--- url: 'https://www.corbado.com/id/blog/pci-dss-4-0-autentikasi-passkeys' title: 'Autentikasi PCI DSS 4.0: Passkeys' description: 'Pelajari bagaimana autentikasi passkey memenuhi persyaratan MFA PCI DSS 4.0, meningkatkan keamanan, dan menyederhanakan kepatuhan bagi merchant yang menangani data pemegang kartu.' lang: 'id' author: 'Vincent Delitz' date: '2025-07-15T13:24:27.515Z' lastModified: '2026-03-27T07:07:11.711Z' keywords: 'pci dss, pci, autentikasi pci, pci ssc' category: 'Passkeys Strategy' --- # Autentikasi PCI DSS 4.0: Passkeys ## 1. Pendahuluan Lanskap digital terus berevolusi, dan seiring dengannya, kecanggihan dan frekuensi ancaman siber terus meningkat. Data kartu [pembayaran](https://www.corbado.com/passkeys-for-payment) tetap menjadi target utama bagi para pelaku kejahatan, sehingga standar [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) yang kuat menjadi esensial bagi setiap organisasi yang menanganinya. Standar [Keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) Data Industri Kartu [Pembayaran](https://www.corbado.com/passkeys-for-payment) (PCI DSS) telah lama menjadi tolok ukur untuk melindungi data pemegang kartu. Iterasi terbarunya, [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) 4.0, merupakan [langkah maju](https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf) yang signifikan, yang secara langsung mengatasi ancaman modern melalui, di antara peningkatan lainnya, persyaratan [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) yang diperkuat secara substansial. Saat organisasi menangani tuntutan baru ini, teknologi yang sedang berkembang menawarkan solusi yang menjanjikan. Passkeys, yang dibangun di atas standar FIDO (Fast Identity Online) Alliance dan protokol WebAuthn, berada di garis depan gelombang baru [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) ini. Passkeys menawarkan pendekatan [tanpa kata sandi](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) yang tahan [phishing](https://www.corbado.com/glossary/phishing) dan meningkatkan cara akses ke data sensitif diamankan. **Artikel ini menganalisis perubahan penting yang dibawa oleh PCI DSS 4.0, terutama terkait autentikasi yang aman**, mengeksplorasi kemampuan [autentikasi passkey](https://www.corbado.com/id/blog/penyedia-passkey-aaguid-adopsi), dan menyediakan peta jalan untuk memanfaatkan teknologi ini guna mencapai dan mempertahankan kepatuhan. Eksplorasi ini mengarah pada dua pertanyaan penting bagi organisasi yang menavigasi ranah baru ini: 1. **Autentikasi**: _Seiring PCI DSS 4.0 menaikkan standar autentikasi, bagaimana organisasi dapat secara efektif memenuhi persyaratan baru yang ketat ini tanpa membebani pengguna atau tim keamanan?_ 2. **Passkeys & Kepatuhan PCI**: _Dapatkah teknologi baru seperti passkeys memenuhi kontrol autentikasi PCI DSS 4.0, meningkatkan keamanan, dan memperbaiki efisiensi operasional?_ Artikel ini bertujuan untuk memberikan jawaban, membimbing para profesional teknis menuju masa depan yang lebih aman dan patuh. ## 2. Memahami PCI DSS dan Perubahan pada Versi 4.0 Untuk memahami peran passkeys dalam lanskap kepatuhan saat ini, penting untuk memahami kerangka kerja [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) dan evolusi signifikan yang ditandai oleh versi 4.0. ### 2.1 Apa itu Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)? [Standar Keamanan Data PCI](https://www.pcisecuritystandards.org/standards/) adalah standar [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) informasi global yang dirancang untuk melindungi data [pembayaran](https://www.corbado.com/passkeys-for-payment). Standar ini berlaku untuk semua entitas yang menyimpan, memproses, atau mentransmisikan data pemegang kartu, yang mencakup [merchant](https://www.corbado.com/glossary/merchant), pemroses, [acquirer](https://www.corbado.com/glossary/acquirer), [issuer](https://www.corbado.com/glossary/issuer), dan penyedia layanan. Standar ini [dikembangkan oleh merek kartu pembayaran utama](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) (American Express, Discover [Financial Services](https://www.corbado.com/passkeys-for-banking), JCB International, [MasterCard](https://www.corbado.com/blog/mastercard-passkeys), dan [Visa](https://www.corbado.com/blog/visa-passkeys)) yang membentuk Dewan Standar Keamanan [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) (PCI SSC) pada 7 September 2006, untuk mengelola evolusinya yang berkelanjutan. [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) terdiri dari serangkaian [persyaratan teknis dan operasional](https://www.pcisecuritystandards.org/standards/) yang komprehensif, membentuk dasar untuk melindungi data pembayaran di seluruh siklus hidupnya. ### 2.2 Dewan Standar Keamanan PCI (PCI SSC) dan Misinya [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) beroperasi sebagai [forum global](https://www.pcisecuritystandards.org/), menyatukan para pemangku kepentingan industri [pembayaran](https://www.corbado.com/passkeys-for-payment) untuk mengembangkan dan mendorong adopsi standar keamanan data dan sumber daya untuk [pembayaran](https://www.corbado.com/passkeys-for-payment) yang aman di seluruh dunia. Selain PCI DSS, Dewan ini mengelola [berbagai standar](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) yang menangani berbagai aspek keamanan pembayaran. Misinya adalah untuk meningkatkan keamanan data akun pembayaran global dengan mengembangkan standar dan layanan pendukung yang [mendorong pendidikan, kesadaran, dan implementasi yang efektif](https://www.researchgate.net/publication/385008508_Achieving_PCI-DSS_Compliance_in_Payment_Gateways_A_Comprehensive_Approach) oleh para pemangku kepentingan. ### 2.3 Evolusi ke PCI DSS 4.0: Pendorong dan Tujuan Utama [Standar PCI DSS 4.0](https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf), yang secara resmi dirilis pada Maret 2022, [dengan revisi minor berikutnya (v4.0.1) untuk menanggapi umpan balik pemangku kepentingan](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf), menandai pembaruan paling signifikan pada standar ini dalam beberapa tahun terakhir. Pendorong utama evolusi ini adalah kebutuhan untuk mengatasi lanskap ancaman siber yang semakin canggih dan lingkungan teknologi yang berubah dalam industri [pembayaran](https://www.corbado.com/passkeys-for-payment). Tujuan inti dari PCI DSS 4.0 adalah: - **Memenuhi kebutuhan keamanan industri pembayaran yang terus berkembang:** Memastikan standar tetap efektif terhadap ancaman saat ini dan yang akan datang, seperti [phishing](https://www.corbado.com/glossary/phishing) berbasis AI. - **Mempromosikan keamanan sebagai proses berkelanjutan:** Mengalihkan fokus dari kepatuhan sesaat ke [disiplin keamanan yang berkelanjutan](https://www.fortra.com/resources/guides/pci-dss-4-compliance). - **Meningkatkan metode dan prosedur validasi:** Meningkatkan ketelitian dan konsistensi penilaian kepatuhan. - **Menambahkan fleksibilitas dan mendukung metodologi tambahan:** Memberi organisasi lebih banyak keleluasaan dalam cara mereka mencapai tujuan dan hasil keamanan. ### 2.4 Perubahan Inti dalam 4.0: Fokus pada Hasil Keamanan, Keamanan Berkelanjutan, Implementasi yang Disesuaikan, dan Linimasa Transisi [PCI DSS 4.0 memperkenalkan](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf) beberapa perubahan mendasar yang memengaruhi cara organisasi mendekati kepatuhan: **Fokus pada Hasil Keamanan vs. Kontrol Preskriptif** Perubahan penting adalah pergeseran dari kontrol yang sebagian besar bersifat preskriptif ke penekanan pada hasil keamanan. Standar itu sendiri menguraikan fleksibilitas ini: > _Bagian 8: Pendekatan untuk Menerapkan dan Memvalidasi PCI DSS_ > > Untuk mendukung fleksibilitas dalam cara tujuan keamanan dipenuhi, ada dua pendekatan > untuk menerapkan dan memvalidasi PCI DSS. > > Pendekatan yang Disesuaikan berfokus pada Tujuan dari setiap > [persyaratan PCI DSS](https://www.corbado.com/id/blog/kepatuhan-keamanan-siber), memungkinkan entitas untuk > menerapkan kontrol untuk memenuhi Tujuan yang dinyatakan dalam persyaratan dengan cara > yang tidak secara ketat mengikuti persyaratan yang ditentukan. Pergeseran ini berarti bahwa sementara PCI DSS 3.2.1 menawarkan instruksi terperinci tentang _apa_ yang harus dilakukan, versi 4.0 memungkinkan organisasi lebih banyak fleksibilitas dalam _bagaimana_ mereka memenuhi persyaratan. Bisnis dapat menerapkan kontrol yang paling sesuai dengan lingkungan mereka, asalkan mereka dapat menunjukkan bahwa kontrol ini mencapai tujuan keamanan yang dinyatakan. Hal ini sangat relevan untuk mengadopsi teknologi inovatif seperti passkeys, yang mungkin tidak cocok dengan deskripsi kontrol yang lebih tua dan lebih kaku. Fleksibilitas ini, bagaimanapun, datang dengan harapan bahwa organisasi akan melakukan penilaian risiko yang menyeluruh dan dengan jelas membenarkan metodologi kontrol yang mereka pilih. **Keamanan Berkelanjutan (Business-as-Usual)** Prinsip kunci lain dalam PCI DSS 4.0 adalah promosi keamanan sebagai proses yang berkelanjutan, atau business-as-usual (BAU). Standar ini merincinya di Bagian 5: > _Bagian 5: Praktik Terbaik untuk Menerapkan PCI DSS ke dalam Proses Business-as-Usual_ > > Suatu entitas yang menerapkan proses business-as-usual … mengambil langkah-langkah untuk > memastikan bahwa kontrol keamanan ... terus diterapkan dengan benar dan berfungsi dengan > baik sebagai bagian dari kegiatan bisnis normal. > > Beberapa [persyaratan PCI DSS](https://www.corbado.com/id/blog/kepatuhan-keamanan-siber) dimaksudkan untuk > bertindak sebagai proses BAU dengan memantau kontrol keamanan untuk memastikan > efektivitasnya secara berkelanjutan. Penekanan pada proses "business-as-usual" (BAU) ini berarti organisasi harus menanamkan keamanan ke dalam aktivitas rutin mereka. Ini tentang menumbuhkan budaya di mana keamanan bukan lagi renungan atau kesibukan tahunan, melainkan bagian integral dari operasi, memastikan pemantauan berkelanjutan, penilaian rutin, dan postur keamanan yang adaptif untuk memastikan perlindungan data pemegang kartu yang berkelanjutan. Untuk implementasi passkey, ini berarti kewaspadaan berkelanjutan dalam memantau efektivitasnya, pola adopsi pengguna, dan setiap ancaman yang muncul, menjadikan keamanan sebagai upaya berkelanjutan daripada latihan kepatuhan sesaat. **Implementasi yang Disesuaikan & Analisis Risiko Tertarget** Fitur baru yang signifikan dalam PCI DSS 4.0 adalah opsi yang diformalkan untuk [implementasi yang disesuaikan](https://blog.pcisecuritystandards.org/pci-dss-v4-0-compensating-controls-vs-customized-approach), yang secara intrinsik terkait dengan penilaian risiko yang ketat. Standar ini mengamanatkan hubungan ini dalam Persyaratan 12.3.2: > _Persyaratan 12.3.2: Mendukung Keamanan Informasi dengan Kebijakan dan Program > Organisasi_ > > Analisis risiko tertarget dilakukan untuk setiap > [persyaratan PCI DSS](https://www.corbado.com/id/blog/kepatuhan-keamanan-siber) yang dipenuhi entitas dengan > pendekatan yang disesuaikan, untuk mencakup ... bukti yang didokumentasikan ... > persetujuan oleh manajemen senior, dan pelaksanaan analisis risiko tertarget setidaknya > sekali setiap 12 bulan. Opsi yang diformalkan ini memungkinkan organisasi untuk memenuhi tujuan keamanan menggunakan teknologi baru dan kontrol inovatif yang disesuaikan dengan lingkungan unik mereka, daripada secara ketat mematuhi metode preskriptif. Namun, seperti yang ditekankan oleh kutipan tersebut, fleksibilitas ini didasarkan pada pelaksanaan analisis risiko tertarget untuk setiap kontrol yang disesuaikan. Analisis ini harus didokumentasikan, disetujui oleh manajemen senior, dan ditinjau setiap tahun. Penilai pihak ketiga (Qualified Security Assessor atau QSA) kemudian memvalidasi kontrol yang disesuaikan ini dengan meninjau pendekatan yang didokumentasikan organisasi, termasuk analisis risiko, dan mengembangkan prosedur pengujian khusus. Jalur ini adalah pendorong utama untuk solusi seperti passkeys, yang memungkinkan organisasi untuk memanfaatkan fitur keamanan canggih mereka secara efektif, asalkan mereka dapat menunjukkan melalui penilaian risiko bahwa pendekatan mereka memenuhi tujuan keamanan. Kemampuan untuk menyesuaikan implementasi, didukung oleh analisis risiko yang kuat, mencerminkan pemahaman bahwa evolusi cepat dari ancaman dan teknologi pertahanan membuat kontrol preskriptif yang kaku menjadi kurang adaptif seiring waktu. **Linimasa Transisi** PCI DSS 3.2.1 tetap aktif bersama v4.0 hingga 31 Maret 2024, setelah itu standar tersebut dipensiunkan. Persyaratan baru yang diperkenalkan dalam PCI DSS 4.0 dianggap sebagai praktik terbaik hingga 31 Maret 2025. Setelah tanggal ini, persyaratan baru ini menjadi wajib untuk semua penilaian. Pendekatan bertahap ini memberi organisasi jendela waktu untuk memahami, merencanakan, dan menerapkan perubahan. Perubahan-perubahan ini secara kolektif menandakan pendekatan yang lebih matang, adaptif, dan berfokus pada risiko terhadap keamanan kartu pembayaran, yang menyiapkan panggung untuk adopsi mekanisme [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) yang lebih kuat dan modern. ## 3. Taruhannya Tinggi: Implikasi Ketidakpatuhan PCI DSS Kegagalan untuk mematuhi persyaratan PCI DSS bukan sekadar kelalaian; hal ini membawa konsekuensi signifikan dan multifaset yang dapat sangat memengaruhi stabilitas keuangan, kedudukan hukum, dan reputasi organisasi. ### 3.1 Denda Finansial Konsekuensi paling langsung dari ketidakpatuhan adalah pengenaan [denda finansial](https://www.securitycompass.com/blog/pci-non-compliance-fees/). Denda ini biasanya dikenakan oleh bank [acquirer](https://www.corbado.com/glossary/acquirer) dan pemroses pembayaran, bukan secara langsung oleh [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Denda bisa sangat besar, berkisar dari [$5.000 hingga $100.000 per bulan](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance), tergantung pada volume transaksi yang diproses (yang menentukan level [merchant](https://www.corbado.com/glossary/merchant), misalnya, Level 1 untuk lebih dari 6 juta transaksi per tahun vs. Level 4 untuk di bawah 20.000 transaksi [e-commerce](https://www.corbado.com/passkeys-for-e-commerce)) serta durasi dan tingkat keparahan ketidakpatuhan. Misalnya, [merchant](https://www.corbado.com/glossary/merchant) Level 1 yang tidak patuh selama beberapa bulan lebih mungkin menghadapi denda di ujung atas kisaran ini, sementara bisnis Level 4 yang lebih kecil mungkin dikenakan denda mendekati $5.000 per bulan. Penting untuk dipahami bahwa denda ini bisa menjadi [beban bulanan yang berulang](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance). Tekanan finansial yang terus-menerus ini, yang berpotensi diperparah oleh [peningkatan biaya transaksi](https://www.securitycompass.com/blog/pci-non-compliance-fees/) yang mungkin dikenakan oleh pemroses pembayaran kepada bisnis yang tidak patuh, berarti bahwa biaya kumulatif dari _ketidakpatuhan_ jauh melebihi investasi yang diperlukan untuk _mencapai dan mempertahankan kepatuhan_. Hal ini membingkai ulang kepatuhan bukan sebagai pusat biaya semata, tetapi sebagai investasi mitigasi risiko yang kritis. Berinvestasi dalam langkah-langkah keamanan yang kuat, termasuk autentikasi yang kuat seperti passkeys, menjadi keputusan yang bijaksana secara finansial untuk menghindari biaya yang lebih besar, seringkali tidak terduga, dan berpotensi melumpuhkan ini. ### 3.2 Dampak Hukum dan Regulasi Selain denda langsung, ketidakpatuhan dapat menyebabkan tantangan hukum yang serius, terutama jika mengakibatkan pelanggaran data. Pelanggan yang datanya disusupi dapat mengajukan gugatan, dan merek kartu juga dapat mengambil tindakan hukum. Status tidak patuh dapat membuatnya jauh lebih mudah bagi penggugat untuk menunjukkan kelalaian di pihak organisasi, yang berpotensi menyebabkan penyelesaian dan putusan yang mahal. ### 3.3 Kerusakan Reputasi dan Hilangnya Kepercayaan Pelanggan Salah satu konsekuensi yang paling merusak, meskipun kurang dapat diukur, adalah kerusakan pada reputasi organisasi. Satu kegagalan kepatuhan, terutama yang mengarah pada pelanggaran data, dapat secara serius mengikis kepercayaan pelanggan. Sekali hilang, kepercayaan ini sulit untuk didapatkan kembali, sering kali mengakibatkan pelanggan beralih, kehilangan bisnis ke pesaing, dan kerusakan jangka panjang pada citra merek. Pelanggaran yang berulang atau parah bahkan dapat menyebabkan [pencabutan hak pemrosesan pembayaran organisasi](https://www.securitycompass.com/blog/pci-non-compliance-fees/) oleh merek kartu atau bank [acquirer](https://www.corbado.com/glossary/acquirer), yang secara efektif memutus kemampuan mereka untuk menerima pembayaran kartu. Hal ini menggarisbawahi pentingnya memandang kepatuhan bukan hanya sebagai persyaratan teknis tetapi sebagai komponen fundamental dari kepercayaan merek dan kelangsungan bisnis. ### 3.4 Biaya Kompensasi Pelanggaran Data Jika ketidakpatuhan berkontribusi pada pelanggaran data, organisasi kemungkinan akan bertanggung jawab atas biaya kompensasi yang besar di atas denda dan biaya hukum. Biaya-biaya ini dapat mencakup penyediaan layanan kepada pelanggan yang terkena dampak seperti pemantauan kredit gratis, [asuransi](https://www.corbado.com/passkeys-for-insurance) pencurian identitas, dan penggantian biaya untuk tagihan penipuan atau biaya layanan. Selain itu, biaya penerbitan ulang kartu pembayaran yang disusupi, diperkirakan $3 hingga $5 per kartu, dapat dengan cepat meningkat menjadi jutaan dolar untuk pelanggaran yang memengaruhi sejumlah besar pemegang kartu. Sebaliknya, jika sebuah organisasi mengalami pelanggaran saat sepenuhnya patuh terhadap PCI DSS, denda terkait dapat diturunkan atau bahkan dihilangkan, karena kepatuhan menunjukkan uji tuntas dan komitmen terhadap keamanan, bukan kelalaian. Berbagai hasil negatif yang potensial menyoroti bahwa kepatuhan PCI DSS adalah aspek yang sangat diperlukan dari operasi bisnis modern untuk setiap entitas yang terlibat dalam ekosistem kartu pembayaran. ## 4. Kontrol Autentikasi yang Diperkuat PCI DSS 4.0: Tinjauan Lebih Dekat pada Persyaratan 8 Persyaratan 8 dari PCI DSS selalu menjadi landasan standar. Dengan versi 4.0, ketentuannya telah diperkuat secara signifikan, mencerminkan peran penting dari autentikasi yang kuat dalam mencegah akses tidak sah ke data pemegang kartu yang sensitif dan sistem yang memprosesnya. ### 4.1 Tinjauan Persyaratan 8: Mengidentifikasi dan Mengautentikasi Akses ke Komponen Sistem Tujuan utama dari Persyaratan 8 adalah untuk memastikan bahwa setiap individu yang mengakses komponen sistem di dalam Lingkungan Data Pemegang Kartu (CDE) atau yang terhubung dengannya dapat diidentifikasi secara unik dan diautentikasi dengan kuat. Hal ini penting untuk menjaga integritas dan keamanan data pemegang kartu dengan mencegah akses tidak sah dan memastikan bahwa semua tindakan dapat dilacak kembali ke pengguna tertentu yang dikenal, sehingga membangun akuntabilitas individu. ### 4.2 Mandat Autentikasi Multi-Faktor (MFA) yang Diperkuat Evolusi utama dalam PCI DSS 4.0 adalah perluasan dan penguatan persyaratan Autentikasi Multi-Faktor (MFA): - **MFA Universal untuk Akses CDE:** Tidak seperti PCI DSS 3.2.1, yang terutama mengamanatkan MFA untuk akses administratif dan semua akses jarak jauh ke CDE, versi 4.0 memerlukan MFA untuk _semua_ akses ke CDE. Ini termasuk akses oleh administrator, pengguna umum, dan vendor pihak ketiga, terlepas dari apakah akses berasal dari dalam atau luar jaringan. Perluasan signifikan ini menggarisbawahi pengakuan [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) terhadap MFA sebagai kontrol keamanan fundamental.\ Standar ini menetapkan persyaratan ini: > _Kutipan Persyaratan 8_ > > "8.4.1 MFA diterapkan untuk semua akses non-konsol ke CDE bagi personel dengan akses > administratif."  > > "8.4.3 MFA diterapkan untuk semua akses jarak jauh yang berasal dari luar jaringan > entitas yang dapat mengakses atau memengaruhi CDE."  - **Persyaratan Faktor:** Implementasi MFA harus menggunakan setidaknya dua dari tiga jenis faktor autentikasi yang diakui: - Sesuatu yang Anda ketahui (misalnya, kata sandi, PIN) - Sesuatu yang Anda miliki (misalnya, perangkat token, [smart card](https://www.corbado.com/glossary/smart-card), atau perangkat yang menyimpan passkey) - Sesuatu yang Anda miliki (misalnya, data biometrik seperti sidik jari atau pengenalan wajah). Yang terpenting, faktor-faktor ini harus independen, artinya kompromi satu faktor tidak membahayakan faktor lainnya. - **Integritas Sistem MFA:** Sistem MFA harus dirancang untuk menahan serangan replay (di mana penyerang mencegat dan menggunakan kembali data autentikasi) dan harus memberikan akses hanya setelah semua faktor autentikasi yang diperlukan berhasil divalidasi. - **Tidak Ada Bypass yang Tidak Sah:** MFA tidak boleh dapat dilewati oleh pengguna mana pun, termasuk administrator, kecuali pengecualian spesifik yang didokumentasikan diberikan oleh manajemen berdasarkan per-kasus untuk periode waktu yang terbatas. - **Autentikasi Tahan Phishing sebagai Pengecualian:** PCI DSS 4.0 juga memperkenalkan panduan tambahan mengenai faktor autentikasi yang tahan [phishing](https://www.corbado.com/glossary/phishing), yang dalam beberapa kasus, dapat memenuhi maksud dari MFA. > _Kutipan Persyaratan 8_ > > "Persyaratan ini tidak berlaku untuk … akun pengguna yang hanya diautentikasi dengan > faktor autentikasi yang tahan phishing." — Catatan Penerapan untuk 8.4.2  > > "Autentikasi tahan phishing … Contoh autentikasi tahan phishing termasuk > [FIDO2](https://www.corbado.com/glossary/fido2)." — Lampiran G, Definisi Glosarium Autentikasi Tahan > Phishing  Implikasi dari autentikasi tahan phishing, seperti yang disorot oleh kutipan-kutipan ini, akan dieksplorasi lebih lanjut di bagian berikutnya (4.3). ### 4.3 Penekanan pada Autentikasi Tahan Phishing PCI DSS 4.0 memberikan penekanan yang nyata pada penggunaan metode autentikasi yang tahan phishing. Ini adalah respons langsung terhadap prevalensi dan keberhasilan serangan phishing dalam mengkompromikan kredensial tradisional. - **Autentikasi Tahan Phishing sebagai Alternatif/Pelengkap MFA:** - Perkembangan penting di bawah Persyaratan 8.4.2 adalah bahwa metode autentikasi tahan phishing dapat digunakan [_sebagai pengganti_ MFA tradisional](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) untuk semua akses non-administratif ke CDE yang berasal dari dalam jaringan entitas. Ini adalah ketentuan signifikan untuk teknologi seperti passkeys, yang secara inheren tahan phishing. Ini menandakan bahwa PCI SSC memandang metode canggih ini memberikan tingkat jaminan yang sebanding atau bahkan lebih unggul dari beberapa kombinasi MFA tradisional untuk kasus penggunaan spesifik ini. - \*\*Namun, untuk akses administratif ke CDE (Persyaratan 8.4.1) dan untuk semua akses jarak jauh yang berasal dari luar jaringan entitas ke CDE (Persyaratan 8.4.3), meskipun autentikasi tahan phishing sangat direkomendasikan, itu [_harus dikombinasikan dengan setidaknya satu faktor autentikasi lain_](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) untuk memenuhi persyaratan MFA. Perbedaan ini memerlukan pendekatan bernuansa untuk implementasi passkey, berpotensi strategi berjenjang di mana passkeys saja sudah cukup untuk pengguna internal umum, tetapi passkeys yang dikombinasikan dengan faktor lain digunakan untuk skenario akses berisiko lebih tinggi. - **Pengakuan FIDO dan Wawasan Ahli:** Standar ini secara khusus menyebutkan autentikasi berbasis FIDO (yang mendasari passkeys) sebagai metode yang lebih disukai untuk mencapai MFA, sebagian besar karena karakteristiknya yang kuat dan tahan phishing. Wawasan lebih lanjut tentang topik ini dibagikan dalam episode podcast PCI SSC "Coffee with the Council", "Passwords Versus Passkeys: A Discussion with the [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)" ([https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance)). Dalam podcast tersebut, Andrew Jamieson, VP Distinguished Standards Architect di [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) SSC, menekankan nilai dari teknologi ini: > "Saya akan menegaskan kembali bahwa saya pikir autentikasi tahan phishing adalah > teknologi yang hebat. Ini adalah sesuatu yang dapat menyelesaikan banyak masalah > yang kita miliki dengan kata sandi. Dan saya akan sangat menyarankan ketika orang > melihat teknologi apa yang akan mereka terapkan untuk autentikasi, mereka melihat > autentikasi tahan phishing dan apa yang bisa dibawanya, tetapi juga memahami bahwa > itu sedikit berbeda dari apa yang biasa orang lakukan dan mencari tahu bagaimana > mereka dapat mengintegrasikannya dengan benar dan aman ke dalam arsitektur > autentikasi mereka secara keseluruhan." Megan Shamas, Chief Marketing Officer di [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) (lihat [FIDO Leadership](https://fidoalliance.org/overview/leadership/)), menyoroti pergeseran mendasar yang diwakili oleh teknologi ini dan kebutuhan kebijakan untuk beradaptasi: > "Ini secara fundamental berbeda dari apa yang biasa kita lakukan dengan kata sandi > plus faktor, faktor, faktor, dan kita telah mengembangkan teknologi dan sekarang > orang-orang juga perlu mengembangkan persyaratan dan kebijakan mereka seiring dengan > itu. Dan itu akan sangat membantu organisasi berada di jalur yang benar untuk > menyingkirkan autentikasi yang dapat di-phishing." Perspektif bersama ini menggarisbawahi pergerakan industri menuju metode autentikasi yang lebih aman dan modern. ### 4.4 Persyaratan Kata Sandi dan Frasa Sandi Baru (jika digunakan) Sementara PCI DSS 4.0 sangat mendorong ke arah MFA dan metode tahan phishing, ia juga memperketat persyaratan untuk kata sandi dan frasa sandi jika masih digunakan: - **Peningkatan Panjang dan Kompleksitas:** Panjang kata sandi minimum telah ditingkatkan dari tujuh karakter di v3.2.1 menjadi 12 karakter di v4.0 (atau setidaknya 8 karakter jika sistem tidak mendukung 12). Kata sandi juga harus menyertakan campuran karakter numerik dan alfabet. - **Frekuensi Perubahan Kata Sandi:** Kata sandi harus diubah setidaknya setiap 90 hari jika itu adalah _satu-satunya_ faktor yang digunakan untuk autentikasi (yaitu, tidak ada MFA yang diterapkan pada akun tersebut untuk akses tersebut). Persyaratan ini dapat dikesampingkan jika MFA diterapkan untuk akses tersebut, atau jika organisasi menggunakan autentikasi berkelanjutan berbasis risiko yang secara dinamis mengevaluasi akses secara real-time. Penguatan signifikan aturan kata sandi, ditambah dengan mandat MFA yang diperluas dan dukungan yang jelas untuk pendekatan tahan phishing, menandakan arah strategis dari [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) SSC: untuk secara sistematis mengurangi ketergantungan pada kata sandi sebagai mekanisme autentikasi utama atau tunggal. Kata sandi telah lama diakui sebagai mata rantai yang lemah dalam keamanan, dan PCI DSS 4.0 secara aktif berupaya untuk mengurangi risiko inherennya dengan membuat penggunaan mandirinya lebih ketat dan kurang menarik, sambil secara bersamaan mempromosikan alternatif yang lebih kuat dan modern. Untuk mengilustrasikan pergeseran ini dengan jelas, tabel berikut membandingkan aspek autentikasi utama antara PCI DSS 3.2.1 dan 4.0: **Tabel 1: Perbedaan Utama dalam Autentikasi: PCI DSS 3.2.1 vs. 4.0** | Fitur | PCI DSS 3.2.1 | PCI DSS 4.0 | | :--------------------------------- | :--------------------------------------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **MFA untuk Akses CDE** | Diwajibkan untuk akses administratif non-konsol dan semua akses jarak jauh ke CDE. | Diwajibkan untuk [**semua** akses ke CDE](https://drata.com/blog/pci-dss-v4-0) (administratif, non-administratif, internal, jarak jauh). | | **Panjang Kata Sandi (Minimum)** | 7 karakter (numerik dan alfabet). | 12 karakter (numerik dan alfabet); 8 jika sistem tidak mendukung 12. | | **Frekuensi Perubahan Kata Sandi** | Setiap 90 hari. | Setiap 90 hari [**jika kata sandi adalah satu-satunya faktor**](https://www.securitymetrics.com/blog/password-updates-and-requirements-in-pci-4); bisa lebih lama jika MFA atau autentikasi berbasis risiko digunakan. | | **Penekanan Ketahanan Phishing** | Terbatas, terutama ditangani melalui kesadaran keamanan umum. | Penekanan kuat; autentikasi tahan phishing dapat menggantikan MFA untuk akses CDE internal tertentu (Req 8.4.2). FIDO secara eksplisit disebutkan. | | **Penggunaan Passkeys/FIDO** | Tidak secara eksplisit dibahas sebagai metode utama. | Autentikasi berbasis FIDO disebut sebagai metode MFA yang lebih disukai. Metode tahan phishing (seperti passkeys) diberi peran spesifik dalam memenuhi persyaratan MFA. | Fokus yang meningkat pada autentikasi di PCI DSS 4.0 ini menetapkan arah yang jelas bagi organisasi untuk mengevaluasi kembali strategi mereka saat ini dan menjelajahi solusi yang lebih tangguh seperti passkeys. ## 5. Passkeys: Masa Depan Autentikasi Tahan Phishing Berdasarkan standar [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), passkeys menawarkan alternatif yang secara fundamental lebih aman dan ramah pengguna dibandingkan kata sandi tradisional dan bahkan beberapa bentuk MFA lawas. ### 5.1 Apa itu Passkeys? (standar FIDO, WebAuthn) Passkey adalah [kredensial digital](https://www.corbado.com/id/blog/digital-credentials-api) yang memungkinkan pengguna untuk masuk ke situs web dan aplikasi tanpa perlu memasukkan kata sandi. Passkeys dibangun di atas standar [FIDO2](https://www.corbado.com/glossary/fido2), serangkaian spesifikasi terbuka yang dikembangkan oleh FIDO Alliance. WebAuthn adalah standar World Wide Web Consortium (W3C) yang memungkinkan browser dan [aplikasi web](https://www.corbado.com/id/blog/aplikasi-crud-react-express-mysql) untuk melakukan autentikasi yang kuat dan tahan phishing menggunakan pasangan kunci kriptografis. Pada dasarnya, passkeys adalah implementasi dari standar [FIDO2](https://www.corbado.com/glossary/fido2) ini, memanfaatkan WebAuthn untuk interaksi di lingkungan web. Passkeys menggantikan kata sandi tradisional dengan kunci kriptografis unik yang disimpan dengan aman di perangkat pengguna, seperti smartphone, komputer, atau [kunci keamanan perangkat keras](https://www.corbado.com/id/blog/kunci-keamanan-perangkat-keras-fido2-terbaik). ### 5.2 Cara Kerja Passkeys: Kriptografi, Pengikatan Perangkat, Biometrik/PIN [Keamanan passkeys](https://www.corbado.com/id/faq/apa-itu-passkeys) berakar pada [kriptografi kunci publik](https://www.corbado.com/id/blog/webauthn-pubkeycredparams-credentialpublickey). Ketika pengguna mendaftarkan passkey dengan sebuah layanan ("[relying party](https://www.corbado.com/glossary/relying-party)" atau RP), sepasang kunci kriptografis unik dihasilkan: - **Kunci privat**, yang disimpan dengan aman di perangkat pengguna. Kunci ini mungkin berada di dalam modul keamanan perangkat keras (misalnya, TPM atau [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)). Kunci privat tidak pernah meninggalkan penyimpanan aman ini (kecuali dalam kasus passkeys yang disinkronkan, seperti yang akan dijelaskan nanti). - **Kunci publik**, yang dikirim dan disimpan oleh [relying party](https://www.corbado.com/glossary/relying-party) (layanan situs web atau aplikasi) dan dikaitkan dengan akun pengguna. Selama autentikasi, prosesnya adalah sebagai berikut: 1. [Relying party](https://www.corbado.com/glossary/relying-party) mengirimkan "tantangan" unik (sepotong data acak) ke perangkat pengguna. 2. Untuk membuka dan menggunakan kunci privat, pengguna melakukan verifikasi lokal di perangkat mereka. Ini biasanya melibatkan penggunaan pengenal biometrik (seperti sidik jari atau pemindaian wajah), memasukkan PIN perangkat, atau menggambar pola). Pentingnya, data biometrik atau PIN ini tidak pernah meninggalkan perangkat pengguna dan tidak dikirimkan ke relying party. 3. Setelah dibuka, kunci privat di perangkat menandatangani tantangan yang diterima dari relying party. 4. Tantangan yang ditandatangani ini ("[assertion](https://www.corbado.com/glossary/assertion)") dikirim kembali ke relying party. 5. Relying party menggunakan kunci publik yang tersimpan yang sesuai dengan pengguna tersebut untuk memverifikasi tanda tangan pada [assertion](https://www.corbado.com/glossary/assertion). Jika tanda tangan valid, autentikasi berhasil. Ada dua jenis utama passkeys: - **Passkeys yang Disinkronkan:** Passkeys ini dapat disinkronkan di seluruh perangkat tepercaya pengguna menggunakan pengelola kredensial berbasis cloud seperti [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) Apple atau [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). Ini memberikan kemudahan, memungkinkan passkey yang dibuat di satu perangkat untuk digunakan di perangkat lain yang dimiliki oleh pengguna yang sama dalam ekosistem yang sama. - **Passkeys Terikat Perangkat:** Passkeys ini terikat pada [authenticator](https://www.corbado.com/glossary/authenticator) fisik tertentu, seperti [kunci keamanan perangkat keras](https://www.corbado.com/id/blog/kunci-keamanan-perangkat-keras-fido2-terbaik) USB (misalnya, [YubiKey](https://www.corbado.com/glossary/yubikey)) atau aplikasi di ponsel tertentu. Passkey tidak meninggalkan perangkat spesifik ini. Dasar kriptografis dan proses verifikasi pengguna lokal ini memberikan manfaat keamanan inheren yang secara langsung mengatasi banyak vektor serangan umum. ### 5.3 Manfaat Keamanan Inherent: Ketahanan Phishing, Tanpa Rahasia Bersama, Perlindungan Terhadap Credential Stuffing dan Pengambilalihan Akun (ATO) Desain passkeys menawarkan beberapa keuntungan keamanan dibandingkan metode autentikasi tradisional: - **Ketahanan Phishing:** Ini adalah manfaat utama. Passkeys secara kriptografis terikat pada asal situs web tertentu (Relying Party ID atau RP ID) tempat mereka dibuat. Jika pengguna tertipu untuk mengunjungi situs phishing palsu yang meniru situs yang sah, browser atau sistem operasi akan mengenali bahwa domain saat ini tidak cocok dengan RP ID yang terkait dengan passkey. Akibatnya, passkey tidak akan berfungsi, dan autentikasi akan gagal. Ini mengalihkan beban mengidentifikasi upaya phishing dari pengguna manusia yang sering kali salah ke protokol keamanan yang kuat dari teknologi itu sendiri. - **Tanpa Rahasia Bersama:** Dengan passkeys, tidak ada "rahasia bersama" seperti kata sandi yang diketahui oleh pengguna dan server, dan yang dapat dicuri. Kunci privat, yang merupakan komponen penting untuk autentikasi, tidak pernah meninggalkan perangkat aman pengguna. Kunci publik, yang disimpan oleh server, secara matematis terkait dengan kunci privat tetapi tidak dapat digunakan untuk menurunkan kunci privat atau untuk meniru pengguna. Ini berarti bahwa bahkan jika server relying party diretas dan kunci publik dicuri, mereka tidak berguna bagi penyerang tanpa kunci privat yang sesuai. - **Perlindungan Terhadap Credential Stuffing dan Serangan Replay:** Serangan credential stuffing, di mana penyerang menggunakan daftar nama pengguna dan kata sandi yang dicuri untuk mencoba mendapatkan akses ke berbagai akun, menjadi tidak efektif karena tidak ada kata sandi untuk dicuri dan digunakan kembali. Selain itu, setiap [autentikasi passkey](https://www.corbado.com/id/blog/penyedia-passkey-aaguid-adopsi) melibatkan mekanisme tantangan-respons yang unik. Tanda tangan yang dihasilkan oleh kunci privat spesifik untuk tantangan yang diterima untuk sesi login tertentu, sehingga tidak mungkin bagi penyerang untuk mencegat [assertion](https://www.corbado.com/glossary/assertion) autentikasi dan memutarnya kembali nanti untuk mendapatkan akses tidak sah. - **Pengurangan signifikan risiko Pengambilalihan Akun (ATO):** Dengan secara efektif menetralkan phishing, menghilangkan rahasia bersama, dan mencegah serangan credential stuffing dan replay, passkeys secara drastis mengurangi vektor serangan utama yang digunakan untuk pengambilalihan akun. Karena penyerang tidak dapat dengan mudah memperoleh atau menyalahgunakan kredensial autentikasi pengguna, kemungkinan keberhasilan ATO menurun drastis. Pergeseran mendasar dari autentikasi berbasis pengetahuan (apa yang diketahui pengguna, seperti kata sandi) ke kombinasi berbasis kepemilikan (apa yang dimiliki pengguna – perangkat mereka dengan kunci aman) dan berbasis inherensi atau berbasis pengetahuan lokal (siapa pengguna melalui biometrik, atau apa yang mereka ketahui secara lokal melalui PIN perangkat) secara fundamental memutus rantai serangan yang mengandalkan kompromi rahasia bersama yang dapat digunakan dari jarak jauh. Tidak seperti banyak tindakan keamanan yang menambah friksi, passkeys sering kali meningkatkan pengalaman pengguna dengan menawarkan login yang lebih cepat dan lebih sederhana tanpa perlu mengingat kata sandi yang rumit, manfaat ganda yang dapat mendorong adopsi dan meningkatkan postur keamanan secara keseluruhan. ## 6. Menjembatani Kesenjangan: Bagaimana Passkeys Memenuhi Kontrol Autentikasi PCI DSS 4.0 Fitur keamanan kuat yang melekat pada passkeys sangat selaras dengan kontrol autentikasi yang diperkuat yang diamanatkan oleh PCI DSS 4.0, terutama yang diuraikan dalam Persyaratan 8. Passkeys tidak hanya memenuhi persyaratan ini tetapi sering kali melebihi keamanan yang diberikan oleh metode tradisional. ### 6.1 Secara Langsung Mengatasi Kriteria MFA dan Ketahanan Phishing Persyaratan 8 Passkeys secara inheren memenuhi prinsip inti Autentikasi Multi-Faktor seperti yang didefinisikan oleh PCI DSS 4.0: - **Sifat Multi-Faktor:** Peristiwa [autentikasi passkey](https://www.corbado.com/id/blog/penyedia-passkey-aaguid-adopsi) biasanya menggabungkan "sesuatu yang Anda miliki" (perangkat fisik yang berisi kunci privat, seperti smartphone atau [kunci keamanan perangkat keras](https://www.corbado.com/id/blog/kunci-keamanan-perangkat-keras-fido2-terbaik)) dengan "sesuatu yang Anda miliki" (biometrik seperti sidik jari atau pemindaian wajah yang digunakan untuk membuka passkey di perangkat) atau "sesuatu yang Anda ketahui" (PIN atau pola perangkat). Faktor-faktor ini independen; mengkompromikan PIN perangkat, misalnya, tidak secara inheren mengkompromikan kunci kriptografis jika perangkat itu sendiri tetap aman. - **Ketahanan Phishing:** Seperti yang telah dibahas secara luas, passkeys tahan phishing karena desainnya yang bersifat kriptografis dan terikat pada asal. Kunci privat tidak pernah diekspos ke relying party atau ditransmisikan melalui jaringan, dan passkey hanya akan beroperasi pada domain sah tempat ia terdaftar. Ini secara langsung sejalan dengan penekanan kuat PCI DSS 4.0 pada mitigasi ancaman phishing. - **Ketahanan Replay:** Setiap autentikasi passkey melibatkan tantangan kriptografis unik dari server, yang kemudian ditandatangani oleh kunci privat. Tanda tangan yang dihasilkan hanya valid untuk tantangan dan sesi spesifik tersebut, membuatnya tahan terhadap serangan replay. Ini memenuhi Persyaratan 8.5, yang mengamanatkan bahwa sistem MFA harus mencegah serangan semacam itu. ### 6.2 Melebihi Keamanan Berbasis Kata Sandi Tradisional Dibandingkan dengan kata sandi tradisional, passkeys menawarkan model keamanan yang jauh lebih unggul. Kata sandi rentan terhadap berbagai serangan: phishing, rekayasa sosial, [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) karena penggunaan kembali kata sandi, serangan brute-force, dan pencurian dari basis data yang diretas. Passkeys menghilangkan kerentanan ini dengan menghapus rahasia bersama (kata sandi) dari persamaan sepenuhnya. Autentikasi bergantung pada bukti kriptografis kepemilikan kunci privat, yang dilindungi oleh keamanan perangkat lokal, bukan pada rahasia yang dapat dengan mudah dicuri atau ditebak. ### 6.3 Perspektif PCI SSC tentang Passkeys Dewan Standar Keamanan PCI telah mengakui potensi teknologi passkey. Wawasan dari [podcast "Coffee with the Council" PCI SSC](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) yang menampilkan diskusi dengan FIDO Alliance memberikan kejelasan tentang sikap mereka: - Untuk akses non-administratif ke Lingkungan Data Pemegang Kartu (CDE) dari _dalam_ jaringan entitas (Persyaratan 8.4.2), PCI SSC menunjukkan bahwa metode autentikasi tahan phishing seperti passkeys dapat digunakan _sebagai pengganti_ MFA tradisional. Ini adalah pengakuan signifikan terhadap kekuatan passkeys. - Untuk akses administratif ke CDE (Persyaratan 8.4.1) dan untuk setiap akses jarak jauh ke jaringan (Persyaratan 8.4.3), sementara passkeys (sebagai autentikasi tahan phishing) direkomendasikan, mereka _harus digunakan bersama dengan faktor autentikasi lain_ untuk memenuhi persyaratan MFA. Ini menunjukkan pendekatan berbasis risiko di mana skenario akses dengan hak istimewa lebih tinggi atau risiko lebih tinggi menuntut lapisan tambahan. - PCI SSC secara aktif mengembangkan panduan, seperti FAQ, untuk membantu organisasi memahami cara menerapkan passkeys dengan cara yang patuh dan mengakui bahwa passkeys mewakili pergeseran mendasar dari pemikiran berbasis kata sandi tradisional. - Selain itu, dokumentasi PCI DSS 4.0 secara eksplisit merujuk pada autentikasi berbasis FIDO sebagai metode yang lebih disukai, meskipun tidak diamanatkan, untuk menerapkan MFA, menggarisbawahi keselarasan dengan tujuan standar. Posisi ini memungkinkan organisasi untuk secara strategis menerapkan passkeys. Untuk basis luas pengguna non-administratif yang mengakses CDE secara internal, [login passkey](https://www.corbado.com/id/blog/passkey-login-praktik-terbaik) yang mulus dapat memenuhi persyaratan kepatuhan. Untuk administrator dan pengguna jarak jauh, passkeys menyediakan fondasi yang kuat dan tahan phishing untuk solusi MFA. ### 6.4 Jenis Passkey, Independensi Faktor, dan Attestation: Menavigasi Ekspektasi QSA untuk Persyaratan 8 Sementara passkeys menawarkan peningkatan keamanan yang signifikan, Qualified Security Assessors (QSA) PCI DSS akan meneliti implementasinya, terutama untuk skenario akses berisiko tinggi seperti akses administratif ke CDE (Persyaratan 8.4.1), untuk memastikan prinsip-prinsip autentikasi multi-faktor yang sebenarnya terpenuhi. Pertimbangan utama termasuk jenis passkey, independensi faktor autentikasi, dan penggunaan [attestation](https://www.corbado.com/glossary/attestation). #### 6.4.1 Passkeys yang Disinkronkan vs. Terikat Perangkat: Seperti yang telah kita bahas, passkeys datang dalam dua bentuk utama: - _Passkeys yang Disinkronkan:_ Ini disinkronkan di seluruh perangkat tepercaya pengguna melalui layanan cloud seperti Apple [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) atau [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). Mereka menawarkan kemudahan karena passkey yang dibuat di satu perangkat dapat digunakan di perangkat lain. - _Passkeys Terikat Perangkat:_ Ini terikat pada [authenticator](https://www.corbado.com/glossary/authenticator) fisik tertentu, seperti kunci keamanan perangkat keras USB (misalnya, [YubiKey](https://www.corbado.com/glossary/yubikey)) atau perangkat keras aman ponsel tertentu. Kunci privat tidak meninggalkan perangkat spesifik ini. #### 6.4.2 Independensi Faktor dan Pengawasan QSA PCI DSS mengamanatkan bahwa faktor MFA harus independen, artinya kompromi satu faktor tidak membahayakan faktor lainnya. Sebuah passkey biasanya menggabungkan "sesuatu yang Anda miliki" (perangkat dengan kunci privat) dan "sesuatu yang Anda ketahui/miliki" (PIN perangkat lokal atau biometrik untuk membuka kunci). Dengan passkeys yang disinkronkan, meskipun sangat aman terhadap banyak serangan, beberapa QSA mungkin mengajukan pertanyaan mengenai independensi absolut dari faktor "kepemilikan" untuk akses administratif (Persyaratan 8.4.1). Kekhawatirannya adalah jika akun cloud pengguna (misalnya, Apple ID, akun Google) yang menyinkronkan passkeys disusupi, kunci privat berpotensi dapat dikloning ke perangkat yang dikendalikan penyerang. Hal ini dapat menyebabkan beberapa penilai memandang passkey yang disinkronkan, dalam konteks berisiko tinggi, sebagai potensi tidak memenuhi interpretasi ketat dari dua faktor yang sepenuhnya independen jika mekanisme sinkronisasi itu sendiri tidak diamankan dengan kuat dengan MFA yang kuat. Panduan [NIST](https://www.corbado.com/blog/nist-passkeys), misalnya, mengakui passkeys yang disinkronkan sebagai patuh [AAL2](https://www.corbado.com/blog/nist-passkeys), sementara passkeys terikat perangkat dapat memenuhi [AAL3](https://www.corbado.com/blog/nist-passkeys), yang sering kali melibatkan kunci yang tidak dapat diekspor. - **Memahami Flag Authenticator WebAuthn:** Selama seremoni WebAuthn (yang mendasari passkeys), [authenticator](https://www.corbado.com/glossary/authenticator) melaporkan flag tertentu. Dua yang penting adalah: - **uv=1 (User Verified):** Flag ini menunjukkan bahwa pengguna berhasil memverifikasi kehadiran mereka ke authenticator secara lokal, biasanya menggunakan PIN perangkat atau biometrik. Verifikasi ini bertindak sebagai salah satu faktor autentikasi – "sesuatu yang Anda ketahui" (PIN) atau "sesuatu yang Anda miliki" (biometrik). - **up=1 (User Present):** Flag ini mengonfirmasi bahwa pengguna hadir dan berinteraksi dengan authenticator selama seremoni (misalnya, dengan menyentuh kunci keamanan). Meskipun penting untuk membuktikan niat pengguna dan mencegah serangan jarak jauh tertentu, kehadiran pengguna itu sendiri umumnya tidak dianggap sebagai faktor autentikasi independen yang terpisah untuk memenuhi persyaratan multi-faktor MFA. Ini adalah fitur keamanan penting tetapi biasanya tidak dihitung sebagai _faktor_ kedua dengan sendirinya. - **Peran Passkeys Terikat Perangkat dan Kunci Keamanan Perangkat Keras:**\ Untuk akses administratif (Persyaratan 8.4.1) dan skenario jaminan tinggi lainnya, passkeys terikat perangkat yang disimpan di kunci keamanan perangkat keras menawarkan argumen yang lebih kuat untuk independensi faktor. Karena kunci privat dirancang untuk tidak pernah meninggalkan token perangkat keras, faktor "sesuatu yang Anda miliki" lebih terlindungi dari kloning melalui serangan berbasis perangkat lunak atau kompromi akun cloud. Ini menjadikannya opsi yang lebih disukai bagi banyak organisasi yang ingin memenuhi ekspektasi QSA yang ketat untuk MFA administratif. #### 6.4.3 Attestation untuk Verifikasi Authenticator [Attestation](https://www.corbado.com/glossary/attestation) adalah fitur di WebAuthn di mana authenticator memberikan informasi yang dapat diverifikasi tentang dirinya sendiri (misalnya, merek, model, status sertifikasi, apakah didukung perangkat keras) kepada relying party (server FIDO Anda) selama proses [pendaftaran passkey](https://www.corbado.com/id/blog/praktik-terbaik-pembuatan-passkey). - **Mengapa ini penting untuk PCI DSS:** [Attestation](https://www.corbado.com/glossary/attestation) dapat memberikan bukti penting kepada QSA bahwa authenticator yang digunakan memenuhi kebijakan keamanan organisasi dan benar-benar seperti yang mereka klaim (misalnya, kunci keamanan perangkat keras bersertifikat). Ini bisa sangat penting ketika menunjukkan kekuatan dan independensi faktor autentikasi. - **Rekomendasi:** Untuk akses keamanan tinggi seperti akses CDE administratif, menggunakan passkeys pada kunci keamanan perangkat keras yang mendukung attestation yang kuat sangat direkomendasikan. Ini memungkinkan organisasi untuk menegakkan kebijakan tentang jenis authenticator yang dapat diterima dan memberikan bukti kepatuhan yang lebih kuat. Dalam praktiknya, untuk menghindari friksi audit untuk Persyaratan 8.4.1, banyak perusahaan memilih untuk menerbitkan passkeys terikat perangkat pada kunci keamanan perangkat keras yang menawarkan jaminan kuat perlindungan kunci dan potensi attestation. ### 6.5 Memetakan Passkeys ke Sub-klausul Persyaratan 8 Untuk mengilustrasikan dengan jelas bagaimana passkeys menjembatani kesenjangan dan memenuhi kontrol yang dirinci dalam Persyaratan 8, tabel berikut memetakan fitur passkey dan karakteristik spesifik ke sub-klausul yang relevan, menunjukkan kesesuaiannya untuk skenario yang berbeda. | Sub-klausul Req. 8 | Fitur Passkey | Cara Passkey Memenuhi/Melebihi | Disinkronkan OK? | Terikat Perangkat OK? | | :-------------------------- | :-------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :--------------- | :-------------------- | | 8.2 (ID Pengguna) | ID Pengguna Unik via Passkey | Setiap passkey unik untuk pendaftaran pengguna dengan layanan. Kunci privat tidak dibagikan. Memungkinkan akuntabilitas individu. | ✅ | ✅ | | 8.3.x (Kata Sandi) | Penggantian Kata Sandi | Jika passkeys sepenuhnya menggantikan kata sandi untuk jalur akses, kontrol spesifik kata sandi (panjang, kompleksitas, rotasi, riwayat) menjadi T/A untuk jalur tersebut, menyederhanakan kepatuhan untuk kontrol tersebut. | ✅ | ✅ | | 8.4.1 (MFA Admin) | Faktor Tahan Phishing (Perangkat + Lokal) | Passkey berfungsi sebagai satu faktor kuat yang tahan phishing. (Pengawasan QSA pada independensi faktor untuk passkeys yang disinkronkan). | ⚠️ | ✅ | | 8.4.2 (MFA Non-Konsol) | Autentikasi Tahan Phishing (Perangkat + Lokal) | Autentikasi tahan phishing (seperti passkeys) dapat digunakan _sebagai pengganti_ MFA tradisional untuk skenario ini. | ✅ | ✅ | | 8.4.3 (MFA Jarak Jauh) | Faktor Tahan Phishing (Perangkat + Lokal) | Passkey berfungsi sebagai satu faktor kuat yang tahan phishing ke dalam jaringan. (Pengawasan QSA pada independensi faktor untuk passkeys yang disinkronkan). | ⚠️ | ✅ | | 8.5.1 (Ketahanan Replay) | Tantangan/Respons Unik | Setiap login menghasilkan tanda tangan unik yang terikat pada tantangan server, mencegah penggunaan kembali data autentikasi yang disadap. | ✅ | ✅ | | 8.5.x (Independensi Faktor) | Faktor Lokal yang Berbeda (Perangkat+Lokal) | Kunci kriptografis di perangkat dan biometrik/PIN lokal bersifat independen. Operasi kriptografis hanya berlanjut setelah verifikasi pengguna lokal berhasil. (Independensi faktor untuk kunci yang disinkronkan mungkin dipertanyakan oleh QSA dalam skenario berisiko tinggi). | ⚠️ | ✅ | | Ketahanan Phishing (Umum) | Keamanan Inti (Pengikatan Asal, Tanpa Rahasia, Kripto PK) | Secara fundamental dirancang untuk menahan serangan phishing dengan memastikan passkey hanya berfungsi di situs yang sah dan tidak ada rahasia yang ditransmisikan yang dapat dicuri. | ✅ | ✅ | Pemetaan ini menunjukkan bahwa passkeys bukan hanya cocok secara teoretis tetapi juga solusi praktis dan kuat untuk memenuhi tuntutan autentikasi canggih dari PCI DSS 4.0. ## 7. Kesimpulan: Merangkul Passkeys untuk Autentikasi yang Kuat Lanskap keamanan pembayaran bersifat kompleks dan terus berkembang. PCI DSS 4.0 mencerminkan realitas ini, menetapkan standar yang lebih tinggi untuk kontrol keamanan, terutama di bidang autentikasi. Saat organisasi berusaha untuk memenuhi tuntutan baru yang lebih ketat ini, passkeys—yang dibangun di atas standar FIDO/WebAuthn—muncul bukan hanya sebagai solusi yang patuh, tetapi sebagai teknologi transformatif yang siap untuk mendefinisikan ulang akses yang aman. Sepanjang analisis ini, dua pertanyaan sentral telah memandu eksplorasi kita: 1. **Seiring PCI DSS 4.0 menaikkan standar autentikasi, bagaimana organisasi dapat secara efektif memenuhi persyaratan baru yang ketat ini tanpa membebani pengguna atau tim keamanan?** Buktinya sangat menunjukkan bahwa organisasi dapat secara efektif memenuhi persyaratan autentikasi PCI DSS 4.0 dengan secara strategis mengadopsi solusi Autentikasi Multi-Faktor (MFA) yang tahan phishing seperti passkeys. Teknologi ini secara inheren menyeimbangkan keamanan yang kuat dan terverifikasi secara kriptografis dengan pengalaman pengguna yang jauh lebih baik dan sering kali lebih cepat. Selain itu, kelonggaran PCI DSS 4.0 untuk "implementasi yang disesuaikan" memberdayakan organisasi untuk menyesuaikan solusi canggih tersebut dengan lingkungan dan profil risiko spesifik mereka, bergerak melampaui pendekatan satu ukuran untuk semua. Panduan dari PCI SSC sendiri semakin memfasilitasi hal ini, memungkinkan kepatuhan yang disederhanakan untuk segmen besar pengguna sambil mencadangkan pendekatan yang lebih berlapis untuk akses administratif dan jarak jauh yang berisiko lebih tinggi. 2. **Dapatkah teknologi baru seperti passkeys tidak hanya memenuhi kontrol autentikasi yang kuat dari PCI DSS 4.0 tetapi juga menawarkan manfaat nyata di luar kepatuhan semata, seperti peningkatan keamanan dan efisiensi operasional yang lebih baik?** Jawabannya adalah ya yang jelas. Passkeys terbukti mampu memenuhi kontrol autentikasi inti dalam Persyaratan 8 PCI DSS 4.0, termasuk kriteria MFA, ketahanan phishing, dan ketahanan replay. Namun, nilainya melampaui kepatuhan semata. Desain inheren passkeys—menghilangkan rahasia bersama dan mengikat autentikasi ke asal tertentu—secara drastis mengurangi risiko serangan phishing yang berhasil dan pengambilalihan akun, yang mengarah pada pengurangan kerugian terkait penipuan yang nyata. Secara operasional, pergeseran dari kata sandi berarti lebih sedikit tiket helpdesk terkait kata sandi, menghemat biaya dan membebaskan sumber daya TI. Pengguna mendapat manfaat dari pengalaman login yang lebih sederhana, lebih cepat, dan tidak membuat frustrasi, yang dapat meningkatkan produktivitas dan kepuasan pelanggan. Selain itu, di mana kata sandi sepenuhnya digantikan oleh passkeys untuk jalur akses tertentu, beban audit untuk kontrol spesifik kata sandi dihilangkan, yang berpotensi merampingkan upaya kepatuhan di area tersebut. Perjalanan menuju ekosistem pembayaran yang benar-benar aman bersifat berkelanjutan. PCI DSS 4.0 menetapkan tonggak baru, dan autentikasi passkey menyediakan sarana yang kuat untuk mencapainya. Organisasi yang memproses, menyimpan, atau mentransmisikan data pemegang kartu sangat dianjurkan untuk mengevaluasi dan mulai merencanakan adopsi passkeys. Ini bukan hanya tentang mematuhi iterasi terbaru dari sebuah standar; ini tentang merangkul pendekatan autentikasi yang lebih aman, efisien, dan berpusat pada pengguna yang selaras dengan masa depan [identitas digital](https://www.corbado.com/id/blog/digital-credentials-api). Dengan menerapkan passkeys secara strategis, bisnis dapat memperkuat pertahanan mereka terhadap ancaman yang terus berkembang, melindungi data pembayaran yang berharga, dan membangun kepercayaan yang lebih besar dengan pelanggan mereka di dunia yang semakin digital.