Dalam proses sertifikasi PCI DSS terutama versi 4, dokumentasi Data Flow Diagram (DFD) mengenai aliran data kartu kredit yang digunakan dalam sistem Perusahaan menjadi sebuah kewajiban yang perlu dilakukan. Dengan adanya dokumen ini, maka dapat digambarkan bagaimana data kartu kredit diproses, disimpan, didistribusikan, menggambarkan pihak-pihak yang terlibat didalamnya, serta data apa saja yang terdapat di kartu kredit yang digunakan.
Namun, terkadang dengan berjalannya proses operasional Perusahaan dokumentasi ini seringnya tidak tergambarkan secara spesifik dan tidak terbaharui dengan berbagai macam alasan. Bila kondisi ini terjadi, maka dalam operasional kesehariannya ketika terjadi permasalahan dalam pengolahan data kartu kredit akan terjadi kesulitan dalam mencari Root Cause (penyebab) dari permasalahan yang sedang terjadi.
Menurut dokumentasi PCI DSS, persyaratan DFD tertuang dalam requirement 1.2.4 yang tertulis “An accurate data-flow diagram(s) is maintained that meets the following: (a) show all accounts data flow across systems and networks. (b) updated as needed upon changes to the environment.“. Berdasarkan pengertian tersebut, maka dapat diartikan bahwa seluruh data kartu kredit yang melewati seluruh sistem dan jaringan terkait perlu digambarkan dan mencerminkan kondisi terkini. Untuk memastikan bahwa dokumen DFD sudah sesuai dengan persyaratan PCI DSS, ada beberapa hal yang dapat digunakan sebagai panduan pembuatannya.
Keterlibatan PIC Data Kartu Kredit.
Melibatkan PIC yang mengetahui aliran data kartu kredit menjadi krusial, dikarenakan dialah yang paham betul bagaimana data kartu mengalir, diproses, disimpan serta sistem apa saja yang terlibat didalamnya. Informasi tersebut bisa didapatkan dari hasil diskusi dan dikonfirmasi ulang setelah DFD sudah tersajikan dalam dokumen. Pengetahuan dari PIC ini sangat disarankan tidak hanya dimiliki oleh satu orang saja, tetapi didistribusikan kepada rekan kerja PIC agar tidak terjadi hambatan ketika PIC tersebut berhalangan / mengundurkan diri dari Perusahaan.
End to End Proses Data Kartu Kredit.
Dalam pembuatan diagramnya, perlu menggambarkan keseluruhan proses data kartu kredit yang mengalir didalam sistem Perusahaan mulai dari data tersebut masuk untuk pertama kalinya hingga tempat bermuaranya data, baik didalam sistem Perusahaan ataupun ke pihak eksternal, seperti penyedia Payment Gateway maupun penyedia FDS (Fraud Detection System). Kemudian, data apa saja yang diolah dan disimpan, kemudian peran masing-masing pihak yang terlibat didalamnya. Misalnya, pada sistem A menerima data kartu kredit (nama pemilik kartu, nomor kartu, tanggal masa berlaku), kemudian menyimpan data tsb didalam database dan meneruskan data tersebut ke penyedia Payment Gateway menggunakan koneksi HTTPS dengan port 443.
Informasi Pembuatan, Peninjauan dan Pengesahan Dokumen.
Dalam hal ini, informasi seperti kapan dokumen DFD dibuat, ditinjau dan disahkan menunjukkan bahwa dokumen ini selalu diperbaharui dan disesuaikan dengan proses bisnis terkini yang ada di Perusahaan. Serta untuk menunjukkan pihak-pihak (PIC) yang dilibatkan dalam proses ini. Umumnya bukti tanda tangan dari masing-masing pihak (PIC) menjadi bukti bahwa dokumen DFD diketahui dan sudah melalui proses diskusi.
Justifikasi Bisnis.
Perihal justifikasi bisnis perlu disiapkan jika dalam penyusunan dokumen DFD didapatkan adanya proses / aktifitas pengolahan data kartu yang tidak sesuai dengan requirement yang dimandatkan oleh PCI DSS. Justifikasi perlu disusun sedemikian rupa untuk menjelaskan hal-hal apa saja yang menjadi kendala / tuntutan proses bisnis yang menyebabkan ketidaksesuaian. Jika dikemudian hari pada pelaksanaan audit justifikasi ini dapat disampaikan kepada pihak auditor untuk dinilai apakah justifikasi ini dapat diterima / tidak diterima dengan diharuskannya mengubah proses / aktifitas pengolahan kartu. Perihal justifikasi bisnis ini, sangat disarankan untuk menerapkan compensating control pengamanan data kartu. Dan jika penerapan compensating control tidak sesuai dengan requirement PCI DSS, namun memiliki tujuan dan hasil yang sama maka gunakanlah form TRA (Targeted Risk Analysis) yang dimandatkan semenjak PCI DSS versi 4. Perihal TRA agar dapat dibaca lebih seksama lagi, dikarenakan dokumentasi ini merupakan bisnis proses baru.
Selain pemaparan poin-poin diatas, ketepatan dalam pembuatan dokumentasi DFD dapat membantu dalam menentukan ruang lingkup ketika dalam proses audit oleh pihak eksternal. Sangat disarankan untuk mengerucutkan ruang lingkup sehingga efisiensi effort yang dibutuhkan untuk mendapatkan dan mempertahankan sertifikasi PCI DSS dapat terwujud.