Pada era globalisasi seperti saat ini, perkembangan dunia internet semakin lama semakin berkembang dan maju dengan pesat. Saat ini semakin banyak pula web e-commerce yang ada dan setiap web e-commerce memiliki karakteristik tersendiri baik dilihat dari isinya, barang yang ditawarkan, cara pembayaran dan lain – lain. Adapun mekanisme berbelanja melalui web-shopping atau secara electronic shopping mall ini secara garis besar dapat dilakukan sebagai berikut:
• Pembeli yang hendak memilih belanjaan yang akan dibeli bisa menggunakan ‘shopping cart’ untuk menyimpan data tentang barang-barang yang telah dipilih dan akan dibayar. Konsep ‘shopping cart’ ini meniru kereta belanja yang biasanya digunakan orang untuk berbelanja di pasar swalayan. ‘Shopping cart’ biasanya berupa formulir dalam web, dan dibuat dengan kombinasi CGI, database, dan HTML. Barang-barang yang sudah dimasukkan ke shopping cart masih bisa di-cancel, jika pembeli berniat untuk membatalkan membeli barang tersebut.
• Jika pembeli ingin membayar untuk barang yang telah dipilih, ia harus mengisi form transaksi. Biasanya form ini menanyakan identitas pembeli serta nomor kartu kredit. Karena informasi ini bisa disalahgunakan jika jatuh ke tangan yang salah, maka pihak penyedia jasa e-commerce telah mengusahakan agar pengiriman data-data tersebut berjalan secara aman, dengan menggunakan standar security tertentu.
• Setelah pembeli mengadakan transaksi, retailer akan mengirimkan barang yang dipesan melalui jasa pos langsung ke rumah pembeli. Beberapa cybershop menyediakan fasilitas bagi pembeli untuk mengecek status barang yang telah dikirim melalui internet Hal ini menghasilkan bentuk – bentuk atau metode penjualan baru namun dengan tingkat persaingan yang tinggi pula.
KEAMANAN E – COMMERCE
E - Commerce telah membuka sebuah dunia baru baik bagi para konsumen maupun perusahaan yang menghendaki pendekatan-pendekatan manajemen baru. Jika didayagunakan secara cerdas, e-commerce sangat potensial untuk mendongkrak keuntungan perusahaan disebabkan kemampuan yang lebih baik dalam pemeliharaan pelanggan, penyajian barang dan jasa baru yang berbasis informasi dan operasional yang efisien.
Namun ada beberapa hal yang harus diperhatikan dalam melaksanakan bisnis dengan E-commerce, salah satunya adalah masalah keamanan mengingat bisnis ini dilaksanakan didunia maya.
Sedikitnya ada lima standar keamanan yang harus ada pada penyelenggaraan e-commerce demi kenyamanan berbisnis e-commerce yang dibutuhkan baik oleh konsumen maupun perusahaan, yaitu: privacy, authenticity, integrity, availability, dan blocking.
Privacy adalah kemampuan untuk mengontrol siapa yang dapat atau tidak membuka informasi dan dalam kondisi apa hal itu bisa dilakukan.
Authenticity adalah kemampuan untuk mengetahui identitas pihak-pihak yang sedang melakukan komunikasi pada jaringan e-commerce tersebut. Dalam hal ini Certification Authority (CA) merupakan suatu hal yang kiranya sangat penting untuk diperhatikan.
Integrity adalah jaminan bahwa informasi yang disimpan atau yang ditransmisikan tidak akan tercecer.
Availability adalah kemampuan untuk mengetahui kapan pelayanan informasi dan komunikasi dapat atau tidak tersedia; dan
Blocking adalah kemampuan untuk memblokir penyusup atau informasi yang tidak dikehendaki.
KEAMANAN YANG DIBUTUHKAN KONSUMEN
segi/aspek perlindungan konsumen, yakni:
1. Privacy
Konsumen berhak untuk mendapatkan privacy dalam menggunakan sistem informasinya, yaitu dengan menjaga kerahasiaannya serta mendapatkan keterangan atau pemberitahuan sejauh mana keamanan yang ada pada sistem informasi tersebut, serta perlindungan informasi yang dihasilkannya (confidential information). Dengan kata lain, ia berhak untuk membatasi arus informasinya apakah tertutup ataukah terbuka.
Berkenaan dengan hal ini, beberapa negara sudah ada yang mengatur untuk melindungi data-data yang bersifat individuil, yakni dengan membuat undang-undang tentang proteksi data. Dalam hal untuk kepentingan organisasi, maka data-data yang diproteksi tidak hanya data subyek melainkan juga data organisasi yang mencakup aset perusahaan.
2. Accuracy Konsumen berhak untuk mendapatkan informasi yang akurat ataupun kualitas informasi yang baik dari sistem informasi yang diselenggarakannya. Keakuratan suatu informasi juga berdasarkan atas modernitas dan kompabilitas dari sistem informasi itu sendiri.
3. Property Sebagaimana telah dijelaskan sebelumnya, maka berbicara mengenai property dalam lingkup sistem informasi tentunya akan merujuk pada ketentuan-ketentuan mengenai hak milik intelektual.
4. Accessibility Berkenaan dengan beban finansial yang telah dikeluarkannya, maka secara hukum sebagai konsekuensi logis dari hal ini, pihak konsumen berhak untuk dapat mengakses sistem informasi yang telah dibelinya. Perlu diketahui juga untuk jenis sistem informasi yang bersifat terbuka (open system), konsumen berhak untuk mempunyai kemampuan berkomunikasi dengan sistem informasi lain dengan menggunakan sistem telekomunikasi yang sudah ada
# SERVICE KEAMANAN YANG HARUS DISEDIAKAN PERUSAHAAN
Servis-servis ini akan dibahas pada bagian(section) di bawah ini.
1. Directory Services
Directory services menyediakan informasi tentang pelaku bisnis dan end user,seperti halnya buku telepon danYellow Pages. Ada beberapa standar yang digunakan untuk menyediakan directory services. Salah satu standar yang cukup populer adalah
2. LDAP (Lightweight Directory Access Protocol) yang kemudian menimbulkan OpenLDAP (http://www.openldap.org/). Salah satu permasalahan yang mengganjal dalam penggunaan directory servicesadalah adanya potensi security hole, yaitu ada kemungkinan orang melakukan spamming.
Spamming adalah proses pengiriman email sampah yang tak diundang ( unsolici ed emails) yang biasanya berisi tawaran barang atau servis ke banyak orang sekaligus. Seorang spammer dapat melihat daftar user dari sebuah directory services kemudian mengirimkan email spamnya kepada alamat-alamat email yang dia peroleh dari directory services tersebut.
3.Intfrastruktur Kunci Publik (Public Key Infrastructure)
Untuk menjalankan e-Commerce, dibutuhkan tingkat keamanan yang dapat diterima.Salah satu cara untuk meningkatkan keamanan adalah dengan menggunakan teknologi kriptografi , yaitu antara lain dengan menggunakan enkripsi untuk mengacak data. Salah satu metoda yang mulai umum digunakan adalah pengamanan informasi dengan menggunakan public key system . Sistem lain yang bisa digunakan adalah private key system. Infrastruktur yang dibentuk oleh sistem public key ini disebut Public Key Infrastructur (PKI), atau diterjemahkan dalam Bahasa Indonesia menjadi Infrastruktur.
Kunci Publik (IKP), dimana kunci publik dapat dikelola untuk pengguna yang tersebar (di seluruh dunia). Komponen-komponen dari infrastruktur kunci publik ini akandibahas lebih lanjut pada bagian berikut.
4. Certification Authority (CA). Merupakan sebuah body / entity yang memberikan dan mengelola sertifikat digital yang dibutuhkan dalam transaksi elektronik. CA berhubungan erat dengan pengelolaan public key system. Contoh sebuah CA di Amerika adalah Verisign (www.verisign.com). Adalah merugikan apabila perusahaan di Indonesia menggunakan fasilitas Verisign dalam transaksi e-Commerce . Untuk itu di Indonesia harus ada sebuah (atau lebih) CA. Sayangnya, untuk menjalankan CA tidak mudah Banyak hal teknis dan non-teknis yang harus dibenahi. (Catatan: penulis saat ini sedang mengembangkan sebuah CA untuk Indonesia. Kontak penulis untuk informasi lebih njut.) CA dapat diimplementasikan dengan menggunakan software yang komersial (seperti yang dijual oleh Verisign) dan juga yang gratis seperti yang dikembangkan oleh OpenCA1.t(http://www.verisign.com/)
5. IPSec. Keamanan media komunikasi merupakan hal yang penting. Mekanisme untuk mengamankan media komunikasi yang aman (secure) selain menggunakan SSL, yang akan dijelaskan kemudian, adalah dengan menggunakan IP Secure. Plain IP versi 4, yang umum digunakan saat ini, tidak menjamin keamanan data.
6. Pretty Good Privacy (PGP). PGP dapat digunakan untuk uthentication encryption,dan digital signature. PGP umum digunakan (de facto) di bidang eMail. PGP memiliki permasalahan hukum (law) dengan algoritma enkripsi yang digunakannya, sehingga adadua sistem, yaitu sistem yang dapat digunakan di Amerika Serikat dan sistem untuk internasional (di luar Amerika Serikat). Implementasi dari PGP ada bermacam-macam,
dan bahkan saat ini sudah ada implementasi dari GNU yang disebut GNU Privacy Guard(GPG).
7. Privacy Enhanced Mail (PEM). PEM merupakan standar pengamanan email yang diusulkan oleh Internet Engineering Task Force (IETF) (http://www.ietf.org/).
8. PKCS. Public Key Cryptography Standards.
9. S/MIME. Selain menggunakan PGP, pengamanan eMail dapat juga dilakukan dengan menggunakan standar S/MIME. S/MIME sendiri merupakan standar dari secure messaging, dan tidak terbatas hanya untuk eMail saja. Beberapa vendor EDI sudah berencana untuk menggunakan S/MIME sebagai salah satu standar yang didukung untuk messaging. Informasi mengenai S/MIME dapat diperoleh dari berbagai tempat, seperti misanya: S/MIME Central
10. Secure Sockets Layer (SSL). Seperti dikemukakan pada awal dari report ini, e-Commerce banyak menggunakan teknologi Internet. Salah satu teknologi yang digunakan adalah standar TCP/IP dengan menggunakan socket. Untuk meningkatkan keamanan informasi keamanan layer socket perlu ditingkatkan dengan menggunakan teknologi kriptografi. Netscape mengusulkan pengamanan dengan menggunakan Secure Socket Layer (SSL) ini. Untuk implementasi yang bersifat gratis dan open source , sudah tersedia OpenSSL project (http://www.openSSL.org). Selain SSL ada juga pendekatan lain, yaitu dengan menggunakan Transport Layer Security (TLS v1).
11. Knowledge management dan Datawarehose : Informasi (dan dalam bentuk knowledge) merupakan salah satu komoditi yang dapat dijual. Untuk itu teknologi yang berhubungan dengan knowledge management dan datawarehouse merupakan sebuah teknologi yang harus dikuasai.
12. Messaging Messaging, baik dalam bentuk eMail maupun dalam bentuk lainnya, mendominasi penggunaan media elektronik. Sebagai bandingan, jumlah pengguna eMail berlipat kali dari jumlah pengguna Web. Standar yang digunakan untuk eMail bermacam-macam, antara lain: SMTP, ESMTP, X.400, POP3, IMAP4. Selain standar di atas, masih banyak sistem eMail lain yang memiliki format dan protokol yang proprietary seperti Lotus Notes, cc:Mail, sistem yang berbasis X/Y/Z-modem, dan sebagainya.
13. Keamanan (Security) Secara umum, keamanan merupakan salah satu komponen atau servis yang dibutuhkan untuk menjalankan eCommerce. Beberapa bagian dari keamanan ini sudah dibahas di atas dalam bagian tersendiri, seperti Infrastruktur Kunci Publik (IKP), dan privacy. Untuk menjamin keamanan, perlu adanya kemampuan dalam bidang ini yang dapat diperoleh melalui penelitian dan pemahaman. Beberapa topik (issues) yang harus dikuasai antara lain akan didaftar di bawah ini.
14. Teknologi Kriptografi. Teknologi kriptografi menjelaskan bagaimana mengamankan data dengan menggunakan enkripsi. Berbagai sistem sudah dikembangkan seperti sistem private key dan public key. Penguasaan algoritma-algoritma populer digunakan untuk mengamankan data juga sangat penting. Contoh algoritma ini antara lain DES, IDEA, RC5, RSA dan ECC (Ellliptic Curve Cryptography). Penelitian dalam bidang ini di perguruan tinggi merupakan suatu hal yang penting.
14. Standarisasi. Banyaknya teknologi yang tersedia akan membingungkan bagi pelaku e-Commerce apabila tidak adanya standarisasi yang diadopsi oleh Indonesia. Di sini badan standarisasi memiliki peran yang penting. Pemilihan standar diharapkan dapat menimbulkan lingkungan yang kondusif untuk e-Commerce.
15. Konsultan keamanan. Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di bidang ini adalah IDCERT.
16. Electronic Payment
Pembayaran dengan menggunakan media elektronik merupakan sebuah masalah yang belum tuntas. Ada berbagai solusi yang ditawarkan untuk mengatasi masalah electronic payment, antara lain: Standards: SET, Mondex Electronic money: e-cash digicash, CyberCash, iKP Virtual wallet, EMV electronic purse Credits and debits on the Internet, First Virtual. Internet banking beserta group yang terlibat di dalamnya, seperti kelompok Open Financial Exchange (OFX) yang dimotori oleh CheckFree Corporation Intuit, dan Microsoft beserta institusi finansial lainnya. Stocks and trading Smartcards: introduction, CLIP, ISO 7816 (beserta seluruh bagian/part-nya) JavaCard, Open Card Framework Regulatory issues Internet economics, digital money Internet payment protocol, ePurse protocol Micropayments, yaitu pembayaran dalam jumlah yang sangat kecil (misalnya untukmembaca web site dicha ge 0.25c/halaman): Millicen rt Electronic check: FSTC Electronic Check Project4 Limitatitions Of Traditonal Payment Instrument. Security requirement (Authentications, Privacy, Integrity, Non-repudiation, Safety). Single-Key (Symentric) Encryption. Public/Private Key System.Electronic Credit Card (payment using unencypted, encrypted payments, high levelsecurity and privacy). Electronic CASH. Electronic Pyment Card (smart card). Three Party Payment System.
17. One Time Pasword. Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya password angka digital yang merandom angka setiap kali transaksi.
Tidak ada komentar:
Posting Komentar