Sistem Keamanan Transaksi e-Commerce Latar Belakang Isu privasi adalah salah satu permasalahan serius yang menarik untuk dikaji dalam dunia E-Commerce. Hasil polling yang dilakukan oleh majalah Business Week menemukan fakta bahwa lebih dari 40 persen pengguna jasa situs E-Commerce memberi kekhawatiran besar terhadap potensi misuse of information yang dilakukan oleh situs-situs tersebut dan 57 persen dari responden menginginkan hukum yang memiliki kekuatan untuk mengatur bagaimana mekanisme yang sesuai bagi situs ECommerce dalam mengumpulkan dan menggunakan informasi personal milik konsumen. (Harris Poll 2000). Culnan juga berpendapat bahwa kekhawatiran orang tentang privasi merupakan alasan utama mengapa banyak orang memutuskan untuk tidak melakukan transaksi dalam dunia online, bahkan sekalipun mereka akan berinteraksi dalam dunia online, informasi yang akan mereka sediakan adalah informasi yang salah. (Culnan, 2000). Permasalahan yang menyangkut isu privasi dalam E-Commerce ini merupakan bentuk pelanggaran poin 1,3,7 dan 10 dari “The Ten Commandments of Computer Ethics” Pengguna transaksi online atau e-commerce semakin meningkat dari waktu ke waktu. Indonesia mempunyai basis 55 juta pengguna internet, dan 57 persen dari angka itu adalah pengguna yang aktif berbelanja secara online. Namun sayangnya, hingga saat ini belum ada regulasi yang secara khusus dan spesifik mengatur isu keamanan dan privasi dalam melakukan transaksi online. Salah satu faktor yang menghambat pembuatan hukum E-Commerce di Indonesia yang lebih terspesialisasi adalah terdapatnya banyak model bisnis E-Commerce di Indonesia. (Purwanti & Wahono, 2012) Alasan utama yang mendasari tingginya resiko keamanan dalam transaksi ECommerce adalah ditemukannya banyak kelemahan dalam hukum, regulasi, dan sistem E-Commerce sendiri serta teknologi dan juga Internet (Yazdanifard, Edres, & Seyedi, 2011). Masih banyak orang meragukan keamanan e-commerce, bahkan di dalam media masa sangat marak berita tentang pembobolan sistem keamanan internet. Seperti kita ketahui bahwa sistem transaksi pembayaran dalam e-commerce menggunakan beberapa cara seperti micropayment, E-wallet, electronic bill presentment dan Payment.
E-Cash / Digital Cash,
credit card,
Namun, karena banyaknya kejahatan dalam e-commerce, keamanan menjadi isu utama untuk aplikasi internet dan e-Commerce. Salah satu faktor utama untuk keberhasilan e-Commerce adalah keamanan. Realisasi transaksi elektronik dan bisnis e-commerce melalui internet pada beberapa kesempatan tertunda karena masalah keamanan.
Dimensi Keamanan Transaksi e-Commerce Berikut adalah aspek-aspek dari sistem keamanan yang harus diperhatikan oleh tiap unsur yang terlibat dalam transaksi e-Commerce : •
Authentication (keabsahan pengirim) : Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan penipuan)
•
Confidentiality (kerahasiaan data)/privacy) : data tidak dapat dibaca oleh pihak yang tidak berhak. Privacy data atau informasi harus diberikan agar tiap komponen yang terlibat tidak merasa dirugikan oleh unsur yang lain.
•
Integrity (keaslian data) : Data tidak dapat diubah secara tidak sah. Integritas yang terbentuk harus saling memiliki komitmen sehingga data-data yang diberikan akan dapat terjaga tanpa adanya kebocoran data kepada pihak-pihak yang tidak bertanggung jawab. Misal, Apakah nilai transaksi Rp. 1.000.000.000 (1 milyar) berubah menjadi Rp. 1.000.000 (1 juta) ?
•
Non-Repudiation (anti-penyangkalan) : tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak pengirim). Sehingga pencatatan transaksi bisa diakui sebagai suatu bukti transaksi e-commerce telah terjadi. Misal konsumen memesan sebuah buku, kemudian menyangkal ke vendor bahwa pemesananan yang diterima vendor tidak seperti yang telah dibuat sebelumnya.
Gambar Aspek Keamanan Transaksi e-Commerce
Terkait sistem keamanan dalam aktifitas bertransaksi melalui e-Commerce (pemesanan, pembayaran, dll), ada beberapa metode pengamanan yang digunakan dalam membangun E-Commerce, yaitu : •
Metode Enkripsi
•
Metode Virtual Private Network (VPN)
Konsep Enkripsi dan Dekripsi
Gambar Konsep Enkripsi dan Dekripsi
Teknologi dasar yang dipergunakan dalam pengamanan data untuk transaksitransaksi e-commerce adalah kriptografi. Dalam kriptografi terdapat ada dua proses utama yaitu : 1.
Enkripsi (encryption) : yakni proses untuk mengubah pesan asli (Plaintext) menjadi pesan yang tersandikan atau pesan yang terrahasiakan (Ciphertext)
2.
Dekripsi (decryption) : yakni proses mengubah pesan yang tersandikan (Ciphertext) kembali menjadi pesan pada bentuk aslinya (Plaintext).
Tujuan Enkripsi Dengan proses Enkripsi akan mengacak data di dalamnya sehingga sangat sulit dan memakan waktu apabila data hasil enkripsi tersebut disimpulkan tanpa mengetahui kode/sandi khusus. Ditambah, algoritma tersebut biasanya melibatkan data rahasia tambahan yang disebut kunci, yang mencegah pesan untuk disimpulkan bahkan jika algoritma tersebut sudah umum dan dikenal oleh publik. Beberapa algoritma yang banyak digunakan adalah DES (data encryption standart), TripleDES, IDEA, Blowfish, Twofish, AES (advanced encryption standard ) dan RC-4.
Konsen enkripsi itu sendiri dimaksudkan untuk membangun aspek keamanan ecommerce yaitu privacy/confidential, authentication, integrity dan non-Repudiation.
Teknik Enkripsi dan Dekripsi Beberapa teknologi enkripsi yang cukup populer digunakan adalah: •
Kombinasi Public Key dan Private Key
•
Certificate Authority/Digital Signature
•
Secure Electronic Transaction (SET)
•
Secure Socket Layer (SSL)
1. Kombinasi Public Key/Private Key Public Key merupakan kunci yang dikenal oleh umum, sedangkan Private Key merupakan kunci yang hanya dikenal oleh si pemiliknya. Kombinasi Public Key / Private key sebetulnya menghilangkan keinginan mencuri dengan cara meng-enkripsi nomor kartu kredit tersebut di server prusahaan, jadi pada sa’at pengiriman data, data telah di-enkripsi dengan menggunakan teknologi public key dan private key,
Public Key Infrastructure (PKI) adalah satu set perangkat keras, perangkat lunak, orang, kebijakan, dan prosedur yang diperlukan untuk membuat, mengelola, mendistribusikan, menggunakan, menyimpan, dan mencabut sertifikat digital. Dalam kriptografi, sebuah PKI adalah pengaturan yang mengikat kunci publik (public key) dengan identitas masing-masing pengguna dengan cara otoritas sertifikat (CA).
Ada 3 entitas dalam Public Key Infrastructure (PKI) yaitu : [1] Certificate Authority, [2] Subscriber dan [3] Registration Authority
2. Certification Authority/Digital Signature Pada penggunaan public key di atas masih dimungkinkan adanya pencurian atau pemalsuan public key. Contoh, saat Pengirim meminta public key dari Penerima, bisa saja di tengah perjalanan permintaan tersebut disadap orang lain, sehingga yang mengirimkan jawaban bukannya Penerima, melainkan orang lain yang mengaku sebagai Penerima dan memberikan public key miliknya kepada Pengirim. Akibatnya, orang lain akan mampu mendekrip data-data yang ditujukan Pengirim kepada Penerima. Oleh karenanya diperlukan adanya keterlibatan pihak ketiga yang dapat dipercaya (yang menjamin keabsahan dari suatu public key), yaitu Certification Authority (CA). CA inilah yang akan memberikan sertifikasi atas public key milik Penerima. Sertifikasi yang diberikan kepada public key seseorang ini dikenal sebagai Digital Signature.
3. Secure Electronic Transaction (SET) Merupakan "open standard" yang disupport oleh IBM, Microsoft, VISA, Master Card, GTE, Veri Sign SET pertama kali diperkenalkan oleh RSA Data Security, suatu lembaga independen yang mengeluarkan berbagai standarisasi dalam hal Internet Security. Teknologi yang digunakan dalam SET merupakan gabungan antara teknologi enkripsi public key/private key dengan teknologi digital signature. Secure Electronic Transaction ( SET ) tersebut akan mengen kode nomor kartu kredit yang ada di server vendor di internet dan yang hanya dapat membaca nomor kartu kredit tersebut hanya BANK & Perusahaan kartu kredit, artinya pegawai vendor / merchant tidak bisa membaca sama sekali sehingga kemungkinan terjadi pencurian oleh vendor menjadi tidak mungkin. Saat ini SET dijadikan standar protokol untuk pembayaran dengan kartu kredit dalam E-Commerce. Pada SET, enkripsi public key menggunakan enkripsi 56 bit sampai dengan 1024 bit, sehingga tingkat kombinasi enkripsinya pun sangat tinggi. Jadi amat sulit untuk melakukan pembongkaran atas enkripsi ini. RSA mengatakan bahwa dibutuhkan waktu 500 tahun untuk bisa membuka enkripsi ini. SET didukung oleh sebagian besar perusahaan penerbit kartu kredit, seperti Visa dan Mastercard. Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa dijaga. SET juga bisa menjaga autotentifikasi
atau
identitas
penjual
dan
customer,
sehingga
disalahgunakan oleh sembarang orang. Berikut adalah berbagai pihak yang terlibat dalam transaksi e-Commerce :
tidak
bisa
(1) Cardholder membuka account
(2) Cardholder menerima certificate
(3.1) Merchant/Toko menerima certificate
(3.2) Merchant menerima certificate
(4.1) Customer menempatkan pemesanan
(4.2) Customer menempatkan pemesanan
(5.1) Merchant memverifikasi
(6) Mengirim pemesanan dan pembayaran
(7) Meminta Authorization Pembayaran
(9) Merchant melengkapi Pemesanan
(8) Merchant mengkonfirmasi Pemesanan
(10) Merchant meminta Pembayaran
Jika pembeli menggunakan browser untuk mengirim form transaksi, pembeli tersebut akan menggunakan public key yang telah tersedia di web browsernya. Orang lain yang tidak mempunyai private key pasangannya, tidak akan bisa mendekripsi data form yang dikirim dengan public key tersebut. Setelah data sampai ke pengelola e-com, data tersebut akan di-dekripsi dengan menggunakan private key. Hanya pengelola e-commerce yang bisa mendapatkan data itu dalam bentuk yang sebenarnya, dan data identitas serta nomor kartu kredit customer tidak akan jatuh ke tangan yang tidak berhak.
Secure Socket Layer (SSL) SSL (Secure Socket Layer) adalah protokol yang digunakan untuk mengenkripsi pesan antara browser dan server web. Enkripsi berlangsung didalam datagram protokol Transport Layer. Kebanyakan, protokol SSL digunakan oleh situs bisnisuntuk melindungi informasi pribadi konsumen selama transaksi komersial, seperti nomor kartu kredit. Juga protokol SSL digunakan untuk menyediakan integritas data
dan kehandalan dan telah menjadi bagian dari protokol TLS (Transport Layer Security), yang merupakan protokol keamanan terintegrasi. (Stallings, 2003).
Virtual Private Network Virtual Private Network pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu grup perusahaan yang sama di daerah atau negara lain, dalam VPN, media penghubungnya adalah Internet. Diperlukan pengamanan dan pembatasan-pembatasan. Pembatasan tersebut untuk menjaga agar tidak semua orang atau user dari jaringan pribadi dapat mengakses jaringan publik (internet). Sesungguhnya konsep VPN inilah yang diadopsi kedalam E-Commerce. Karena user yang melakukan transaksi di Internet pada suatu situs Web telah membentuk suatu VPN antara user dan situs Web tersebut, di mana segala informasi atau data yang terkirim diantara keduanya tidak dapat disadap atau dibuka oleh user lain yang memang tidak berhak membukanya. VPN menggunakan teknik enkripsi yang canggih dan tunneling untuk memungkinkan organisasi untuk membangun jaringan pribadi yang aman melalui Internet sehingga dapat mencegah aksi pencurian data. Dasar dari VPN adalah kerahasiaan data, integritas data, dan otentikasi.
Keamanan Tiap Level
Secara garis besar, ada dua cara membentuk VPN, yaitu : - Tunneling - Firewall
1. Tunnelling Sesuai dengan arti tunnel atau lorong, dalam membentuk suatu VPN ini dibuat suatu tunnel di dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan jaringan lain dari suatu grup atau perusahaan.yang ingin membangun VPN tersebut. Seluruh komunikasi data antar jaringan pribadi akan melalui tunnel ini, sehingga orang atau user dari jaringan publik yang tidak memiliki izin untuk masuk tidak akan mampu untuk menyadap, mengacak atau mencuri data yang melintasi tunnel ini. Saat ini, tersedia banyak sekali protokol pembuat tunnel yang bisa digunakan. Namun, tunneling protocol yang paling umum dan paling banyak digunakan terdiri dari tiga jenis yaitu Layer 2 Tunneling Protocol (L2TP), Generic Routing Encapsulation (GRE), IP Security Protocol (IPSec).
2. Firewall Sebagaimana layaknya suatu dinding, Firewall akan bertindak sebagai pelindung atau pembatas terhadap orang-orang yang tidak berhak untuk mengakses jaringan kita. Suatu jaringan yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus untuk masing-masing komputer yang terhubung dalam jaringan tersebut. Apabila jaringan ini tidak terlindungi oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali atau dilacak oleh pihak-pihak yang tidak diinginkan. Akibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacak oleh pihak-pihak yang tidak diinginkan.
Gambar VPN, Firewall, Tunnel
Gambar VPN vs Without VPN
