Seminar Nasional Teknologi Informasi 2016

Transkripsi

1 Seminar Nasional Teknologi Informasi 2016 C9 IMPLEMENTASI TEKNOLOGI KARTU CHIP PADA KARTU ATM DAN/ATAU KARTU DEBET MENGGUNAKAN STANDAR TEKNOLOGI NATIONAL SPECIFICATION FOR INDONESIA CHIP CARD STANDARD (NSICCS) YANG MENGACU PADA STANDAR EMV (EUROPAY MASTERCARD VISA) Ardiles Sinaga 1) 1) Teknik Informatika Universitas Widyatama Jl. Cikutra No. 204A, Bandung Indonesia ardiles.sinaga@widyatama.com ABSTRACT NSICCS adalah singkatan dari National Specification for Indonesia Chip Card Standard. Yaitu sebuah standar teknologi yang digunakan oleh Bank Indonesia sebagai standar teknologi untuk Alat Transaksi Menggunakan Kartu (ATMK). NSICCS merupakan sebah migrasi teknologi untuk kartu berbasis magnetik stripe ke kartu berteknologi chip. Penggunaan kartu yang dimaksud disini adalah untuk kartu ATM atau debit yang sudang menggunakan chip dan yang sudah melalui proses sertifikasi yang dilakukan melalui functional test dan security test. Standar yang diusulkan ini dipastikan akan menambah kenyamanan bagi para nasabah dalam bertransaksi khususnya dalam hal keamanannya. Standar teknonogi kartu chip yang digunakan dalam NSICCS menggunakan standar yang sama seperti yang digunakan oleh MasterCard dan Visa. NSICCS dibuat berdasarkan standar EMV (Europay Mastercard VISA). EMV merupakan tiga perusahaan kartu kredit yang melakukan kerjasama yang memiliki tujuan untuk mengembangkan ISO 7816 dengan melakukan penambahan fungsi yang saling berhubungan dengan bank lebih detail. ISO 7816 merupakan standart ISO yang mendefenisikan standar teknologi smart card yang berjenis contact card. Adapun standar EMV yang digunakan dalam NSICCS adalah standar EMV yang mengacu pada spesifikasi EMV 4.1. Selain menggunakan teknologi chip card pada kartu ATM atau debit. Selain itu, Bank Indonesia juga mewajibkan penggunaan Personal Identification Number (PIN) paling kurang 6 (enam) digit. Implementasi chip dan penggunaan PIN pada kartu ATM atau debet ini dapat mengurangi terjadinya fraud yaitu titik-titik kerawanan pada industri APMK. Key words NSICCS, chip card, EMV, APMK. Fraud 1. Pendahuluan Perkembangan industri perbankan sedang mengalami perkembangan yang semakin pesat. Perkembangan ini telah merambah hampir ke semua industri yang ada dalam perbankan. Proses pengolahan data transaksi yang besar dan banyak mengharuskan perbankan menggunakan teknologi untuk membantu mereka mengolah data transaksi tersebut, khususnya untuk industry Alat Pembayaran Menggunakan Kartu (APMK). Industri APMK yang saat ini berkembang di Indonesia adalah kartu ATM atau debit serta kartu kredit. Industry ini tumbuh dan berkembang pesat menjadi industri yang memiliki nilai ekonomi yang sangat besar sekali. Pada tahun 2009, total nilai transaksi yang berhasil dikumpulkan mencapau hampir triliun rupiah. Sedangkan pada pertengahan tahun 2010, total nilai transaksi APMK telah mencapai triliun rupiah. Berdasarkan jumlah dari total nilai transaksi itu, berkisar 85% berasal dari kontribusi Bank Nasional dan Bank Internasional, sedangkan sisanya yang 15% berasal dari bank-bank daerah yang tersebar di seluruh Indonesia. Berdasarkan data yang diperoleh dari Data Statistik Bank Indonesia pada November 2012, jumlah kartu ATM dan debit yang beredar mecapai angka 72,40 juta kartu. Hal ini mengalami pertumbuhan sekitar 24,52% dibandingkan dengan bulan November 2011 yang hanya sebesar 58,15 juta kartu saja [1]. Dari data yang dijabarkan diatas, nilai ekonomi yang dihasilkan dari industri APMK tergolong sangat besar. Hal ini menarik perhatian bagi para pelaku kriminal untuk memanfaatkannya dalam meraup keuntungan secara tidak legal. Mereka menggunakan titik-titik kerawanan yang terdapat pada industri APMK untuk melakukan tindakan penyimpangan (fraud). Kebanyakan 51

2 C9 Seminar Nasional Teknologi Informasi 2016 fraud memanfaatkan kerawanan yang terdapat pada aspek teknologi. Salah satu contoh fraud yang banyak terjadi pada kartu ATM atau debit yang sekarang banyak beredar di Indonesia (Magnetic card) adalah proses skimming. Hal ini sangat mudah dilakukan pada terminal/mesin ATM yaitu dengan menggunakan alat tambahan yang ditempel di mulut tempat masuknya kartu. Kemudian disusul dengan kerawanan pada aspek proses, lingkungan, dan manusianya sendiri. Dalam industri APMK, fraud merupakan ancaman yang dapat memberi dampak kerugian kepada masyarakat dan juga pelaku industri. Selain itu fraud juga mampu meyebabkan pengikisan kepercayaan masyarakat dalam hal keamananan bertransaksi yang menggunakan instrumen ATMK. Untuk meningkatkan keamanan bertransaksi dalam industri APMK ini, Bank Indonesia (BI) selaku otoritas sistem pembayaran yang bertanggung jawab untuk menjaga kepercayaan masyarakat terhadap instrumen APMK yang salah satunya adalah pembayaran non tunai telah berupaya untuk melakukan peningkatan keamanan dalam industri APMK untuk menekan terjadinya fraud. Upaya yan dilakukan oleh BI ini mencakup kegiatan perizinan, penerbitan ketentuan, sampai kepada pengawasan terhadap pelaku industri. Salah satu upaya yang dilakukan BI adalah mengimplementasikan sebuah sistem kartu berbasis teknologi chip. Dimana upaya ini mewajibkan semua penerbit kartu ATM atau Debit di Indonesia untuk mengimplementasikan teknologi chip pada kartu ATM/Debit dan penggunaan 6 (enam) digit Personal Identification Number (PIN) untuk semua kartu yang diterbitkan [2][3]. Standar spesifikasi kartu chip yang akan diimplementasikan di Indonesia ini disebut dengan nama NSICCS (National Standard for Indonesia Chip Card Specification). NSICCS adalah singkatan dari National Specification for Indonesia Chip Card Standard. Yaitu sebuah standar teknologi yang digunakan oleh Bank Indonesia sebagai standar teknologi untuk Alat Transaksi Menggunakan Kartu (ATMK). NSICCS merupakan sebah migrasi teknologi untuk kartu berbasis magnetik stripe ke kartu berteknologi chip. Penggunaan kartu yang dimaksud disini adalah untuk kartu ATM atau debit yang sudang menggunakan chip dan yang sudah melalui proses sertifikasi yang dilakukan melalui functional test dan security test. Standar yang diusulkan ini dipastikan akan menambah kenyamanan bagi para nasabah dalam bertransaksi khususnya dalam hal keamanannya. Standar teknonogi kartu chip yang digunakan dalam NSICCS menggunakan standar yang sama seperti yang digunakan oleh MasterCard dan Visa. NSICCS dibuat berdasarkan standar EMV (Europay Mastercard VISA). EMV merupakan 3 perusahaan yang bergerak di bidang kartu kredit dalam melakukan kerjasama yang memiliki tujuan dalam melakukan pengembangan ISO 7816 dengan melakukan penambahan fungsi yang memiliki hubungan saling keterkaitan dengan bank yang lebih detail. ISO 7816 merupakan standart ISO yang mendefenisikan standar teknologi smart card yang berjenis contact card. Adapun standar EMV yang digunakan dalam NSICCS adalah standar EMV yang mengacu pada spesifikasi EMV 4.1 Selain menggunakan teknologi chip card pada kartu ATM atau debit. Selain itu, Bank Indonesia juga mewajibkan penggunaan Personal Identification Number (PIN) paling kurang 6 (enam) digit. Implementasi chip dan penggunaan PIN pada kartu ATM atau debet ini dapat mengurangi terjadinya fraud yaitu titik-titik kerawanan pada industri APMK. 2. Landasan Teori Kartu pembayaran berbasis chip komputer mengganti kartu magnetik stripe di hampir semua negaranegara maju di dunia. Kartu baru ini sesuai dengan spesifikasi Europay, MasterCard, dan Visa (EMV), yang menentukan metode pengolahan dan fitur keamanan untuk kartu chip komputer yang dikeluarkan oleh MasterCard, Visa, JCB, dan American Express [4]. Kepatuhan terhadap spesifikasi memastikan interoperabilitas dimanapun emiten mengadopsi kartu berbasis EMV dan dimanapun pedagang menerimanya. Pada tahun 2011, 44,7 persen dari kartu pembayaran dan 76,7 persen dari terminal pembayaran di seluruh dunia memenuhi spesifikasi EMV (EMVCo) [5]. Semua kartu pembayaran EMV memiliki chip komputer dengan kapasitas untuk menggunakan protokol enkripsi. Kartu chip komputer yang jauh lebih sulit untuk dipalsukan, dapat melindungi informasi yang disimpan pada chip lebih efektif, dan dapat tahan terhadap gangguan dari yang tidak berwenang. Sebuah kartu chip komputer dapat menggunakan enkripsi untuk melindungi data sensitif, dapat mengotentikasi pesan yang diterima, dan dapat mengirim pesan ke emiten yang memungkinkan emiten untuk otentikasi transaksi lebih handal daripada apa yang dapat dilakukan oleh kartu magnetic stripe[6]. Kartu pembayaran chip komputer juga dapat memodifikasi data pembayaran untuk tujuan keamanan. Kapasitas chip komputer pada kartu pembayaran untuk mengenkripsi data memungkinkan proses "otentikasi data dinamis [7]." Tidak seperti kartu magnetik-strip, yang menanggung kode verifikasi statis yang tidak berubah dari satu transaksi ke yang lain, kartu pembayaran chip komputer dapat menyesuaikan kode verifikasi yang berbeda untuk setiap transaksi [8]. Salah satu jenis kartu yang mampu mengotentikasi data dinamis sudah digunakan di Amerika Serikat. Dikenal sebagai kartu contactless, kartu ini telah tertanam chip komputer yang dapat mentransfer data transaksi melalui sinyal radio jika pemegang kartu melewati kartu dekat dengan terminal pembayaran. Chip pada kartu ini menggunakan kunci enkripsi rahasia dan algoritma untuk 52

3 Seminar Nasional Teknologi Informasi 2016 C9 menghasilkan perubahan kode verifikasi untuk digunakan dalam otentikasi (Smart Card Alliance). pembayaran dengan protokol otentikasi yang relatif lemah. Adopsi di Prancis Gambar 1 Inisiasi kartu pembayaran berbasis chip komputer Gambar 1 mengilustrasikan tiga tahap pengolahan pembayaran kartu chip komputer dan mengalirkan informasi yang terkait. Chip komputer menghasilkan kode verifikasi yang dinamis dengan menambahkan nomor spesifik transaksi untuk data kartu lainnya, memastikan bahwa kode verifikasi perubahan dari transaksi ke transaksi. Mengubah kode verifikasi yang digunakan untuk otentikasi pembayaran memiliki manfaat yang sama dengan mengharuskan pengguna komputer untuk mengubah password mereka secara teratur. Jika seorang hacker mencuri password, namun pengguna mengubah password secara teratur, jendela di mana hacker dapat mengambil keuntungan dari password yang dicuri kecil. Jika seorang hacker mencuri data kartu pembayaran yang menghasilkan kode verifikasi yang dinamis, kemampuan hacker untuk menggunakan data kartu untuk penipuan yang sama terbatas [9]. Otentikasi dinamis membantu mencegah penipuan pada tingkat transaksi [10]. Itu menghentikan penipu dari membuat penipuan pembayaran hanya dengan memutar data dari kartu pembayaran yang menggunakan kode verifikasi yang sama untuk setiap transaksi. Di bawah protokol otentikasi data dinamis, pendekatan seperti itu tidak akan berhasil karena penipu tidak dapat menghasilkan kode verifikasi yang selalu berubah yang diperlukan untuk transaksi berturut-turut. Otentikasi data dinamis juga memiliki efek umum yang membantu mengurangi semua metode penipuan kartu pembayaran. Otentikasi lemah pada kartu pembayaran magnetik-stripe memberikan penjahat dengan insentif untuk memperoleh data kartu yang dapat digunakan dalam melakukan pembayaran penipuan. Proses otentikasi kuat dimungkinkan oleh kartu chip komputer, bagaimanapun, mengurangi insentif penjahat untuk memperoleh data kartu. Akibatnya, pelanggaran data, phishing, dan serangan rekayasa sosial semuanya cenderung menurun karena penggunaan kartu chip komputer yang semakin meluas. Pengalaman baru-baru yang dialami oleh Perancis, Belanda, dan Inggris karena mereka bergeser dari magnetic stripe ke kartu pembayaran chip komputer mengungkapkan manfaat yang dirasakan dari mengadopsi kartu pembayaran chip komputer dan tantangan yang ditimbulkan ketika penipuan bergeser ke Prancis mulai menggunakan kartu pembayaran chip komputer pada tahun 1992 dan upgrade ke spesifikasi EMV antara 2001 dan Awalnya, emiten Perancis menggunakan kartu dengan otentikasi data statis. Penipu belajar bagaimana untuk memprogram ulang kartu sehingga beberapa transaksi akan melewati proses persetujuan dengan PIN apapun. (Mengingat kapasitas seperti kartu-kartu memprogram ulang untuk mendapatkan persetujuan, yang dikenal sebagai kartu "Yes") [11]. Emiten Perancis merespon dengan beralih ke kartu otentikasi data dinamis dari tahun 2005 hingga Akibatnya, penipuan kartu palsu menurun secara substansial dalam Penipuan pada kartu yang hilang atau dicuri juga turun. Adopsi di Belanda Pada tahun 2006, bersama dengan semua anggota Single European Payments Area (SEPA), Belanda diberi mandat untuk bermigrasi ke kartu pembayaran EMV [12]. Belanda mulai beralih ke kartu dan terminal EMV pada tahun 2007 (Currence 2007). Meskipun switch ditargetkan selesai pada 2010 untuk transisi EMV, Belanda mempertahankan kartu magnetik stripe lebih lama daripada kebanyakan negara SEPA lainnya [13]. Belanda kini telah menyelesaikan migrasi ke kartu dan terminal EMV tetapi tetap terkena serangan skimming karena kartu pembayaran EMV sering juga memiliki garis-garis magnetik dan beberapa lokasi masih menerima kartu magnetik-stripe. Meskipun diskusi telah diselenggarakan di Eropa uktuk menghilangkan garisgaris magnetik dari kartu pembayaran, praktisi mengalami kesulitan berkaitan dengan kompatibilitas peralatan, kecepatan transaksi, dan kebutuhan untuk pilihan fallback ketika EMV tidak tersedia-telah menunda penghapusan mereka (Observatory for Payment Card Security 2010). Adopsi di Inggris Bertahap, peluncuran kartu pembayaran EMV secara nasional di Inggris dimulai bulan Oktober 2003, dengan tanggal penyelesaian yang ditargetkan Februari Kartu pembayaran EMV di Inggris disebut kartu "chip dan PIN" karena semua transaksi (pembelian dan penarikan) memerlukan PIN. Manfaat kartu pembayaran EMV jelas dapat dirasakan pada awal 2005 ketika kerugian penipuan karena kartu hilang atau dicuri mulai menurun. Kedua perlindungan penipuan ditambahkan pada chip komputer dan penggunaan yang memerlukan PIN untuk keberhasilan transaksi membatasi kemampuan orang yang memiliki kartu yang hilang atau dicuri untuk membuat pembayaran penipuan. 53

4 C9 Seminar Nasional Teknologi Informasi 2016 Penipuan pembayaran segera bermigrasi ke saluran di Inggris dengan otentikasi lemah, seperti kartu masih menggunakan garis-garis magnetik dan pembelian IMOTO [14]. Untuk kompatibilitas, selama masa transisi, kartu pembayaran EMV baru biasanya memiliki kedua chip komputer dan garis-garis magnetik. Penipu kemudian bisa membuat kartu pembayaran palsu magnetik-stripe dan menggunakannya di mana pun merchan atau ATM masih menerima kartu, terutama di luar Inggris. Pengalaman dengan kartu pembayaran chip komputer di Perancis, Belanda, dan Inggris menunjukkan bahwa kemampuan untuk mencegah penipuan pembayaran kartu tidak hanya tergantung pada penggunaan chip komputer tetapi juga pada faktor-faktor penting lainnya. Chip komputer membuktikan nilai mereka untuk membatasi penipuan di kartu palsu. Namun, kartu chip komputer yang masih memungkinkan penggunaan otentikasi data statis masih rentan terhadap serangan. Penurunan yang signifikan lainnya dalam penipuan yang independen dari adopsi chip komputer, sehingga bukan dari penghapusan strip magnetik dan metode otentikasi ditingkatkan untuk transaksi IMOTO. 2.2 EMV (Europay, MasterCard, Visa) Spesifikasi EMV Integrated Circuit Card untuk sitem pembayaran adalah spesifikasi industri pembayaran global yang menjelaskan persyaratan untuk interoperabilitas antara aplikasi pembayaran konsumen berdasarkan Chip dan terminal penerimaan untuk mengaktifkan pembayaran. Spesifikasi ini dikelola oleh organisasi EMVCo [15]. Spesifikasi ini dinamakan demikian sesuai dengan nama aslinya yaitu Europay, MasterCard dan Visa, spesifikasi EMV pertama kali diterbitkan pada tahun Empat belas tahun kemudian, sekarang ada satu miliar kartu chip EMV aktif yang digunakan untuk pembayaran kredit dan debit, sudah 15,4 juta terminal EMV digunakan di seluruh dunia [15]. Teknologi ini bergerak dari kartu pembayaran berbasis strip magnetik ke kartu chip sekarang yang telah berlangsung selama lebih dari satu dekade. Ini pada awalnya diprakarsai oleh Europay (sekarang bagian dari MasterCard), MasterCard dan Visa, dan disingkat dengan EMV. Langkah ini sebagian besar telah didorong secara regional oleh keamanan karena penipuan, pergeseran kewajiban, dan teknologi - mis contactless, dan baru-baru ini teknologi mobile [16]. Selama dekade terakhir chip telah berevolusi berkaitan dengan kemampuan, sementara harganya telah turun, sehingga memperoleh kartu dengan co-prosesor yang terkriptografi dan interface ganda untuk kontak dan pembayaran contactless yang cukup murah. Kombinasi keamanan dan fungsi, khususnya melalui antarmuka contactless, telah membuka pintu ke ruang pasar mobile, yang sudah berada sampai disini. Tugas utama yang terkait dengan proses penerbitan kartu EMV adalah untuk mengekstrak informasi pelanggan dari database bank, feed ke sistem persiapan data (yang menambahkan data tambahan termasuk sertifikat digital dan kunci kriptografi) dan akhirnya menulis data ke chip. Langkah terakhir disebut personalisasi [16]. Mengapa EMV EMV dirancang secara signifikan untuk meningkatkan keamanan bagi kartu pembayaran konsumen dengan menyediakan fitur yang memungkinkan untuk mengurangi penipuan pada pembayaran yang dihasilkan dari kartu palsu dan hilang dan dicuri. Fitur yang didefinisikan oleh EMV adalah sebagai berikut [16]: 1. Otentikasi kartu chip untuk memverifikasi bahwa kartu tersebut asli sehingga untuk melindungi terhadap penipuan palsu untuk kedua transaksi online resmi dan transaksi offline. 2. Parameter manajemen risiko untuk menentukan kondisi di mana penerbit akan mengizinkan kartu chip yang akan digunakan dan memaksa transaksi online untuk melakukan otorisasi dalam kondisi tertentu seperti batas offline yang melebihi. 3. Tandatangan digital data pembayaran untuk integritas transaksi. 4. Verifikasi pemegang kartu yang lebih kuat untuk melindungi terhadap penipuan terhadap kartu yang hilang dan dicuri untuk transaksi EMV. 2.3 NSICCS (National Specification for Indonesia Chip Card Standard) NSICCS adalah sebuah standar teknologi yang digunakan oleh Bank Indonesia sebagai standar teknologi untuk Alat Transaksi Menggunakan Kartu (ATMK). NSICCS merupakan sebah migrasi teknologi untuk kartu berbasis magnetik stripe ke kartu berteknologi chip. Penggunaan kartu yang dimaksud disini adalah untuk kartu ATM atau debit yang sudang menggunakan chip dan yang sudah melalui proses sertifikasi yang dilakukan melalui functional test dan security test. Standar yang diusulkan ini dipastikan akan menambah kenyamanan bagi para nasabah dalam bertransaksi khususnya dalam hal keamanannya. Standar teknonogi kartu chip yang digunakan dalam NSICCS menggunakan standar yang sama seperti yang digunakan oleh MasterCard dan Visa. NSICCS dibuat berdasarkan standar EMV (Europay Mastercard VISA). EMV merupakan 3 perusahaan yang bergerak di bidang kartu kredit dalam melakukan kerjasama yang memiliki tujuan dalam melakukan pengembangan ISO 7816 dengan melakukan 54

5 Seminar Nasional Teknologi Informasi 2016 C9 penambahan fungsi yang memiliki hubungan saling keterkaitan dengan bank yang lebih detail. ISO 7816 merupakan standart ISO yang mendefenisikan standar teknologi smart card yang berjenis contact card. Adapun standar EMV yang digunakan dalam NSICCS adalah standar EMV yang mengacu pada spesifikasi EMV 4.1. Selain menggunakan teknologi chip card pada kartu ATM atau debit. Selain itu, Bank Indonesia juga mewajibkan penggunaan Personal Identification Number (PIN) paling kurang 6 (enam) digit. Implementasi chip dan penggunaan PIN pada kartu ATM atau debet ini dapat mengurangi terjadinya fraud yaitu titik-titik kerawanan pada industri APMK. Fungsi PIN yang dimaksud disini adalah sebagai sarana yang dapat digunakan dalam melakukan autentikasi untuk menangani tanda tangan pemilik kartu yang akan segera digantikan. Autentikasi ke depannya hanya akan dilakukan menggunakan PIN saja, sehingga autentikasi yang menggunakan tanda tangan tidak akan diberlakukan lagi. Berdasarkan surat edaran yang diterbitkan Bank Indonesia, batas waktu untuk menginplementasikan standar teknologi berbasis chip ini dan PIN yang harus digunakan minimal 6 (enam) digit pada kartu ATM atau Debet adalah tanggal 31 Desember 2015, sehingga diprediksi mulai tanggal 1 Januari 2016 semua Kartu debet dan/atau Kartu ATM yang akan ataupun telah diterbitkan oleh Penerbit kartu di Indonesia dan kartu yang dipergunakan untuk melakukan transaksi di Indonesia harus melalui proses yang sudah mempergunakan standar teknologi berbasis chip dan PIN. Pemegang Kartu yang masih menggunakan kartu ATM atau Debet yang memiliki teknologi berbasis pita magnetik (magnetic stripe) atau kartu yang masih menggunakan teknologi chip lainnya, wajib mengembalikannya untuk digantikan dengan Kartu ATM dan/atau Kartu Debet yang sudah memiliki teknologi berbasis chip sesuai dengan standar yang telah melalui kesepakan dan persetujuan antara industri dan Bank Indonesia. Untuk mengganti Kartu ATM dan/atau Kartu Debet yang dimaksud dapat diganti di kantor Penerbit ataupun di lokasi lain yang sudah ditetapkan oleh Penerbit. Adapun standar teknologi berbasis chip dan PIN yang akan digunakan ini diharapkan dapat menambah tingkat rasa aman dan nyaman dalam menggunakan Kartu ATM dan/atau Kartu Debet saat melakukan transaksi di seluruh Indonesia [3][17]. 3. Analisis Pembahasan Pada bagian ini kita akan membahas tujuan dari penelitian ini, siapa saja yang terlibat dalam standarisasi NSICCS, apa saja yang akan kita persiapkan untuk mengimplentasikan standar NSICCS, dan pemrosesan transaksi chip card. Tujuan dari penelitian ini adalah untuk menyampaikan informasi mengenai teknologi kartu chip untuk kartu pembayaran dan standar NSICCS yang menggunakan standar EMV untuk dimplementasikan pada industri alat pembayaran menggunakan kartu. Namun perlu juga diperhatikan, ini bukanlah rekomendasi yang digunakan dalam mengimplementasikan standar NSICCS. Tetapi, hanya sekedar informasi untuk digunakan untuk mempertimbangkan pilihan-pilihan yang dapat diambil untuk mempercepat implementasi standar ini. Dalam mengimplementasikan NSICCS melibatkan banyak stakeholder. Adapun stake holder yang terlibat dapat kita lihat pada gambar dibawah ini: Gambar 2 Stakeholder NSICCS Certification Authority (CA) Lembaga yang dipercaya menerbitkan digital certificate yang digunakan oleh pihak - pihak untuk menjamin pengamanan pertukaran informasi Fungsi : Menyediakan PKI (Public Key Infrastructure) untuk implementasi NSICCS Menjamin interoperability chip card dan terminal di Indonesia Lembaga Sertifikasi (Certification Body) Fungsi CB: Menjaga dan mengelola standard nasional spesifikasi chip card Indonesia (NSICCS) Memastikan kartu dan terminal yang dipasarkan sesuai dengan NSICCS Security Functional Menerbitkan certificate of compliance Fungsi Lab: Sebagai lembaga yang menjalankan fungsi pemeriksaan kesesuaian standard NSICCS Ditunjuk oleh CB untuk membantu fungsi CB Laboratorium tidak mengeluarkan certificate of compliance 55

6 C9 Seminar Nasional Teknologi Informasi Persiapan NSICCS Hal-hal yang harus dipersiapkan sebelum mengimplementasikan NSICCS dapat dijabarkan sebagai berikut: Sebagai Acquirer (yang menerima transaksi): perangkat keras dan perangkat lunak terminal (EDC, ATM, dll) supaya mendukung penggunaan chip card. Namun perlu diingat bahwa saat implementasi NSICCS, bank harus tetap mendukung penggunaan magnetig strip, karena implementasi NSICCS ini tidak dilakukan secara bersamaan di tiap-tiap bank, tetapi dikerjakan melalui berberap tahap. Sebagai Issuer (yang menerbitkan kartu): proses cetak kartu chip dilakukan sendiri, dan juga untuk tiap-tiap transaksi yang diterima harus dilakukan validasi. Sebagai Switch (perantara transaksi): memetakan dan melakukan validasi terhadap transaksi yang nantinya issuer akan menerimanya. Selain hal diatas ada juga yang perlu diperhatikan dalam mengimplementasikan NSICCS ini yaitu: 1. Kartu Kartu magnetic stripe yang sekarang beredar harus segera diganti oleh bank dengan kartu berteknologi chip, supaya NSICCS dapat dimplementasikan. Untuk pembuatan kartu chip ini dibutuhakan perso sistem yang terdiri dari 2 bagian, pertama untuk mengenerate script perso (script perso ini berisi datadata NSICCS), bagian kedua akan digunakan untuk menulis data ke chip card berdasarkan script perso yang digenerate sebelumnya. Jika bank hendak mencetak kartu untuk secara mandiri, maka bank akan membutuhkan biaya yang banyak untuk sistem perso yang akan dibeli sendiri. Sedangkan bagi bank yang mempunyai jumlah kurang dari maka dianjurkan untuk membuat kartunya diserahkan kepada pihak oursourching, sebab dengan demikian bank mampu menekan biaya yang mereka keluarkan. Tetapi, jika proses pengimplementasian NSICCS ingin segera dilakukan dengan cepat, maka dianjurkan kepada pihak bank untuk proses membuat kartu dapat dikerjakan lebih dulu oleh pihak outsource. Pihak bank juga harus memastikan bahwa perusahaan oursource yang mereka gunakan sudah memperoleh sertifikat dari CBI. 2. Terminal Adapun terminal yang dimaksud disini adalah mesin ATM, EDC, dan juga mesin lainnya yang menggunakan kartu debit bank untuk bertransaksi. Bank dapat memastikan dengan bertanya kepada vendor apakah sudah memperoleh sertifikat dari CBI. 3. Host Security Module (HSM) Pihak bank dianjurkan untuk memisahahkan HSM yang dipakai untuk membuat kartu HSM yang digunakan untuk memverifikasi transaksi. Periksa HSM sudah digunakan sekarang, apakah HSM tersebut sudah mendukung untuk melakukan verifikasi transaksi dan mengenerate cryptogram key yang dipakai dalam membuat chip card. 4. ISO8583 Spesifikasi message transaksi yang digunakan akan berubah, akan di tambahkan field-field untuk menampung data NSICCS. Biasanya field yang dipakai untuk menyimpan sementara data EMV yaitu field 55, tetapi itu bukanlah masalah besar. Sebab, hal tersebut didasarkan pada spesifikasi yang dimilkiki oleh tiap-tiap provider. 6. Card Management Sistem (CMS) Apabila bank memustuskan untuk memakai jasa outsource, maka pada ssstem CMS hanya akan mengalami sedikit perubahan. 3.2 Proses NSICCS Pada gambar dibawah ini digambarkan konfigurasi pada standar NSICCS. Gambar 3 Konfigurasi NSICCS Berikut pemrosesan transaksi chip card yang menggunakan standar NSICCS: 1. Pada proses transaksi yang terjadi di EMV diawali dengan melakukan pertukaran data yang terjadi antara kartu chip dengan terminal. Pada saat kartu chip digunakan oleh nasabah di terminal, terminal melakukan komunikasi dengan kartu untuk memperoleh semua informasi-informasi yang dapat digunakan dalam mengambil keputusan apakah transaksi akan diproses secara online ataupun offline. Sekarang ini, di Indonesia akan lebih baik mengimplementasikan pemrosesan kartu chip dilakukan dengan cara online, tetapi di masa yang akan datang diharapkan ada kemungkinan terminal yang digunakan dapat mendukung pemrosesan dengan cara offline juga. Pada saat terminal mengambil keputusan untuk melakukan proses transaksi dengan cara online, Read Record Command akan dikrimkan oleh terminal kepada kartu supaya memperoleh Card Data Object List (CDOL1). Dalam CDOL 56

7 Seminar Nasional Teknologi Informasi 2016 C9 terdapat daftar tag EMV dan juga panjang data EMV. Informasi yang terdapat pada CDOL akan digunakan oleh terminal untuk memperoleh data EMV, yang nantinya AC Command akan digenerate ke kartu dengan menggunakan data yang ada pada CDOL untuk memperloleh ARQC. Prores validasi informasi dilakukan oleh kartu yang dikirimkan oleh terminal, jika data yang diterima itu benar, maka ARQC akan dikirimkan oleh, Application Transaction Counter dan Issuer Application Data 2. Informasi yang diperoleh dari kartu akan digunakan oleh terminal untuk melakukan pengiriman request kepada Acquirer. 3. Transaksi yang diperoleh dari terminal akan dimmaping oleh Acquirer ke dalam bentuk format yang telah ditentukan Issuer/Switch 4. Kemudian, transaksi itu harus diforward oleh Switch tanpa melakukan perubahan terhadap data-data yang ada di dalamnya ke Issuer. Jika pada saat pengiriman transaksi dilakukan ada terdapat data yang diubah, maka pada sisi issuer terdapat kegagalan validasi ARQC, dan akan berakibat kepada transaksi tidak dapat diteruskan lagi. 5. ARQC akan digenerate oleh Issuer dengan menggunakan data-data EMV yang diperoleh dari proses sebelumnya, lalu melakukan validasi ARQC dari kartu, jika proses validasi sukses maka ARPC akan digenerate oleh issuer, kemudian mengirimkan ARPC sebagai response. Disamping ARPC, issuer script command juga digenerate oleh issuer yang juga merupakan Application Protocol Data Unit (APDU) command. Untuk melakukan pengidentifikasian key file index mana yang akan dipakai dilakukan oleh Tag 9F10 yang dikirimkan melalui request transaksi dan juga memuat cryptogram version number (CVN). CVN digunakan oleh issuer untuk memutuskan penggunaan algoritma yang sesuai pada saat melakukan generate session key dan cryptogram s block of data 6. Berikutnya, melalui Switch dan Acquirer akan mengirimkan kembali informasi yang diperoleh dari issuer ke terminal dan kartu, tanpa melakukan perubahan terhadap data asli. Jika pada saat pengiriman response transaksi ada terdapat perubahan data, maka proses validasi ARPC akan mengalami kegagalan, dan transaksi akan ditolak. 7. Pada saat terminal memperoleh response, ARPC dan Issuer Script Command akan dikirimkan oleh terminal ke kartu melalui external Authentication Command. 8. Berdasarkan data-data yang diperoleh dari terminal, ARPC akan digenerate oleh kartu, dan kemudian melakukan validasi terhadap ARPC dari issuer. Dan juga melakukan validasi terhadap issuer Script Command. Jika proses validasi dinyatakan sukses maka transaksi juga akan dinyatakan sukses. Pada saat melakukan implemenntasi standar NSICCS dalam transaksi keuangan dengan menggunakan kartu pada ATM dan Debit terdapat kendala-kendala teknis yang mempengaruhi proses pengimplementasian standar ini. Dibawah ini ada beberapa permasalahanpermasalahan teknis yang sering dijumpai dalam mengimplementasikan NSICCS ini. Berikut permasalahan-permasalahan teknis tersebut: 1. Pada saat melakukan migrasi ke NSICCS, berbagai system di e-bangking yang terdapat bank secara teknis akan ikut terlibat dalam perubahan, secara khusus semua perangkat issuing, acquiring maupun switch yang memiliki keterkaitan dengan kartu. 2. Dengan mengimplementasikan NSICCS, sistemsistem yang ditunjukkan pada skema di atas akan mengalami perubahan. 3. Perubahan sistem yang begitu kompleks membuat bank seringkali memperoleh kesulitan dan hambatan untuk memulai dari titik mana migrasi NSICCS akan dilakukan. 4. Posisi sentral untuk melakukan proses migrasi ini ditempati oleh proses personalisasi terhadap key management dan kartu chip. Hal ini disebabkan oleh: Rumitnya sistem personalisasi pada kartu chip dibandingkan dengan proses produksi yang dilakukan terhadap kartu magnetic stripe. Proses pengujian pada seluruh perangkat acquiring hanya dapat dilakukan jikalau sudah tersedianya kartu yang sesuai dengan standar NSCCS. Kartu hanya dapat diuji di perangkat acquiring jikalau sudah tersedia perangkat key management yang menghubungkan key yang terdapat pada kartu dengan key yang sudah terpasang di terminal (ATM/EDC). Transaksi yang dilakukan di luar jaringan ATM/EDC yang dimiliki oleh bank (off-us) hanya mampu diuji jikalau sudah terdapat perangkat dari bank mitra atau sudah ada ketersediaan simulated acquiring environment yang dapat mendukung kartu chip. Hubungan ketergantungan antara berbagai migrasi. 4. Kesimpulan Menurut hasil yang diperoleh dari pembahasan diatas penulis dapat mengambil kesimpulan bahwa NSICSS adalah sebuah standar yang digunakan pada kartu ATM ataupun Debet yang menggunakan teknologi kartu berbasis chip yang menggantikan teknologi kartu 57

8 C9 Seminar Nasional Teknologi Informasi 2016 ATM ataupun Debet sebelumnya yang menggunakan teknologi berbasis magnetic strip. Standar teknologi berbasis chip dan PIN yang digunakan pada standart NSICCS ini diharapkan dapat meningkatkan rasa aman dan nyaman dalam menggunakan Kartu ATM dan/atau Kartu Debet dalam melakukan proses transaksi menggunakan kartu sebab kartu yang berstandar NSICCS ini sudah melalui proses sertifikasi yang dilakukan melalui functional test dan security test. Untuk itulah Bank Indonesia selaku yang berwenang mengatur regulasi ini mewajibkan semua penerbit kartu di seluruh wilayah Indonesia segera mengimplementasikan standar NSICCS ini pada kartu ATM atau Debet yang mereka terbitkan. Pada pembahasan ini penulis menghimbau bahwa tulisan ini bukan merupakan sebuah rekomendasi untuk mengimplementasikan standar ini, namun hanya merupakan diskusi dan buah-buah pemikiran yang terdiri dari opsi-opsi yang mungkin saja dapat digunakan dalam mempercepat proses pengimplementasian untuk memenuhi kebijakan implementasi teknologi berbasis chip ini pada saat yang sudah ditentukan sebelumnya. Selain itu penulis juga menyampaikan kepada pihakpihak yang terlibat di dalamnya agar lebih waspada terhadap proses implementasi yang sudah berjalan pada sistem saat ini, baik itu merupakan pilihan yang telah dipilih sendiri secara sadar maupun pilihan yang sudah dipilih oleh pihak ketiga. REFERENSI [1] Data Statistik Bank Indonesia, November 2012, Jakarta. [2] Peraturan Bank Indonesia Nomor 14/2/PBI/2012, 2012, "Perubahan Atas Peraturan bank Indonesia No,or 11/11/PBI/2009 Tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu", Jakarta. [3] Surat Edaran Bank Indonesia No. 13/22/DASP, 2012, "Perubahan atas Surat Edaran Bank Indonesia Nomor 11/10/DASP perihal Implementasi Teknologi Chip dan Penggunaan Personal Identification Number pada Kartu ATM dan/atau Kartu Debet yang diterbitkan di Indonesia", Jakarta. [4] Federal Reserve Board., 2012, Average Debit Card Interchange Fee by Payment Card Network, available at: regiiaverage-interchange-fee.htm. [5] Federal Reserve System, 2011, The 2010 Federal Reserve Payments Study. April 5. [6] Goessl, Leigh, 2012, scam: Fake Verizon bills duping customers, Digital Journal, May 17, Available online at: [7] Heun, David, 2012, MC: Pick Any Chip-Card Security You Want, as Long as It s PIN. American Banker, February 2, Available online at: [8] King, Douglas A, 2012, PIN Authentication Versus Signature Authentication, Portals and Rails blog, Federal Reserve Bank of Atlanta (January 23), Available online at: portalsandrails.frbatlanta.org/2012/01/pin-authenticationvssignature-authentication.html [9] MasterCard, 2012, MasterCard Card Identification Features. Available online-at: yrules/card_id_sec_features.html [10] Moore, Tyler and Ross Anderson, 2012, Economics and Internet Security: A Survey of Recent Analytical, Empirical and Behavioral Research. Forthcoming in M. Peitz and J. Waldfogel, eds., The Oxford Handbook of the Digital Economy, Oxford University Press. [11] Murdoch, Steven J, 2007, Chip & PIN Relay Attacks. Light Blue Touchpaper website. February 6, Available online at: [12] Nilson Report, 2012a, Purchase Volume at Merchants in the U.S. Issue 988, February b, Purchase Volume at Merchants on U.S. General Purpose Cards. Issue 994, May. [13] Observatory for Payment Card Security, 2009, Appendix D: Statistics, Annual Report. Bank of France, pp , 2010, Security Issues Linked to Developments in French and European Card Payment Schemes. Annual Report, Bank of France, pp , 2011, Fraud Statistics for Annual Report, Bank of France, pp [14] Payments Source, 2010, Nearly 14,000 Cards Skimmed In Alleged Scheme. Available online at: May 2011, "A Guide to EMV Version 1.0", EMVCo LLC. [15] Cryptomathic, 2013, "EMV Key Management Explained", Jægergårdsgade 118, DK-8000 Aarhus C, Denmark. [16] Surat Edaran Bank Indonesia Nomor 14/23/DASP tahun 2011, 2011, "Tentang Implementasi Teknologi Chip dan Penggunaan Personal Identification Number pada Kartu ATM dan/atau Kartu Debet yang diterbitkan di Indonesia", Jakarta. Ardiles Sinaga, memperoleh gelar S.T. dari STMIK LPKIA Bandung tahun 2008 dan M.T. dari Telkom University Bandung, Indonesia tahun Saat ini sebagai Staf Pengajar program studi Teknik Informatika Universitas Widyatama Bandung. 58