topbella

Rabu, 12 Mei 2010

Meningkatkan Keamanan dalam E-commerce

Lingkungan digital yang memungkinkan transaksi komersial terjadi di antara banyak organisasi dan individu desebut sebagai e-commerce. Peran dari E-commerce salah satunya adalah pembayaran secara elektronik yang dapat mempercepat baik pemenuhan pesanan dan periode pembayaran. Untuk kali ini kami aka membahas tentang pembayaran melalui Visa dan MasterCard. Barang kali jika anda adalah pengguna kartu kredit, ATM, anda tidak akan merasa asing dengan kata Visa/MasterCard. Visa dan MasterCard, bekerja sama membuat suatu standar pembayaran pada saluran yang aman, yang diberi nama Secure Electronic Transaction (SET).
Sistem yang dikembangkan pada tahun 1996, kini, telah menjadi standar untuk setiap pembayaran secara elektronik. Menurut spesifikasi SET, ada beberapa kebutuhan bisnis yang perlu ditangani:
1. Keamanan pengiriman informasi pemesanan dan pembayaran.
2. Integritas data dalam setiap transaksi.
3.Otentikasi bahwa seorang konsumen adalah seorang pemegang kartu (cardholder) yang valid pada suatu perusahaan penyelenggara pembayaran tertentu (misalnya : Visa atau MasterCard).
4.Otentikasi bahwa seoerang pedagang memang benar - benar bisa menerima jenis pembayaran tersebut.
5. Menyediakan suatu sistem pembayaran yang tidak terikat kepada suatu protokol perangkat
keras atau perangkat lunak tertentu, dengan kata lain dapat bekerja dengan berbagai macam
perangkat lunak dan berbagai penyedia jasa.
Banyak developer yang sudah menyatakan dukungannya terhadap SET bagi produk/produk penunjang sistem perdagangan Internet mereka, seperti Microsoft, IBM, Netscape, SAIC, GTE, Open Market, CyberCash, Terisa Systems and VeriSign, dan American Express.
Alur Transaksi
Secara singkat, alur transaksi pada skenario SET dapat dijelaskan sebagai berikut :
1. Untuk melakukan transaksi SET, konsumen dan pedagang harus mendapatkan sertifikat terlebih dahulu dari Otoritas Sertifikat (OS). Konsumen dalam langkah ini harus mengetikkan personal account number (PAN) dan informasi jati dirinya. Pedagang dalam langkah ini juga harus memberikan informasi jati dirinya kepada OS.
2. Konsumen kemudian dapat mulai berbelanja. Jika sudah memilih barang apa yang hendak dibeli, konsumen membuat order instruction (OI) dan payment instruction (PI). Konsumen menyerahkan OI dan PI kepada pedagang. PI tidak bisa dibaca oleh pedagang karena dienkripsi dengan kunci publik gerbang pembayaran (payment gateway).
3. Setelah pedagang memproses OI, maka pedagang melakukan otorisasi PI melalui gerbang
pembayaran. Seringkali aquirer bertindak sebagai gerbang pembayaran.
4. Gerbang pembayaran melakukan otorisasi kartu kredit dengan issuer melalui jaringan privat kartu kredit.

5. Jika otorisasi disetujui, maka gerbang pembayaran menginstruksikan pedagang untuk menyerahkan barang dagangannya kepada konsumen.
6. Konsumen menerima barang dagangannya.
7. Pedagang kemudian dapat memperoleh pembayarannya dengan melakukan proses capture
melalui gerbang pembayaran pula. Langkah ini sering di-batch, sehingga akan ada tenggang waktu antara permintaan pembayaran (payment capture) dengan proses otorisasi.
8. Setiap melakukan komunikasi, setiap pihak yang terlibat dalam transaksi dapat melakukan
otentikasi sertifikat digital pihak yang lain dengan menghubungi OS
Tidak Dirancang untuk Transaksi Web Saja
SET tidak hanya dirancang untuk transaksi pada web saja, namun juga bisa digunakan pada media lainnya. Pedagang dapat saja menyebarkan katalog dalam CD-ROM. Setelah konsumen memilih barang yang akan dibelinya dari katalog CD-ROM itu, konsumen kemudian dapat melakukan pembayaran dengan protokol SET, baik itu dengan browser atau surat elektronik.
VeriFone telah meluncurkan suatu program kecil yang mirim dengan program wallet CyberCash, yang dinamakan vWallet. Program ini adalah program aplikasi pertama bagi klien untuk mendukung skenario transaksi SET. vWallet juga dapat dirancang agar di masa depan dapat menunjang teknologi pembayaran lainnya seperti uang elektronik dan cek elektronik.

Tak Cocok untuk Transaksi Micropayment
Berdasarkan skenario yang ada, terlihat bahwa sistem perdagangan di Internet dengan skenario SET dijalankan secara on-line. ProtokolSET dapat mendukung sistem pembayaran dengan kartu kredit, charge card dan kartu debit. Namun kini memang belum ada bank pengelola kartu debit yang menyatakan dukungannya terhadap protokol SET. Tentunya, transaksi dengan protokol SET ini terlacak.
Pada skenario SET, transaksi tidak dapat dilakukan antarkonsumen (peer-to-peer), namun harus antara konsumen dengan pedagang. Konsumen dapat dilihat jati dirinya oleh pedagang, karena pedagang dan konsumen saling memeriksa sertifikat digital yang dipertukarkan. Meskipun begitu, informasi kartu konsumen tidak dapat diketahui pedagang. Protokol SET tidak cocok untuk transaksi micropayment.
Tahan Serangan Man-in-the-middle & Replay Attack
Inti dari keamanan dalam protokol SET adalah penggunaan sertifikat digital. Secara teoritis, tanpa brute-force attack, sertifikat digital dapat bertahan terhadap serangan man-in-the-middle juga replay attack. Hal ini disebabkan siapapun yang ingin melakukan pemeriksaan dapat memastikan apakah kunci publik yang diterimanya sah atau tidak. Seperti sudah dijelaskan sebelumnya, bagian yang rentan adalah saat pemberian sertifikat digital OS utama kepada pihak lain yang memerlukan seperti kepada para pengembang perangkat lunak untuk SET.
Sertifikat konsumen tidak memiliki kartu konsumen, yakni personal account number (PAN) dan tanggal kadaluarsanya, namun berisi hash dari PAN, tanggal kadaluarsa dan sebuah angka rahasia yang hanya diketahui konsumen (personal identification number/PIN). Jadi jika pedagang memeriksa sertifikat milik seorang konsumen, maka pedagang meskipun dapat melihat jati diri konsumen namun pedagang tetap tidak dapat melihat informasi kartunya.
Seorang penyerang yang memiliki sertifikat seorang konsumen juga tidak dapat menggunakannya tanpa mengetahui informasi kartu dan PIN. Informasi kartu dan PIN dalam skenario SET dikirimkan dalam bentuk terenkripsi kepada gerbang pembayaran untuk pemeriksaan. Gerbang pembayaran tidak hanya memeriksa keabsahan sertifikat digital milik konsumen, tapi juga memeriksa apakah hash dari informasi kartu dan angka rahasia tadi sesuai dengan nilai hash yang ada dalam sertifikat.
Ukuran kunci yang digunakan dalam SET amat pangjang, yang dapat dikategorikan hard encryption. Semua kunci berukuran 1024 bit, kecuali OS utama menggunakan ukuran kunci 2048 bit. Kunci sepanjang ini sulit dipecahkan dengan brute-force-attack.
Penggunaan sertifikat digital sebagai sarana pengamanan komunikasi memang membuat SPI yang menggunakan protokol SET menjadi sistem yang aman. Namun, muncul pula masalah bagaiman menyimpan kunci privat dari sertifikat digital yang bersangkutan. Dalam implementasi awalnya, mungkin kunci itu disimpan dalam hard disk dengan pengamanan dienkripsi ber-password, namun pengembangan yang lebih jauh adalah dengan menyimpan sertifikat digital dan kunci privat itu do dalam tamper-proof device seperti kartu chip.
Protokol SET juga menggunakan suatu perangkat kriptografi baru, yakni tanda tangan pesan ganda (dual signature). Dengan menggunakan tanda tangan pesan ganda, gerbang pembayaran saat melakukan otorisasi dapat memastikan bahwa PI yang diterimanya memang benar berhubungan dengan suatu OI tertentu, namun gerbang pembayaran tetap tidak tahu isi OI tersebut.
Kepercayaan dan Penipuan
Karena mengandalkan sertifikat digital, maka tentunya pihak - pihak yang bertransaksi mengandalkan kepercayaan mereka terhadap OS yang menerbitkan sertifikat digital. Sama halnya dengan transaksi menggunakan kartu kredit, tentunya konsumen harus mempercayai lembaga keuangan pengelola kartu kredit yang melakukan otorisasi.
Untuk pemeriksaan sertifikat digital, pihak - pihak yang bertransaksi juga membutuhkan informasi dari OS mengenai sertifikat siapa saja yang dibatalkan. Tentunya OS yang menyimpan daftar sertifikat terbatalkan ini harus dipercayai oleh pihak - pihak yang melakukan transaksi.
Pencatatan Tak Spesifik
Skenario protokol SET tidak menspesifikasi pencataatn yang dilengkapi dengan tanda tangan digital dari pihak - pihak yang melakukan transaksi. Namun dalam implemntasinya, pencatatan dapat dilakukan di perangkat lunak klien yang digunakan konsumen dan juga di web server pedagang.
Tanpa Biaya Tambahan
Spesifikasi SET tidak menjelaskan mengenai biaya tambahan atas transaksi. Namun, jika pihak aquirer sendiri yang menjadi gerbang pembayaran, tentunya boleh dikatakan tidak ada biaya tambahan. Jadi hampir tidak ada bedanya karena dalam transaksi kartu kredit on-line yang biasa, pedagang akan melakukan otorisasi itu melalui aquirer juga. Karena perubahan sistem dimana pedagang tidak mendapatkan informasi kartu kredit, maka memang ada perubahan prosedur penagihan ke aquirer.


Kritik terhadap SET
1. SET siapa yang diuntungkan?
Apakah developer, vendor, atau pelanggan? Bagi developer keuntungan yang didapat jauh lebih besar daripada keduanya. Karena penjualan SET softwarenya, sedangkan bagi vendor mereka harus membeli SETnya. Keuntungan yang mereka dapatkan rata-rata menjadi jauh dari standar yang ditetapkan. Nah, kalau pelanggan malah direpotkan dengan pengisian data. Biarpun dibilang keamanannya terjamin. Namun tidak semua tempat belanjanya mempunyai SET
2. Lambat dan mahal

3. Masih belum cukup aman
Biarpun SET dirancang aman untuk transaksi keuangan di jaringan terbuka, tetapi tidak cukup aman untuk sisi pelanggan. Pelanggan harus memperbanyak sertifikatnya ketika ingin bertransaksi di tempat yang mesinnya belum ada SETnya. Ini memungkinkan ketidakamanan akan terjadi. Solusi masalah ini adaah menggunakan smartcard.

0 komentar:

Foto Saya
QUEEN VIDYA
Blog ini berisi kumpulan repost dari situs lain yang menurutku unik, menarik, n bermanfaat, semoga kalian suka...
Lihat profil lengkapku