Langkah-Langkah dalam Membangun & Mempertahankan e-Commerce
Langkah-Langkah dalam Membangun & Mempertahankan e-Commerce - Konsep Dasar Keamanan e-Commerce Secure Socket Layer. Informasi yang dikirim melalui Internet biasanya menggunakan seperangkat aturan yang disebut TCP / IP (Transmission Control Protocol / Internet Protocol). Informasi ini dibagi menjadi paket-paket dan bernomor secara berurutan. Masing-masing paket dikirim melalui rute yang berbeda. PKI dan SSL menggunakan sertifikat digital untuk memastikan privasi dan otentikasi. Prosedur adalah seperti client mengirimkan pesan ke server, yang menjawab dengan sertifikat digital. Menggunakan PKI, server dan client bernegosiasi untuk membuat sesi kunci, yang merupakan kunci rahasia simetris khusus diciptakan untuk transmisi tertentu. Setelah sesi kunci sepakat, komunikasi berlanjut dengan sesi ini kunci dan sertifikat digital.
PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang. SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography.
Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.
Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.
Tujuan-tujuan Sistem Keamanan Informasi:
Konsep Dasar e-Commerce:
Threats (Ancaman):
Safeguards:
Yang dilakukan safeguards yaitu:
Security service safe guards:
Sistem keamanan di dalam dunia komputer mulai menjadi perhatian serius para peneliti dan praktisi teknologi informasi semenjak diketemukannya teknologi jaringan komputer. Yang menjadi pemicu berkembangnya isu di bidang ini adalah karena adanya fenomena pengiriman data melalui media transmisi (darat, laut, dan udara) yang mudah “dicuri” oleh mereka yang tidak berhak. Data mentah dari sebuah komputer yang dikirimkan ke komputer lain pada dasarnya rawan terhadap “interfensi” dari pihak ketiga, sehingga diperlukan suatu strategi khusus agar paling tidak dua hal terjadi (Kosiur, 1997):
Secara prinsip, pencapaian obyektif kedua lebih mudah dibandingkan dengan yang pertama, karena untuk dapat memproteksi data secara fisik memerlukan teknologi dan biaya yang teramat besar. Prinsip yang kedua sebenarnya sudah lama berkembang dalam dunia ilmu pengetahuan pada umumnya, yaitu ketika diperkenalkan ilmu sandi (menyamarkan data asli atau data yang sebenarnya ke dalam bentuk lain dengan menggunakan metoda pemetaan tertentu), seperti yang diajarkan di kalangan kepanduan (pramuka) atau militer.
PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang. SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography.
Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.
Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.
 |
| iamge source: businessnewsdaily.com |
baca juga: Langkah Membangun dan Mempertahankan Loyalitas Konsumen
Tujuan-tujuan Sistem Keamanan Informasi:
- Confidentially: menjamin apakah informasi yang dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.
- Integrity: menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa dihindari.
- Availability: menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri.
- Legitimate Use: menjamin kepastian bahwa sumber tidak digunakan oleh orang-orang yang tidak bertanggung jawab.
- Sistem Keamanan Informasi
Merupakan penerapan teknologi untuk mencapai tujuan-tujuan keamanan system informasi dengan menggunakan bidang-bidang utama yaitu:
- Sistem Keamanan Komunikasi (Communications security) merupakan perlindungan terhadap informasi ketika di kirim dari sebuah sistem ke sistem lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang terkunci, sistem control fisik lainnya, dan sebagainya.
- Keamanan Personal meliputi kepribadian orang-orang yang mengoperasikan atau memilki hubungan langsung dengan sistem tersebut.
- Keamanan administrative contohnya mengadakan control terhadap perangkat-perangkat lunak yang digunakan, mengecek kembali semua kejadian-kejadian yang telah diperiksa sebelumnya dan sebagainya.
- Keamanan media yang digunakan meliputi pengontrolan terhadap media penyimpanan yang ada dan menjamin bahwa media penyimpanan yang mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.
- Security Policy (Kebijaksanaan keamanan yang digunakan) merupakan satu set aturan yang diterapkan pada semua kegiatan-kegiatan pengamanan dalam security domain. Security domain merupakan satu set sistem komunikasi dan computer yang dimiliki oleh organisasi yang bersangkutan.
- Authorization (Otorisasi) berupa pemberian kekuatan secara hukum untuk melakukan segala aktifitasnya
- Accountability (kemampuan dapat diakses) memberikan akses ke personal security.
- A Threat(ancaman yang tidak diinginkan) merupakan kemungkinan-kemungkinan munculnya seseorang, sesuatu atau kejadian yang bisa membahayakan aset berharga khususnya hal-hal yang berhubungan dengan confidentiality, integrity, availability dan legitimate use.
- An Attack(serangan yang merupakan realisasi dari ancaman), pada system jaringan computer ada dua macam attack, yaitu passive attack dan active attack.
- Safeguards(pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman-ancaman yang mungkin timbul setiap saat.
- Vulnerabilities(lubang-lubang kemaan yang bisa ditembus)
- Risk(resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan oleh kemungkinan adanya attack yang sukses.
- Risk Analysis(analisa kerugian) merupakan proses yang menghasilkan keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar-benar bisa menjamin tingkat keamanan yang diinginkan.
Threats (Ancaman):
- System Penetration: orang-orang yang tidak berhak, mendapatkan akses ke sistem computer dan diperbolehkan melakukan segalanya.
- Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan wewenang legal yang dimiliki oleh seseoarang yang berhak.
- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara diam-diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.
- Communications Monitoring: penyerang dapat melakukan monitoring semua informasi rahasia.
- Communications Tampering: penyerang mengubah informasi transaksi di tengah jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server dengan yang palsu.
- Denial of Service (DoS): Penolakan service terhadap client yang berhak.
- Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun kesalahan teknis lainnya.
Safeguards:
Yang dilakukan safeguards yaitu:
- Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
Security service safe guards:
- Authentication Service: memberikan kepastian identitas pengguna.
Entity authentication: contohnya password.
b. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis. - Access Control Services: melindungi semua fasilitas dan sumber-sumber yang ada dari akses-akses yang tidak berhak.
- Confidentiality Service: memberikan perlindungan terhadap informasi yang berusaha disingkap oleh orang lain yang tidak berhak. - Data Integrity Srevice: perlindungan terhadap ancaman yang dapat mengubah data item seandainya ini terjadi di dalam lingkungan security policy.
- Non-Repudiation Service: melindungi user melawan ancaman yang berasal dari user berhak lainnya seperti kesalahan penolakan ketika transaksi atau komunikasi sedang terjadi
Sistem keamanan di dalam dunia komputer mulai menjadi perhatian serius para peneliti dan praktisi teknologi informasi semenjak diketemukannya teknologi jaringan komputer. Yang menjadi pemicu berkembangnya isu di bidang ini adalah karena adanya fenomena pengiriman data melalui media transmisi (darat, laut, dan udara) yang mudah “dicuri” oleh mereka yang tidak berhak. Data mentah dari sebuah komputer yang dikirimkan ke komputer lain pada dasarnya rawan terhadap “interfensi” dari pihak ketiga, sehingga diperlukan suatu strategi khusus agar paling tidak dua hal terjadi (Kosiur, 1997):
- Data yang dikirimkan tidak dapat secara “fisik” diambil oleh pihak lain yang tidak berhak; atau
- Data yang dikirimkan dapat “diambil secara fisik”, namun yang bersangkutan tidak dapat membacanya.
Di dalam dunia komputer, teknik penyadian tersebut dinamakan sebagai encryption dan decryption. Encryption adalah proses pengkodean data mentah menjadi data samaran dengan teknik pemetaan tertentu, sementara decryption adalah proses pemetaan kembali dari data samaran menjadi data aslinya.
Mekanisme penyandian yang terjadi di dalam dunia internet adalah sebagai berikut. Katakanlah dua orang yang berbeda lokasi ingin melakukan pertukaran dokumen melalui internet. Si pengirim dan si penerima masing-masing memiliki sebuah “kunci” (misalnya sebuah “password”) yang akan dipergunakan sebagai variabel dalam melakukan pemetaan. Berdasarkan rumus atau formula pemetaan tertentu (misalnya rumusmatematika sederhana), teks dokumen asli akan diacak atau dienkripsi menjadi sebuah teks yang baru (cipher text). Teks yang “tidak dapat dibaca” ini kemudian barulah dikirimkan ke penerima melalui jalur internet. Untuk dapat membacanya, si penerima akan menggunakan “kunci” yang sama untuk mendekripsikan pesan yang ada. Dengan adanya mekanisme ini, si pengirim dan si penerima dapat melakukan komunikasi secara aman tanpa rasa takut pesannya terbaca oleh mereka yang mencurinya sepanjang jalur komunikasi.
Kelemahan dari sistem ini adalah sebagai berikut:
Terlepas dari kekurangan-kekurangan di atas, mekanisme “symmetric encryption” ini masih cukup baik dipergunakan untuk sebuah jaringan komputer sederhana, dimana data atau informasi yang dikirim tidak memiliki tingkat kerahasiaan yang tinggi. Aplikasinya dalam dunia internet atau E-Commerce misalnya dipergunakan untuk pengiriman dokumen-dokumen standar (brosur, pengumuman, dsb.) baik melalui email maupun attachment.
Mekanisme penyandian lainnya yang lebih baik adalah dengan menggunakan metode “public-key cryptography” seperti yang digambarkan di berikut ini. Dalam sistem ini, setiap orang yang akan melakukan komunikasi via internet akan diberikan sebuah kunci (disebut sebagai “public key”) yang diketahui oleh semua orang secara terbuka. Jika seseorang ingin mengirimkan sebuah pesan, maka yang bersangkutan diharapkan untuk terlebih dahulu melihat daftar public key (kunci publik) dan mencari tahu kunci publik si penerima.
Kunci inilah yang akan menjadi variabel enkripsi terhadap dokumen atau teks asli tersebut, sebelum dokumen samaran (acak) yang ada dikirimkan melalui internet. Pesan ini baru akan dapat dideskripsikan dengan sebuah “private key” yang hanya diketahui oleh si penerima. Tanpa adanya “private key” tersebut, mustahil seseorang dapat melakukan deskripsi terhadap pesan atau dokumen yang ada. Dengan kata lain, setiap orang yang ingin berkomunikasi akan memiliki sepasang kunci:
Dengan adanya sistem semacam ini, maka kekurangan-kekurangan pada metoda “symmetric encryption” dapat teratasi:
Sekian artikel tentang Langkah-Langkah dalam Membangun & Mempertahankan e-Commerce. Semoga bermanfaat.
Daftar Pustaka
Kelemahan dari sistem ini adalah sebagai berikut:
- Karena kunci yang dipergunakan sama, berarti masing-masing orang harus memiliki kunci yang berbeda jika ingin berkomunikasi dengan orang lain, yang tentu saja akan sangat repot mengingatnya;
- Jika secara kebetulan dua atau lebih orang memiliki kunci yang sama, maka yang bersangkutan dapat mencuri dan mendeskripsikan pesan orang lain; dan
- Masalah autentifikasi juga akan menjadi isu utama, karena si penerima belum tentu yakin bahwa si pengirim adalah orang yang sesungguhnya, karena mungkin saja orang lain yang secara sengaja mengetahui kunci enkripsi si pengirim mencoba mengirimkan dokumen atas nama orang lain.
Terlepas dari kekurangan-kekurangan di atas, mekanisme “symmetric encryption” ini masih cukup baik dipergunakan untuk sebuah jaringan komputer sederhana, dimana data atau informasi yang dikirim tidak memiliki tingkat kerahasiaan yang tinggi. Aplikasinya dalam dunia internet atau E-Commerce misalnya dipergunakan untuk pengiriman dokumen-dokumen standar (brosur, pengumuman, dsb.) baik melalui email maupun attachment.
Mekanisme penyandian lainnya yang lebih baik adalah dengan menggunakan metode “public-key cryptography” seperti yang digambarkan di berikut ini. Dalam sistem ini, setiap orang yang akan melakukan komunikasi via internet akan diberikan sebuah kunci (disebut sebagai “public key”) yang diketahui oleh semua orang secara terbuka. Jika seseorang ingin mengirimkan sebuah pesan, maka yang bersangkutan diharapkan untuk terlebih dahulu melihat daftar public key (kunci publik) dan mencari tahu kunci publik si penerima.
Kunci inilah yang akan menjadi variabel enkripsi terhadap dokumen atau teks asli tersebut, sebelum dokumen samaran (acak) yang ada dikirimkan melalui internet. Pesan ini baru akan dapat dideskripsikan dengan sebuah “private key” yang hanya diketahui oleh si penerima. Tanpa adanya “private key” tersebut, mustahil seseorang dapat melakukan deskripsi terhadap pesan atau dokumen yang ada. Dengan kata lain, setiap orang yang ingin berkomunikasi akan memiliki sepasang kunci:
- Kunci yang diketahui oleh umum (public key) dan
- Kunci yang hanya diketahui secara pribadi (private key).
Dengan adanya sistem semacam ini, maka kekurangan-kekurangan pada metoda “symmetric encryption” dapat teratasi:
- Setiap orang hanya perlu mengingat kunci pribadinya, karena kunci untuk berkomunikasi ke orang-orang lain dapat dengan mudah ditemukan pada daftar kunci;
- Algoritma pemetaan bekerja berdasarkan pasangan kunci, sehingga walaupun seseorang memiliki salah satu kunci yang sama, namun jika pasangan kuncinya berbeda, tidak akan dapat dipergunakan untuk mendeskripsikan pesan orang lain;
- Dengan sendirinya problem autentifikasi akan terselesaikan karena yang bersangkutan pasti akan menggunakan kunci yang benar (bukan kunci orang lain) agar dapat dibaca oleh mereka yang memiliki pasangan kuncinya. Mekanisme penyandian di atas biasa pula dipergunakan dalam dunia E-Commerce untuk menjaga kerahasiaan sebuah data, misalnya:
- Data nomor kartu kredit yang hanya boleh diketahui oleh si pengirim dan bank atau lembaga keuangan tertentu;
- Nomor identifikasi pengguna (user id) dan password yang hanya boleh diketahui oleh konsumen dan perusahaan penyedia jasa E-Commerce;
- Mengirimkan daftar pelanggan beserta rincian profilnya yang secara prinsip merupakan milik perusahaan yang tidak boleh dilihat para saingan bisnis;
- Melakukan download dokumen atau produk digital lainnya yang hanya dapat dibaca oleh mereka yang secara sah telah membeli; dan lain sebagainya. Satu-satunya kelemahan sistem ini adalah implementasinya secara teknis yang memakan waktu cukup lama untuk melakukan pengkodean dengan kunci publik. Berbagai teknik baru telah diperkenalkan di dunia pengamanan data sebagai alternatif untuk melakukan komunikasi secara lebih cepat sekaligus aman.
Sekian artikel tentang Langkah-Langkah dalam Membangun & Mempertahankan e-Commerce. Semoga bermanfaat.
Daftar Pustaka
- Sandiwarno Sulis, Konsep Portal dan Manajemen Konten, modul Universitas Mercu Buana 2013
- Koleksi Tulisan dan Pemikiran E-Commerce Kiat dan Strategi Bisnis di Dunia Maya, Dr. Ir. Richardus Eko Indrajit, M.Sc.,MBA, Elex Media Komputindo
- Seluk Beluk E-Commerce, Andi Sunarto, GaraIlmu
- Seputar Keamanan E-Commerce (http://yebeblog.blogspot.com/2009/10/seputar-keamanan-e-commerce.html)
