Security of e-commerce

1. Latar Belakang

Perdagangan sebenarnya merupakan kegiatan yang dilakukan manusia sejak awal peradabannya. Sejalan dengan perkembangan manusia, cara dan sarana yang digunakan untuk berdagang senantiasa berubah. Bentuk perdagangan terbaru yang kian memudahkan penggunanya kini ialah e-commerce.

Banyak orang menyamakan e-commerce dengan transaksi pembayaran melalui internet, tetapi yang sebenarnya lebih dari sekedar transaksi pembayaran melalui internet. E-commerce merupakan kemampuan untuk mengendalikan bisnis melalui secara elektronik. Teknik secure e-commerce digunakan untuk mengatasi keterbatasan dari suatu organisasi, sehingga supplier dan pelanggan dapat menjadi bagian dari perusahaan tersebut. Dengan jalan tersebut pelanggan dan supplier dapat memperoleh akses kepada sumber daya tertentu, seperti informasi dan aplikasi, sehingga mereka dapat mengatur bisnisnya secara efisien dengan perusahaan tersebut.

Sangat jelas bahwa sebuah informasi mengenai pembayaran (misal nomor kartu kredit, nomor transfer account, kode otorisasi, dll) sebaiknya tidak diberikan tanpa menggunakan level keamanan yang tepat. Teknik secure e-commerce dikembangkan sehingga memungkinkan pertukaran informasi financial secara aman. Banyak protokol yang keamanan yang dirancang untuk memenuhi kebutuhan dari sektor-sektor yang membutuhkan keamanan informasi finansial atau untuk menggabungkan transaksi pembayaran sebagai sebuah tahap dari suatu proses pembayaran yang lebih besar. Hal itu mencakup proposal dari FIX (Financial Information eXchange), BIPS (Banking Internet Payment System), (Open Financial eXchange), OTP(Open Trading Protocol) dan proposal lainnya.

Visa dan MasterCard serta konsorsium dari 11 perusahaan teknologi terkemuka menjanjikan kepada bank, merchant dan pelanggan suatu keamanan internet untuk transaksi menggunakan kartu kredit dengan mengenalkan protokol Secure Electronic Transaction (SET) untuk melakukan pembelian secara on-line menggunakan kartu kredit.

1. Pembahasan

Menurut Onno W. Purbo dan Aang Wahyudi yang mengutip pendapatnya David Baum, menyebutkan bahwa: “e-commerce is a dynamic set of technologies, applications, and business process that link enterprise, consumers, and communities through electronic transaction and the electronic exchange of goods, services, and information“. Bahwa e-commerce merupakan suatu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik.

E-commerce digunakan sebagai transaksi bisnis antara perusahaan yang satu dengan perusahaan yang lain, antara perusahaan dengan pelanggan (customer), atau antara perusahaan dengan institusi yang bergerak dalam pelayanan publik. Karakteristik e-commerce antara lain transaksi tanpa batas, produk digital dan non digital serta barang tak berwujud. Sistem e-commerce terbagi menjadi tiga tipe aplikasi, yaitu :

1. Electronic Markets (EMs)

EMs adalah sebuah sistem informasi antar organisasi yang menyediakan fasilitas-fasilitas bagi para penjual dan pembeli untuk bertukar informasi tentang harga dan produk yang ditawarkan. Keuntungan fasilitas EMs bagi pelanggan terlihat lebih nyata dan efisien dalam hal waktu. Sedangkan bagi penjual, ia dapat mendistribusikan informasi mengenai

produk dan jasa yang ditawarkan dengan lebih cepat sehingga dapat menarik pelanggan lebih banyak.

2. Electronic Data Interchange (EDI)

Secara formal EDI didefinisikan oleh International Data Exchange Assosiation (IDEA) sebagai transfer data terstruktur dengan format standard yang telah disetujui yang dilakukan dari satu sistem komputer ke sistem komputer yang lain dengan menggunakan media elektronik. EDI sangat luas penggunaannya, biasanya digunakan oleh kelompok retail yang besar ketika melakukan bisnis dagang dengan para supplier mereka. EDI memiliki standarisasi pengkodean transaksi perdagangan, sehingga organisasi komersial tersebut dapat berkomunikasi secara langsung dari satu sistem komputer ke sistem komputer yang lain tanpa memerlukan hardcopy, faktur, serta terhindar dari penundaan, kesalahan yang tidak disengaja dalam penanganan berkas dan intervensi dari manusia. Keuntungan dalam menggunakan EDI adalah waktu pemesanan yang singkat, mengurangi biaya, mengurangi kesalahan, memperoleh respon yang cepat, pengiriman faktur yang cepat dan akurat serta pembayaran dapat dilakukan secara elektronik.

3. Internet Commerce

Internet commerce adalah penggunaan internet yang berbasis teknologi informasi dan komunikasi  untuk perdagangan. Kegiatan komersial ini seperti iklan dalam penjualan  produk dan jasa. Transaksi yang dapat dilakukan di internet antara lain pemesanan/pembelian barang dimana barang akan dikirim melalui pos atau sarana lain setelah uang ditransfer ke rekening penjual. Keuntungan penggunaan internet antara lain harga lebih murah mengingat membuat situs di internet lebih murah biayanya dibandingkan dengan membuka outlet retail di berbagai tempat; internet merupakan  media promosi perusahaan dan produk yang paling tepat dengan harga yang relatif lebih murah; serta pembelian melalui internet akan diikuti dengan layanan pengantaran barang sampai di tempat pemesan.

Dalam proses terjadinya transaksi e-commerce, menurut Julian Ding sebagaimana dikutip oleh Marian Darus Badrulzaman menentukan bahwa: “A contract is a struck when two or more persons agree to a certain course of conduct”. Maksudnya, kontrak adalah sebagai pertemuan dalam dua atau lebuh pihak setuju melakukan tindakan tertentu sehingga pada saat itulah kesepakatan tercapai.

Berdasarkan beberapa pendapat tersebut di atas, maka secara umum mekanisme transaksi elektronik melalui e-commerce dapat digambarkan sebagai berikut:

Berdasarkan gambar di atas maka tahapan dalam transaksi elektronik melalui e-commerce dapat diurutkan sebagai berikut:

a.    E-costumer dan e-merchant bertemu dalam dunia maya melalui server yang disewa dari Internet Server Provider (ISP) oleh e-merchant.

b.    Transaksi melalui e-commerce disertai  term of use dan sales term condition atau klausula standar, yang pada umumnya e-merchant telah meletakkan klausula pada website-nya, sedangkan e-costumer jika berminat tinggal memilih tombol accept atau menerima.

c.    Penerimaan e-costumer melalui mekanisme “klik” tersebut sebagaii perwujudan dari kesepakatan yang tentunay mengikat pihak  e-merchant.

d.    Pada saat kedua belah pihak mencapai kesepakatan, kemudian diikuti proses pembayaran, yang melibatkan dua bank perantara dari masing-masing pihak yaitu acquiring merchant bank dan issuing costumer bank. Prosedurnya e-costumer memerintahkan kepada issuing costumer  bank untuk dan atas nama e-costumer melakukan sejulah pembayaran atas harga barang kepada acquiring merchant bank yang ditujukan kepada e-merchant.

e.    Setelah proses pembayaran selesai kemudian diikuti dengan proses pemenuhan prestasi oleh pihak e-merchant berupa pengiriman barang sesui dengan kesepakatan mengenai saat penyerahan dan spesifikasi barang.

1. Aplikasi Protokol

SET merupakan protokol keamanan yang sangat luas, yang memanfaatkan kriptografi untuk menyediakan kerahasiaan dari informasi, memastikan kebenaran dari transaksi pembayaran dan memungkinkan otentikasi identitas. Untuk tujuan otentikasi, para pemegang kartu kredit dan merchant masing-masing memperoleh digital certificates yang dikeluarkan oleh organisasi yang berwenang mengeluarkan digital certificates. SET mengandalkan kriptografi dan digital certificates untuk  memastikan kerahasiaan dan keamanan. Digital envelop digunakan secara meluas dalam protokol ini. Data pesan di enkripsi menggunakan kunci yang dibangkitkan secara acak, kemudian kunci tersebut di enkripsi dengan menggunakan public key penerima. Hal tersebut menunjuk pada “digital envelope” pada pesan serta dikirim kepada penerima bersamaan dengan pesan yang di enkripsi. Penerima melakukan dekripsi pada digital envelope dengan menggunakan private key dan menggunakan symmetric key untuk membuka pesan.

Tujuan dari Protokol ini adalah:

• Authentication

Antara pihak-pihak yang melakukan transaksi dalam  protokol ini saling terotentikasi dan mengenali satu sama lain dengan yakin walaupun melalui media elektronik. Hal ini memungkinkan karena setiap pesan yang terkirim di signature dengan menggunakan digital signature dari setap pihak.

• Confidential

Kerahasiaan dari pesan transaksi yang dikirimkan dengan menggunakan protokol ini akan terjamin karena setiap pesan akan dienkripsi dengan menggunakan kunci yang dimiliki oleh setiap pihak

• Integrity

Setap pesan transaksi akan tetap utuh sampai diterima oleh pihak yang dituju dari masing-masing pesan transaksi tersebut.

Pihak-pihak yang terlibat dalam protokol ini adalah:

• Card Holder adalah pihak yang memiliki kartu kredit dan sebagai pihak yang melakukan transaksi pada awal mula.

Memiliki

• • GSO (Goods and Service Order) permintaaan untuk merchant
    • Terdiri dari nama card holder dan merchant
    • Isi permintaan baik berupa barang maupun jasa dari card holder kepada merchant serta jumlah harga yang ada
  • PI (Payment Instruction) perintah pembayaran untuk pihak bank
    • Nama merchant
    • Informasi tentang kartu kredit
    • Jumlah harga
• Bank adalah pihak yang ditunjuk oleh card holder untuk membayarkan transaksi tersebut kepada merchant
• Merchant adalah pihak yang mendapatkan pembayaran dari pihak bank

Property

• Card Holder
  • GSO = Goods and Services Order
  • PI = Payment Instruction
  • Public encryption function (E_D­­)
  • Private decryption function (D_C)
• Bank
  • Public encryption function (E_B)
  • Private decryption function (D_B)
• Merchant
  • Public encryption function (E_M­­)
  • Private decryption function (D_M)
• Selain itu dipergunakan pula Public Hash function (H)

Secara garis besar bentuk transaksi tersebut adalah sebagai berikut:

1. Card Holder menghitung nilai-nilai sebagai berikut:

GSOMD = H( E_M(GSO) ), PIMD = H( E_B(PI) ), POMD = H( GSOMD || PIMD ) kemudian membubuhkan signature POMD menjadi DS = D_C(POMD). Item yang dikirimkan ke Merchant =  E_M(GSO), E_B(PI) , PIMD dan DS

1. Merchant menghitung nilai-nilai sebagai berikut:

H( E_M(GSO) ) untuk mendapatkan GSOMD. Selanjutnya menghitung H( GSOMD || PIMD ) dan  E_C(DS) kemudian membandingkan dua nilai tersebut. Jika sama maka pesanan order tersebut benar-benar dari Cardholder dan telah di sign oleh Cardholder. Selanjutnya menghitung D_M( E_M(GSO) ) untuk mendapatkan  GSO (pesanan dari Cardholder). Merchant mengirimkan  GSOMD, E_B(PI) dan  DS kepada bank.

1. Bank menghitung nilai-nilai sebagai berikut:

H( E_B(PI) ) untuk mendapatkan  PIMD. Selanjutnya menghitung H( GSOMD || PIMD ) dan E_C(DS) kemudian membandingkan nilai keduanya. Jika sama maka bank dapat memverifikasi sign milik cardholder. Bank menghitung D_B( E_B(PI) ) untuk mendapatkan PI. Pihak bank akan menghubungi Merchant berupa pesan yang terenkripsi dengan menggunakan E_M dan membubuhkan tanda tangan milik bank D_B untuk memastikan pembayaran yang diminta oleh Cardholder

1. Merchant mengirimkan pesan kembali kepada Cardholder yang terenkripsi dengan menggunakan E_C dan membubuhi tanda tangan milik Merchant D_M bahwa transaksi telah selesai dilakukan dan semua permintaan telah terkirim dengan aman.

Referensi :

www.nofieiman.com

William Stalling:Cryptography and network security