Senin, 01 November 2010

E-Commerce (Perjanjian Lewat Internet

Sistem Perdagangan di Internet

Pendahuluan

Seiring dengan perkembangan pemakaian Internet sebagai sarana komunikasi global, kini sudah cukup banyak perusahaan-perusahaan menggunakan Internet sebagai media perdagangan. Semakin mudahnya mendapatkan akses ke Internet membuat dunia semakin tidak bertembok, sehingga adanya Internet memang sejalan dengan era globalisasi dan kebijakan pasar bebas .Dengan yang jumlah penggunanya terus meningkat secara eksponensial, potensinya sebagai media perdagangan memang tak bisa dipungkiri lagi.

Namun ternyata banyak masalah yang berhubungan dengan keamanan perdagangan di Internet. Diantaranya :

1. Kerahasiaan (confidentiality): Data transaksi harus dapat disampaikan secara rahasia, sehingga tidak dapat dibaca oleh pihak-pihak yang tidak diinginkan.
2. Keutuhan (integrity): Data setiap transaksi tidak boleh berubah saat disampaikan melalui suatu saluran komunikasi.
3. Keabsahan atau keotentikan (authenticity), meliputi:

* Keabsahan pihak-pihak yang melakukan transaksi: Bahwa sang konsumen adalah seorang pelanggan yang sah pada suatu perusahaan penyelengara sistem pembayaran tertentu (misalnya kartu kredit Visa dan MasterCard, atau kartu debit seperti Kualiva dan StarCard) dan keabsahan keberadaan pedagang itu sendiri.
* Keabsahan data transaksi: Data transaksi itu oleh penerima diyakini dibuat oleh pihak yang mengaku membuatnya (biasanya sang pembuat data tersebut membubuhkan tanda tangannya). Hal ini termasuk pula jaminan bahwa tanda tangan dalam dokumen tersebut tidak bisa dipalsukan.

1. Dapat dijadikan bukti / tak dapat disangkal (non-repudiation): catatan mengenai transaksi yang telah dilakukan dapat dijadikan barang bukti di suatu saat jika ada perselisihan.

Klasifikasi-klasifikasi Sistem Perdagangan

Berikut ini akan dijelaskan beberapa macam klasifikasi dari sistem perdagangan yang kita kenal:

1. Berdasarkan Kesiapan Pembayaran

Semua alat pembayaran berdasarkan kesiapan konsumen saat membayar, dapat dikategorikan dalam :

ü Sistem debit, dimana konsumen harus terlebih dahulu memiliki cadangan dana di suatu tempat, biasanya berupa rekening di suatu bank. Contohnya adalah penggunaan kartu debit dan cek.

ü Sistem kredit, dimana seorang pembeli dapat berhutang dahulu kepada sebuah pihak saat pembelian. Konsumen akan ditagih melalui mekanisme tertentu. Biasanya ada pihak ketiga yang menjadi perantara antara pedagang dengan konsumen. Contoh pembayaran dengan sistem kredit ini adalah charge card (misalnya American Express) dan kartu kredit (misalnya Visa dan MasterCard).

ü Sistem pre-paid àPembelian uang elektronik pre-paid dapat dilakukan dengan uang kontan, mendebit dari account bank, atau bahkan dengan kartu kredit. Perhatikan bahwa meskipun pembelian awal dilakukan dengan kartu kredit, namun uang elektronik yang dibelinya dengan kartu kredit itu tetaplah dikategorikan dalam sistem pre-paid

2. Berdasarkan Keterlacakan Transaksi

Terbagi menjadi 2 jenis yaitu :

1. Transaksi teridentifikasi terlacak. Keterlacakan transaksi penting dalam transaksi dengan nilai uang yang besar, karena jika terjadi penipuan, maka transaksi tersebut harus bisa dilacak dengan mudah. Jadi, transaksi tersebut meninggalkan jejak. Dengan kartu kredit misalnya, sudah jelas pihak issuer dan aquirer kartu kredit mengetahui identitas konsumen dan pedagang. Dalam kasus tertentu, memang bisa saja konsumen tetap anonim (tidak teridentifikasi) oleh pedagang, namun lembaga keuangan pengelola kartu kredit tetap mengetahui identitas konsumen.
2. Transaksi anonim Dalam beberapa SPI, pihak penerbit uang pun tak pernah mengetahui bagaimana uang elektronik yang diedarkannya dipergunakan oleh konsumen, bahkan pada SPI Ecash/CAFE pihak penerbit uangpun tidak tahu nomor seri uang yang pernah dicetaknya. Transaksi anonim biasanya hanya digunakan untuk pembayaran dengan jumlah uang yang kecil, seperti karcis transportasi kota dll.

3. Berdasarkan Status Hukum Pihak-pihak yang Bertransaksi

àYang dimaksud dengan status hukum di sini adalah apakah status pihak-pihak yang melakukan transaksi itu dapat dibedakan menjadi konsumen dan pedagang, dilihat dari kaca mata lembaga keuangan yang menciptakan sistem transaksi.

1. Pada sistem pedagang-konsumen, secara hukum jelas terlihat siapa yang menjadi pedagang dan siapa yang menjadi konsumen. Contohnya sistem transaksi dengan kartu kredit, terlihat jelas ada pedagang (yang menerima merek kartu kredit tertentu) dan konsumen yang menggunakan kartu kredit itu.
2. Pada sistem peer-to-peer, transaksi tidak perlu dilakukan dengan pedagang yang ‘resmi’ menerima jenis alat pembayaran tertentu, namun bisa dilakukan dengan siapa saja yang mau menerima alat pembayaran tersebut, bahkan antarkonsumen. Dengan sistem pembayaran peer-to-peer, seseorang dapat berhutang pada teman, memberi ‘amplop’ ulang tahun kepada keponakan, mengganti kerugian untuk rekan dan sebagainya.. Contoh yang paling jelas adalah uang logam dan uang kertas yang diedarkan bank sentral.

4. Berdasarkan Waktu Konfirmasi Keabsahan Transaksi

àKhusus perdagangan elekronik, ternyata ada pembagian menjadi sistem perdagangan elekronik yang on-line dan off-line :

v Dengan sistem pembayaran elektronik on-line, setiap dilakukan transaksi, pedagang dapat melakukan pemeriksaan terhadap keabsahaan alat pembayaran yang dipergunakan konsumen sebelum konsumen dapat mengambil barang yang diinginkannya. Pihak yang terlibat yaitu konsumen, pedagang dan pihak yang melakukan proses otorisasi atau otentikasi transaksi.

v sistem pembayaran elekronik off-line. Konsumen dan pedagang dapat melakukan transaksi tanpa perlu ada pihak ketiga untuk melakukan proses otentikasi dan otorisasi saat berlangsungnya transaksi.

5. Berdasarkan Bagaimana Kepercayaan Diberikan

àPembagian berdasarkan jenis kepercayaan adalah klasifikasi atas bagaimana satu pihak mempercayai pihak-pihak yang lain dalam suatu sistem transaksi.

1. Sistem yang memerlukan kepercayaan tinggi kepada pihak lain yang terlibat transaksi. Pada penggunaan kartu debit/ATM misalnya, seorang konsumen harus percaya kepada bank mengenai jumlah uang yang dilaporkan setiap bulan kepadanya. Sangat sulit bagi konsumen untuk membantah bukti bahwa ia telah mengambil sejumlah uang dari ATM, karena ia tidak bisa membuktikan bahwa ia telah mengambilnya atau tidak.
2. Sistem transaksi yang tidak memerlukan kepercayaan tinggi kepada pihak lain yang terlibat transaksi. Selain itu ada pula sistem dimana semua pihak bisa membuktikan keterkaitan/ketidakterkaitannya dalam suatu transaksi, baik itu konsumen, pedagang, maupun bank. Contohnya adalah penggunaan tanda tangan digital pada transaksi elektronik. Jika dilakukan perubahan jenis kartu ATM dari kartu magnetik menjadi kartu chip yang bisa membubuhkan tanda tangan digital, maka dalam sistem baru tersebut setiap transaksi dengan kartu chip itu dapat dijadikan barang bukti yang sah.

Beberapa Syarat Tambahan Untuk Sistem Perdagangan di Internet.

1. Kriptografi

à ilmu yang mempelajari bagaimana membuat suatu pesan yang dikirim pengirim dapat disampaikan kepada penerima dengan aman.

Pembakuan penulisan pada kriptografi dapat ditulis dalam bahasa matematika. Fungsi-fungsi yang mendasar dalam kriptografi adalah enkripsi dan dekripsi. Enkripsi adalah proses mengubah suatu pesan asli (plaintext) menjadi suatu pesan dalam bahasa sandi (ciphertext).

C = E (M) Dimana : M = pesan asli

E = proses enkripsi
C = pesan dalam bahasa sandi (untuk ringkasnya disebut sandi)

Sedangkan dekripsi adalah proses mengubah pesan dalam suatu bahasa sandi menjadi pesan asli kembali.

M = D (C)
D = proses dekripsi

Umumnya, selain menggunakan fungsi tertentu dalam melakukan enkripsi dan dekripsi, seringkali fungsi itu diberi parameter tambahan yang disebut dengan istilah kunci.

1. Jenis Serangan

àSelain ada pihak yang ingin menjaga agar pesan tetap aman, ada juga ternyata pihak-pihak yang ingin mengetahui pesan rahasia tersebut secara tidak sah. Bahkan ada pihak-pihak yang ingin agar dapat mengubah isi pesan tersebut. Ilmu untuk mendapatkan pesan yang asli dari pesan yang telah disandikan tanpa memiliki kunci untuk membuka pesan rahasia tersebut disebut kriptoanalisis. Sedangkan usaha untuk membongkar suatu pesan sandi tanpa mendapatkan kunci dengan cara yang sah dikenal dengan istilah serangan (attack).

Di bawah ini dijelaskan beberapa macam penyerangan terhadap pesan yang sudah dienkripsi:

1. Ciphertext only attack, penyerang hanya mendapatkan pesan yang sudah tersandikan saja.
2. Known plaintext attack, dimana penyerang selain mendapatkan sandi, juga mendapatkan pesan asli. Terkadang disebut pula clear-text attack.
3. Choosen plaintext attack, sama dengan known plaintext attack, namun penyerang bahkan dapat memilih penggalan mana dari pesan asli yang akan disandikan.

Berdasarkan bagaimana cara dan posisi seseorang mendapatkan pesan-pesan dalam saluran komunikasi, penyerangan dapat dikategorikan menjadi:

1. Sniffing: secara harafiah berarti mengendus, tentunya dalam hal ini yang diendus adalah pesan (baik yang belum ataupun sudah dienkripsi) dalam suatu saluran komunikasi. Hal ini umum terjadi pada saluran publik yang tidak aman. Sang pengendus dapat merekam pembicaraan yang terjadi.
2. Replay attack : Jika seseorang bisa merekam pesan-pesan handshake (persiapan komunikasi), ia mungkin dapat mengulang pesan-pesan yang telah direkamnya untuk menipu salah satu pihak.
3. Spoofing [DHMM 96]: Penyerang à Penyerang berusaha meyakinkan pihak-pihak lain bahwa tak ada salah dengan komunikasi yang dilakukan, padahal komunikasi itu dilakukan dengan sang penipu/penyerang. Contohnya jika orang memasukkan PIN ke dalam mesin ATM palsu – yang benar-benar dibuat seperti ATM asli – tentu sang penipu bisa mendapatkan PIN-nya dan copy pita magentik kartu ATM milik sang nasabah. Pihak bank tidak tahu bahwa telah terjadi kejahatan.
4. Man-in-the-middle : Jika spoofing terkadang hanya menipu satu pihak tetapi man-in-the-middle dapat menipu banyak pihak.

1. Kunci Simetris

à Ini adalah jenis kriptografi yang paling umum dipergunakan. Kunci untuk membuat pesan yang disandikan sama dengan kunci untuk membuka pesan yang disandikan itu. Jadi pembuat pesan dan penerimanya harus memiliki kunci yang sama persis. Siapapun yang memiliki kunci tersebut – termasuk pihak-pihak yang tidak diinginkan – dapat membuat dan membongkar rahasia ciphertext. Problem yang paling jelas disini terkadang bukanlah masalah pengiriman ciphertext-nya, melainkan masalah bagaimana menyampaikan kunci simetris tersebut kepada pihak yang diinginkan. Contoh algoritma kunci simetris yang terkenal adalah DES (Data Encryption Standard) dan RC-4.

1. 4. Kunci Asimetris

à Kunci asimetris adalah pasangan kunci-kunci kriptografi yang salah satunya dipergunakan untuk proses enkripsi dan yang satu lagi untuk dekripsi. Semua orang yang mendapatkan kunci publik dapat menggunakannya untuk mengenkripsikan suatu pesan, sedangkan hanya satu orang saja yang memiliki rahasia tertentu – dalam hal ini kunci privat – untuk melakukan pembongkaran terhadap sandi yang dikirim untuknya. Teknik enkripsi asimetris ini jauh lebih lambat ketimbang enkripsi dengan kunci simetris. Oleh karena itu, biasanya bukanlah pesan itu sendiri yang disandikan dengan kunci asimetris, namun hanya kunci simetrislah yang disandikan dengan kunci asimetris. Sedangkan pesannya dikirim setelah disandikan dengan kunci simetris tadi. Contoh algoritma terkenal yang menggunakan kunci asimetris adalah RSA (merupakan singkatan penemunya yakni Rivest, Shamir dan Adleman).

1. 5. Fungsi Hash Satu Arah

à fungsi hash satu arah (one-way hash function), yang terkadang disebut sidik jari (fingerprint), hash, message integrity check, atau manipulation detection code, Fungsi hash untuk membuat sidik jari tersebut dapat diketahui oleh siapapun, tak terkecuali, sehingga siapapun dapat memeriksa keutuhan dokumen atau pesan tertentu. Tak ada algoritma rahasia dan umumnya tak ada pula kunci rahasia.

Jaminan dari keamanan sidik jari berangkat dari kenyataan bahwa hampir tidak ada dua pre-image yang memiliki hash-value yang sama. Inilah yang disebut dengan sifat collision free dari suatu fungsi hash yang baik. Selain itu, sangat sulit untuk membuat suatu pre-image jika hanya diketahui hash-valuenya saja.

1. 6. Tanda Tangan Digital

à Sifat yang diinginkan dari tanda tangan digital diantaranya adalah:

1. Tanda tangan itu asli (otentik), tidak mudah ditulis/ditiru oleh orang lain. Pesan dan tanda tangan pesan tersebut juga dapat menjadi barang bukti, sehingga penandatangan tak bisa menyangkal bahwa dulu ia tidak pernah menandatanganinya.
2. Tanda tangan itu hanya sah untuk dokumen (pesan) itu saja. Tanda tangan itu tidak bisa dipindahkan dari suatu dokumen ke dokumen lainnya. Ini juga berarti bahwa jika dokumen itu diubah, maka tanda tangan digital dari pesan tersebut tidak lagi sah.
3. Tanda tangan itu dapat diperiksa dengan mudah.
4. Tanda tangan itu dapat diperiksa oleh pihak-pihak yang belum pernah bertemu dengan penandatangan.
5. Tanda tangan itu juga sah untuk kopi dari dokumen yang sama persis.

Meskipun ada banyak skenario, ada baiknya kita perhatikan salah satu skenario yang cukup umum dalam penggunaan tanda tangan digital. Tanda tangan digital memanfaatkan fungsi hash satu arah untuk menjamin bahwa tanda tangan itu hanya berlaku untuk dokumen yang bersangkutan saja. Bukan dokumen tersebut secara keseluruhan yang ditandatangani, namun biasanya yang ditandatangani adalah sidik jari dari dokumen itu beserta timestamp-nya dengan menggunakan kunci privat. Timestamp berguna untuk menentukan waktu pengesahan dokumen.

1. 7. Tanda Tangan Pesan Ganda

à misalnya : seseorang membuat perjanjian jual-beli dengan oranglain. Untuk masalah pembayaran, pembeli menginstruksikan bank untuk memberikan kepada penjual sejumlah uang sesuai dengan perjanjian jual-beli, namun pembeli tidak ingin agar bank mengetahui isi perjanjian jual-beli itu.

1. pembeli membuat sidik jari dari SPP (yaitu Hash(SPP)) dan sidik jari SPJB (yakni Hash(SPJB)).
2. Kemudian, pembeli membuat sebuah sidik jari baru dari gabungan kedua sidik jari sebelumnya ( Hash ( (Hash(SPP) + Hash(SPJB) ) ). Hasil hash tersebut dinamakan sidik jari pesan ganda SPP & SPJB.
3. pembeli menyerahkan surat perjanjian jual belinya kepada penjual. Selain itu pembeli juga menyerahkan surat perintah pembayaran beserta sidik jari pesan ganda SPP & SPJB kepada bank.
4. Saat penjual ingin mengambil uang di bank, penjual membuat sidik jari dari surat perjanjian jual beli (SPJB). penjual menyerahkan sidik jari SPJB kepada bank.
5. Bank membuat sidik jari dari surat perintah pembayaran (SPP).
6. Bank menggabungkan sidik jari SPP dengan sidik jari SPJB yang diterimanya dari penjual, kemudian meng-hash-nya sehingga dihasilkan sidik jari pesan ganda SPP & SPJB.
7. Jika sidik jari pesan ganda SPP & SPJB yang baru dibuat itu sama dengan yang telah diberikan oleh pembeli, maka bank menjalankan kewajibannya kepada penjual.

Jika sidik jari pesan ganda SPP & SPJB dienkripsi dengan kunci privat penjual, maka akan menjadi tanda tangan pesan ganda (dual-signature) penjual untuk kedua perjanjian tersebut.

Perbandingan Sistem perdagangan di Internet

1. 1. Protokol Cek Bilyet Giro

à Transaksi di Internet yang mengoptimalkan penggunaan sertifikat digital, sementara ini barulah SET (Secure Electronic Transacsion), meskipun sudah banyak pula pengembang-pengembang yang mengumumkan akan menggunakan sertifikat digital dalam produk mereka. Penggunaan sertifikat digital memang membuat transaksi di Internet lebih aman. Salah satu jenis pembayaran yang tidak dimaktub dalam spesifikasi SET adalah penggunaan cek bilyet digital. Berasarkan hal tersebut, dibawah ini diusulkan rancangan protokol cek bilyet digital.

Tujuan yang ingin dicapai dengan adanya cek bilyet digital ini adalah:

1. Adanya suatu sistem transaksi di Internet, yang berdasarkan pada alur transaksi cek bilyet. Cek bilyet adalah cek yang tidak bisa diuangkan dengan kas, hanya bisa dipergunakan untuk transfer ke rekening lain saja.
2. Transaksi yang menggunakan protokol ini haruslah aman, dalam arti sanggup:

* Menjamin kerahasiaan data dari pihak yang tidak berkepentingan
* Menjamin keutuhan data yang ditransmisikan
* Menyediakan proses otentikasi antarpihak yang bertransaksi
* Menyediakan suatu pencatatan yang dapat dijadikan barang bukti

1. Memanfaatkan sebanyak mungkin perangkat-perangkat kriptografi yang sudah ada dalam protokol SET untuk rancangan protokol cek bilyet digital ini. Ini dimaksudkan agar dalam aplikasi yang mendukung SET, dapat pula mendukung protokol cek bilyet digital ini hanya dengan sedikit upgrade. Salah satu perangkat kriptografi yang penting untuk dimanfaatkan dalam protokol cek bilyet digital ini adalah sertifikat digital.
2. Seperti halnya protokol SET, protokol cek bilyet digital ini tidak terikat kepada protokol-protokol yang spesifik pada perangkat lunak atau perangkat keras tertentu.

1. 2. Perlindungan Hukum Bagi Nasabah

à Berdasarkan Undang-Undang No 8 Tahun 1999 tentang Perlindungan Konsumen yang mulai berlaku satu bulan sejak penggggundangannya, yaitu 20 April 1999. Pasal 1 butir 2 mendefinisikan konsumen sebagai … “Setiap orang pemakai barang dan/atau jasa yang tersedia dalam masyarakat, baik bagi kepentingaan diri sendiri, keluarga, orang lain, maupun mahluk hidup lain dan tidak untuk diperdagangkan.”

1. 3. Keabsahan Kontrak.

à Pasal 1313 KUHPerdata menyatakan bahwa perjanjian adalah suatu perbuatan dengan mana satu orang atau lebih mengikatkan dirinya terhadap satu orang lain atau lebih lainnya.

Dan pada pasal 1320 menentukan syarat2 perjanjian, yaitu :

¨ Kata Sepakat à Apa yang dikehendaki oleh pihak yang satu di kehendaki juga oleh pihak yang lain.

¨ Cakap bertindak à orang yang sudah dewasa (usia min. 21 tahun), dan sehat pikirannya adalah cakap menurut hukum.

¨ Adanya objek à barang yang diperjual-belikan

¨ Kausa halal à isi perjanjian yang menyebabkan seseorang membuat perjanjian yang termaksud.

¨

1. 4. Digital Signature

à Suatu sistem pengamanan yang menggunakan Public Key Cryptography System, atau bentuk tiruan tanda tangan konvensional ke dalam bentuk digital tetapi bukan file scan tanda tangan di kertas

1. 5. Upaya Penyelesaian Hukum

à Lembaga Hukum yg dpt digunakan untuk menyelesaikan sengketa dalam transaksi pembayaran internet melalui lembaga Alternative Dispute Resolution (ADR)

Tidak ada komentar:

Posting Komentar

Jangan menulis komentar yang mengandung kearah penghinaan atau pencemaran nama baik seseorang.