E - Commerce telah membuka sebuah dunia baru baik bagi para konsumen maupun perusahaan yang menghendaki pendekatan-pendekatan manajemen baru. Jika didayagunakan secara cerdas, e-commerce sangat potensial untuk mendongkrak keuntungan perusahaan disebabkan kemampuan yang lebih baik dalam pemeliharaan pelanggan, penyajian barang dan jasa baru yang berbasis informasi dan operasional yang efisien.
Namun ada beberapa hal yang harus diperhatikan dalam melaksanakan bisnis dengan E-commerce, salah satunya adalah masalah keamanan mengingat bisnis ini dilaksanakan didunia maya.
Sedikitnya ada lima standar keamanan yang harus ada pada penyelenggaraan e-commerce demi kenyamanan berbisnis e-commerce yang dibutuhkan baik oleh konsumen maupun perusahaan, yaitu: privacy, authenticity, integrity, availability, dan blocking.
1.Privacy adalah kemampuan untuk mengontrol siapa yang dapat atau tidak membuka informasi dan dalam kondisi apa hal itu bisa dilakukan.
2.Authenticity adalah kemampuan untuk mengetahui identitas pihak-pihak yang sedang melakukan komunikasi pada jaringan e-commerce tersebut. Dalam hal ini Certification Authority (CA) merupakan suatu hal yang kiranya sangat penting untuk diperhatikan.
3.Integrity adalah jaminan bahwa informasi yang disimpan atau yang ditransmisikan tidak akan tercecer.
4.Availability adalah kemampuan untuk mengetahui kapan pelayanan informasi dan komunikasi dapat atau tidak tersedia; dan
5.Blocking adalah kemampuan untuk memblokir penyusup atau informasi yang tidak dikehendaki.
# KEAMANAN YANG DIBUTUHKAN KONSUMEN#
segi/aspek perlindungan konsumen, yakni:
1.Privacy
Konsumen berhak untuk mendapatkan privacy dalam menggunakan sistem informasinya, yaitu dengan menjaga kerahasiaannya serta mendapatkan keterangan atau pemberitahuan sejauh mana keamanan yang ada pada sistem informasi tersebut, serta perlindungan informasi yang dihasilkannya (confidential information). Dengan kata lain, ia berhak untuk membatasi arus informasinya apakah tertutup ataukah terbuka.
Berkenaan dengan hal ini, beberapa negara sudah ada yang mengatur untuk melindungi data-data yang bersifat individuil, yakni dengan membuat undang-undang tentang proteksi data. Dalam hal untuk kepentingan organisasi, maka data-data yang diproteksi tidak hanya data subyek melainkan juga data organisasi yang mencakup aset perusahaan.
2.Accuracy
Konsumen berhak untuk mendapatkan informasi yang akurat ataupun kualitas informasi yang baik dari sistem informasi yang diselenggarakannya. Keakuratan suatu informasi juga berdasarkan atas modernitas dan kompabilitas dari sistem informasi itu sendiri.
3.Property
Sebagaimana telah dijelaskan sebelumnya, maka berbicara mengenai property dalam lingkup sistem informasi tentunya akan merujuk pada ketentuan-ketentuan mengenai hak milik intelektual.
4.Accessibility
Berkenaan dengan beban finansial yang telah dikeluarkannya, maka secara hukum sebagai konsekuensi logis dari hal ini, pihak konsumen berhak untuk dapat mengakses sistem informasi yang telah dibelinya. Perlu diketahui juga untuk jenis sistem informasi yang bersifat terbuka (open system), konsumen berhak untuk mempunyai kemampuan berkomunikasi dengan sistem informasi lain dengan menggunakan sistem telekomunikasi yang sudah ada
# SERVICE KEAMANAN YANG HARUS DISEDIAKAN PERUSAHAAN
Servis-servis yang harus disediakan perusahaan untuk memberikan keamanan bagi konsumen diantaranya adalah:
1. Directory Services
Directory services menyediakan informasi tentang pelaku bisnis dan end user,seperti halnya buku telepon danYellow Pages. Ada beberapa standar yang digunakan untuk menyediakan directory services. Salah satu standar yang cukup populer adalah
2. LDAP (Lightweight Directory Access Protocol)
yang kemudian menimbulkan OpenLDAP (http://www.openldap.org/). Salah satu permasalahan yang mengganjal dalam penggunaan directory servicesadalah adanya potensi security hole, yaitu ada kemungkinan orang melakukan spamming.
Spamming adalah proses pengiriman email sampah yang tak diundang ( unsolici ed emails) yang biasanya berisi tawaran barang atau servis ke banyak orang sekaligus. Seorang spammer dapat melihat daftar user dari sebuah directory services kemudian mengirimkan email spamnya kepada alamat-alamat email yang dia peroleh dari directory services tersebut.
3.Intfrastruktur Kunci Publik (Public Key Infrastructure)
Untuk menjalankan e-Commerce, dibutuhkan tingkat keamanan yang dapat diterima.Salah satu cara untuk meningkatkan keamanan adalah dengan menggunakan teknologi kriptografi , yaitu antara lain dengan menggunakan enkripsi untuk mengacak data. Salah satu metoda yang mulai umum digunakan adalah pengamanan informasi dengan menggunakan public key system . Sistem lain yang bisa digunakan adalah private key system. Infrastruktur yang dibentuk oleh sistem public key ini disebut Public Key Infrastructur (PKI), atau diterjemahkan dalam Bahasa Indonesia menjadi Infrastruktur.
Kunci Publik (IKP), dimana kunci publik dapat dikelola untuk pengguna yang tersebar (di seluruh dunia). Komponen-komponen dari infrastruktur kunci publik ini akandibahas lebih lanjut pada bagian berikut.
4. Certification Authority (CA).
Merupakan sebuah body / entity yang memberikan dan mengelola sertifikat digital yang dibutuhkan dalam transaksi elektronik. CA berhubungan erat dengan pengelolaan public key system. Contoh sebuah CA di Amerika adalah Verisign (www.verisign.com). Adalah merugikan apabila perusahaan di Indonesia menggunakan fasilitas Verisign dalam transaksi e-Commerce . Untuk itu di Indonesia harus ada sebuah (atau lebih) CA. Sayangnya, untuk menjalankan CA tidak mudah Banyak hal teknis dan non-teknis yang harus dibenahi. (Catatan: penulis saat ini sedang mengembangkan sebuah CA untuk Indonesia. Kontak penulis untuk informasi lebih njut.) CA dapat diimplementasikan dengan menggunakan software yang komersial (seperti yang dijual oleh Verisign) dan juga yang gratis seperti yang dikembangkan oleh OpenCA1.t(http://www.verisign.com/)
5. IPSec.
Keamanan media komunikasi merupakan hal yang penting. Mekanisme untuk mengamankan media komunikasi yang aman (secure) selain menggunakan SSL, yang akan dijelaskan kemudian, adalah dengan menggunakan IP Secure. Plain IP versi 4, yang umum digunakan saat ini, tidak menjamin keamanan data.
6. Pretty Good Privacy (PGP).
PGP dapat digunakan untuk uthentication encryption,dan digital signature. PGP umum digunakan (de facto) di bidang eMail. PGP memiliki permasalahan hukum (law) dengan algoritma enkripsi yang digunakannya, sehingga adadua sistem, yaitu sistem yang dapat digunakan di Amerika Serikat dan sistem untuk internasional (di luar Amerika Serikat). Implementasi dari PGP ada bermacam-macam,
dan bahkan saat ini sudah ada implementasi dari GNU yang disebut GNU Privacy Guard(GPG).
7. Privacy Enhanced Mail (PEM).
PEM merupakan standar pengamanan email yang diusulkan oleh Internet Engineering Task Force (IETF) (http://www.IETF.org).
8. PKCS.
Public Key Cryptography Standards.
9. S/MIME.
Selain menggunakan PGP, pengamanan eMail dapat juga dilakukan dengan menggunakan standar S/MIME. S/MIME sendiri merupakan standar dari secure messaging, dan tidak terbatas hanya untuk eMail saja. Beberapa vendor EDI sudah berencana untuk menggunakan S/MIME sebagai salah satu standar yang didukung untuk messaging. Informasi mengenai S/MIME dapat diperoleh dari berbagai tempat, seperti misanya: S/MIME Central
10. Secure Sockets Layer (SSL).
Seperti dikemukakan pada awal dari report ini, e-Commerce banyak menggunakan teknologi Internet. Salah satu teknologi yang digunakan adalah standar TCP/IP dengan menggunakan socket. Untuk meningkatkan keamanan informasi keamanan layer socket perlu ditingkatkan dengan menggunakan teknologi kriptografi. Netscape mengusulkan pengamanan dengan menggunakan Secure Socket Layer (SSL) ini. Untuk implementasi yang bersifat gratis dan open source , sudah tersedia OpenSSL project (http://www.openSSL.org). Selain SSL ada juga pendekatan lain, yaitu dengan menggunakan Transport Layer Security (TLS v1).
11. Knowledge management dan Datawarehose :
Informasi (dan dalam bentuk knowledge) merupakan salah satu komoditi yang dapat dijual. Untuk itu teknologi yang berhubungan dengan knowledge management dan datawarehouse merupakan sebuah teknologi yang harus dikuasai.
12. Messaging Messaging,
baik dalam bentuk eMail maupun dalam bentuk lainnya, mendominasi penggunaan media elektronik. Sebagai bandingan, jumlah pengguna eMail berlipat kali dari jumlah pengguna Web. Standar yang digunakan untuk eMail bermacam-macam, antara lain: SMTP, ESMTP, X.400, POP3, IMAP4. Selain standar di atas, masih banyak sistem eMail lain yang memiliki format dan protokol yang proprietary seperti Lotus Notes, cc:Mail, sistem yang berbasis X/Y/Z-modem, dan sebagainya.
13. Keamanan (Security) Secara umum,
keamanan merupakan salah satu komponen atau servis yang dibutuhkan untuk menjalankan eCommerce. Beberapa bagian dari keamanan ini sudah dibahas di atas dalam bagian tersendiri, seperti Infrastruktur Kunci Publik (IKP), dan privacy. Untuk menjamin keamanan, perlu adanya kemampuan dalam bidang ini yang dapat diperoleh melalui penelitian dan pemahaman. Beberapa topik (issues) yang harus dikuasai antara lain akan didaftar di bawah ini.
14. Teknologi Kriptografi.
Teknologi kriptografi menjelaskan bagaimana mengamankan data dengan menggunakan enkripsi. Berbagai sistem sudah dikembangkan seperti sistem private key dan public key. Penguasaan algoritma-algoritma populer digunakan untuk mengamankan data juga sangat penting. Contoh algoritma ini antara lain DES, IDEA, RC5, RSA dan ECC (Ellliptic Curve Cryptography). Penelitian dalam bidang ini di perguruan tinggi merupakan suatu hal yang penting.
14. Standarisasi.
Banyaknya teknologi yang tersedia akan membingungkan bagi pelaku e-Commerce apabila tidak adanya standarisasi yang diadopsi oleh Indonesia. Di sini badan standarisasi memiliki peran yang penting. Pemilihan standar diharapkan dapat menimbulkan lingkungan yang kondusif untuk e-Commerce.
15. Konsultan keamanan.
Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di bidang ini adalah IDCERT.
16. Electronic Payment
Pembayaran dengan menggunakan media elektronik merupakan sebuah masalah yang belum tuntas. Ada berbagai solusi yang ditawarkan untuk mengatasi masalah electronic payment, antara lain: Standards: SET, Mondex Electronic money: e-cash digicash, CyberCash, iKP Virtual wallet, EMV electronic purse Credits and debits on the Internet, First Virtual. Internet banking beserta group yang terlibat di dalamnya, seperti kelompok Open Financial Exchange (OFX) yang dimotori oleh CheckFree Corporation Intuit, dan Microsoft beserta institusi finansial lainnya. Stocks and trading Smartcards: introduction, CLIP, ISO 7816 (beserta seluruh bagian/part-nya) JavaCard, Open Card Framework Regulatory issues Internet economics, digital money Internet payment protocol, ePurse protocol Micropayments, yaitu pembayaran dalam jumlah yang sangat kecil (misalnya untukmembaca web site dicha ge 0.25c/halaman): Millicen rt Electronic check: FSTC Electronic Check Project4 Limitatitions Of Traditonal Payment Instrument. Security requirement (Authentications, Privacy, Integrity, Non-repudiation, Safety). Single-Key (Symentric) Encryption. Public/Private Key System.Electronic Credit Card (payment using unencypted, encrypted payments, high levelsecurity and privacy). Electronic CASH. Electronic Pyment Card (smart card). Three Party Payment System.
17. One Time Pasword.
Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya password angka digital yang merandom angka setiap kali transaksi.
18. Alternatif Pembayaran untuk e-Commerce
• Untuk pembayaran, e-Commerce menyediakan banyak alternatif yakni pembeli yang telah mempunyai kartu kredit dapat menggunakan kartu tersebut untuk pembayaran; Selain kartu kredit, alternatif lainnya adalah dengan menggunakan e-cash. E-cash sebenarnya merupakan suatu account khusus untuk pembayaran melalui internet. Account tersebut dibuka dengan menggunakan kartu kredit yang dipunyai sebelumnya. Customer hanya perlu mengisi pada account e-cashnya untuk digunakan.
• Alternatif lain dalam pembayaran di internet adalah dengan menggunakan smartcard. Di Singapura, smartcard dikenal dengan istilah cash card. Untuk pembayaran di internet, user harus memiliki ‘smart card reader’. Dalam pemakaiannya, alat khusus ini disambungkan ke port serial di komputer. Pada saat melakukan transaksi, kartu smart card harus digesekkan ke alat tersebut, sehingga chip yang terdapat di kartu dapat dibaca oleh komputer.Untuk softwarenya, digunakan software bernama ‘e-wallet’.
• Alternatif pembayaran yang relatif baru dan belum begitu populer adalah penggunaan iCheck, yaitu metode pembayaran dengan menggunakan cek. Pembayaran ini membutuhkan nomor cek milik customer.
• Microsoft dan Netscape, bekerja sama dengan perusahaan kartu kredit (Visa dan MasterCard), serta perusahaan-perusahaan internet security (seperti VeriSign), telah membuat standar enkripsi khusus yang membuat transaksi melalui web menjadi sangat aman. Bahkan, Visa dan MasterCard menyediakan jaminan keamanan 100% kepada pengguna credit cardnya yang menggunakan e-com.
• yang menandakan suatu retailer web site aman atau tidak adalah adanya tanda khusus yang muncul di status bar di bagian bawah layar browser. Pada IE, tanda yang muncul adalah tanda gembok terkunci di pojok kanan status bar. Sedangkan pengguna Netscape Navigator, akan melihat tanda kunci di pojok kiri status bar. Walaupun begitu, karena standar yang dipakai untuk secure connection ini relatif baru, belum semua cybershop menggunakan standar ini.
• Kumpulan dari banyak cybershop yang telah terintegrasi dinamakan cybermall. Beberapa cybermall akan mengecek terlebih dahulu legitimasi dari cybershop yang akan masuk, sehingga dapat menghindari adanya cybershop yang palsu. Beberapa cybermall juga menyediakan jasa-jasa tambahan, seperti billing atau tagihan yang tersentralisasi, menjadikan proses belanja menjadi lebih mudah dan aman.
PUSTAKA :
http://www.ilkom.unsri.ac.id/jurnal/data_materi/ecommerce_deris.pdf.
amwibowo@excite.com, amwibowo@caplin.cs.ui.ac.id
emakarim@sisindosat.co.id)
hendrayuristiawan@mailcity.com
auliaadnan@usa.net
krupuk@pacific.net.id
Kamis, 08 Mei 2008
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar