwa autentikasi passkey biasanya menggabungkan "sesuatu yang Anda miliki" (perangkat fisik yang berisi kunci privat, seperti smartphone atau kunci keamanan perangkat keras) dengan "sesuatu yang Anda miliki" (biometrik seperti sidik jari atau pemindaian wajah yang digunakan untuk membuka passkey di perangkat) atau "sesuatu yang Anda ketahui" (PIN atau pola perangkat). Faktor-faktor ini independen; mengkompromikan PIN perangkat, misalnya, tidak secara inheren mengkompromikan kunci kriptografis jika perangkat itu sendiri tetap aman.
• Ketahanan Phishing: Seperti yang telah dibahas secara luas, passkeys tahan phishing karena desainnya yang bersifat kriptografis dan terikat pada asal. Kunci privat tidak pernah diekspos ke relying party atau ditransmisikan melalui jaringan, dan passkey hanya akan beroperasi pada domain sah tempat ia terdaftar. Ini secara langsung sejalan dengan penekanan kuat PCI DSS 4.0 pada mitigasi ancaman phishing.
• Ketahanan Replay: Setiap autentikasi passkey melibatkan tantangan kriptografis unik dari server, yang kemudian ditandatangani oleh kunci privat. Tanda tangan yang dihasilkan hanya valid untuk tantangan dan sesi spesifik tersebut, membuatnya tahan terhadap serangan replay. Ini memenuhi Persyaratan 8.5, yang mengamanatkan bahwa sistem MFA harus mencegah serangan semacam itu.

Dibandingkan dengan kata sandi tradisional, passkeys menawarkan model keamanan yang jauh lebih unggul. Kata sandi rentan terhadap berbagai serangan: phishing, rekayasa sosial, credential stuffing karena penggunaan kembali kata sandi, serangan brute-force, dan pencurian dari basis data yang diretas. Passkeys menghilangkan kerentanan ini dengan menghapus rahasia bersama (kata sandi) dari persamaan sepenuhnya. Autentikasi bergantung pada bukti kriptografis kepemilikan kunci privat, yang dilindungi oleh keamanan perangkat lokal, bukan pada rahasia yang dapat dengan mudah dicuri atau ditebak.

Dewan Standar Keamanan PCI telah mengakui potensi teknologi passkey. Wawasan dari podcast "Coffee with the Council" PCI SSC yang menampilkan diskusi dengan FIDO Alliance memberikan kejelasan tentang sikap mereka:

• Untuk akses non-administratif ke Lingkungan Data Pemegang Kartu (CDE) dari dalam jaringan entitas (Persyaratan 8.4.2), PCI SSC menunjukkan bahwa metode autentikasi tahan phishing seperti passkeys dapat digunakan sebagai pengganti MFA tradisional. Ini adalah pengakuan signifikan terhadap kekuatan passkeys.
• Untuk akses administratif ke CDE (Persyaratan 8.4.1) dan untuk setiap akses jarak jauh ke jaringan (Persyaratan 8.4.3), sementara passkeys (sebagai autentikasi tahan phishing) direkomendasikan, mereka harus digunakan bersama dengan faktor autentikasi lain untuk memenuhi persyaratan MFA. Ini menunjukkan pendekatan berbasis risiko di mana skenario akses dengan hak istimewa lebih tinggi atau risiko lebih tinggi menuntut lapisan tambahan.
• PCI SSC secara aktif mengembangkan panduan, seperti FAQ, untuk membantu organisasi memahami cara menerapkan passkeys dengan cara yang patuh dan mengakui bahwa passkeys mewakili pergeseran mendasar dari pemikiran berbasis kata sandi tradisional.
• Selain itu, dokumentasi PCI DSS 4.0 secara eksplisit merujuk pada autentikasi berbasis FIDO sebagai metode yang lebih disukai, meskipun tidak diamanatkan, untuk menerapkan MFA, menggarisbawahi keselarasan dengan tujuan standar.

Posisi ini memungkinkan organisasi untuk secara strategis menerapkan passkeys. Untuk basis luas pengguna non-administratif yang mengakses CDE secara internal, login passkey yang mulus dapat memenuhi persyaratan kepatuhan. Untuk administrator dan pengguna jarak jauh, passkeys menyediakan fondasi yang kuat dan tahan phishing untuk solusi MFA.

Sementara passkeys menawarkan peningkatan keamanan yang signifikan, Qualified Security Assessors (QSA) PCI DSS akan meneliti implementasinya, terutama untuk skenario akses berisiko tinggi seperti akses administratif ke CDE (Persyaratan 8.4.1), untuk memastikan prinsip-prinsip autentikasi multi-faktor yang sebenarnya terpenuhi. Pertimbangan utama termasuk jenis passkey, independensi faktor autentikasi, dan penggunaan attestation.

Seperti yang telah kita bahas, passkeys datang dalam dua bentuk utama:

• Passkeys yang Disinkronkan: Ini disinkronkan di seluruh perangkat tepercaya pengguna melalui layanan cloud seperti Apple iCloud Keychain atau Google Password Manager. Mereka menawarkan kemudahan karena passkey yang dibuat di satu perangkat dapat digunakan di perangkat lain.
• Passkeys Terikat Perangkat: Ini terikat pada authenticator fisik tertentu, seperti kunci keamanan perangkat keras USB (misalnya, YubiKey) atau perangkat keras aman ponsel tertentu. Kunci privat tidak meninggalkan perangkat spesifik ini.

PCI DSS mengamanatkan bahwa faktor MFA harus independen, artinya kompromi satu faktor tidak membahayakan faktor lainnya. Sebuah passkey biasanya menggabungkan "sesuatu yang Anda miliki" (perangkat dengan kunci privat) dan "sesuatu yang Anda ketahui/miliki" (PIN perangkat lokal atau biometrik untuk membuka kunci).

Dengan passkeys yang disinkronkan, meskipun sangat aman terhadap banyak serangan, beberapa QSA mungkin mengajukan pertanyaan mengenai independensi absolut dari faktor "kepemilikan" untuk akses administratif (Persyaratan 8.4.1). Kekhawatirannya adalah jika akun cloud pengguna (misalnya, Apple ID, akun Google) yang menyinkronkan passkeys disusupi, kunci privat berpotensi dapat dikloning ke perangkat yang dikendalikan penyerang. Hal ini dapat menyebabkan beberapa penilai memandang passkey yang disinkronkan, dalam konteks berisiko tinggi, sebagai potensi tidak memenuhi interpretasi ketat dari dua faktor yang sepenuhnya independen jika mekanisme sinkronisasi itu sendiri tidak diamankan dengan kuat dengan MFA yang kuat. Panduan NIST, misalnya, mengakui passkeys yang disinkronkan sebagai patuh AAL2, sementara passkeys terikat perangkat dapat memenuhi AAL3, yang sering kali melibatkan kunci yang tidak dapat diekspor.

• Memahami Flag Authenticator WebAuthn: Selama seremoni WebAuthn (yang mendasari passkeys), authenticator melaporkan flag tertentu. Dua yang penting adalah:
  • uv=1 (User Verified): Flag ini menunjukkan bahwa pengguna berhasil memverifikasi kehadiran mereka ke authenticator secara lokal, biasanya menggunakan PIN perangkat atau biometrik. Verifikasi ini bertindak sebagai salah satu faktor autentikasi – "sesuatu yang Anda ketahui" (PIN) atau "sesuatu yang Anda miliki" (biometrik).
  • up=1 (User Present): Flag ini mengonfirmasi bahwa pengguna hadir dan berinteraksi dengan authenticator selama seremoni (misalnya, dengan menyentuh kunci keamanan). Meskipun penting untuk membuktikan niat pengguna dan mencegah serangan jarak jauh tertentu, kehadiran pengguna itu sendiri umumnya tidak dianggap sebagai faktor autentikasi independen yang terpisah untuk memenuhi persyaratan multi-faktor MFA. Ini adalah fitur keamanan penting tetapi biasanya tidak dihitung sebagai faktor kedua dengan sendirinya.
• Peran Passkeys Terikat Perangkat dan Kunci Keamanan Perangkat Keras:
  Untuk akses administratif (Persyaratan 8.4.1) dan skenario jaminan tinggi lainnya, passkeys terikat perangkat yang disimpan di kunci keamanan perangkat keras menawarkan argumen yang lebih kuat untuk independensi faktor. Karena kunci privat dirancang untuk tidak pernah meninggalkan token perangkat keras, faktor "sesuatu yang Anda miliki" lebih terlindungi dari kloning melalui serangan berbasis perangkat lunak atau kompromi akun cloud. Ini menjadikannya opsi yang lebih disukai bagi banyak organisasi yang ingin memenuhi ekspektasi QSA yang ketat untuk MFA administratif.

Attestation adalah fitur di WebAuthn di mana authenticator memberikan informasi yang dapat diverifikasi tentang dirinya sendiri (misalnya, merek, model, status sertifikasi, apakah didukung perangkat keras) kepada relying party (server FIDO Anda) selama proses pendaftaran passkey.

• Mengapa ini penting untuk PCI DSS: Attestation dapat memberikan bukti penting kepada QSA bahwa authenticator yang digunakan memenuhi kebijakan keamanan organisasi dan benar-benar seperti yang mereka klaim (misalnya, kunci keamanan perangkat keras bersertifikat). Ini bisa sangat penting ketika menunjukkan kekuatan dan independensi faktor autentikasi.
• Rekomendasi: Untuk akses keamanan tinggi seperti akses CDE administratif, menggunakan passkeys pada kunci keamanan perangkat keras yang mendukung attestation yang kuat sangat direkomendasikan. Ini memungkinkan organisasi untuk menegakkan kebijakan tentang jenis authenticator yang dapat diterima dan memberikan bukti kepatuhan yang lebih kuat.

Dalam praktiknya, untuk menghindari friksi audit untuk Persyaratan 8.4.1, banyak perusahaan memilih untuk menerbitkan passkeys terikat perangkat pada kunci keamanan perangkat keras yang menawarkan jaminan kuat perlindungan kunci dan potensi attestation.

Untuk mengilustrasikan dengan jelas bagaimana passkeys menjembatani kesenjangan dan memenuhi kontrol yang dirinci dalam Persyaratan 8, tabel berikut memetakan fitur passkey dan karakteristik spesifik ke sub-klausul yang relevan, menunjukkan kesesuaiannya untuk skenario yang berbeda.

Pemetaan ini menunjukkan bahwa passkeys bukan hanya cocok secara teoretis tetapi juga solusi praktis dan kuat untuk memenuhi tuntutan autentikasi canggih dari PCI DSS 4.0.

Lanskap keamanan pembayaran bersifat kompleks dan terus berkembang. PCI DSS 4.0 mencerminkan realitas ini, menetapkan standar yang lebih tinggi untuk kontrol keamanan, terutama di bidang autentikasi. Saat organisasi berusaha untuk memenuhi tuntutan baru yang lebih ketat ini, passkeys—yang dibangun di atas standar FIDO/WebAuthn—muncul bukan hanya sebagai solusi yang patuh, tetapi sebagai teknologi transformatif yang siap untuk mendefinisikan ulang akses yang aman.

Sepanjang analisis ini, dua pertanyaan sentral telah memandu eksplorasi kita:

1. Seiring PCI DSS 4.0 menaikkan standar autentikasi, bagaimana organisasi dapat secara efektif memenuhi persyaratan baru yang ketat ini tanpa membebani pengguna atau tim keamanan? Buktinya sangat menunjukkan bahwa organisasi dapat secara efektif memenuhi persyaratan autentikasi PCI DSS 4.0 dengan secara strategis mengadopsi solusi Autentikasi Multi-Faktor (MFA) yang tahan phishing seperti passkeys. Teknologi ini secara inheren menyeimbangkan keamanan yang kuat dan terverifikasi secara kriptografis dengan pengalaman pengguna yang jauh lebih baik dan sering kali lebih cepat. Selain itu, kelonggaran PCI DSS 4.0 untuk "implementasi yang disesuaikan" memberdayakan organisasi untuk menyesuaikan solusi canggih tersebut dengan lingkungan dan profil risiko spesifik mereka, bergerak melampaui pendekatan satu ukuran untuk semua. Panduan dari PCI SSC sendiri semakin memfasilitasi hal ini, memungkinkan kepatuhan yang disederhanakan untuk segmen besar pengguna sambil mencadangkan pendekatan yang lebih berlapis untuk akses administratif dan jarak jauh yang berisiko lebih tinggi.
2. Dapatkah teknologi baru seperti passkeys tidak hanya memenuhi kontrol autentikasi yang kuat dari PCI DSS 4.0 tetapi juga menawarkan manfaat nyata di luar kepatuhan semata, seperti peningkatan keamanan dan efisiensi operasional yang lebih baik? Jawabannya adalah ya yang jelas. Passkeys terbukti mampu memenuhi kontrol autentikasi inti dalam Persyaratan 8 PCI DSS 4.0, termasuk kriteria MFA, ketahanan phishing, dan ketahanan replay. Namun, nilainya melampaui kepatuhan semata. Desain inheren passkeys—menghilangkan rahasia bersama dan mengikat autentikasi ke asal tertentu—secara drastis mengurangi risiko serangan phishing yang berhasil dan pengambilalihan akun, yang mengarah pada pengurangan kerugian terkait penipuan yang nyata. Secara operasional, pergeseran dari kata sandi berarti lebih sedikit tiket helpdesk terkait kata sandi, menghemat biaya dan membebaskan sumber daya TI. Pengguna mendapat manfaat dari pengalaman login yang lebih sederhana, lebih cepat, dan tidak membuat frustrasi, yang dapat meningkatkan produktivitas dan kepuasan pelanggan. Selain itu, di mana kata sandi sepenuhnya digantikan oleh passkeys untuk jalur akses tertentu, beban audit untuk kontrol spesifik kata sandi dihilangkan, yang berpotensi merampingkan upaya kepatuhan di area tersebut.

Perjalanan menuju ekosistem pembayaran yang benar-benar aman bersifat berkelanjutan. PCI DSS 4.0 menetapkan tonggak baru, dan autentikasi passkey menyediakan sarana yang kuat untuk mencapainya. Organisasi yang memproses, menyimpan, atau mentransmisikan data pemegang kartu sangat dianjurkan untuk mengevaluasi dan mulai merencanakan adopsi passkeys. Ini bukan hanya tentang mematuhi iterasi terbaru dari sebuah standar; ini tentang merangkul pendekatan autentikasi yang lebih aman, efisien, dan berpusat pada pengguna yang selaras dengan masa depan identitas digital. Dengan menerapkan passkeys secara strategis, bisnis dapat memperkuat pertahanan mereka terhadap ancaman yang terus berkembang, melindungi data pembayaran yang berharga, dan membangun kepercayaan yang lebih besar dengan pelanggan mereka di dunia yang semakin digital.