KEAMANAN E – COMMERCE

E - Commerce telah membuka sebuah celah dalam perdagangan dunia. E – Commerce menunjukan suatu yang baru membentuk suatu dunia baru baik bagi para konsumen maupun perusahaan yang menghendaki pendekatan-pendekatan manajemen baru. Pendayagunaan secara cerdas E- Commerce sangat potensial untuk mendongkrak keuntungan perusahaan disebabkan kemampuan yang lebih baik dalam pemeliharaan pelanggan, penyajian barang dan jasa baru yang berbasis informasi dan operasional yang efisien. Namun ada beberapa hal yang harus diperhatikan dalam melaksanakan bisnis dengan E-commerce, salah satunya adalah masalah keamanan mengingat bisnis ini dilaksanakan didunia maya.


Keamanan merupakan komponen yang vital dalam pelaksanaan eCommerce. Pada saat transaksi , konsumen (pembeli) dan penyedia jasa, barang maupun informasi masing – masing harus dapat "yakin aman" bahwa mereka melakukan transaksi hanya diketahui oleh kedua belah pihak saja, dan tidak ada pihak lain yang menyusup dan mencuri data – data penting atau bahkan memanipulasi. Hal yang paling sering dikhawatirkan oleh konsumen adalah pada saat pembayaran barang, jasa atau informasi, dimana informasi kartu kredit yang masukkan, dikhawatirkan dapat disalahgunakan atau dicuri. Masih banyak yang belum menyadari bahwa keamanan (security) merupakan sebuah komponen penting yang tidak murah. Sedikitnya ada lima standar keamanan yang harus ada pada penyelenggaraan e-commerce demi kenyamanan berbisnis e-commerce yang dibutuhkan baik oleh konsumen maupun perusahaan, yaitu: privacy, authenticity, integrity, availability, dan blocking. 1.Privacy adalah kemampuan untuk mengontrol siapa yang dapat atau tidak membuka informasi dan dalam kondisi apa hal itu bisa dilakukan.2.Authenticity adalah kemampuan untuk mengetahui identitas pihak-pihak yang sedang melakukan komunikasi pada jaringan e-commerce tersebut. Dalam hal ini Certification Authority (CA) merupakan suatu hal yang kiranya sangat penting untuk diperhatikan.3.Integrity adalah jaminan bahwa informasi yang disimpan atau yang ditransmisikan tidak akan tercecer.4.Availability adalah kemampuan untuk mengetahui kapan pelayanan informasi dan komunikasi dapat atau tidak tersedia; dan5.Blocking adalah kemampuan untuk memblokir penyusup atau informasi yang tidak dikehendaki.

KEAMANAN YANG HARUS DISEDIAKAN PERUSAHAAN

Pelayanan yang harus disediakan perusahaan untuk memberikan keamanan bagi konsumen diantaranya adalah:
1. Directory Services Directory services menyediakan informasi tentang pelaku bisnis dan end user,seperti halnya buku telepon danYellow Pages. Ada beberapa standar yang digunakan untuk menyediakan directory services. Salah satu standar yang cukup populer adalah

2. LDAP (Lightweight Directory Access Protocol) yang kemudian menimbulkan OpenLDAP (http://www.openldap.org/). Salah satu permasalahan yang mengganjal dalam penggunaan directory servicesadalah adanya potensi security hole, yaitu ada kemungkinan orang melakukan spamming. Spamming adalah proses pengiriman email sampah yang tak diundang ( unsolici ed emails) yang biasanya berisi tawaran barang atau servis ke banyak orang sekaligus. Seorang spammer dapat melihat daftar user dari sebuah directory services kemudian mengirimkan email spamnya kepada alamat-alamat email yang dia peroleh dari directory services tersebut.

3.Intfrastruktur Kunci Publik (Public Key Infrastructure) Untuk menjalankan e-Commerce, dibutuhkan tingkat keamanan yang dapat diterima.Salah satu cara untuk meningkatkan keamanan adalah dengan menggunakan teknologi kriptografi , yaitu antara lain dengan menggunakan enkripsi untuk mengacak data. Salah satu metoda yang mulai umum digunakan adalah pengamanan informasi dengan menggunakan public key system . Sistem lain yang bisa digunakan adalah private key system. Infrastruktur yang dibentuk oleh sistem public key ini disebut Public Key Infrastructur (PKI), atau diterjemahkan dalam Bahasa Indonesia menjadi Infrastruktur.Kunci Publik (IKP), dimana kunci publik dapat dikelola untuk pengguna yang tersebar (di seluruh dunia). Komponen-komponen dari infrastruktur kunci publik ini akandibahas lebih lanjut pada bagian berikut.

4. Certification Authority (CA). Merupakan sebuah body / entity yang memberikan dan mengelola sertifikat digital yang dibutuhkan dalam transaksi elektronik. CA berhubungan erat dengan pengelolaan public key system. Contoh sebuah CA di Amerika adalah Verisign (www.verisign.com). Adalah merugikan apabila perusahaan di Indonesia menggunakan fasilitas Verisign dalam transaksi e-Commerce . Untuk itu di Indonesia harus ada sebuah (atau lebih) CA. Sayangnya, untuk menjalankan CA tidak mudah Banyak hal teknis dan non-teknis yang harus dibenahi. (Catatan: penulis saat ini sedang mengembangkan sebuah CA untuk Indonesia. Kontak penulis untuk informasi lebih njut.) CA dapat diimplementasikan dengan menggunakan software yang komersial (seperti yang dijual oleh Verisign) dan juga yang gratis seperti yang dikembangkan oleh OpenCA1.t(http://www.verisign.com/)

5. IPSec. Keamanan media komunikasi merupakan hal yang penting. Mekanisme untuk mengamankan media komunikasi yang aman (secure) selain menggunakan SSL, yang akan dijelaskan kemudian, adalah dengan menggunakan IP Secure. Plain IP versi 4, yang umum digunakan saat ini, tidak menjamin keamanan data.

6. Pretty Good Privacy (PGP).PGP dapat digunakan untuk uthentication encryption,dan digital signature. PGP umum digunakan (de facto) di bidang eMail. PGP memiliki permasalahan hukum (law) dengan algoritma enkripsi yang digunakannya, sehingga adadua sistem, yaitu sistem yang dapat digunakan di Amerika Serikat dan sistem untuk internasional (di luar Amerika Serikat). Implementasi dari PGP ada bermacam-macam, dan bahkan saat ini sudah ada implementasi dari GNU yang disebut GNU Privacy Guard(GPG).

7. Privacy Enhanced Mail (PEM). PEM merupakan standar pengamanan email yang diusulkan oleh Internet Engineering Task Force (IETF) (http://www.IETF.org).

8. PKCS. Public Key Cryptography Standards.

9. S/MIME. Selain menggunakan PGP, pengamanan eMail dapat juga dilakukan dengan menggunakan standar S/MIME. S/MIME sendiri merupakan standar dari secure messaging, dan tidak terbatas hanya untuk eMail saja. Beberapa vendor EDI sudah berencana untuk menggunakan S/MIME sebagai salah satu standar yang didukung untuk messaging. Informasi mengenai S/MIME dapat diperoleh dari berbagai tempat, seperti misanya: S/MIME Central

10. Secure Sockets Layer (SSL). Seperti dikemukakan pada awal dari report ini, e-Commerce banyak menggunakan teknologi Internet. Salah satu teknologi yang digunakan adalah standar TCP/IP dengan menggunakan socket. Untuk meningkatkan keamanan informasi keamanan layer socket perlu ditingkatkan dengan menggunakan teknologi kriptografi. Netscape mengusulkan pengamanan dengan menggunakan Secure Socket Layer (SSL) ini. Untuk implementasi yang bersifat gratis dan open source , sudah tersedia OpenSSL project (http://www.openSSL.org). Selain SSL ada juga pendekatan lain, yaitu dengan menggunakan Transport Layer Security (TLS v1).

11. Knowledge management dan Datawarehose : Informasi (dan dalam bentuk knowledge) merupakan salah satu komoditi yang dapat dijual. Untuk itu teknologi yang berhubungan dengan knowledge management dan datawarehouse merupakan sebuah teknologi yang harus dikuasai.

12. Messaging Messaging, baik dalam bentuk eMail maupun dalam bentuk lainnya, mendominasi penggunaan media elektronik. Sebagai bandingan, jumlah pengguna eMail berlipat kali dari jumlah pengguna Web. Standar yang digunakan untuk eMail bermacam-macam, antara lain: SMTP, ESMTP, X.400, POP3, IMAP4. Selain standar di atas, masih banyak sistem eMail lain yang memiliki format dan protokol yang proprietary seperti Lotus Notes, cc:Mail, sistem yang berbasis X/Y/Z-modem, dan sebagainya.

13. Keamanan (Security) Secara umum,keamanan merupakan salah satu komponen atau servis yang dibutuhkan untuk menjalankan eCommerce. Beberapa bagian dari keamanan ini sudah dibahas di atas dalam bagian tersendiri, seperti Infrastruktur Kunci Publik (IKP), dan privacy. Untuk menjamin keamanan, perlu adanya kemampuan dalam bidang ini yang dapat diperoleh melalui penelitian dan pemahaman. Beberapa topik (issues) yang harus dikuasai antara lain akan didaftar di bawah ini.

14. Teknologi Kriptografi.Teknologi kriptografi menjelaskan bagaimana mengamankan data dengan menggunakan enkripsi. Berbagai sistem sudah dikembangkan seperti sistem private key dan public key. Penguasaan algoritma-algoritma populer digunakan untuk mengamankan data juga sangat penting. Contoh algoritma ini antara lain DES, IDEA, RC5, RSA dan ECC (Ellliptic Curve Cryptography). Penelitian dalam bidang ini di perguruan tinggi merupakan suatu hal yang penting.14. Standarisasi. Banyaknya teknologi yang tersedia akan membingungkan bagi pelaku e-Commerce apabila tidak adanya standarisasi yang diadopsi oleh Indonesia. Di sini badan standarisasi memiliki peran yang penting. Pemilihan standar diharapkan dapat menimbulkan lingkungan yang kondusif untuk e-Commerce.


15. Konsultan keamanan.Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di bidang ini adalah IDCERT.

16. Electronic Payment Pembayaran dengan menggunakan media elektronik merupakan sebuah masalah yang belum tuntas. Ada berbagai solusi yang ditawarkan untuk mengatasi masalah electronic payment, antara lain: Standards: SET, Mondex Electronic money: e-cash digicash, CyberCash, iKP Virtual wallet, EMV electronic purse Credits and debits on the Internet, First Virtual. Internet banking beserta group yang terlibat di dalamnya, seperti kelompok Open Financial Exchange (OFX) yang dimotori oleh CheckFree Corporation Intuit, dan Microsoft beserta institusi finansial lainnya. Stocks and trading Smartcards: introduction, CLIP, ISO 7816 (beserta seluruh bagian/part-nya) JavaCard, Open Card Framework Regulatory issues Internet economics, digital money Internet payment protocol, ePurse protocol Micropayments, yaitu pembayaran dalam jumlah yang sangat kecil (misalnya untukmembaca web site dicha ge 0.25c/halaman): Millicen rt Electronic check: FSTC Electronic Check Project4 Limitatitions Of Traditonal Payment Instrument. Security requirement (Authentications, Privacy, Integrity, Non-repudiation, Safety). Single-Key (Symentric) Encryption. Public/Private Key System.Electronic Credit Card (payment using unencypted, encrypted payments, high levelsecurity and privacy). Electronic CASH. Electronic Pyment Card (smart card). Three Party Payment System.

17. One Time Pasword. Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya password angka digital yang merandom angka setiap kali transaksi.