UNIVERSITAS INDONESIA

Transkripsi

1 UNIVERSITAS INDONESIA KAJIAN HUKUM PERAN DAN FUNGSI NOTARIS SEBAGAI PIHAK PENGEMBAN KEPERCAYAAN DALAM TRANSAKSI ELEKTRONIK : PERBANDINGAN ANTARA TRUSTED THIRD PARTIES DAN TRUSTED ENROLLMENt AGENT TESIS Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Kenotariatan DEDY NURHIDAYAT FAKULTAS HUKUM UNIVERSITAS INDONESIA PROGRAM STUDI MAGISTER KENOTARIATAN DEPOK JANUARI 2012

2 UNIVERSITAS INDONESIA KAJIAN HUKUM PERAN DAN FUNGSI NOTARIS SEBAGAI PIHAK PENGEMBAN KEPERCAYAAN DALAM TRANSAKSI ELEKTRONIK : PERBANDINGAN ANTARA TRUSTED THIRD PARTIES DAN TRUSTED ENROLLMENt AGENT TESIS DEDY NURHIDAYAT FAKULTAS HUKUM UNIVERSITAS INDONESIA PROGRAM STUDI MAGISTER KENOTARIATAN DEPOK JANUARI 2012

3

4

5 KATA PENGANTAR Bismillahirrahmanirrahim, Puji syukur saya panjatkan kepada Allah SWT, karena berkat rahmat dan hidayah- Nya, penulis dapat menyelesaikan tesis ini. Penulisan tesis ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Kenotariatan pada Fakultas Hukum. Penulis menyadari bahwa tanpa bantuan dan bimbingan dari berbagai pihak, tesis ini tidak dapat saya selesaikan dengan baik. Oleh karena itu saya mengucapkan terima kaih kepada : 1. Bapak Dr. Edmon Makarim, S.Kom., S.H., LL.M., selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan penulis dalam menyelesaikan tesis ini. 2. Bapak Drs. Widodo Suryandono, S.H, selaku Ketua Program Magister Kenotarian/Penasihat Akademis penulis. 3. Kedua orang tua penulis yang telah membesarkan dan mendidik penulis sehingga penulis dapat menjadi seperti sekarang ini. 4. Teman-teman program studi Magister Kenotariatan angkatan Staf kesekretariatan program Magister Kenotariatan. 6. Pihak-pihak lain yang telah membantu penulis menyelesaikan tesis ini. Akhir kata saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu penulis menyelesaikan tesis ini. Penulis berharap semoga tesis ini bermanfaat bagi para pihak yang membacanya dan bagi pengembangan ilmu. Jakarta, Januari 2012 Penulis

6

7 ABSTRAK Nama Program Studi Judul : Dedy Nurhidayat : Magister Kenotariatan : Kajian Hukum Peran dan Fungsi Notaris Sebagai Pengemban Amanat Kepercayaan Dalam Penyelenggaraan Transaksi Elektronik: Perbandingan Dengan Trusted Third Parties dan Trusted Enrollment Agent. Tesis ini membahas mengenai bagaimana peran dan fungsi Notaris sebagai pengemban amanat kepercayaan dalam suatu transaksi elektronik. Apakah dapat diterapkan di Indonesia? dimana fungsi Notaris disini sebagai pihak pengemban amanat kepercayaan yang nanti peran dan fungsinya seperti pihak ketiga terpercaya atau agen pendaftaran terpercaya seperti notaris di Amerika Serikat (otoritas pendaftaran/registration authority) dengan melihat peraturan perundang-undangan yang berlaku di Indonesia, dimana hal ini masih menjadi perdebatan yang panjang antar para notaris itu sendiri dengan membandingkan dengan peran dan fungsi dari pihak ketiga terpercaya dan agen pendaftaran terpercaya dalam penyelenggaraan suatu transaksi elektronik dan apakah jabatan notaris di Indonesia dapat berfungsi sebagai pihak ketiga terpercaya atau seperti agen pendaftaran terpercaya dalam suatu transaksi elektronik apabila hal ini diterapkan di Indonesia Kata kunci : Pihak Ketiga Terpercaya, Agen pendaftaran terpercaya, dan Notaris.

8 ABSTRACT Name Study Program Title : Dedy Nurhidayat : Notary Master Degree : Legal Analisis on Role and Function of a Notary as a Trustee in Electronic Transaction: Comparation between Trusted third parties and Trusted Enrollmen Agent The focus of this Thesis discusses about role and function of a Notary as a trustee in electronic transaction. Can it be implemented in Indonesia? Where the function of a notary as a trustee that role and function will be like trusted third parties (as registration authority) or as a trusted enrollment agent like notary public in United state by viewing the legislation in Indonesia, which is being debate anomg other notary it self by comparing with the role and function of thusted third parties and trusted enrollment agent in a electronic transaction is that notary in indonesia can be act as a trusted third partie or be like trusted enrollment agent in aelectronic transaction whether this implemented in Indonesia. Keywords : Trusted Third Party, Trusted Anrollment Agent, Notary

9 DAFTAR ISI HALAMAN JUDUL HALAMAN PERNYATAAN ORISINALITAS HALAMAN PENGESAHAN KATA PENGANTAR LEMBAR PERSETUJUAN PUBLIKASI KARYA ILMIAH ABSTRAK DAFTAR ISI ii iii iv v vi vii ix BAB 1 PENDAHULUAN Latar Belakang Pokok Permasalahan Tujuan Penelitian Metode Penelitian Sistematika Penulisan...7 BAB 2 PIHAK KETIGA TERPERCAYA Pihak Ketiga Terpercaya Teori Kepercayaan Pihak Ketiga Terpercaya Infrastruktur Kunci Publik Registration Authority Trusted Enrollment Agent Model Notary Act Pengertian Trusted Enrollment Agent Fungsi dan Tugas Trusted Enrollment Agent Tanggung Jawab TEA.57 BAB 3 ANALISA FUNGSI DAN PERAN NOTARIS SEBAGAI OTORITAS PENDAFTARAN DALAM PENYELENGGARAAN SERTIFIKAT ELEKTRONIK Kewenangan Notaris sebagai Pejabat Umum Notaris sebagai Pejabat Umum Kewajiban dan Larangan Terhadap Notaris Sebagai Pejabat Umum Analisa Hukum Analisa Batasan Kewenangan Pejabat publik Analisa Bertindak Untuk dan Atas Nama Klient Analisa Kewenangan Pencatatan Analisa Kehadiran Fisik Tanggung jawab Hukum TTP Perbandingan Jabatan Notaris dengan Pihak Ketiga Terpercaya Dan Agen Pendaftaran terpercaya Fungsi Trusted Third Parties dalam suatu transaksi elektronik 79

10 3.4. Jabatan Notaris sebagai Pihak Ketiga Terpercaya 86 BAB 4 Penutup Kesimpulan Saran Daftar Pustaka...104

11 1 BAB 1 PENDAHULUAN LATAR BELAKANG Pada era globalisasi saat ini perkembangan kemajuan teknologi sangat pesat terutama di bidang informasi. Perkembangan kemajuan zaman memungkinkan pemanfaatan teknologi informasi tidak hanya terbatas pada layanan jasa seperti dilakukan oleh operator telekomunikasi baik yang memanfaatkan jaringan kabel maupun tanpa kabel (nirkabel) yang menyediakan jasa layanan berupa telekomunikasi berbentuk suara maupun data dan penyedia jasa internet. 1 di Indonesia pemanfaatan teknologi informasi dan komunikasi memiliki peranan yang sangat penting dalam menuju perubahan perilaku masyarakat Indonesia, misalnya melalui pemanfaatan media internet, yang memungkinkan di dapatkan informasi terkini yang diinginkan secara cepat dan mudah. 2 Sejalan dengan hal ini, pertimbangan pemerintah bahwa pemanfaatan teknologi komunikasi dan informasi dalam proses pemerintahan (egoverment) akan meningkatkan efisiensi, efektifitas, transparansi dan akuntabilitas penyelenggaraan pemerintah agar tercapai cita-cita untuk menyelenggarakan pemerintahan yang baik. 3 Peluang penyelenggaraan jasa notaris secara elektronik (cyber-notary) dalam perspektif hukum telekomunikasi Indonesia dimana perkembangan teknologi informasi yang demikian pesat dewasa ini telah membawa dampak yang sangat signifikan dalam kehidupan umat manusia. berbagai kemudahan yang sangat signifikan yang ditawarkan oleh perkembangan teknologi komunikasi telah 1 Ronald J. Man dan Jane K. Winn, Electronic Commerce, (New York: Aspen Law and Business, 2002), hal Ibid. hal Rancangan Peraturan pmemerintah Tentang Sertifikat Elektronik.

12 2 memungkinkan hubungan antar umat manusia dapat berlangsung secara cepat dan mudah tanpa memperhitungkan aspek ruang dan waktu. Disisi lain, notaris sebagai pejabat umum yang bertugas melayani masyarakat diharapkan tidak ketinggalan dalam menyikapi perkembangan yang terjadi ini. Notaris di Indonesia yang berasal dari sistem latijnsenotariaat berdasarkan sistem hukum civil law tentunya memiliki perbedaan prinsipil dengan notary-public yang berasal dari sistem hukum common law. Perbedaan tersebut tentunya juga berpengaruh dalam praktek jasa yang diselenggarakannya sesuai dengan kultur dan hukum di negara yang bersangkutan. Dengan memanfaatkan teknologi internet, notaris diharapkan dapat melayani tuntutan kebutuhan masyarakat secara lebih cepat, praktis, dan efisien sesuai dengan kewenangan yang dimilikinya. Dewasa ini telah cukup banyak penyelenggaraan jasa notaris secara elektronik yang ditawarkan melalui websites di internet, biasanya dalam bentuk mobile notary service. Sedangkan untuk Indonesia, notaris tidak bisa melaksanakan pekerjaannya melalui media internet karena terikat pada peraturan perundangundangan yang berlaku. Berdasarkan hal tersebut akan timbul pertanyaan bagaimanakah konsep dan sistem jasa notaris secara elektronik yang telah berjalan dalam praktek itu? Selain itu, dapatkah praktek tersebut diterapkan oleh para notaris Indonesia sesuai dengan sistem hukum kenotariatan yang berlaku? Kemajuan teknologi ini mempengaruhi hampir di semua aspek kehidupan masyarakat baik dalam hubungan pribadi maupun dalam lingkup pekerjaan termasuk dalam bidang kenotariatan. Sejak diundangkannya undang-undang nomor 11 tahun 2008 tentang Informasi dan transaksi elektronik (Undang-Undang ITE) diharapkan memberi peluang bagi notaris dalam melaksanakan jabatannya dalam bekerja lebih efisien. Perdagangan saat ini tidak lagi bersifat tradisional tetapi sudah memanfaatkan teknologi informasi seperti internet untuk mempromosikan produk atau jasa dan melaksanakan transaksi secara elektronik. Dikenal pula Kontrak Elektronik yang memungkinkan para pihak terikat dalam suatu kesepakatan. Perkembangan perdagangan dan sektor lainnya yang

13 3 memanfaatkan teknologi informasi dibarengi pula dengan perlindungan hukum. Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik memuat pengaturan transaksi elektronik dengan dukungan Sertifikat Elektronik, Tanda Tangan Elektronik, dan Sistem Elektronik yang aman dan handal. Dengan Sertifikat Elektronik dan Tanda Tangan Elektronik maka para pihak yang saling bertransaksi dapat diotentikasi siapa penanda tangan, dan diketahui status keutuhan dokumen/informasi elektronik yang ditanda tangani. Peran Notaris selaku Registration Authority dalam transaksi elektronik bersama-sama dengan pihak Certificate Authority (CA) sebagai pihak ketiga yang dipercaya (trusted third party) dalam mengamankan dan melegitimasi transaksi elektronik. Certificate Authority merupakan pihak yang menerbitkan Sertifikat Elektronik yang berisikan identitas pemilik sertifikat, kunci publik dan kunci privat yang digunakan dalam transaksi elektronik untuk membuat tanda tangan elektronik, mengotentikasi si penanda tangan dan memverifikasi dokumen yang ditanda tangani. Notaris bertindak untuk melakukan otentikasi pihak yang melakukan transaksi elektronik atau otentikasi pihak yang menandatangani dokumen/informasi elektronik, memverifikasi dokumen/informasi elektronik yang ditanda tangani para pihak, melakukan pengamanan terhadap penyimpanan informasi berupa tanda tangan dan dokumen yang ditanda tangani, membantu CA dalam penerbitan Sertifikat Elektronik khususnya mengidentifikasi para pihak yang memohon penerbitan Sertifikat Elektronik, dan terakhir menjadi perantara transaksi elektronik dimana dokumen elektronik dan tanda tangannya dikirim oleh Penerima ke Notaris, lalu Notaris melakukan otentikasi dan verifikasi lebih dahulu terhadap penanda tangan dan dokumen/informasi elektronik yang ditanda tangani, selanjutnya diteruskan ke Penerima. Penanda tangan dokumen/informasi elektronik harus hadir di depan Notaris sehingga memungkinkan Notaris untuk memeriksa identitas pelaku, keinginan pelaku, dan kompetensi/kemampuan pelaku dalam melaksanakan transaksi elektronik. Dengan bertatap muka, Notaris dapat pula mengetahui

14 4 apakah pelaku yang ingin bertransaksi secara elektronik berada dalam keadaan tanpa paksaan atau ancaman fisik dari pihak lain, sehat rohani dan jasmani. Pemeriksaan pelaku yang akan bertransaksi ini juga membantu dalam penerbitan Sertifikat Elektronik. Dalam pelaksanaan transaksi elektronik, pihak Pengirim mengirimkan dokumen/informasi elektronik yang ditanda tangani ke Notaris, kemudian Notaris memeriksa tanda tangan yang digunakan, identitas pengirim dan dokumen/informasi elektronik yang ditanda tangani. Jika pemeriksaan ini selesai, Notaris dapat mengirimkan informasi hasil pengecekan kepada Pengirim. Jika tidak ada masalah, lalu Notaris mengirimkan dokumen/informasi elektronik tersebut kepada Penerima. Pihak Penerima menyampaikan informasi kepada Notaris bahwa dokumen/informasi elektronik telah diterimanya. Penyampaian tersebut ditindaklanjuti oleh Notaris dengan mengirimkan informasi/laporan ke Pengirim bahwa Penerima telah menerima dokumen/informasi elektronik yang ditanda tangani. Dari pembahasan di atas menunjukkan bahwa Certificate Authority tanpa didukung dengan peran Notaris selaku Registration Authority menjadikan transaksi elektronik yang aman tapi legitimasinya lemah. Benar yang diuraikan dalam berbagai artikel di internet bahwa Certificate Authority (CA) dan Registration Authority (RA) merupakan satu kesatuan yang tak terpisahkan sebagai trusted third party dalam Transaksi Elektronik. Certificate Authority (CA) menyediakan Infrastruktur Teknologi yang aman digunakan oleh CA dan RA, sedangkan RA memberi legitimasi yang kuat dalam penyelenggaraan Transaksi Elektronik. Bila kita bandingkan dengan di Amerika Serikat dimana Notaris Publik di sana telah menerapkan apa yang namanya Trusted Enrollment Agent yang hampir mirip fungsinya dengan Registration Authority dalam konsep Transaksi Elektronik yang ada sekarang ini, berdasarkan uraian di atas maka penulis mengambil tema dalam penulisan ini dengan Judul Kajian Hukum Fungsi dan Peran Notaris Sebagai Pengemban Amanat Kepercayaan dalam Transaksi Elektronik: Perbandingan Pihak Ketiga

15 5 Terpercaya (Trusted Third Parties) dan Agent Pendaftaran Terpercaya (Trusted Enrollment Agent) Pokok Permasalahan Berdasarkan uraian tersebut, permasalahan pokok yang akan diteliti dalam penulisan tesis ini, penulis memusatkan permasalahan yang akan diteliti adalah sebagai berikut: 1. Bagaimanakah Fungsi dan Peran Pihak Ketiga baik Sebagai Trusted Third Parties atau Trusted Enrollment Agent dalam sebuah transaksi elektronik? 2. Dapatkah Jabatan Notaris di Indonesia menjalankan fungsi sebagai Trusted Third Parties atau Trusted Enrollment Agent dalam Transaksi elektronik? 1.3. Tujuan Penulisan Berdasarkan apa yang telah dipaparkan diatas, maka dalam penulisan tesis ini, penulis mempunyai tujuan agar: 1. Mengetahui Bagaimana Peran pihak Ketiga Terpercaya dalam dalam suatu transaksi elektronik 2. Mengetahui apakah Jabatan Notaris dapat menjalankan fungsi sebagai sebagai Pihak Ketiga Terpercaya dalam suatu transaksi elektronik Metode Penelitian Dalam mengkaji permasalahan yang sedang diteliti ini, penulis menggunakan metode penelitian Normatif. Metode penelitian merupakan unsur yang mutlak harus ada dalam suatu penelitian yang berfungsi untuk mengembangkan ilmu pengetahuan. 4 Metodologi dalam suatu penelitian berfungsi sebagai suatu pedoman bagi ilmuwan dalam mempelajari, menganalisis dan memahami suatu permasalahan yang sedang dihadapi. Dalam rangka meperoleh informasi guna penelitian ini, maka metode penelitian yang digunakan oleh penulis adalah penelitian Normatif, yaitu 4 Soerjono Soekanto, Pengantar Penelitian Hukum, (Jakarta: UI Press, 1989), Hlm. 7.

16 6 penelitian terhadap efektivitas asas-asas, sistematika hukum yang berkaitan dengan masalah terkait. Tipologi penelitian ini adalah adalah bersifat deskriptif karena penelitian ini bertujuan mengambarkan secara tepat sifat suatu individu, keadaan, gejala atau untuk menentukan fekuensi suatu gejala. 5 Dari sudut bentuknya penelitian ini merupakan penelitian preskreptif yaitu penelitian yang tujuannya memberikan jalan keluar atau saran untuk mengatasi permasalahan. 6 Jenis data yang digunakan dalam penulisan ini adalah data sekunder. Data sekunder dihimpun melalui penelitian kepustakaan sehingga didapatkan: 1. Bahan hukum primer berupa peraturan perundang-undangan yang mengatur dan berkaitan dengan Ketentuan-ketentuan mengenai Jabatan Notaris, Informasi dan Transaksi Elektronik, dan Peraturan mengenai Trusted Enrollment Agent di Amerika Serikat; 2. Bahan hukum sekunder untuk memberikan penjelasan mengenai bahan hukum primer, yang dapat terdiri dari buku-buku, artikel, laporan penelitian dan tesis yang membahas dan terkait dengan Peran notaris sebagai Registration Authority dalam penyelenggaraan sertifikat elektronik; 3. Bahan hukum tersier yang digunakan untuk menunjang bahan hukum primer dan bahan hukum sekunder, contohnya seperti kamus, buku pegangan seta internet yang seluruhnya dapat disebut sebagai bahan referensi. Alat pengumpulan data yang digunakan adalah berupa studi dokumen yakni mencari dan mengumpulkan data sekunder yang berkaitan dengan peran notaris sebagai registration authority dalam penyelenggaraan sertifikat elektronik (perbandingan dengan trusted enrollment agent pada notaris publik di Amerika Serikat). Analisis data yang digunakan adalah dengan pendekatan kualitatif sebagai hasil pengumpulan data sekunder sehingga nantinya dapat 5 Mamudji., et.al., Metode Penelitian dan Penulisan Hukum, (Jakarta: Badan Penerbit Fakultas Hukum, 2005), hlm Ibid.

17 7 ditarik kesimpulan yang dikaitkan dengan teori-teori, konsep yang mempunyai relevansi untuk menjawab rumusan permasalahan dalam penulisan penelitian ini. Berdasarkan bentuk penelitian dan tipologi penelitian serta jenis data yang digunakan, maka penelitian ini akan menghasilkan suatu penelitian yuridis normatif Sistematika Penulisan Sistematika penulisan tesis ini terdiri dari empat bab, dimana dari masingmasing bab ada yang terdiri dari beberapa sub bab, yang isinya akan dikemukakan sebagai berikut: Bab 1 : Pendahuluan yang menguraikan mengenai latar belakang permasalahan, pokok permasalahan yang diangkat, tujuan penelitian, metode penelitian, serta sistematika penulisan. Bab 2: Pihak Ketiga Pengemban Amanat dalam Transaksi Elektronik. Dalam bab ini akan menguraikan tentang Landasan teoritis tentang kepercayaan, Infrastruktur Kunci Publik, Pihak Ketiga Terpercaya, dan Agent Pendaftaran terpercaya. Bab 3 : Analisa Peran dan Fungsi Jabatan Notaris Sebagai Otoritas Pendaftaran dalam Penyelenggaran Sertifikat elektronik. Dalam bab ini yang akan dibahas mengenai Notaris sebagai Jabatan publik, Fungsi Akta Otentik Notaris, Peran Notaris dalam suatu transaksi, Jabatan Notaris sebagai pihak ketiga terpercaya, Analisa hukum terhadap pihak ketiga terpercaya dan agen pendaftaran terpercaya, dan Tanggung Jawab hukum Pihak Ketiga Terpercaya. Bab 4 : Penutup yang berisi kesimpulan dan saran dari hasil penelitian ini.

18 8 BAB 2 PIHAK KETIGA PENGEMBAN AMANAT DALAM TRANSAKSI ELEKTRONIK 2.1 Pihak Ketiga Terpercaya (Trusted Third Parties/TTP) Pemanfaatan media elektronik (internet) dalam proses transaksi elektronik (e-commerce) berkembang sangat pesat. Seiring dengan perkembangan e-commerce diperlukan pengamanan atas proses pertukaran informasi serta agar ada kepastian hukum bagi bagi para pihak yang melakukan transaksi melalui media elektronik yang berbentuk penggunaan Sertifikat Digital (SD) dalam sistem Infrastruktur Kunci Publik (Public Key Infrastructure). Pertukaran informasi yang dilakukan melalui media elektronik (internet) yang terkait dengan transaksi bisnis atau perdagangan secara elektronik sangat memerlukan pengamanan yang dilakukan melalui Infrastruktur Kunci Publik. Hal ini diperlukan agar informasi yang diperlukan memenuhi persyaratan Privacy/Confidentiality, Authentication, Integrity dan Non Repudiation. Fakta-fakta yang ada memperlihatkan bahwa perubahan pesan-pesan elektronik dapat dilakukan dengan mudah dan tidak terdeteksi, sehingga meningkatkan resiko terjadinya manipulasi terhadap pesan elektronik yang dikirim. Dengan meningkatnya penggunaan internet, akan meningkatkan pula resiko kecurangan, penipuan, serta akses ilegal. Penggunaan Tanda Tangan Elektronik secara teknis dapat dikatakan memiliki kehandalan melebihi dari tanda tangan konvensional dengan tinta basah. Kehandalan yang dimaksud, yakni: 7 7 Klaus Schmeh, Cryptography and Public Key Infrastructure on the Internet, GesellsschaftfürIT-SicherheitAG ( Bochum,Germany), hal xiv.

19 9 1. Otentikasi (Authenticity/Ensured) Dengan menggunakan tanda tangan elektronik pada dokumen/informasi elektronik maka dapat dibuktikan dengan metode tertentu siapa yang menandatangani dokumen/informasi elektronik itu. 2. Integritas (Integrity) Integritas/integrity berhubungan dengan masalah keutuhan dari suatu dokumen/informasi elektronik yang ditanda tangani. Penggunaan tanda tangan elektronik dapat menjamin bahwa informasi elektronik yang ditanda tangani dapat diketahui apakah mengalami suatu perubahan atau modifikasi oleh pihak yang tidak bertanggungjawab. 3. Tidak dapat disangkal keberadaannya (Non-Repudiation) Non repudiation atau tidak dapat disangkalnya keberadaan suatu dokumen/informasi berhubungan dengan orang yang menandatanganinya. Si penanda tangan dokumen/informasi elektronik tidak dapat memungkiri bahwa ia telah menandatangani dan mengirimkan dokumen/informasi itu ke penerima dan tidak dapat memungkiri isi dokumen itu sepanjang tidak ada upaya perubahan oleh pihak yang tidak bertanggungjawab. 4. Kerahasiaan (Confidentiality Dokumen/Informasi elektronik yang telah ditanda tangani dan dikirimkan bersifat rahasia/confidential, sehingga tidak semua orang dapat mengetahui isi informasi elektronik yang telah dirahasiakan dengan metode kriptografi. 5. Dapat diandalkan (Realible) Bahwa dokumen/informasi elektronik yang disampaikan melalui dunia maya harus mampu dipertanggungjawabkan para pihak yang melakukan transaksi. Dengan penggunaan tanda tangan elektronik disertai kunci publik dan kunci privat dalam proses merahasiakan dan menandatangani dokumen/informasi elektronik maka segala transaksi elektronik yang dilakukan di dunia maya dapat dipertanggung jawabkan secara teknis. Dengan memahami 5 unsur kehandalan Tanda Tangan Elektronik didukung Sertifikat Elektronik, maka tidak dapat diragukan lagi keamanan

20 10 transaksi elektronik. Peran Notaris pun sangat diharapkan terlibat dalam transaksi elektronik untuk memberi legitimasi yang kuat terhadap transaksi elektronik yang berlangsung yakni mengindentifikasi tanda tangan elektronik dan penanda tangan, serta memverifikasi dokumen/informasi elektronik yang ditandatangani. Pencapaian tingkat kepercayaan bisnis yang memadai dalam pengoperasian sistem Teknologi Informasi harus didukung oleh penyediaan kontrol hukum dan teknis praktis yang tepat. Bisnis harus memiliki keyakinan bahwa sistem Teknologi Informasi akan menawarkan keuntungan positif dan bahwa sistem tersebut dapat diandalkan untuk mempertahankan kewajiban bisnis dan menciptakan peluang bisnis. Pertukaran informasi antara dua pihak memperlihatkan adanya unsur kepercayaan, misalnya dengan penerima mengasumsikan bahwa identitas pengirim adalah benar pengirim, dan pada gilirannya, pengirim dengan asumsi bahwa identitas penerima pada kenyataannya adalah si penerima untuk siapa informasi ini dimaksudkan. Ini adalah "elemen kepercayaan yang tersirat" dimana mungkin tidak cukup dan mungkin memerlukan penggunaan Pihak Ketiga Terpercaya (TTP) untuk memfasilitasi pertukaran informasi yang terpercaya. Dalam rangka menimbulkan kepercayaan dan kepastian hukum bagi pengguna terhadap sistem komunikasi dengan internet, diperlukan adanya keterlibatan pihak ketiga terpercaya (trusted third party/ttp) yang independen untuk mengelola resiko keamanan termasuk penggunaan Infrastruktur Kunci Publik. TTP selaku pihak yang akan membantu menjamin identitas para pihak pelaku transaksi elektronik melalui Infrastruktur Kunci Publik dan menyediakan mekanisme untuk melakukan transaksi elektronik secara aman. Pihak ketiga terpercaya atau Trusted third party yang dimaksud disini adalah Otoritas Sertifikasi atau Certification Authority (CA) yang menerbitkan Sertifikat Digital yang digunakan para pihak untuk menyatakan identitasnya dalam melakukan transaksi elektronik dan Otoritas Pendaftaran atau Registration Authority (RA) yang melakukan otentikasi dari identitas para pihak yang ingin melakukan transaksi elektronik. Dalam penelitian ini,

21 11 penulis hanya akan mengambil peran dari seorang Registration Authority dalam hal melakukan otentikasi identitas para pihak Teori tentang Kepercayaan (Trust) Sebagai sosiolog Diego Gambetta mengatakan: "Kepercayaan adalah salah satu konsep sosial yang paling penting yang membantu agen manusia untuk mengatasi dengan lingkungan sosial mereka dan hadir dalam semua interaksi manusia". 8 Bahkan, tanpa kepercayaan (di agen lainnya, dalam organisasi, dalam infrastruktur, dan lain-lain) ada kerjasama dan akhirnya tidak ada masyarakat yang ada. Berdasarkan apa yang dipaparkan oleh Daniel gambeta tersebut kepercayaan merupan unsur yang penting dalam interaksi antar manusia dalam melakukan hubungan dengan yang lainnya. Tanpa adanya kepercayaan antara manusia yang satu dengan yang lainnya maka tidak ada masyarakat yang ada adanya hanya manusia yang satu hidup sendirisendiri terpisah satu sama lain. Karena hidup sendiri-sendiri maka tidak ada interaksi yang terjadi antara mereka. Oleh karena itu kepercayaan merupakan unsur yang pendting dalam kehidupan masyarakat. Menurut Luhmann 9, karena semakin terfragmentasi dunia yang semakin kompleks, manusia sepanjang sejarah tidak pernah mempunyai banyak pilihan, pilihan apapun yang mereka lakukan hari ini akan berpengaruh pada masa yang akan datang. Memang, jumlah pilihan yang harus dibuat pada setiap saat dalam hidup telah meningkat secara radikal dan belum dalam kapasitas kognitif kita untuk mengelola pilihan ini tetap atau lebih kurang statis. Jadi bagian dari Tesis Luhmann adalah bahwa kepercayaan memungkinkan kita untuk membuat pilihan-pilihan lebih efektif (pada pengetahuan lebih atau kurang membumi atau emosi) dan selanjutnya ini menjadi semakin menonjol berarti dalam hidup kita 8 Daniel Gambeta, Trus Making and Breaking Cooperative Relation, (Massachusetts: Basill Blackwell: 1998), hal Alexander Ljung and eric Wahlforss, People, Profile and Trust, On interpersonal Trust In Web Mediated Social spaces, (San Francisco & Stockholm Finalized in Berlin, 2008), hal. 12

22 12 dan akan terus mendapatkan penting sebagai masyarakat bergerak menuju kompleksitas yang lebih besar. Dalam kenyataan yang kompleks, kita sebagai manusia harus bergantung pada negosiasi simbolis kepercayaan yang menjadi menjadi lebih besar. Simbol menjadi "jalan pintas" untuk kesimpulan tentang kepercayaan dan penting cara dimana kita dapat mengurangi upaya kognitif dari keputusan yang dipercaya. Dalam komunikasi ruang online sosial melalui Browser tentu saja sangat berorientasi kepada simbol, sehingga mekanisme tentang bagaimana kesimpulan yang dibuat dan bagaimana nilai-nilai simbolik yang didirikan sangat menarik dalam memahami pembentukan kepercayaan. Sebagaimana Luhmann menyatakan 10, dalam dunia kita kenaikan dikompleksitas adalah karena perbedaan sistem sosial dan kita kecenderungan untuk menjadi bagian beberapa sistem sekaligus. Secara bersamaan, kemungkinan untuk percaya dalam sistem sangat tergantung pada kemungkinan belajar bagaimana kepercayaan (misalnya dengan belajar pemahaman umum tentang nilai-nilai simbolis) sosial dibedakan sehingga sistem iklan lebih meningkat karena permintaan kepercayaan untuk belajar simbolis dalam beberapa kompleksitas wacana. Namun, simbol-simbol ini tidak mudah untuk di pelajari. Menurut Luhmann kepercayaan adalah kebalikan dari argumen rasional dan penerangan mengenai makna simbolis sering diam-diam dari isyarat kepercayaan dalam menjalankan risiko secara menyeluruh, langsung menggeser kekuasaan simbolis mereka sebagai tanda-tanda kepercayaan menjadi tanda ketidakpercayaan. Jadi kepercayaan menjadi fenomena yang sangat rapuh, sering sangat sensitif dan mencurigakan penyelidikan para ahli. Kepercayaan dapat dianggap sebagai sebuah sikap terhadap masa depan. Dengan mempercayai salah satu tempat pada masa depan dan dengan demikian bertindak sebagaimana jika masa depan ini hanya berisi kemungkinan dari tindakan tertentu. Menurut Luhmann keputusan 10 Ibid, hal. 13

23 13 ini tentang bagaimana untuk mengharapkan masa depan yang pada umumnya didasarkan pada pengetahuan kita dan pengalaman masa lalu. Dia menjelaskan ini dengan gagasan masa lalu memiliki "sudah terjadi" dan sehingga potensi pilihan tunggal setiap saat dalam waktu telah dibuat (yang mengakibatkan pengurangan utama kompleksitas). 11 Oleh karena itu kita melihat ke masa lalu tidak kompleks dalam rangka untuk menuntun keputusan kita dalam kompleks sekarang karena untuk bertaruh pada masa depan. Pemahaman dari saat ini didasarkan pada masa lalu adalah apa yang Luhmann sampaikan mengacu sebagai keakraban dan dengan demikian merupakan prasyarat penting untuk percaya. Berdasarkan apa yang dipaparkan Luhmann tersebut penulis melihat bahwa Luhmann memandang kepercayaan sebagai suatu pilihan yang dibuat oleh manusia. Kepercayaan dianggap sebagai pilihan yang diambil oleh manusia pada masa lalu yang akan berpengaruh pada masa depan. Apapun pilihan yang diambil pada masa sekarang akan menimbulkan akibat pada masa depan. Semakin lama pilihan tersebut akan semakin banyak dan manusia tidak bisa memilih semuanya, sehingga dia harus memilih salah satunya. Luhmann juga menyatakan bahwa kepercayaan merupakan kebalikan dari argumen rasional, hal ini dimaksudkan bahwa kadang-kadang manusia mengambil keputusan akan sesuatu hal dengan mengabaikan argumen yang masuk akan tetapi akan mengambil pilihan yang sedikit lebih ekstrim dengan percaya bahwa pilihan yang ia ambil akan berakibat baik kepadanya pada masa depan Pihak Ketiga Terpercaya (Trusted Third Party/TTP) 11 Ibid, hal 16.

24 14 Sekarang sudah kita sudah mengetahui bahwa internet adalah suatu jaringan global tanpa mengenal batas-batas wilayah, tapi jaringannya tidak selalu aman. 12 Hal ini juga semakin dipahami bahwa kriptografi dapat memberikan kontribusi besar terhadap keamanan dari transaksi perdagangan internet yang memiliki bentuk tidak begitu jelas. 13 Apa yang kurang dipahami oleh banyak orang adalah kriptografi hanyalah bagian keamanan dari suatu sistem informasi. Banyak protokol kriptografi untuk transaksi elektronik yang aman membutuhkan setidaknya satu pihak ketiga yang dipercaya dalam transaksi tersebut, seperti bank atau otoritas sertifikasi (CA). Ini sebagian protokol kriptografi, sebagian sosial, membutuhkan entitas baru, atau hubungan baru dengan entitas yang ada, tetapi tugas dan kewajiban entitas yang tidak pasti. Sampai ketidakpastian ini diselesaikan oleh mereka, risiko yang menghambat penyebaran bentuk yang paling menarik dari perdagangan elektronik dan menyebabkan tuntutan hukum yang tidak perlu. Konsep TTP sebagian berasal dari diskusi yang berkaitan dengan otoritas sertifikasi (CA). Sejak transaksi elektronik tidak lagi dengan cara tatap muka, maka sarana individu untuk mengidentifikasi para pihak diperlukan agar para pihak yang terlibat dalam transaksi tersebut adalah benar-benar pihak yang diinginkan. Pertukaran data digital yang aman dengan tanda tangan elektronik melalui internet mensyaratkan bahwa sertifikat yang dikeluarkan oleh pihak ketiga yang terpercaya harus netral dengan data tanda tangan dan telah mengidentifikasikan individu-individu yang ada di dalamnya, dalam hal ini CA bertindak seperti pihak ketiga terpercaya (TTP). Peran TTP termasuk memberikan jaminan bahwa bisnis yang dilaksanakan dapat dipercaya (misalnya kegiatan pemerintah), pesan dan transaksi dikirim ke penerima yang dimaksud, di lokasi yang benar, pesan 12 FBI memperkirakan bahwa delapan puluh persen kejahatan komputer dalam penyelidikannya melibatkan Internet. David Icove et al, Computer Crime: Buku A Crimefighter's, hal Lihat pada umumnya A. Michael Froomkin, The Metafora of Public Key, The Chip Clipper, dan Konstitusi, 143 U. Pa L. Rev 709 (1995)

25 15 yang diterima secara tepat waktu dan akurat. Bahwa untuk setiap sengketa bisnis yang mungkin timbul, terdapat metode yang tepat untuk penciptaan dan pengiriman bukti yang diperlukan untuk apa yang telah terjadi. Layanan yang disediakan oleh TTP termasuk yang dibutuhkan oleh para pihak seperti manajemen kunci, manajemen sertifikat, identifikasi dan dukungan otentikasi, atribut layanan istimewa, tidak dapat dibantah/non-repudiation, layanan stempel waktu/time stamping, jasa notaris elektronik, dan layanan direktori. Sebuah TTP mungkin menyediakan beberapa atau semua layanan yang disebutkan diatas. Sebuah TTP harus dibentuk, diimplementasikan dan dioperasikan guna memberikan jaminan dalam layanan keamanan, menyediakan, dan untuk memenuhi persyaratan hukum dan peraturan perundang-undangan yang berlaku. Jenis dan tingkat perlindungan yang disediakan akan bervariasi sesuai dengan jenis layanan yang disediakan dan konteks di mana aplikasi bisnis beroperasi. Hal ini bermaksud untuk memberikan penjelasan apa yang menjadi tugas dari sebuah CA, fungsi mereka yang begitu penting dalam dalam prdagangan elektronik, dan juga mereka dapat menimbulkan beberapa permasalahan hukum yang akan terjadi kemudian. Belum ada sebuah rezim hukum yang terperinci yang menggambarkan peraturan mengenai pihak ketiga terpercaya ini dalam suatu perdagangan elektronik. Di masa yang akan datang bentuk dari perdagangan elektronik akan muncul dengan berbagai bentuk yang akan menampilkan sejumlah tantangan yang harus kita hadapi.peluang munculnya penipuan, dan kesalahan yang terjadi dalam suatu transaksi dan cara kita mencegah agar hal ini tidak terjadi akan timbul dengan berjalannya waktu dan solusi-solusi yang diberikan terhadap permasalahan tersebut. Pihak Ketiga Terpercaya (TTP) adalah sebuah lembaga atau orang yang menyediakan satu atau beberapa layanan keamanan, dan dipercaya oleh pihak lain berkaitan dengan kegiatan yang berhubungan dengan layanan keamanan ini. 14 Apabila ada pihak yang ingin meningkatkan

26 16 kepercayaan kepada orang lain maka ia kan menggunakan TTP, sehingga kepercayaan bisnis dirinya akan meningkat dimana pihak yang lain dan juga untuk memfasilitasi kemanan komunikasi yang dilakukannya dengan pihak yang lain dalam transaksi perdagangan elektronik yang dilakukannya. Sebuah TTP akan memberikan nilai penawarkan berkaitan dengan kerahasiaan, integritas dan ketersediaan layanan dan informasi dalam komunikasi yang digunakan dalam aplikasi bisnis. TTP harus dapat beroperasi dengan TTP yang lain dan juga pihak yang lain yang membutuhkan jasanya. Apabila suatu pihak ingin menggunakan jasa sebuah TTP, maka mereka harus dapat memilih kepada TTP mana yang mereka datangi untuk mendapatkan layanan keamanan yang dibutuhkan dalam menjalankan bisnisnya tersebut. Selain itu juga TTP harus dapat memilih pihak yang akan diberikan pelayanan. Agar dapat berjalan dengan efektif, TTP umumnya harus: 15 a. bekerja dalam kerangka kerja hukum yang konsisten di antara pihak yang terlibat di dalamnya; b. menawarkan berbagai layanan, dengan layanan minimal yang jelas kepada semua pihak; c. mepunyai kebijakan yang telah dijabarkan, khususnya terhadap kebijakan keamanan publik; d. dikelola dan dioperasikan dengan cara yang aman dan dapat diandalkan, berdasarkan sistem informasi manajemen keamanan dan sistem TI yang dapat dipercaya; e. sesuai dengan standar nasional dan internasional yang berlaku; f. mengikuti kode praktek yang diterima secara bersama; g. menerbitkan pernyataan praktis; h. merekam dan mengarsip semua bukti yang relevan untuk jasa mereka; 14 ITU-T Recommendation X.842 Technical Report ISO/IEC TR Information Technology Security Techniques Guidelines For The Use And Management Of Trusted Third Party Services, Hal Ibid.

27 17 i. dimungkinkannya arbitrase independen, tanpa mengorbankan keamanan; j. harus independen dan tidak memihak dalam pekerjaan mereka, (misalnya aturan akreditasi), dan k. memikul tanggung jawab tanggung jawab untuk ketersediaan dan kualitas layanan dalam batas-batas yang telah ditetapkan. Pemanfaatan sebuah TTP dan juga layanan yang diberikannya sangat tergantung kepada pengamatan yang mendasar bahwa layanan yang disediakannya tersebut akan dipercaya oleh TTP yang lain dan pihak-pihak lainnya. Dengan mengelolaan yang baik dan dijalankan dengan mengikiti prosedur yang telah ditetapkan maka pelayanan TTP tersebut akan mendapatkan kepercayaan dari pihak yang lain. TTP harus dapat memberikan jaminan bahwa ia dan layanan yang diberikannya tersebut sesuai dengan prosedur yang telah ditetapkan dan sesuai dengan peraturan perundang-undangan yang berlaku. Yang paling utama adalah mengenai kebijakan keamanan yang harus mencakup semua aspek keamanan yang terkait dengan pengelolaan TTP dan pengoperasian layanan yang mereka berikan. Kepercayaan terhadap sebuah TTP akan dapat diraih melalui pembuktian bahwa mereka telah melakukan manajeman yang baik dan telah menjalankan aspek operasional yang sesuai dengan prosedur yang berlaku. Bukti-bukti tersebut didasarkan kepada aspek manajemen yang dijalankan oleh sebuat TTP telah tepat, sesuai dan mempunyai tujuan yang jelas yaitu mereka menjalankan sistem manajeman yang efektif, efisien, mampu melawan segala ancaman dan dapat meminimalisir segala resiko yang mungkin terjadi dalam menjalankan pekerjaannya tersebut. Selain itu juga pemberian perlindungan yang di dokumentasikan dan dipahami oleh para pihak, dan selalu mengikuti perkembangan yang terjadi sehingga dengan cepat dapat diterapkan dalam kegiatannya.

28 18 Sebuah TTP Untuk mendapatkan kepercayaan dalam manajemen dan aspek operasional TTP dari pihak yang lain harus memberikan bukti bahwa: 16 a) adanya Kebijakan Keamanan yang sesuai di tempat tersebut; b) masalah keamanan telah ditangani oleh kombinasi dari prosedur dan mekanisme keamanan yang dilaksanakan dengan benar; c) pekerjaan dilaksanakan dengan benar dan sesuai dengan peran dan tanggung jawab masing-masing yang telah didefinisikan secara jelas; d) prosedur untuk berkomunikasi dan tatap muka dengan pihak lain yang sesuai untuk fungsi, dilakukan dan digunakan dengan benar; e) aturan dan peraturan yang diikuti oleh manajemen dan staf, telah sesuai dengan target atau tingkat kepercayaan; f) kualitas dari proses, operasional dan praktek kerja telah sesuai dan terakreditasi; g) TTP memenuhi kewajiban kontrak sesuai kontrak formal dengan penggunanya; h) ada pemahaman yang jelas dan penerimaan dari aspek tanggung jawab; i) kepatuhan terhadap hukum dan peraturan dipertahankan dan diaudit; j) mengenali ancaman dan perlindungan yang ada untuk mengurangi ancaman-ancaman yang telah teridentifikasi dengan jelas; k) Penilaian Resiko dan Ancaman dilakukan sejak awalnya dan pada saat terakhir selalu diperbarui secara teratur untuk memastikan bahwa kerahasiaan, integritas, ketersediaan dan persyaratan keandalan terpenuhi; l) terpenuhi langkah-langkah organisasi dan personil yang tepat; m) kepercayaan dari TTP dapat diandalkan dan bahwa hal itu dapat dilakukan pemeriksaan dan diverifikasi; dan n) adanya aturan akreditasi operasional TTP yang dipantau dan diawasi oleh beberapa jenis kewenangan administratif. 16 Ibid. hal 3-4.

29 19 Tingkat kepercayaan akan berbeda-beda tergantung dari jenis bisnis dan aplikasi yang digunakan sehingga akan berbeda pula prosedur untuk tingkat kekuatan perlindungan yang dapat diterapkan antara satu sama lain. Sebagai contoh, tingkat kepercayaan yang diperlukan untuk otentikasi transaksi administratif yang mungkin berbeda dari yang dibutuhkan untuk transaksi keuangan, yang mungkin berbeda dari yang diperlukan dalam beberapa aplikasi militer. Pelaksanaan standar dan kebijakan keamanan yang berbeda dengan benar akan menimbulkan berbagai tingkat keprcayaan. Oleh karena itu sebuah TTP dalam melaksanakan pekerjaannya tersebut harus dapat menerapakan prosedur yang berbeda-beda dalam setiap kegiatan tetapi dalam koridor prosedur yang berlaku Interaksi antara Layanan TTP dan Entitas yang Menggunakan Dari sudut pandang komunikasi, lokasi TTP dan pihak yang membutuhkannya dapat dilihat dalam konfigurasi yang berbeda yaitu inline, on-line dan off-line. Beberapa layanan TTP mungkin didasarkan pada konfigurasi yang berbeda, sehingga konfigurasi yang diambil akan mempengaruhi layanan TTP sehingga mampu memenuhinya, misalnya ketepatan waktu pertukaran, layanan penolakan, pencatatan bukti, dan karakteristik mereka, seperti penundaan pencabutan sertifikat. a. Layanan In-line TTP Apabila ada dua pihak atau lebih yang menggunakandomain keamana yang berbeda dan semuanya tidak menggunakan domain keamana yang sama, maka sebuah TTP in line dalam hal ini. Sebuah TTP in-line dibutuhkan ketika dua atau lebih entitas milik domain keamanan yang berbeda dan tidak menggunakan mekanisme keamanan yang sama. Hal ini dikarenaka antara para pihak tidak dapat melakukan pertukaran data lanngsung yang aman antar mereka. Tetapi dengan adanya TTP in-line ini dapat menjadi jembatan buat mereka dalam melakukan komunikasi serta memfasilitasi pertukaran data yang aman diantara mereka tersebut.

30 20 Layanan dari sebuah TTP In-line biasanya terdiri dari otentikasi, terjemahan dan layanan atribut istimewa. Sebuah TTP in-line mungkin memainkan peran dalam menyediakan layanan yang tidak dapat dipungkiri, akses kontrol, pemulihan kunci, kerahasiaan dan layanan integritas data yang dikirimkan. b. Layanan On-line TTP sebuah TTP on-line diperlukan untuk menyediakan dan mendaftarkan informasi terkait keamanan apabila diminta diminta oleh salah satu pihak atau kedua belah pihak dalam komunikasinya tersebut. TTP tersebut akan terlibat dalam pada saat pertama kali dalam pertukaran data diantara para pihak. Namun untuk perbuatan lebih lanjut antara para pihak dalam menjalankan bisnisnya sudah tidak lagi menggunakan jasa TTP on-line dalam pertukaran data dan tidak lagi menjadi jemabatan di jalur komunikasi para pihak tersebut. Layanan TTP On-line biasanya meliputi otentikasi, sertifikasi dan layanan atribut istimewa. TTP mungkin memainkan peran dalam menyediakan layanan yang tidak dapat dipungkiri, akses kontrol, manajemen kunci, pengiriman pesan, stempel waktu, integritas layanan dan kerahasiaan. c. Off-line TTP Layanan Jenis konfigurasi yang ketiga untuk penyediaan layanan adalah TTP off-line. TTP tidak berinteraksi secara langsung dengan entitas selama proses pertukaran yang aman antara entitas. Sebaliknya data yang dihasilkan sebelumnya oleh TTP dapat dipergunakan oleh para pihak. Layanan Off-line TTP biasanya meliputi otentikasi, sertifikasi, atribut hak istimewa, layanan yang tidak dapat dipungkiri, distribusi kunci dan layanan pemulihan kunci.

31 21 Sebuah TTP dapat menawarkan beberapa layanan. Semua layanan tersebut dapat diberikan oleh sebuah TTP itu sendiri atau mereka mungkin disediakan oleh lebih dari satu TTP. Layanan juga dapat diberikan dari satu atau lebih lokasi. Tugas dari TTP harus didefinisikan dan dinyatakan dalam kontrak formal, dan dampak teknis dan organisasi harus diperhitungkan. Tergantung pada arsitektur TTP (tanggung jawab dan lokasi) dimungkinkan adanya tambahan persyaratan, khususnya keamanan yang terkait, yang harus dipertimbangkan oleh suatu manajemen TTP. Setiap layanan harus memiliki persyaratan keamanan tertentu yang harus dipenuhi. Umumnya layanan TTP membagi aspek manajemen dan operasional TTP ke aspek-aspek umum dan spesifik yang berhubungan dengan setiap layanan. Sebuah sistem manajemen modular yang terstruktur jauh lebih mudah ditangani jika perubahan penting terjadi, terutama identifikasi dampak keamanan jika ada perubahan. Kontrak formal antara TTP dan pihak-pihak yang menggunakan layanan harus dengan jelas menyatakan tanggung jawab TTP, kualitas layanan yang akan diberikan, serta tanggung jawab entitas yang menggunakan layanan TTP. Kontrak harus menjelaskan kebijakan organisasi dan manajerial, serta prosedur operasional TTP. TTP juga harus mengeluarkan Pernyataan Praktek yang menjelaskan apa yang para pihak dapat harapkan dari layanan TPT, agar publik dapat dengan jelas mendefinisikan aspek persyaratan dan operasional, kualitas layanan, isu etika, dan biaya yang akan dbayarkan oleh pelanggan. Kontrak harus menentukan dengan jelas ketentuan yang menggambarkan bagaimana prosedur TTP sesuai dengan peraturan perundang-undangan dan peraturan lainnya yang berlaku. Kontrak harus menentukan ruang lingkup yurisdiksi dan yurisdiksi mana yang akan dipergunakan apabila timbul perselisihan. Kesalahan disengaja atau tidak disengaja oleh TTP dapat menyebabkan kerusakan besar untuk bisnis. Dalam rangka untuk memiliki kepercayaan diri yang cukup untuk menggunakan layanan TTP, kontrak harus mendefinisikan batas-batas kewajiban TTP dengan penggunanya. Mana yang berlaku, kewajiban harus

32 22 mencakup juga kontrak asuransi yang tepat apabila dikemudian hari muncul sengketa diantara mereka. Batasan-batasan yang dibutuhkan harus ditentukan di dalam kontrak antara TTP dan penggunanya. Kontrak tersebut harus mencakup daftar dari semua hal tentang kewajiban antara TTP dan pengguna sehingga pengguna dapat mengakses saran profesional yang memadai dalam rangka untuk memperoleh bantuan hukum yang sesuai pada setiap hal yang timbul dari penyediaan dan penggunaan layanan TTP itu. Kontrak harus menjelaskan dimaksudkan dari digunakannya layanan dan parameter layanan harus jelas disebutkan, dan harus memungkinkan layanan tersebut ditarik jika dalam pelaksanaan kontrak salah satu pihak menggunakannya secara tidak benar atau ilegal. Kontrak bisa memiliki ketentuan yang jelas-jelas menyatakan bahwa pihak independen dan tidak memihak (arbiter) dapat diminta untuk membantu dalam penyelesaian sengketa antara TTP dan penggunanya. Kontrak harus menentukan bagaimana privasi terhadap informasi pribadi yang sensitif dan lainnya akan dilindungi, dan keadaan dalam hal di mana pengungkapan informasi mungkin terjadi. Gambar 1. Gambaran umum tentang transaksi yang aman menggunakan pihak ketiga

33 Tanggung Jawab dari TTP Sebuah TTP harus menentukan sejauh mana tanggung jawab yang dapat diambil untuk dapat mengoperasian layanan yang aman. Selain itu, TTP harus menggambarkan sejauh mana kewajiban yang dapat diterima sehubungan dengan adanya pelanggaran keamanan. Tanggung jawab TTP serta penggunanya, harus dinyatakan dengan jelas dalam setiap kontrak formal yang mengatur antara pengguna dan TTP. Tanggung jawab harus paling menjadi bagian penting dari kontrak, dan beberapa setidaknya harus didefinisikan sebagai masalah bisnis, sementara yang lain harus sesuai dengan kualitas standar pelayanan. Dokumen lain yang mengandung definisi dari layanan yang akan diberikan, perjanjian layanan dan setiap lampiran teknis dimasukkan sebagai lampiran kontrak. Selain itu juga menentukan tanggung jawab masingmasing dari berbagai pihak yang terlibat. Dokumen-dokumen ini merupakan bagian dari perjanjian kontrak secara keseluruhan. Isi dari kebijakan keamanan TTP akan tergantung pada layanan yang diberikan oleh TTP tersebut. Kebijakan keamanan harus menjadi kerangka kerja yang membahas isu-isu keamanan yang terkait dengan berbagai unsur. Unsur-unsur teknis dari kebijakan keamanan TTP membentuk dasar untuk penilaian terkait keamanan teknis. Suatu Kebijakan keamanan TTP harus mencakup setidaknya unsur-unsur berikut: 17 a) persyaratan keamanan Teknologi Informasi, misalnya dalam hal kerahasiaan, integritas, ketersediaan, akuntabilitas keaslian, dan keandalan, terutama berkaitan dengan pandangan pemilik informasi; b) infrastruktur organisasi dan tugas tanggung jawab dari para pihak; c) integrasi keamanan ke dalam pengadaan dan pengembangan sistem keamanan; d) kesadaran dan pelatihan untuk para pihak yang terlibat; e) prosedur dan perintah yang diberikan; 17 ITU, Op.Cit. hal. 8.

34 24 f) definisi untuk klasifikasi informasi; g) strategi manajemen risiko; h) perencanaan darurat; i) masalah sumber daya manusia, dengan perhatian khusus kepada orang di posisi yang membutuhkan kepercayaan seperti bagian pemeliharaan dan sistem administrator; j) kewajiban terhaap hukum dan peraturan perundangan-undangan yang berlaku; k) pengelolaan outsourcing; dan l) penanganan insiden. Pelaksanaan kebijakan keamanan TTP yang meliputi persyaratan teknis, administratif dan organisasi untuk keamanan harus memiliki penekanan khusus pada persyaratan sebagai berikut: 18 a) jaminan bahwa TTP melakukan fungsinya sedemikian rupa bahwa integritas sistem tidak dapat terganggu atau dirugikan; b) integritas data entitas, bahwa itu adalah lengkap, dimodifikasi dan bahwa sumber dan asal dapat diverifikasi; c) bahwa entitas yang berwenang menjamin ketersediaan dan akses ke layanan dan informasi yang mereka berhak; d) kerahasiaan informasi sensitif dan pribadi dipercayakan oleh entitas untuk TTP, dan e) prosedur untuk audit keamanan sistem TTP tersebut. TTP harus menggunakan standar yang berlaku secara relevan. Standar yang digunakan meliputi standar internasional, nasional, regional, sektor industri, dan standar perusahaan atau aturan tersebut dipilih dan diterapkan sesuai dengan persyaratan keamanan organisasi mereka. Manfaat termasuk interoperabilitas, keamanan terpadu, konsistensi, portabilitas dan kerjasama antara organisasi. Jika organisasi yang berbeda mengembangkan dan menggunakan sistem mereka sendiri atau produk berdasarkan standar 18 Ibid.

35 25 proprietary, ada potensi untuk jangka pendek masalah interoperabilitas dengan berbagai pendekatan. Standar harus diperiksa di dua tingkat; standar rinci teknologi tertentu dan penggunaannya, dan standar untuk interoperabilitas antara teknologi yang berbeda. Petunjuk dan prosedur yang diperlukan sebagai unsur dari kebijakan keamanan TTP. Mereka termasuk diantaranya aturan-aturan yang diperlukan dan peraturan yang ditetapkan oleh organisasi, dan prosedur bimbingan yang diperlukan bagi organisasi untuk menyediakan layanan kepada pengguna. Dalam rangka untuk memperoleh tingkat yang dapat diterima dalam sistem keamanan Teknologi Informasi, TTP harus menerapkan metode manajemen risiko. Proses manajemen risiko untuk keamanan sistem Teknologi Informasi TTP itu harus didasarkan pada analisis rinci risiko yang muncul atau kombinasi pendekatan yang digunakan. Penilaian semua informasi harus dilakukan untuk menentukan kepekaan informasi dan tingkat perlindungan yang sesuai untuk menjaga kerahasiaan, integritas dan ketersediaan. Ancaman, risiko dan perlindungan harus dinilai ulang secara berkala. Berdasarkan hasil analisis risiko pengamanan yang tepat harus dipilih, diuji dan diimplementasikan. TTP ini tunduk pada ancaman kecelakaan atau ketidakdisengajaan yang mungkin berasal dari alam atau manusia. TTP harus dilindungi terhadap ancaman tersebut dengan pengamanan yang dirancang untuk mengurangi kerentanan dengan mengurangi dampak dari insiden yang tidak diinginkan dan / atau dengan meningkatkan fasilitasi pemulihan. Langkah-langkah keamanan, praktek dan prosedur harus mempertimbangkan semua teknis yang relevan, organisasi, administrasi, aspek komersial, manusia dan hukum, dan diintegrasikan ke dalam atau terkoordinasi dengan langkah-langkah yang normal, praktis dan prosedural organisasi. Sebuah TTP yang memberikan pelayanan keamanan terkait sangat bergantung pada sistem teknologi informasi. Oleh karena itu pengamanan teknologi informasi yang spesifik diperlukan untuk membuat mereka tepat dan aman. Perlindungan spesifik Ini dapat dibagi menjadi teknis, komunikasi dan kategori jaringan. Perlindungan dapat dipilih sesuai