MANAJEMEN IMPLEMENTASI DAN PROTEKSI TI

SECURITY REQUIREMENT PADA E-PAYMENT

Oleh :
I Made Oka Mahendra Putra

1104505068

Made Wibawa

1104505074

Gembong Satria Prabowo

1104505091

Agus Gede Adi Prayoga

1104505095

Kresnantara

1104505100

Putu Marta Trisna Basudewa

1104505102

JURUSAN TEKNOLOGI INFORMASI

FAKULTAS TEKNIK - UNIVERSITAS UDAYANA
JIMBARAN - BALI
2014

Security Requirement pada E-Payment (Persyaratan Keamanan

Pembayaran Elektronik)
Pembayaran

elektronik

pertamanya

digagas

karena

masyarakat

membutuhkan suatu cara bertransaksi yang lebih efektif dan efisien daripada
metode pembayaran yang sebelumnya ada, yakni dengan uang fisik (cash).
Seiring dengan perkembangan jaman dan pola kehidupan manusia, maka metoda
pembayaran selain menggunakan uang fisik mulai dikembangkan, dengan adanya
bisnis perbankan, maka masyarakat mulai percaya untuk menitipkan uangnya di
bank.
1.

Pengertian E-Payment
E-Payment atau pembayaran elektronik suatu sistem menyediakan alat-alat

untuk pembayaran jasa atau barang-barang yang dilakukan di Internet. Didalam

membandingkan

dengan

sistem

pembayaran

konvensional,

pelanggan

mengirimkan semua data terkait pembayaran kepada pedagang yang dilakukan di

Internet dan tidak ada interaksi eksternal lebih lanjut

antara pedagang dan

pelanggan (Imam Purwanto).

Dalam pelaksaannya e-payment melibatkan beberapa pihak yaitu (Agung
Firmansyah, 2009) :

Gambar 1.0 Pihak-pihak yang Terlibat pada E-Payment

Issuer
Bank atau institusi nonbank yang menerbitkan instrumen e-payment yang
akan digunakan dalam proses jual beli online.

Customer/Payer/Buyer
Pihak yang melakukan pembayaran secara online atas barang atau jasa
yang dibelinya.

Merchant/Seller
Pihak yang menerima pembayaran secara online atas barang atau jasa yang
dijualnya.

Regulator
Biasanya adalah pihak pemerintah yang membuat aturan mengenai
pengaturan proses e-payment.

2.

Cara Kerja E-Payment

Pada saat perusahaan penjual akan menerapkan pembayaran secara

elektronik dan website, telah banyak perusahaan pihak ketiga yang bertindak
sebagai pengelola dan pengautorisasi pembayaran seperti PayPal dan ProPay.
Perusahaan penjual akan menerima pembayaran melalui bank setelah diproses
oleh pihak ketiga, dan beban penggunaan layanan ini dibebankan untuk setiap
transaksi.
Apabila proses layanan dilakukan secara langsung, perusahaan penjual
harus memiliki server yang aman yang mampu mengenkripsi data pengguana
sehingga menyulitkan bocornya informasi konsumen ke pihak yang tidak
berkepentingan. Teknologi yang digunakan untuk enkripsi data konsumen ini
adalah secure socket layer (SSL) yang disertai sertifikat SSL.
Dengan SSL sertifikat, situs penjual/vendor akan memperoleh layanan
autentifikasi digital. Sertifikat digital

ini merupakan sarana informasi bagi

konsumen bahwa situs yang digunakan berasal dari situs yang benar-benar dari
penjual, serta memberikan keyakinan pada konsumen bahwa situs yang digunakan
untuk transaksi telah legal dan informasi yang akan diberikan akan dienkripsi.

Gambar 1.1 Proses Sistem E-Payment

Penyedia transaksi akan melengkapi server dengan sistem pengolah

pembayaran kartu kredit dan account transaksi internet dengan bank. Layanan
pemporses kartu kridit secara online telah ada dan tersedia diantaranya adalah
perusahaan verisign. Sistem layanan ini digunakan untuk memvalidasi data
informasi keuangan konsumen baik menggunakan kartu kredit atau elektronik
check.
3.

Jenis E-Payment
Saat ini sudah banyak bentuk e-payment yang beredar, berikut beberapa

diantaranya :
-

E-Cash
E-Cash yaitu Electronic Cash, sering juga disebut dengan Digital Cash,

Digital Money. E-Cash mempunyai makna bahwa seseorang dapat membeli

barang atau jasa dengan cara mengirimkan nomor dari satu computer ke computer
lain . Nomor tersebut diisukan oleh sebuah bank dan merepresentasikan sejumlah
uang yang sebenarnya yang mempunyai nilai tukar yang bersifat anonymous
(tanpa nama) dan dapat dipakai seperti uang cash biasa.

E-Checks
E-Checks yaitu Electronic Checks. E-Checks mempunyai makna customer

akan membayar kepada penjual dengan check elektronik yang dikirimkan secara
elektronis dengan e-mail. Check berisi pesan yang memuat semua informasi yang
diperoleh dari check yang sebenarnya tetapi bisa ditanda tangani secara digital
atau surat kuasa. Tanda tangan elektronis tersebut ditulis dalam bentuk sandi
dengan cara mengenkripsi melalui kunci rahasia customer. Kemudian penjual
mengesahkan dengan kunci private. Pesan yang dihasilkan akan disandikan
dengan kunci rahasia pihak bank hingga disediakan kunci pembayarannya.
-

E-Wallet
E-Wallet yaitu Electronic Wallet. Pembayaran dilakukan dengan

menyimpan nomor kartu kredit anda ke hardisk dalam kondisi terenkripsi dengan
aman. Pembelian dilakukan pada situs web yang mendukung e-wallet tersebut.
Pada saat tombol pay ditekan maka proses pembayaran melalui kartu kredit
akan dilakukan transaksinya secara aman oleh server perusahaan e-wallet.
-

Merchant Account
Merchant account merupakan hubungan relasi antara seorang bisnis

dengan bank, yang memiliki syarat dan peraturan yang ketat berkenaan dengan
pengeluaran merchant accountnya. Jika status merchant account sudah diperoleh
selanjutnya, merchant akan menyewa atau membeli software yang dipergunakan
untuk proses transaksi. Dalam kasus yang sama tergantung dari bank dan juga tipe
bisnis yang akan dioperasikan maka seorang merchant perlu juga membeli atau
menyewa hardware yang disebut terminal pengolahan (processing terminal).
-

Micropayment
Disebut juga Microtransaction merupakan transaksi dalam jumlah kecil,

misalnya untuk mengakses grafik, game maupun informasi.

-

Payment Card
Pembayaran dapat dilakukan dengan menggunakan kartu kredit atau kartu

debit.

Smart Card
Merupakan kartu yang didalamnya sudah tertanam oleh microchip khusus,

memori elektronik dan baterai. Smart card mengandung informasi mengenai

pengguna yang memiliki hak untuk menggunakannya.
4.

Bentuk Serangan pada E-Payment

Ada beberapa bentuk serangan yang dapat terjadi pada E-Payment

diantaranya :
-

Hacker dapat meniru pedagang atau membuat situs web palsu yang mirip
dengan web aslinya. Konsumen tidak menyadari ini dan mengirim
permintaan dan informasi kredit secara langsung ke hacker. Serangan ini
biasa disebut phishing.

Skenario lain ada di mana hacker menginstal keylogger pada perangkat

konsumen, aktivitas semua informasi yang diketik pada keyboard,
termasuk

informasi

pemegang

rekening

termasuk

nomor

kartu

pembayaran. Dimana semua informasi tersebut akan tersimpan kedalam pc

hacker, misalnya diterapkan di warnet.
-

Hacker mengamati komunikasi antara pemegang kartu dan pedagang.

Mengirimkan informasi kartu kredit pada jaringan tanpa enkripsi,
memungkinkan hacker untuk membaca informasi ini. Serangan ini
layaknya men in midlle attack.

Hacker dapat menembus lingkungan e-commerce merchant dan mencuri

informasi di database.

5.

Keamanan Untuk E-Payment

Pemasalahan keamanan dalam pembayaran elektronik terkait dengan

privasi dan adanya pencurian identitas. Pengamanan yang dilakukan terhadap

pencurian identitas ini dapat dilakukan dari sisi konsumen, vendor/penjual dan
bank.
Kebutuhan utama yang diperlukan dalam keamanan E-Payment (Security
Requirements) mencakup :

Authorization (Otorisasi)
Dalam sebuah sistem e-payment diperlukan sebuah otorisasi terhadap

pembayaran yang dilakukan, otorisasi tersebut dilakukan oleh si pembeli itu

sendiri guna mensahkan bahwa transaksi itu benar-benar terjadi oleh orang
tersebut. Setiap pembayaran harus memperoleh otorisasi dari setiap pembeli yang
melakukan transaksi pembelian barang. Untuk mengenali bahwa pembeli mana
yang melakukan transaksi diperlukannya keaslian si pembeli, dapat berupa PIN,
atau tanda tangan digital. Selain itu pengesahan oleh pihak bank sangat diperlukan
dalam melakukan transaksi online yang menandakan bahwa transaksi telah
dilakukan pembayaran.
-

Data Confidentiality and Authenticity (Kerahasiaan dan Keaslian Data)

Transaksi harus benar-benar asli, karena dengan itu pihak yang terlibat

dalam melakukan transaksi tersebut sama-sama memiliki kepercayaan bahwa

transaksi itu memang terjadi. Untuk melindungi kesahan data transaksi, dari pihak
luar tidak dapat mengakses data tersebut guna melindungi data yang ada di
dalamnya. Terdapat peraturan yang ada di dalam melakukan transaksi, pihak
pedagang tidak memiliki hak atau otoritas untuk mengetahui informasi terkait
akun konsumen, selain itu pihak bank juga tidak perlu untuk mengetahui apa yang
dibeli oleh konsumen.
-

Availability and Reliability (Ketersediaan dan Kehandalan)

Infrastruktur pembayaran harus tetap tersedia, dengan hal tersebut dapat

memberikan pelayanan yang maksimal terhadap pelaku transaksi, yang

membuktikan bahwa infrastruktur yang digunakan benar-benar memiliki
kehandalan dalam menangani transaksi-transaksi yang berlangsung. Sistem epayment sebaiknya di desain dengan hati-hati, komponen yang benar-benar
memiliki titik kritis sebaiknya dilakukan replikasi dan diberikan perlindungan
yang maksimal guna melindungi data-data transaksi yang sudah atau telah
berlangsung.
-

Atomicity of Transaction (Atomik Transaksi)

Karena dalam prakteknya suatu transaksi dapat mengalami gangguan

misalnya karena kegagalan komunikasi harus memegang prinsip all or nothing

principle yaitu keseluruhan transaksi tereksekusi atau tidak sama sekali. Jadi jika
terjadi gangguan harus memungkinkan untuk mendeteksi dan membatalkan
langkah yang sudah dieksekusi serta pulih dari gangguan.
-

Privacy (Privasi)
Setiap konsumen memiliki hak untuk menyetting pengaturan akun yang

dimiliki olehnya, apakah dapat data pribadi yang dimiliki olehnya dapat dilihat
oleh pihak luar. Untuk lebih menjaga data pribadi seseorang agar tidak terjadi
penyalahgunaan data sebaiknya data pribadi di sembunyikan dari informasi user
atau profile user yang bersangkutan, dengan itu pihak luar tidak dapat untuk
menggunakan secara ilegal data pribadi yang kita miliki. Privasi ditujukan untuk
melindungi data pribadi seseorang, dari pihak pedagang jika tidak memiliki hak
untuk melihat data pembeli tersebut maka informasi dari pembeli tersebut tidak
dapat terlihat atau ter-hide. Bahkan bank pun tidak dapat melakukan penelusuran
terhadap transaksi yang dilakukan oleh pembeli yang terlibat di dalamnya
walaupun bank dapat menyimpan track transaction yang ada.
Terdapat beberapa upaya untuk menjaga keamanan E-Payment yaitu :
-

Public Key Infrastructure (PKI)

E-Payment sistem secara khas modelnya tipikalnya seperti sistem Public

Key Infrastructure (PKI). Suatu PKI ( public key infrastrukture) memungkinkan

para pemakai yang pada dasarnya tidak aman didalam jaringan publik seperti
Internet, maka dengan Public Key Infrastructure akan merasa aman dan secara
pribadi menukar uang dan data melalui penggunaan suatu publik. Infrastruktur
kunci publik menyediakan suatu sertifikat digital yang dapat mengidentifikasi
perorangan atau suatu direktori jasa dan organisasi yang dapat menyimpan dan,
manakala diperlukan untuk menarik kembali sertifikat tersebut
-

Public Key Encryption

Suatu proses pengkodeaan data mentah, menjadi data yang tersamar yang

dikirimkan oleh pengirim yang dapat disampaikan oleh penerima dengan aman
dengan teknik pemetaan tertentu. Kriteria keamanan yang dipergunakan dalam
kriptographi adalah

1.

Kerahasiaan ( Confidentiality )

2.

Otensitas ( Authenticity )

3.

Integritas ( Integrity )

4.

Tidak Dapat Disangkal

Jenis kriptographi yang paling umum digunakan adalah Algoritma

Simetris ( Symmetric Algorithm ). Algoritma simetris adalah algoritma yang

menggunakan kunci enkripsi yang sama dengan kunci dekripsinya. Pada
algoritma simetri, mengharuskan pengirim dan penerima menyetujui suatu kunci
tertentu sebelum mereka dapat berkomunikasi dengan aman. Keamanan algoritma
simetri tergantung pada kunci. Agar komunikasi tetap aman, kunci harus tetap
dirahasiakan, dan masalah utamanya adalah pada pengiriman kuncinya agar kunci
dapat tersampaikan pada kedua belah pihak dengan baik tanpa diketahui oleh
pihak yang lain. Contoh algoritma kunci simetris yang terkenal adalah DES (Data
Encryption Standard), AES (Advance Encryption Standard), dan RC4.

Gambar 1.2 Enkripsi Kunci Simetris

Public Key Algorithm

Algoritma Kunci Publik (Public-Key Algorithm) disebut juga dengan

algoritma asimetris (Asymmetric Algorithm) yaitu algorima yang menggunakan

kunci yang berbeda pada saat melakukan enkripsi dan melakukan deskripsi yaitu
kunci publik dan kunci pribadi. Kunci yang digunakan pada proses enkripsi
berbeda dengan kunci yang akan digunakan untuk mendekripsi data kembali.
Kunci yang digunakan untuk mengenkripsi data adalah kunci publik, dan kunci
yang digunakan untuk mendekripsi data adalah kunci pribadi. Ini berarti kunci
pribadi berfungsi untuk menjaga keamanan datanya, karena hanya dengan kunci
pribadilah data tersebut dapat dibuka. Sedangkan kunci publik berfungsi untuk
otentikasi karena apabila kunci publiknya cocok dengan kunci pribadinya, maka
penerima akan yakin bahwa data yang dikirim berasal dari orang yang tepat.

Gambar 1.3 Enkripsi Kunci Asimetris

Sertifikat Digital
Sertifikat Otoritas merupakan pihak ke-tiga yang bisa dipercaya (Trust

Thrid Party / TTP). Sertifikat Otoritas yang akan menghubungkan kunci dengan
pemiliknya. TTP ini akan menerbitkan sertifikat yang berisi identitas seseorang
dan juga kunci privat dari orang tersebut.

Gambar 1.4 Contoh Sertifikat Digital

Tanda Tangan Digital

Tanda tangan digital merupakan tanda tangan yang dibuat secara

elektronik, dengan jaminan yang lebih terhadap keamanan data dan keaslian data,
baik jaminan tentang indentitas pengirim dan kebenaran dari data atau paket data
tersebut. Pembuatan tanda tangan digital dengan menggunakan algoritma kunci
publik banyak metode yang bisa digunakan diantaranya RSA yang menggunakan
kunci-privat atau kunci-publik untuk melakukan enkripsi.

Gambar 1.5 Pembentukan Tanda Tangan Digital

Gambar 1.6 Validasi Tanda Tangan Digital

Secure Socket Layer

Secure Socket Layer (SSL) merupakan suatu protokol yang membuat
sebuah pipa pelindung antara browser cardholder dengan merchant, sehingga
pembajak atau penyerang tidak dapat menyadap atau membajak informasi yang
mengalir pada pipa tersebut. Pada penggunaannya SSL digunakan bersaman
dengan protokol lain, seperti HTTP (Hyper Text Transfer Protocol ), dan
Sertificate Autority).

Transport Layer Security (TLS)

Transport Layer Security ( TLS) adalah protokol cryptographic yang

menyediakan keamanan komunikasi pada Internet seperti e-mail, internet faxing,

dan perpindahan data lain.
-

Secure Electronic Transaction (SET)

SET merupakan suatu proses dimana saat sang pemegang kartu kredit

akan membayar belanjaannya di website merchant, pemegang kartu akan

memasukkan surat perintah pembayaran dan informasi kartu kreditnya ke dalam
sebuah amplop digital yang hanya bisa dibuka oleh payment gateway. Amplop
tersebut beserta surat pemesanan barang dikirim ke merchant. Merchant akan
memproses surat pemesanan barang serta mengirimkan amplop digital tersebut
kepada payment gateway yang akan melakukan otorisasi. Payment gateway
melakukan otorisasi dan jika disetujui akan mengirimkan kode otorisasi kepada

merchant. Merchant kemudian mengirimkan barang tersebut kepada pemegang

kartu kredit
6.

Manfaat E-Payment
Pembayaran elektronik merupakan pembayaran yang memberikan

kepraktisan pada konsumen. Dengan hanya memberikan informasi account seperti

kartu kredit dan alamat pengirim. Informasi ini kemudian disimpan dalam web
server penjual atau vendor, saat transaksi akan dilakukan kembali konsumen
hanya perlu mengkonfirmasi kembali pembayaran yang dilakukan.
Dari pandangan bisnis pun pembayaran elektronik mampu menekan biaya
dan cepat, karena pembayaran dilakukan secara elektronik mampu mengurangi
biaya kertas dan pos. Penawaran pembayaran secara elektronik pun dapat
membantu perusahaan mempertahankan konsumen. Konsumen akan datang
kembali

karena informasi konsumen tersebut telah ada dan disimpan di

perusahaan penjual, dengan kata lain konsumen telah terikat karena informasi
yang diberikannya.
Untuk melayani konsumennya, saat ini hampir seluruh bank telah
menawarkan layanan pembayaran tagihan secara online. Dengan penawaran ini
bank memberikan kemudahan pada nasabahnya untuk melakukan pembayaran
dan transfer dana dengan cepat dan aman.

DAFTAR PUSTAKA
Proinformatec.

2013.

E-Payment.

Terdapat

http://proinformatec.wordpress.com/2013/06/12/e-payment/

akses

di
pada

[September 26, 2014].

Bisono, Gustommy. 2000. Keamanan Jaringan Komputer pada Aplikasi
Electronic-Payment Menggunakan Protokol SSL Berbasis Algoritma
Enkripsi RSA 1024 Bit dan RC-4 128 Bit. Departemen Teknik Elektro.
Institut Teknologi Telkom.
Purwanto, Imam. 2014. Internet dan Jaringan Komputer. Akuntansi Komputer.
Universitas Gunadharma.
Gupta,

Anuradha.

2010.

Electronic

Payment

System.

Terdapat

http://www.slideshare.net/anu070886/electronic-payment-system5080223?related=2 akses pada [September 26, 2014].

di