Penetration Testing
Penetration testing untuk retail dan e-commerce Indonesia
Ringkasnya
Cara peritel daring Indonesia menguji checkout, alur pembayaran dan dompet, API publik, dan akun pelanggan untuk celah yang bisa dieksploitasi sebelum diserang.
Peritel daring tidak bisa menunggu lonjakan penipuan atau notifikasi pelanggaran untuk tahu apakah checkout, API publik, atau akun pelanggannya bisa dieksploitasi. Waktu yang lebih baik untuk mengetahuinya adalah lewat pengujian terkendali. PCI DSS menjadikan sebagian dari ini kewajiban tetap, bukan proyek opsional: setiap merchant yang menangani data kartu pembayaran wajib melakukan penetration testing berkala atas lingkungan data pemegang kartu. Halaman ini membahas apa yang harus masuk cakupan untuk peritel atau marketplace secara spesifik, bagaimana pengujian menyesuaikan diri dengan sistem checkout dan loyalitas, dan apa yang terjadi setelah laporan selesai. Untuk cara kerja penetration testing secara umum, lihat halaman layanan penetration testing kami.
Mengapa pengujian berbeda untuk e-commerce
Permukaan serangan retail bukan satu aplikasi web. Ia adalah checkout, sekumpulan integrasi pembayaran dan dompet, sistem akun pelanggan, dan sering kali sebuah marketplace, masing-masing menyimpan bagian berbeda dari apa yang diincar penyerang.
Alur checkout, pembayaran dan dompet
Di sinilah data kartu dan dompet digital berpindah, dan bagian ini menarik serangan paling terarah. Web-skimming, penyisipan skrip berbahaya bergaya Magecart ke halaman checkout, diam-diam menyalin detail kartu saat pelanggan mengetiknya. Pengujian memeriksa checkout dan integrasi pembayarannya terhadap gangguan semacam ini sebelum berjalan senyap selama berbulan-bulan.
SQL injection, XSS dan penyalahgunaan API
SQL injection, cross-site scripting, dan penyalahgunaan API publik terhadap basis data checkout dan loyalitas adalah pola serangan paling umum terhadap retail, dan utang teknis kerap membiarkannya terbuka bertahun-tahun. Inilah temuan yang seharusnya diangkat pengujian sebelum sebuah basis data disedot.
Account takeover dan credential stuffing
Penyerang memutar ulang pasangan nama pengguna dan kata sandi yang dipakai ulang terhadap login loyalitas untuk menguras saldo poin atau melakukan pembelian palsu. Sistem loyalitas dan akun sering berjalan dengan kontrol lebih lemah daripada sistem pembayaran di sebelahnya, sehingga menjadi target yang lebih lunak dan hal spesifik yang perlu diuji.
Platform penjual marketplace
Jika Anda mengelola marketplace, platform penjual adalah permukaan serangan tersendiri: kampanye penjual palsu, account takeover terhadap login penjual, dan penyalahgunaan API yang menghadap penjual. Masing-masing adalah jalur menuju penipuan atau data pelanggan yang tak akan pernah dijangkau pengujian yang hanya menyasar etalase.
Tidak ada satu mandat pengujian khusus retail seperti yang ditetapkan OJK untuk bank, tetapi kewajibannya ada secara substansi. PCI DSS mewajibkan penetration testing berkala atas lingkungan data pemegang kartu bagi setiap merchant yang menangani data kartu, dan UU PDP mewajibkan pengendali menerapkan langkah teknis yang memadai untuk melindungi data pribadi pelanggan. Penetration test adalah salah satu cara paling langsung untuk menunjukkan keduanya berjalan dalam praktik, bukan hanya di atas kertas.
Apa yang kami uji dan cara kami menjalankannya
Penentuan cakupan harus memperhitungkan setiap sistem yang menyentuh uang atau data pelanggan, bukan hanya etalase publik.
Setiap penugasan mencakup satu kali retest gratis setelah perbaikan dilakukan, karena laporan yang menyatakan "sudah diperbaiki" baru berarti sesuatu kalau ada yang memeriksanya kembali. Temuan dikategorikan berdasarkan tingkat keparahan dan dipetakan ke tenggat remediasi yang bisa Anda pertanggungjawabkan, dan cakupannya ditetapkan mengikuti jendela perdagangan langsung Anda sehingga pengujian tidak menjadi penyebab checkout mati. Jika Anda menimbang pemindaian yang lebih ringan dengan pengujian penuh, halaman kami tentang vulnerability assessment vs penetration testing menjelaskan di mana masing-masing cocok, dan halaman kami tentang berapa lama penetration testing berlangsung membahas ekspektasi soal waktu.
Apa arti konteks sektor bagi retail
Retail dan e-commerce berada di bawah dua rezim sekaligus. PCI DSS mengatur cara data kartu pembayaran ditangani dan mewajibkan pengujian berkala atas lingkungan di sekitarnya. UU PDP mengatur data pribadi pelanggan di balik setiap akun dan pesanan, mengharapkan langkah teknis yang memadai, dan menetapkan tenggat notifikasi pelanggaran 72 jam. Platform besar juga beroperasi sebagai penyelenggara sistem elektronik menurut PP 71/2019, yang membawa kewajiban keamanan dan pelaporannya sendiri. Pengujian yang dicakup pada checkout, API, dan sistem akun adalah satu tindakan yang menjawab ketiganya sekaligus, bukan memperlakukan masing-masing sebagai urusan kepatuhan terpisah.
Jika checkout, API, atau sistem loyalitas Anda belum diuji terhadap apa yang benar-benar akan dicoba penyerang, tim kami dapat menetapkan cakupan pengujian sesuai yang diminta PCI DSS dan profil risiko Anda serta menyusun langkah berikutnya yang konkret.
Referensi
Ditinjau oleh Naren Krishnan, Cybersecurity Manager
Pertanyaan umum
Ya. PCI DSS berlaku bagi setiap merchant yang menyimpan, memproses, atau mengirimkan data kartu pembayaran, dan mencakup kewajiban melakukan penetration testing berkala atas lingkungan data pemegang kartu. Itu meliputi alur checkout, integrasi payment gateway, serta sistem dan segmen jaringan di sekitarnya. Pengujian adalah cara menunjukkan bahwa kontrol yang melindungi data kartu benar-benar berjalan, bukan sekadar diasumsikan.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.