Keamanan e Business

MI-10

KONSEP E-BISNIS

Disusun Oleh : ANDRI KURNAEDI 10507454 ARIF NOOR IMAN 10507457 FERI FAISAL M 10507430

KEAMANAN DALAM PERDAGANGAN

ELEKTRONIK

DISUSUN UNTUK MEMENUHI TUGAS KONSEP E-BISNIS MI-10 ‘07 MANAJEMEN INFORMATIKA

UNIKOM 2010

[KEAMANAN DALAM PERDAGANGAN ELEKTRONIK] MI-10 2007

Konsep E-Bisnis|Keamanan Dalam Perdagangan Elektronik i

DAFTAR ISI

DAFTAR ISI ................................................................................................................. i

A. PENDAHULUAN ............................................................................................ 1

B. PENGAMANAN DALAM E. COMMERCE .......................................................... 2

C. PIHAK-PIHAK DALAM TRANSAKSI E. COMMERCE .......................................... 7

D. LEMBAGA OTORITAS SERTIFIKAT (CERTIFICATE AUTHORITIES) .................... 8

E. PERJANJIAN ASURANSI ANTARA LEMBAGA OTORITAS SERTIFIKAT DENGAN

PERUSAHAAN ASURANSI ............................................................................. 10

F. KESIMPULAN ............................................................................................... 13

DAFTAR PUSTAKA ............................................................................................ 14


Konsep E-Bisnis|Keamanan Dalam Perdagangan Elektronik 1

A. PENDAHULUAN

Teknologi informasi atau information technology (IT) telah mengubah

masyarakat, telah menciptakan jenis-jenis dan peluang-peluang bisnis yang baru, serta

menciptakan jenis pekerjaan dan karier baru dalam pekerjaan manusia.

Salah satu bagian yang paling berkembang pesat dari bidang teknologi

informasi adalah internet (interconnection networking), yang pada awalnya diciptakan

sebagai saluran swasta untuk kepentingan kegiatan penelitian dan akademis, Internet

sekarang lebih banyak dieksploitasi oleh bisnis untuk berbagai macam pelayanan

komersial. Saat ini, salah satu aktivitas dunia maya yang paling berkembang dalam

kaitan dengan penggunaan internet adalah electronic commerce.

Sangat wajar, mengingat melalui Internet masyarakat memiliki ruang gerak

yang lebih luas dalam memilih produk (barang dan jasa) yang akan dipergunakan,

tentunya dengan berbagai kualitas dan kuantitas yang sesuai dengan keinginannya.

Tidak adanya jaminan bahwa transaksi e-commerce terbebas dari upaya perusakan

pemanipulasian data, tentu akan berdampak pada menurunnya kepercayaan masyarakat

terhadap sistem ini. Padahal, dalam transaksi bisnis di era global seperti sekarang ini,

kepastian dan keamanan merupakan salah satu pilar penopang berkembangnya aktivitas

ekonomi.

Oleh karena itu, dalam rangka mengantisipasi munculnya permasalahan

keamanan dalam transaksi e. commerce, lahirlah berbagai solusi keamanan, seperti :

Symmetric Cryptosystems, Asymmetric Cryptosystems, RSA Algoritma, Digital

Signature, Secure Electronic Transaction (SET).



B. PENGAMANAN DALAM E. COMMERCE

Banyaknya penggunaan instrumen pendukung yang berbasis teknologi

informasi dalam suatu aktivitas, tidak menjadikan aktivitas tersebut bebas dari

kemungkinan munculnya permasalahan keamanan, tidak terkecuali pada sistem

perdagangan dengan e. commerce. Karena itu, sangat beralasan apabila hampir di

semua aktivitas yang berbasis data elektronik selalu mensyaratkan adanya jaminan

perlindungan atas keamanan bagi para penggunanya. Kebutuhan perlindungan yang

demikian ini menjadi sangat tinggi apabila menyangkut data elektronik yang sangat

rahasia.

Secara umum, dalam transaksi e. commerce, terkandung 2 (dua) permasalahan

yang memerlukan penanganan serius, yaitu :

1. Permasalah yang sifatnya subtantif, yaitu:

a. Keaslian data massage dan tanda tangan elektronik.

Masalah keotentikan data massage menjadi permasalahan yang sangat

vital karena data massage inilah yang dijadikan dasar utama terciptanya

suatu kontrak.

b. Keabsahan (validity).

Keabsahan suatu kontrak tergantung pada pemenuhan syarat-syarat

kontrak. Apabila syarat-syarat kontrak telah dipenuhi, maka kontrak

dinyatakan terjadi. Dalam e. commerce, terjadinya kesepakatan sangat

erat hubungannya dengan penerimaan atas absah dan otentiknya data

massage yang memuat kesepakatan itu.

c. Kerahasiaan (confidentiality/privacy).

Kerahasiaan yang dimaksud meliputi kerahasiaan data/atau informasi

dan juga perlindungan terhadap data dan informasi dari akses yang tidak

sah dan berwenang.

d. Keamanan (security).

Masalah keamanan merupakan masalah penting karena keberadaannya

menciptakan rasa confidence bagi para user dan pelaku bisnis, untuk

tetap menggunakan media elektronik guna kepentingan bisnisnya.

e. Ketersediaan (availibility)

Permasalahan lain yang juga harus diperhatikan adalah keberadaan

informasi yang dibuat dan ditransmisikan secara elektronik yang harus

tersedia setiap kali dibutuhkan.



2. Permasalahan yang bersifat procedural.

Media internet menuntut adanya perlindungan dari segi yuridis. Dengan

memperhatikan potensi terjadinya berbagai permasalahan yang dapat timbul

dalam transaksi e-commrece, tentu diperlukan adanya sistem pengamanan yang

memadai sehingga dapat memberikan perlindungan bagi pihak-pihak yang

terlibat di dalamnya. Apabila diciptakan suatu sistem yang nantinya dapat

dipakai untuk melindungi para pihak dalam bertransaksi, maka sistem tersebut

hendaknya dapat memberikan perlindungan terhadap hal-hal sebagai berikut :

a. Pengubahan, penambahan atau perusakan oleh pihak yang tidak

bertanggung jawab terhadap data dan informasi, baik selama dalam

penyimpanan maupun selama proses transmisi oleh pengirim kepada

penerima.

b. Perbuatan yang tidak bertanggung jawab yang berusaha untuk dapat

memperoleh informasi yang dirahasiakan, baik diperoleh langsung dari

penyimpanannya maupun ketika ditransmisikan oleh pengirim kepada

penerima (upaya penyadapan).

Secara teknis, sistem pengamanan komunikasi elektronik harus dapat

mengakomodasi kebutuhan pengamanan yang berkaitan dengan aspek :

1. Confidentiality

Confidentiality menyangkut kerahasiaan dari data atau informasi, dan

perlindungan bagi informasi tersebut dari pihak yang tidak berwenang. Untuk

melindungi kerahasiaan dapat dilakukan dengan cara membuat informasi itu

“tidak dapat dipahami” (unintelligible), isi dari informasi itu harus

ditransformasikan sedemikian rupa sehingga tidak dapat dipahami

(undecipherable) oleh siapapun yang tidak mengetahui prosedur dari proses

transformasi itu. Confidentiality sangat penting untuk melindungi, misalnya,

data keuangan suatu organisasi atau perusahaan, informasi menyangkut product

development, dan berbagai jenis informasi rahasia lainnya terhadap pihak siapa

rahasia itu ingin dirahasiakan.

2. Integrity

Integrity menyangkut perlindungan data terhadap upaya pemodifikasian oleh

pihak-pihak yang tidak bertanggung jawab, baik selama data itu disimpan

maupun selama data itu dikirimkan kepada pihak lain. Sistem pengaman yang

ada harus mampu memastikan bahwa pada waktu informasi itu disimpan atau



dikirim, system pengaman yang dibangun harus memungkinkan untuk

mengetahui apabila terhadap isi yang asli dari informasi yang dikirimkan telah

terjadi manipulasi, modifikasi, tambahan atau penghapusan.

3. Authorization

Authorization menyangkut pengawasan terhadap akses pada infomasi tertentu.

Authorization dimaksudkan untuk membatasi pihak-pihak yang tidak

berwenang melakukan sesuatu dalam lingkungan jaringan informasi tersebut.

Pembatasan itu sendiri bergantung pada tingkat keamanan pihak yang

bersangkutan. Pembatasan itu menyangkut sampai sejauh mana pihak yang

diberi kewenangan untuk melakukan akses terhadap informasi.

4. Availability

Informasi yang disimpan atau ditransmisikan melalui jaringan komunikasi harus

dapat tersedia sewaktu-waktu apabila diperlukan. Sistem perlindungan itu harus

dapat mencegah timbulnya sebabsebab yang dapat menghalangi tersedianya

informasi yang diperlukan.

5. Authenticity

Authenticity atau authentication menyangkut kemampuan seseorang, organisasi,

atau komputer untuk membuktikan identitas dari pemilik yang sesungguhnya

dari informasi tersebut. Semua pihak yang terlibat dalam suatu transaksi harus

merasa aman dan pasti bahwa komunikasi yang terjadi adalah benar, yaitu benar

bahwa para pihak berhubungan dengan pihak-pihak yang sesungguhnya

diinginkan dan benar mengenai informasi yang dipertukarkan.

6. Non-repudiability of Origin atau Non-repudiation

Non-repudiability of Origin atau Non-repudiation menyangkut perlindungan

terhadap suatu pihak yang terlibat dalam suatu transaksi atau kegiatan

komunikasi yang di belakang hari pihak tersebut menyanggah bahwa transaksi

atau kegiatan tersebut benar telah terjadi. Sistem Non-repudiability of Origin

atau Non-repudiation, harus dapat membuktikan kepada pihak ketiga yang

independen mengenai keaslian dan pengiriman data yang dipersoalkan itu.

7. Auditability

Data harus dicatat sedemikian rupa, bahwa data tersebut telah memenuhi semua

syarat confidentiality dan integrity yang diperlukan, yaitu bahwa pengiriman

data tersebut telah dienkripsi (encrypted) oleh pengirimnya dan telah didekripsi

(decrypted) oleh penerimanya sebagaimana mestinya.



8. Enkripsi

Enkripsi adalah proses pengkodean pesan untuk menyembunyikan isi.

Pada algoritma enkripsi modern menggunakan kunci (key). Contohnya, pesan

M (plaintext) di enkodekan dengan fungsi E dan sebuah kunci K untuk menjadi

ciphertext. Pesan didekripsi dengan menggunakan fungsi D dan kunci L. Kunci

kriptografi adalah parameter yang digunakan dalam algoritma enkripsi dimana

hasil enkripsi tidak dapat didekripsi jika tanpa kunci yang sesuai. Berikut

beberapa mode Cipher :

a. Cipher Block Chaining

Untuk ukuran block data yang tetap, yang populer adalah 64 bit. Pesan

dibagi ke dalam block, dan block terakhir di padding ke ukuran standard

yang digunakan, dan setiap block dienkrip secara independent. Block

pertama tersedia untuk transmisi setelah enkripsi selesai.

b. Stream Chiper

Menghasilkan key stream dari setiap enkripsi kunci dengan initialization

vector.

Ada dua tipe algoritma enkripsi :

a. Symmetric (secret-key)

Pengirim dan penerima harus berbagi kunci dan tidak diberikan kepada

orang lain yang biasa disebut sebagai One-way function.

Contoh : DES (Data Encryption Standard), Triple DES, AES (Advanced

Encryption Standard) yang disponsori oleh NIST (National Institute of

Standards and Technology) menetapkan beberapa algoritma enkripsi AES :

Rijndael (Joan Daemen dan Vincent Rijmen)

Serpent (Ross Anderson, Eli Biham, Lars Knudsen)

Twofish (dari Bruce Schneier)

RC6 (dari RSA Laboratories)

MARS (dari IBM)



Algoritma AES harus memenuhi :

symmetric block chipper

panjang kunci 128, 192 dan 256

dimungkinkan implementasi pada software maupun hardware

Algoritma harus umum atau berlisensi tanpa persyaratan yang

diskriminatif.

b. Asymmetric (public-key)

Pengirim pesan menggunakan public key (kunci yang dipublikasikan ke

penerima) untuk mengenkrip pesan. Penerima menggunakan private key

yang cocok (miliknya) untuk mendekrip pesan. Pola public key

dimunculkan pertama oleh Diffie Hellman (1976). Dasar public key : trap-

door function adalah one-way function yang dapat dibalikkan dengan hanya

adanya secret key, contoh : RSA.



C. PIHAK-PIHAK DALAM TRANSAKSI E. COMMERCE

Transaksi e. commerce melibatkan berbagai pihak, baik yang terlibat secara

langsung maupun tidak langsung, tergantung kompleksitas dari transaksi yang

dilakukan, apakah semua tahapan transaksi dilakukan secara on line atau hanya

beberapa tahapan saja. Secara garis besar, pihak-pihak yang terlibat dalam transaksi

electronic commerce, antara lain :

1. Pembeli atau cardholder, dalam e-commerce pembeli umumnya berhubungan

dengan penjual menggunakan komputer pribadi atau personal computer. Dalam

transaksi tersebut pembeli menggunakan kartu yang dikeluarkan oleh Issuer.

2. Issuer atau lembaga keuangan dimana pembeli menjadi nasabah, dan

menerbitkan kartu pembayaran. Issuer menjamin pembayaran atas transaksi

yang menggunakan kartu pembayaran yang dikeluarkannya.

3. Penjual atau merchant adalah pihak yang menawarkan barang atau jasa kepada

pembeli.

4. Acquirer adalah lembaga keuangan dimana penjual menjadi nasabahnya dan

memproses otorisasi kartu pembayaran dan pembayaran.

5. Payment Gateway, adalah sarana yang dioperasikan oleh acquirer atau pihak

ketiga yang ditunjuk untuk memperoses pesan-pesan pembayaran penjual,

termasuk instruksi pembayaran.

6. Otoritas sertifikat atau Certication Authorities, yaitu lembaga yang dipercaya,

dan mengeluarkan sertifikat-sertifikat dan ditandatangani olehnya.

7. Jasa Pengiriman, yaitu pihak yang bergerak dibidang jasa pengiriman barang,

seperti truk, kapal ataupun pesawat, dalam hal ini ia bertugas mengirimkan

barang dari penjual kepada pembeli.



D. LEMBAGA OTORITAS SERTIFIKAT (CERTIFICATE AUTHORITIES)

Dalam mekanisme e. commerce dikenal adanya lembaga yang disebut dengan

Lembaga Otoritas Sertifikat (LOS) yang memiliki peran sangat strategis. Lembaga

otoritas sertifikat adalah lembaga yang menerbitkan kunci-kunci sertifikat yang

berfungsi sebagai tandatangan digital atau digital signature. Setiap lembaga otoritas

sertifikat baik swasta maupun publik, harus memiliki dan mempertahankan syarat-

syarat mutlak yang terkait erat dengaan segala aktifitasnya, yakni :

1. Independensi

2. Keamanan internal

3. Arsip data jangka panjang

4. Sumber finansial dan pengetahuan hukum yang cukup

5. Back-up plan yang terencana

6. Pengalaman dan kapabilitas yang cukup dalam teknologi enkripsi dan dekripsi

serta keakraban yang cukup memadai terhadap prosedur pengamanan

7. Metode perlindungan yang baik untuk kunci pribadi milik lembaga otoritas

sertifikat itu sendiri; prosedur pencabutan (revocation procedures)

8. Asuransi

9. Hubungan dan kerjasama yang baik dengan lembaga otoritas sertifikat yang

lain, baik dalam yuridiksi negara yang sama maupun dengan lembaga otoritas

sertifikat diluar negeri.

10. Sumber daya manusia yang baik dan manajemen yang handal.

Lembaga otoritas sertifikat berkedudukan sebagai pihak ketiga yang menjamin

atas identitas pihak yang bertransaksi. Proses sertifikasi untuk mendapatkan

pengesahan lembaga otoritas sertifikat dapat dibagi menjadi 3 tahap, yaitu :

1. Pelanggan atau subscriber membuat sendiri pasangan kunci privat dan kunci

publiknya dengan menggunakan piranti lunak yang ada di dalam komputernya

2. Menunjukan bukti-bukti identitas dirinya sesuai dengan yang disyaratkan

lembaga otoritas sertifikat

3. Membuktikan bahwa dia mempunyai kunci privat yang dapat dipasangkan

dengan kunci publik tanpa harus memperlihatkan kunci privatnya.

Ke 3 tahapan di atas tidak mutlak, semua tergantung lembaga otoritas sertifikat

itu sendiri dan tergantung pada tingkat keamanan sertifikat yang diterbitkan oleh



lembaga otoritas sertifikat. Informasi yang terdapat dalam sertifikat yang diterbitkan

lembaga otoritas sertifikat dapat berupa :

Identitas lembaga otoritas sertifikat yang menerbitkannya.

Pemegang atau pemilik atau subscriber dari sertifikat tersebut.

Batas waktu berlaku sertifikat tersebut.

Kunci publik dari pemilik sertifikat.



E. PERJANJIAN ASURANSI ANTARA LEMBAGA OTORITAS SERTIFIKAT DENGAN PERUSAHAAN

ASURANSI

Perjanjian asuransi antara lembaga otoritas sertifikat dengan perusahaan

asuransi pada dasarnya merupakan asuransi pertanggung jawaban (liability insurance)

karena yang diasuransikan adalah tanggung jawab dari LSO akibat terbongkarnya

pengamanan dalam e-commerce yang menyebabkan salah satu pihak mengalami

kerugian.

Berkaitan dengan pengamanan dalam bertransaksi melaui internet, ada beberapa

hal yang dapat diasuransikan, antara lain :

1. Perlindungan atas tanggung jawab profesi Setiap klaim yang ditujukan pertama

kali terhadap tertanggung dan dilaporkan kepada penanggung selama masa

berlaku perjanjian asuransi atau jangka waktu pelaporan yang ditentukan (jika

diperjanjikan) timbul akibat kelalaian, penghilangan atau kesalahan yang

dilakukan setelah tanggal berlaku surut dan sebelum masa perjanjian asuransi

berakhir oleh tertanggung dalam melaksanakan atau gagal melaksanakan jasa

profesi atau oleh siapa saja terhadap jasa yang secara hukum merupakan

tanggung jawab tertanggung.

2. Perlindungan atas teknologi dan multimedia Umumnya dalam polis asuransi

disebutkan bahwa penanggung hanya melindungi bahaya seperti :

a. Fitnah, penghinaan produk, fitnah perdagangan, penderitaan secara

emosional, menyakitkan hati, memalukan, atau kesalahan lain

berhubungan dengan penghinaan atau pembunuhan karakter atau

reputasi seseorang organisasi.

b. Campur tangan atau inovasi terhadap hak pribadi atau publisitas.

c. Penggelapan nama atau ketidaksukaan untuk tujuan keuntungan

komersial.

d. Salah tangkap, hukuman atau penangkapan atau penuntutan.

e. Pelanggaran atas hak milik pribadi, termasuk kesalahan, masuk tanpa

izin dan pengusiran.

f. Plagiat, pembajakan atau pelanggaran hak cipta, nama domain, bentuk

situs, judul atau slogan, delusi atau pelanggaran atas merek dagang,

merek jasa, atau nama dagang.

g. Gagal mencegah pihak lain selain tertanggung melakukan akses tanpa

izin, menggunakan atau merusak data atau system.



h. Kelalaian mengenai isi komunikasi media, termasuk kejahatan yang

terkait dengan kepercayaan atau hilangnya kepercayaan.

i. Gagal mencegah pihak lain selain tertanggung memasukkan malicious

code ke dalam data atau system.

j. Ketidakmampuan pihak ketiga, yang berkepentingan, untuk melakukan

akses kecuali ketidak mampuan itu disebabkan oleh kesalahan mekanis,

telekomunikasi, atau gangguan listrik.

k. Gagal mencegah pencurian data oleh pihak selain tertanggung.

l. Penggelapan rahasia dagang.

Dalam asuransi e-commerce, perjanjian tersebut merupakan hubungan hukum

antara lembaga otoritas sertifikat dengan perusahaan asuransi. Kewajiban penanggung

memberikan penggantian kepada tertanggung yaitu pemberian ganti rugi. Ganti rugi

oleh penanggung dalam asuransi e-commerce diberikan bila tertanggung mengalami

peristiwa di mana tertanggung gagal melaksanakan jasa profesinya atau oleh siapapun

tertanggung dianggap bertanggung jawab secara hukum atas jasa profesinya.

Kegiatan e-commerce khususnya yang menggunakan kunci-kunci kriptografi

dan secure electronic transaction mengandung kemungkinan kerugian yang akan

terjadi dan ketika terjadi suatu kerugian akan terdapat pihak-pihak yang dirugikan. Bagi

pembeli atau pemilik kartu, mereka akan kehilangan uang mereka yang disimpan di

issuer. Penjual, issuer, acquirer, gateway, lembaga otoritas sertifikat akan kehilangan

kepercayaan dari konsumen yang akan berdampak buruk bagi kelangsungan bisnis

mereka.

Dalam secure electronic transaction yang menjadi fokus perhatian adalah

penggunaan sertifikat digital. Pada dasarnya, tanpa adanya upaya menembus kunci

kriptografi milik konsumen secara aktif, yaitu pelaku mencoba berbagai kemungkinan

hingga akhirnya ia menemukan kunci yang cocok, sertifikat digital sulit untuk

ditembus. Hal ini dikarenakan pihak-pihak dalam secure electronic transaction dapat

melakukan pemeriksaan dan memastikan apakah kunci publik yang diterima adalah

sah.

Dalam upaya mengalihkan risiko yang akan terjadi, apabila terjadi upaya

pencurian kunci kriptografi, maka pihak lembaga otoritas sertifikat membutuhkan

sebuah perjanjian asuransi guna melindungi kepentingan pihak-pihak yang telibat

dalam transaksi e-commerce, khususnya yang menggunakan secure electronic

transaction. Lembaga otoritas sertifikat dianggap sebagai pihak yang tepat untuk



menutup asuransi, ini berkaitan dengan prinsip kepentingan yang dapat diasuransikan.

Lembaga otoritassertifikat sebagai tertanggung harus memiliki kepentingan atas objek

yang diasuransikan.



F. KESIMPULAN

Transaksi e-commerce tidak luput dari risiko kerugian. Perjanjian asuransi

antara lembaga otoritas sertifikat dengan perusahaan asuransi merupakan cara tepat

untuk mengalihkan risiko kerugian, terutama pada transaksi e-commerce yang

menggunakan kunci kriptografi dan secure electronic transaction. Upaya ini sekaligus

sebagai salah satu sarana perlindungan hukum bagi pihak-pihak yang berkepentingan di

dalamnya.

Sekalipun perjanjian asuransi antara lembaga otoritas sertifikat dengan

perusahaan asuransi merupakan perjanjian asuransi yang sifatnya baru, namun harus

tetap memenuhi prinsip-prinsip yang ada dalam Kitab Undang-Undang Hukum

Dagang, agar terjamin keabsahannya.



DAFTAR PUSTAKA

http://swa.co.id/category/my-article/

http://aryadimas46.ngeblogs.com/2009/11/22/masalah-keamanan-dalam-sistem-

informasi/

http://one.indoskripsi.com/category/mata-kuliah/e-commerce

http://skripsi.unila.ac.id/2009/07/22/perlindungan-hukum-bagi-pembeli-dalam-

transaksi-jual-beli-melalui-internet/

http://avinanta.staff.gunadarma.ac.id

http://swa.co.id/category/my-article/

http://aryadimas46.ngeblogs.com/2009/11/22/masalah-keamanan-dalam-sistem-informasi/

http://aryadimas46.ngeblogs.com/2009/11/22/masalah-keamanan-dalam-sistem-informasi/

http://one.indoskripsi.com/category/mata-kuliah/e-commerce

http://skripsi.unila.ac.id/2009/07/22/perlindungan-hukum-bagi-pembeli-dalam-transaksi-jual-beli-melalui-internet/

http://skripsi.unila.ac.id/2009/07/22/perlindungan-hukum-bagi-pembeli-dalam-transaksi-jual-beli-melalui-internet/

http://avinanta.staff.gunadarma.ac.id/

Documents

Keamanan e Business