Minggu, 18 Desember 2011

Keamanan E-Commerce

E-Commerce (Electronic Commerce) adalah satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik.

Komponen utama pada e-commerce:
1. Electronic Data Interchange (EDI)

Electronic Data Interchange adalah pertukaran data komputer antar berbagai bidang organisasi atas suatu informasi terstruktur dalam format yang standar dan bisa diolah oleh komputer. Tujuan EDI adalah memfasilitasi perdagangan dengan mengikat bisnis antar partner dagang. Komponen utama dari EDI standar adalah sebagai berikut :

a. DATA ELEMENT: merupakan potongan data seperti tanggal, harga atau nama organisasi.

b. DATA SEGMENT: dalam suatu baris data disebut dengan segment dan setiap item di dalam segmen mewakili satu elemen.

c. TRANSACTION SET: suatu transation set merupakan dokumen khusus seperti dokumen pesanan pembelian. Di dalam transaction set, ada 3 area utama: area header, area detail dan area summary.

d. FUNCTIONAL GROUP: sekelompok transaction set yang sejenis. Transation set di dalam functional group dikelompokkan berdasarkan functional identifier yang sama.


Untuk mengirimkan transaksi EDI pada konsumen, diperlukan 4 fungsi dasar:
- MAPPING: proses identifikasi elemen dalam database untuk membuat pesan dalam format EDI.

- EXTRACTION: proses pengumpulan data yang belum diidentifikasi dan menempatkannya ke dalam format tertentu.

- TRANSLATION: mengirimkan pesan keluar, ketika data yang diperlukan masih dalam bentuk flat file, pembentukan pesan EDI bisa dilakukan menggunakan software translasi atau formatting.

- COMMUNICATION: pengiriman/transmisi atas pesan EDI dikendalikan oleh software komunikasi, yang akan mengatur dan memelihara: nomor telepon partner dagang, menjalankan automatic dialing dan up/downloading, juga membuat activity log.
2. Digital Currency

Digital currency untuk memungkinkan user untuk memindahkan dananya secara elektronik dalam lingkungan kerja tertentu.

Karakteristik digital currency adalah sebagai berikut:
- Mewakili suatu nilai moneter tertentu
- Bisa ditukarkan sebagai alat pembayaran untuk barang dan jasa, mata uang dan koin serta token lainnya
- Bias disimpan dan diambil lagi.
- Sulit diduplikasi atau dipalsukan.
Jenis-jenis digital currency antara lain:

a. ELECTRONIC CASH
Sistem electronic cash telah terintegrasi sepenuhnya dengan software web browser untuk memudahkan pembelian barang melalui internet.

b. MICROPAYMENTS
Micropayments adalah pembayaran untuk item dengan nilai relative rendah, misalnya informasi atau hiburan on-line yang biayanya bervariasi antara 1 cent sampai 10 cent. Sedangkan Minipayment adalah pembayaran untuk item dengan nilai antara $ 0,25 sampai $ 10.
 
c. ELECTRONIC CATALOGS
Electronic Catalogs (e-catalogs) telah berada pada aplikasi komersil yang dirancang untuk internet dan merupakan komponen utama dari sistem e-commerce. E-catalogs merupakan antar muka grafis (Graphical User Interface) yang umumnya berbentuk halaman WWW dimana menyediakan informasi tentang penwaran produk dan jasa.

d. INTRANET DAN EXTRANET
Intranet adalah kumpulan web site yang dimiliki oleh suatu kelompok (biasanya perusahaan) yang bisa diakses hanya oleh anggota kelompok tersebut. Sedangkan extranet merupakan area tertentu dari intarnet yang bias diakes oleh kelompok di luar anggota kelompok intanet, tapi dengan otorisasi tertentu.

Keuntungan e-Commerce:
- Revenue stream (aliran pendapatan) yang lebih menjanjikan.
- Meningkatkan market exposure (pangsa pasar)
- Menurunkan biaya operasional (operating cost)
- Melebarkan jangkauan (global reach)
- Meningkatkan customer loyality
- Meningkatkan supplier management
- Memperpendek waktu produksi
- Meningkatkan value chain (mata rantai pendapatan)

Jenis e-Commerce:

- Business to Business (B2B), dengan karakteristik :
a. Trading partners yang sudah saling mengetahui dan terjalin hubungan yang berlangsung cukup lama di antara mereka.

b. Pertukaran data dilakukan secara berulang dan berkala dengan format data yang telah disepakati.

c. Salah satu pelaku tidak harus menunggu partner mereka lainnya untuk mengirimkan data.

d. Model yang umum digunakan adalah peer-to-peer, di mana processing intelligence dapat didistribusikan di kedua pelaku bisnis.
- Business to Consumer, dengan karakteristik:
a. Terbuka untuk umum, di mana informasi disebarkan secara umum.
b. Service bersifat umum, sehingga mekanismenya dapat digunakan oleh orang banyak.
c. Service yang diberikan berdasarkan permintaan.
d. Sering dilakukan sistem pendekatan client-server.
Resiko e-Commerce:
- Kehilangan segi financial secara langsung karena kecurangan
- Pencurian informasi rahasia yang berharga
- Kehilangan kesempatan bisnis karena gangguan pelayanan
- Penggunaan akses ke sumber oleh pihak yang tidak berhak
- Kehilangan kepercayaan dari para konsumen
- Kerugian-kerugian yang tidak terduga

Faktor pendorong muncul dan berkembangnya keamanan e-Commerce:
- Kemajuan infrasutruktur sistem komunikasi
- Meledaknya sistem perdagnagn global
- Sistem perdagangan real time
- Meningkatkan rasa pengertian/penghargaan terhadap segala resiko yang mungkin terjadi
- Tersedianya teknologis sistem keamanan (security)
- Sistem keamanan sebagai aset yang berharga
- Politik
- Pengakuan terhadap pernyataan sah

Secure Electronic Commerce:

e-Commerce yang menggunakan prosedur sistem keamanan dan teknik untuk menghadapi resiko yang terjadi. Fungsi-fungsi umumnya antara lain:
- Authentication (Pembuktian keaslian)
- Confidentiality (kerahasiaan)
- Data integrity (integritas data)

Biasanya semua itu diimplementasikan dengan menggunakan teknologi kriptografi seperti enkripsi dan digital signature.

KONSEP DASAR KEAMANAN e-Commerce

Secure Socket Layer


      Informasi yang dikirim melalui Internet biasanya menggunakan seperangkat aturan yang disebut TCP / IP (Transmission Control Protocol / Internet Protocol). Informasi ini dibagi menjadi paket-paket dan bernomor secara berurutan. Masing-masing paket dikirim melalui rute yang berbeda. PKI dan SSL menggunakan sertifikat digital untuk memastikan privasi dan otentikasi. Prosedur adalah seperti client mengirimkan pesan ke server, yang menjawab dengan sertifikat digital. Menggunakan PKI, server dan client bernegosiasi untuk membuat sesi kunci, yang merupakan kunci rahasia simetris khusus diciptakan untuk transmisi tertentu. Setelah sesi kunci sepakat, komunikasi berlanjut dengan sesi ini kunci dan sertifikat digital.

      PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos
Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang.

       SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography. Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.

           Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.

            Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.

Tujuan-tujuan Sistem Keamanan Informasi:

- Confidentially: menjamin apakah informasi yang dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak.

- Integrity: menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa dihindari.

- Availability: menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri.

- Legitimate Use: menjamin kepastian bahwa sumber tidak digunakan oleh orang-orang yang tidak bertanggung jawab.

Sistem Keamanan Informasi:

Merupakan penerapan teknologi untuk mencapai tujuan-tujuan keamanan system informasi dengan menggunakan bidang-bidang utama yaitu:

- Sistem Keamanan Komunikasi (Communications security) merupakan perlindungan terhadap informasi ketika di kirim dari sebuah sistem ke sistem lainnya.

- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem informasi komputer itu sendiri.

- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang terkunci, sistem control fisik lainnya, dan sebagainya.

- Keamanan Personal meliputi kepribadian orang-orang yang mengoperasikan atau memilki hubungan langsung dengan sistem tersebut.

- Keamanan administrative contohnya mengadakan control terhadap perangkat-perangkat lunak yang digunakan, mengecek kembali semua kejadian-kejadian yang telah diperiksa sebelumnya dan sebagainya.

- Keamanan media yang digunakan meliputi pengontrolan terhadap media penyimpanan yang ada dan menjamin bahwa media penyimpanan yang mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.

Konsep Dasar e-Commerce:

- Security Policy (Kebijaksanaan keamanan yang digunakan) merupakan satu set aturan yang diterapkan pada semua kegiatan-kegiatan pengamanan dalam security domain. Security domain merupakan satu set sistem komunikasi dan computer yang dimiliki oleh organisasi yang bersangkutan.

- Authorization (Otorisasi) berupa pemberian kekuatan secara hukum untuk melakukan segala aktifitasnya.

- Accountability (kemampuan dapat diakses) memberikan akses ke personal security.

- A Threat(ancaman yang tidak diinginkan) merupakan kemungkinan-kemungkinan munculnya seseorang, sesuatu atau kejadian yang bisa membahayakan aset berharga khususnya hal-hal yang berhubungan dengan confidentiality, integrity, availability dan legitimate use.

- An Attack(serangan yang merupakan realisasi dari ancaman), pada system jaringan computer ada dua macam attack, yaitu passive attack dan active attack.

- Safeguards(pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan prosedur yang melindungi informasi berharga dari ancaman-ancaman yang mungkin timbul setiap saat.

- Vulnerabilities(lubang-lubang kemaan yang bisa ditembus)

- Risk(resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan oleh kemungkinan adanya attack yang sukses.

- Risk Analysis(analisa kerugian) merupakan proses yang menghasilkan keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar-benar bisa menjamin tingkat keamanan yang diinginkan.

Threats(ancaman):
- System Penetration: orang-orang yang tidak berhak, mendapatkan akses ke sistem computer dan diperbolehkan melakukan segalanya.

- Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan wewenang legal yang dimiliki oleh seseoarang yang berhak.

- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara diam-diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.

- Communications Monitoring: penyerang dapat melakukan monitoring semua informasi rahasia.

- Communications Tampering: penyerang mengubah informasi transaksi di tengah jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server dengan yang palsu.

- Denial of Service (DoS): Penolakan service terhadap client yang berhak.

- Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun kesalahan teknis lainnya.

Safeguards:
Yang dilakukan safeguards yaitu:
- Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.

Security service safe guards:
- Authentication Service: memberikan kepastian identitas pengguna.
a. Entity authentication: contohnya password.
b. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis.

- Access Control Services: melindungi semua fasilitas dan sumber-sumber yang ada dari akses-akses yang tidak berhak.

- Confidentiality Service: memberikan perlindungan terhadap informasi yang berusaha disingkap oleh orang lain yang tidak berhak.

- Data Integrity Srevice: perlindungan terhadap ancaman yang dapat mengubah data item seandainya ini terjadi di dalam lingkungan security policy.

- Non-Repudiation Service: melindungi user melawan ancaman yang berasal dari user berhak lainnya seperti kesalahan penolakan ketika transaksi atau komunikasi sedang terjadi

Tidak ada komentar:

Poskan Komentar