SISTEM PERDAGANGAN ELEKTRONIK (BAG. 4)

 Keamanan, Jaminan, Dan Kepercayaan

    Kepercayaan adalah katalis untuk meningkatkan perdagangan elektronik. Perusahaan harus mengimplementasikan infrastruktur teknologi dan pengendalian yang dibutuhkan untuk menyediakan keamanan yang memadai serta perusahaan harus memastikan ke calon pelanggan dan mitra usaha bahwa terdapat penjagaan yang memadai dan berfungsi baik. Berdasarkan Forrester Research, perusahaan diharapkan menghabiskan banyak sekali anggaran keamanan dalam tiga area utama, yaitu:

1.    Enkripsi

    Yakni konversi data ke dalam kode rahasia untuk penyimpanan dalam basis data dan transmisi melalui jaringan. Pengirim menggunakan alogritme enkripsi untuk mengonversi pesan asli (yang disebut cleartext) ke dalam persamaannya dalam bentuk kode (disebut ciphertext).
        Metode enkripsi yang paling awal disebut sebagai “sandi caesar”, dulu digunakan oleh Julius Caesar untuk mengirimkan pesan terkode ke berbagai jendralnya di lapangan. Algoritme adalah prosedur sederhana untuk mengganti tiap huruf dalam pesan cleartext ke posisi angka yang ditunjukkan oleh kunci. Penerima pesan ciphertext mengodekannya dan menyusun kembali cleartext dengan membalik proses tersebut. Tentu saja, baik pengirim maupun penerima pesan harus mengetahui kuncinya.
    Pendekatan standar enkripsi data menggunakan sebuah kunci yang diketahui baik oleh pengirim maupun penerima pesan. Karena kunci yang sama digunakan untuk pengodean dan pendekodean, pengendalian atas kunci tersebut merupakan isu keamanan yang penting.
    Untuk mengatasi masalah ini, maka digunakan enkripsi kunci public. Pendekatan ini digunakan dengan menggunakan dua kunci yang berbeda; satu untuk pengodean pesan dan lainnya untuk pendekodean pesan. Penerima memiliki kunci privat sedangkan kunci untuk pengodean adalah kunci public dan dipublikasikan bagi siapa saja yang ingin menggunakannya.

2.    Otentikasi Digital

    Tanda tangan digital adalah teknik otentikasi elektronik yang memastikan bahwa pesan yang ditransmisikan berasal dari pengirim yang sah dan bahwa pesan tersebut tidak diubah setelah diberikan tanda tangan. Tanda tangan digital berasal dari informasi terkomputasi secara matematis suatu dokumen yang telah dienkripsi dengan kunci privat pengirim. Baik tanda tangan digital maupun pesan teksnya akan dienkripsi menggunakan kunci public penerima dan ditransimisikan ke penerima. Pada titik penerimaan, pesan tersebut akan dideskripsikan dengan menggunakan kunci privat penerima untuk menghasilkan tanda tangan digital dan versi cleartext dari pesan tersebut. Terakhir, penerima menggunakan kunci public pengirim untuk mendekripkan sinyal digital untuk menghasilkan informasi. Penerima menghitung kembali informasi dari cleartext dengan menggunakan algoritme hashing aslinya serta membandingkannya dengan informasi yang ditransimisikan. Jika pesan tersebut autentik, dua nilai informasi tersebut akan sesuai satu sama lain. Jika sebuah karakter dari pesan tersebut diubah dalam transmisinya, angka informasi akan tidak sama. Kekhawatiran lain yang dihadapi oleh penerima adalah menentukan apakah sebuah pesan benar-benar dikirim oleh pengirim yang diperkirakannya.
    Sertifikat digital adalah kartu identifikasi elektronik yang digunakan sehubungan dengan system enkripsi kunci public untuk memverifikasi keaslian dari pengirim pesan. Sertifikat digital, yang disebut pula sebagai ID digital, dikeluarkan oleh pihak ketiga yang terpercaya dan dikenal sebagai “otoritas sertifikasi”.
    System Infrastruktur kunci public (public key infrastructure- PKI) terdiri atas:

• Otoritas sertifikasi yang mengeluarkan dan menarik kembali sertifikat digital
• Otoritas registrasi yang memverifikasi identitas pemohon sertifikasi
• Tempat penyimpanan sertifikasi, merupakan basis data yang dapat diakses oleh umum dan berisi informasi terkini mengenai sertifikat saat ini dan daftar pembatalan sertifikat yang telah ditarik dan berbagai alasan penarikannya.

3.    Firewall

Yaitu system yang digunakan untuk melindungi intranet perusahaan dari internet. Firewall dapat digunakan untuk mengautentikasi pengguna luar jaringan, memverifikasi tingkat otorisasi aksesnya, dan kemudian mengarahkan pengguna ke program, data, atau layanan yang diminta. Selain melindungi jaringan perusahaan dari jaringan eksternal, firewall juga dapat digunakan untuk melindungi LAN dari akses internal yang tidak sah.
        Konfigurasi yang umum menggunakan dua firewall: firewall tingkat jaringan dan firewall tingkat aplikasi. Firewall tingkat jaringan menyediakan pemindaian dasar dari berbagai pesan dengan tingkat keamanan rendah serta meneruskannya ke tujuan berdasarkan alamat sumber daya tujuan yang terlampir di pesan. Firewall tingkat aplikasi menyediakan keamanan jaringan tingkat tinggi dan dikonfigurasikan untuk menjalankan berbagai aplikasi keamanan yang disebut proxy yang melakukan berbagai fungsi canggih seperti memverifikasi otentikasi pengguna.

4.    Segel Jaminan

    Berikut ini adalah enam organisasi pemberi segel:

a.    Better Business Bureau, yaitu organisasi nirlaba yang mempromosikan praktik bisnis beretika melalui peraturan yang dikembangkan sendiri sejak 1912. Agar dapat memenuhi kualifikasi segel BBBOnline, perusahaan harus:

•  Menjadi anggota BBB
•  Memberikan informasi mengenai kepemilikan, manajemen, alamat, dan nomor telepon perusahaan
• Telah beroperasi selama paling tidak setahun
•  Merespons keluhan pelanggan dengan baik
•  Setuju dengan arbitrase mengikat untuk berbagai masalah yang tidak dapat diatasi dengan para pelanggannya

    Jaminan yang diberikan oleh BBB berkaitan dengan kebijakan bisnis, periklanan yang beretika, dan privasi pelanggan.

b.    TRUSTe

    Didirikan pada tahun 1996, yaitu organisasi nirlaba yang didedikasikan untuk memperbaiki praktik atas privasi pelanggan di antara berbagai perusahaan di internet serta situs-situs web. Agar dapat memenuhi syarat untuk menampilkan segel TRUSTe, perusahaan harus:

• Setuju mengikuti kebijakan privasi TRUSTe dan berbagai standar pengungkapannya
• Memasukkan persyaratan privasi di situs web untuk mengungkapkan jenis informasi yang dikumpulkan, tujuan pengumpulan informasi, serta dengan siapa informasi tersebut akan dibagi bersama
• Merespons keluhan pelanggan dengan baik
• Setuju atas peninjauan ke lokasi oleh TRUSTe atau pihak ketiga lainnya yang independen

TRUSTe hanya menangani kekhawatiran yang berhubungan dengan penanganan privasi pelanggan dan memberikan mekanisme untuk memasukkan berbagai keluhan pelanggan atas para anggotanya. Jika salah satu perusahaan anggotanya ditemukan menyimpang dari berbagai standar TRUSTe, maka hak untuk menampilkan segel kepercayaan dari TRUSTe akan dicabut.

c.    Veri-Sign, Inc

Didirikan sebagai perusahaan nirlaba pada 1995 yang memberikan jaminan dalam hal keamanan data yang ditransmisikan. Misi organisasi ini adalah “menyediakan solusi sertifikat digital yang memungkinkan adanya perdagangan serta komunikasi yang dapat dipercaya”. Very-Sign, Inc. mengeluarkan tiga jenis sertifikat untuk perorangan, perusahaan, dan organisasi. Agar dapat memenuhi ketiga jenis sertifikat untuk perorangan, perusahaan, dan organisasi, maka harus terdapat konfirmasi dari pihak ketiga mengenai nama, alamat, nomor telepon, dana nama domain situs web.

d.    International Computer Security Association (ICSA)

ICSA membentuk program sertifikasi web pada tahun 1996 yang menangani keamanan data dan segala sesuatu yang berkaitan dengan privasi. ICSA tidak menangani kekhawatiran mengenai kebijakan dan proses bisnis. Perusahaan yang berkualifikasi untuk menampilkan segel ICSA telah menjalani sebuah peninjauan yang ekstensif mengenai keamanan firewall dari para hacker luar. Perusahaan harus disertifikasi ulang per tahun dan mendapat dua kali pengecekan tiba-tiba setiap tahunnya.

e.    AICPA/CICA WebTrust

AICPA dan CICA membuat program webTrust pada 1997. Agar dapat menampilkan segel AICPA/CICA, perusahaan harus melalui pemeriksaan yang sesuai dengan Standards for Attestation Engagements, pemeriksaan nomor 1, dari AICPA, khususnya oleh CPA atau CA. Pemeriksaan tersebut berfokus pada area-area praktik bisnis (kebijakan), integritas transaksi (proses bisnis), dan perlindungan informasi (keamanan data). Segel tersebut harus diperbarui setiap 90 hari.

f.    AICPA/CICA SysTrust

Pada bulan Juli 1999, AICPA/CICA memperkenalkan draf eksposur yang menjelaskan penjaminan baru yang disebut SysTrust. Penjaminan ini didesain untuk meningkatkan rasa percaya pihak manajemen, pelanggan, dan mitra usaha atas system yang mendukung keseluruhan atau sebagian proses bisnis tertentu. Layanan ini melibatkan evaluasi keandalan system oleh akuntan public dalam empat criteria dasar: ketersediaan, keamanan, integritas, dan keterpeliharaan.
Calon pengguna SysTrust adalah para mitra usaha, kreditor, pemegang saham, dan pihak-pihak lainnya yang bergantung pada integritas dan kemampuan system.