Regulasi Privasi dan Prinsip – Prinsip yang diterima Secara Umum

Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu

telah

menghasilkan berbagai regulasi pemerintah. Selain itu, terkait hukum pengungkapan negara

bagian, sejumlah regulasi federal, termasuk Health Insurance Portability and Accountability Act
(HIPAA). regulasi tersebut memaksakan persyaratan spesifk pada organisasi untuk melindungi
privasi informasi pribadi para pelanggannya. Banyak negara lain juga memiliki regulasi yang
terkait dengan penggunaan dan perlindungan informasi pribadi.

Untuk membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan

ini, American Institute of Certinied Public Accountant (AICPA) dan Canadian Institute of

Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka yang

disebut Prisip-Prinsip Privasi yang Diterima secara Umum (Generally Accepted Privacy

Principles - GAPP, Kerangka tersebut mengidentifkasi dan mendefiniskan pelaksanaan 10

praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi

para pelanggan. Yaitu :

1. Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi
informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan
informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
Organisasi harus menyerahkan pertanggungiawaban dan akuntabilias dari penerapan
kebjakan serta prosedur tersebut kepada orang atau sekelompok pegawai tertentu.
2. Pemberitahuan
Pemberitahuan. Organisasi harus memberikan pemberitahuan tentang kebijakan dan
praktik privasinya pada saat atau sebelum organisasi tersebut mengumpulkan informasi
pribadi dari para pelanggan atau sesegera sesudahnya. Pemberiahuan harus menerangkan
informasi yang sedang dikumpulkan, alasan pengumpulan, dan akan digunakan.
3. Pilihan dan Persetujuan
 Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para individu serta
mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan informasi
pribadi mereka. Jenis pilihan-pilihan yang ditawarkan berbeda-beda dimasing-masing
negara. Kebijakan dasar di Amerika Serikat disebut opt-out yang mengizinkan organisasi
untuk mengumpulkan informasi pribadi tentang para pelanggan kecuali jika pelangan
secara terang – terangan keberatan. Kebalikannya, kebijakan dasar di Eropa adalah opt-in
yang berarti bahwa organisasi tidak dapat mengumpulkan informasi yang didentifkasi
secara pribadi kecuali para pelanggan secara terang-terangan mengizinkan organisasi
untuk melakukannya.
4. Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi
tujuan yang dinyatakan dalam kebijakan privasinya. Satu permasalahan yang perlu
diperhatikan adalah penggunaan cookie pada situs. Cookie adalah sebuah file teks yang
diciptakan oleh situs dan disimpan dalam hard disk pengunjung. Cookie menyimpan
informasi terkait tindakan yang telah dilakukan pengguna distustersebut Sebagian besar
situs menghasilkan banyak cookie setiap kali kunjungan untuk memudahkan pengunjung
mengarahkan ke porsi relevan darisitus. Penting untuk dicatat, cookic adalah file teks
yang berarti bahwa mereka tidak dapat "melakukan" apa pun selain menyimpan
informasi. Meski demikian, cookie mengandung informasi pribadi yang mungkin
meningkatkan risiko pencurian identitas dan ancaman privasi lainnya. Browser dapat
dikonfigurasi untuk tidak menerima cookie dan GAPP merekomendasikan agar
organisasi menggunakan prosedur untuk menyetujui permintaan tersebut dan tidak secara
sembunyi-sembunyi.
5. Penggunaan dan retensi
Organisasi harus menggunakan informasi pribadi para menggunakan cookie. Pelanggan
hanya dengan cara yang dideskripsikan pada kebjakan privasi yang dinyatakan dan
menyimpan informasi tersebut hanya selama informasi tersebut diperlukan untuk
memenuhi tujuan bisnis yang sah. Berarti, organisasi perlu membuat kebijakan retensi
dan
menugaskan seseorang yang bertanggung jawab untuk memastikan kepatuhan terhadap
kebijakan tersebut.
6. Akses
Organisasi harus memberkan individu dengan kemampuan mengakses, meninjau,
memperbaiki, dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga
Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk situasi
dan cara yang sesuai dengan kebijakan privasi organisasi serta hanya kepada pihak ketiga
yang menyediakan tingkatan perlindungan privasi yang sama sebagaimana organisasi
sebelumnya yang mengumpulkan informasi tersebut. Prinsip ini berdampak pada
penggunaan komputasi cloud karena menyimpan informasi pribadi pelanggan dalam
cloud kemungkinan mengakibatkan informasi dapat di akses oleh para pegawai penyedia
cloud, sehingga informasi tersebut harus dienkripsi sepanjang waktu.
8. Keamanan
Organisasi harus mengambil langkah-langkah rasional untuk melindungi informasi
pribadi para pelanggannya dari kehilangan atau pengungkapan yang tak terotorisasi. Olch
karena itu, tidak mungkin untuk melindungi privasi tanpa keamanan informasi yang
memadai. Oleh karena itu, organisasi harus menggunakan berbagai pengendalian
preventif, detektif, dan korektif. Namun, pencapaian level keamanan informasi yang
dapat diterima tidaklah cukup untuk melindungi privasi. Perlu juga untuk melatih para
pegawai agar menghindari praktik-praktik yang dapat mengakibatkan pelanggaran privasi
yang tidak disengaja. Satu permasalahan yang terkadang diabaikan yaitu pembuangan
perlengkapan computer.
9. Kualitas
Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan
prosedur yang memastikan informasi tersebut akurat secara wajar. Memberikan
konsumen sebuah cara untuk meninjau informasi pribadi yang disimpan oleh organisasi
(prinsip 6 GAPP) dapat menjadi cara yang hemat biaya untuk mencapai tujuan tersebut.
10. Pengawassan dan pengakuan
Organisasi harus menugaskan satu pegawai atau lebih guna bertanggung jawab untuk
memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan. Organisasi juga harus
memverifikasi secara periodik bahwa pegawai mereka mematuhi kebijakan privasi yang
 dinyatakan. Selain itu, organisasi harus menetapkan prosedur guna merespons komplain
pelanggan, termasuk penerapan sebuah proses penyelesaian perselisihan pihak ketiga.

Secara garis besar, GAPP menunjukan bahwa melindungi privasi informasi pribadi
pelanggan mensyaratkan penerapan suatu kombinasi kebjakan, prosedur, dan teknologi terlebih
dulu, baru setelahnya melatih setiap orang di dalam organisasi untuk bertindak sesuai dengan
rencana-rencana tersebut dan kemudian mengawasi kepatuhannya. Hanya manajemen senior
yang memiliki otoritas dan sumber daya untuk mencapainya serta mendorong akta bahwa pada
dasarnya seluruh aspek keandalan sistem merupakan permasalahan manajerial dan bukan hanya
permasalahan TI. Oleh karena para akuntan dan auditor melayani sebagai penasihat terpercaya
untuk manajemen senior, maka mereka perlu memahami permasalahan - permasalahan tersebut.

Enkripsi

Enkripsi adalah sebuah,pengendalan preventif yang dapat digunakan untuk melindung

baik kerahasinan maupun privasi. Enkrips melindungi data saat sedang berialan melalui Internet
dan juga menyediakan sebuah tembok batas terkhir yang harus dilalui oleh seorang penyusup
yang telah mendapatkan akses tak terotorisasi atas informasi yang disimpan. Enkrips juga
memperkuat prosedur autentikasi dan memainkan sebuah peran esensial untuk memastikan dan
memverifikasi validitas transaksi e-business.

Enkripsi (encryption) adalah proses mentransformasikan teks normal, yang disebut

plaintext, ke dalam raban yang tidak dapat dibaca, yang disebut chipertext. Dekripsi (decryption)
membalik proses ini, mengubah chipertext kembali ke dalam plaintex. baik enkripsi maupun
dekripsi melibatkan penggunaan sebuah kunci dan aligoritma. Komputer merepresentasikan baik
plaintext maupun chipertext sebagai sebuah seri bilangan biner (O dan 1). Kunci enkripsi dan
dekripsi juga merupakan rangkaian bilangan biner; sebagai contoh, sebuah kunci 256 bit terdiri
atas sebuah rangkaian 256 0 dan I. Algoritme adalah formula yang menggunakan kunci untuk
mengubah plaintext menjadi chipertext (enkripsi) atau chipertext kembali menjadi plaintext
(dekrips), Kebanyakan okumen tidak lebih panjang dari kunci sehingga proses enkripsi dimulai
dengan membagi plaintest ke dalam blok blok, masing-masing blok panjangnya sama dengan
kunci. Kemudian, algoritme diaplikasikan ke kunci dan masingmasing blok plaintest. Sebagai
contoh, jika sebuah kunci 512 bit digunakan, komputer terlebih dahulu akan membagi dokumen
atau fle ke dalam blok-blok sepanjang 512 bit dan kemudian,mengombinasikan setiap blok
dengan kunci dengan cara yang dikhususkan oleh algoritme. Hasinya adalah versi chipertest
dokumen atau file ukurannya sama dengan asliny. Untuk mereproduksi dokumen asli, komputer
terlebih dahulu membagi chipertett ke dalam blok-blok 512 bit dan kemudian mengaplikasikan
kunci dekripsi ke masing-masing blok.

Faktor – Faktor yang Memengaruhi Kekuatan Enskripsi

Tiga faktor penting yang menentukan kekuatan sistem enkripsi :

1. Panajang kunci
Kunci yang panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah
blok-blok berulang pada chipertext. Hal tersebut menjadikannya lebih sulit untuk
menunjukkan pola-pola chipertext yang merefleksikan pola-pola plaintext asli.
2.