Data Pemegang Kartu adalah salah satu aset informasi penting yang perlu dia- mankan. Payment Card Industry (PCI) sebagai organisasi yang mengatur pem- rosesan kartu pembayaran menyatakan bahwa setiap entitas yang terlibat dalam penyimpanan dan atau transmisi data pemegang kartu harus mematuhi PCI Data Security Standard (DSS). identifikasi resiko dan desain kontrol mitigasi merupakan salah satu hal yang diperlukan untuk mematuhi PCI DSS. XYZ sebagai perusa- haan Software-as-a-Service terlibat dalam proses transmisi data pemegang kartu, sehingga harus mematuhi PCI DSS dan perlu melakukan penilaian risiko. Peneli- tian ini mengeksplorasi penggunaan metodologi Operationally Critical Threat, As- set, and Vulnerability Evaluation (OCTAVE) Allegro untuk melakukan proses peni- laian risiko di perusahaan Software-as-a-Service. 75 resiko yang berkaitan dengan Personal Signup Project di XYZ diidentifikasi dan dari situ, 20 kontrol mitigasi didesain.