Transaksi pada E-Commerce Pertemuan 2 Shinta Rahmani, Se., Msi 1 Shopper/Purchaser Electronic commerce network (Infrastructure) Seller/Supplier Product/service information request Purchase request Payment or payment advice Purchase fulfillment request Purchase change request Response to information request Purchase acknowledgment Shipping notice Purchase/service delivery (if online) Payment acknowledgment Payment approval Electronic transfer of funds Electronic Market (Transaction Hander) Payment remittance notice Electronic transfer of funds Response to fulfillment request Shipping notice Electronic transfer of funds Shopper/Purchaser s Bank Transaction Handler s Bank (Automated Clearing House) Electronic Markets Prentice Hall, 2000 Seller/Supplier s Bank 2 11 1
Sistem Pembayaran elektronik dan pengamannya Client Browser Verify merchant Receive order Receive payment Confirm order Payment Server Merchant s Web Server Verify customer Review payment Authorize or deny payment Credit cards VISA MasterCard Bank accounts Debit Cards Online Banking Online buying CyberCash 1 ClickCharge E-Bill Payment CheckFree BillerXpert Electronic Cash Cybergold Qpass Jenis-Jenis Pembayaran di Internet 1. Kartu Magnetik (Magnetic Stripe Card) 2. Kartu Kredit 3. Cek Elektronik 4. Digital Cash 5. Kartu Pintar (Smart Card) 6. EDI 4 2
5 1. Kartu Magnetik (Magnetic Stripe Card) Kartu Plastik dengan pita magnetik dibelakangnya Biasanya digunakan untuk Kartu ATM, Kartu kredit, kartu debit, kartu telepon, kartu tol, kartu masuk gedung/anggota dll Memiliki 2-3 jalur magnetik berisi informasi Biasanya terdiri dari offline strip, online strip atau smart card hybrid. 6 3
2. Kartu Kredit Bagian-bagian kartu kredit Bagian depan terdiri dari : kartu kredit terdiri dari nama bank sebagai penerbit, nomor kartu, logo kartu, nama pemegang kartu dan masa berlaku kartu kredit. Bagian belakang terdiri dari : pita magnetik yang di sebut dengan magstripe. Pita magnetik terdiri dari batangan magnet dalam ukuran mili yang disusun sejajar sepanjang kartu. 4
Cara kerja kartu kredit Setelah bank menyetujui kartu kredit yang anda ajukan, bank akan memberikan PIN sama seperti anda menerima kartu ATM dari bank. Merchant memiliki alat verifikasi elektronik (Electronic verification ) yang bisa mengidentifikai kartu kredit yang digunakan apakah masih berlaku atau tidak, limit dari transaksi yang di izinkan, data ini didapat dari pita magnetik yang berada di belakang kartu kredit. Jika masih berlaku transaksi dilanjutkan. Pemegang kartu memasukan PIN yang diterima dari bank penerbit, transaksi berjalan dan anda tinggal menunggu tagihan dari bank penerbit kartu Cara kerja kartu kredit 1. Selama ini dengan 2 cara : 1. Mengirim nomor kk yang tidak tersandikan 2. Encription nomor kk sebelum transaksi ditransmisikan. 2. Pada sisi pedagang pemrosesan informasi kartu kredit yg datang menggunakan CGI (Common Gateaway Interface), agar lebih aman biasanya menggunakan server dan browse yang mendudung SSL (Secure socket Layer) 10 5
3. Cek Elektronik 1. Sistem dikembangkan oleh FTSC (Financial Technologi Service Corporation) dan cybercash 2. Sama seperti cek tradisional, yg versi elektrik menggunakan sertifikat digital untuk otentikasi pembayar, bank pembayar dan rekening bank 11 4. Digital Cash 1. Penarikan uang biasanya dilakukan dengan token, yg sudah ditandai dengan digital stamp. 2. Umumnya jumlah yang digunakan tidak terlalu besar 12 6
5. Smart Card Conventional credit card : Data yang disimpan terbatas Menggunakan magnetic stripe Disebut generasi pertama smart cards Smart Card : Menggunakan memory chips Dilengkapi microprocessor chip (intelligent : data dapat dimanipulasi, diberi perintah/command) Data lebih aman/ cryptographic techniques Tidak dapat dicopy dengan mudah Mempunyai aplikasi : electronic payments, authentication, dan health care Di Singapura, smartcard dikenal dengan istilah cash card. Pemakaian smartcard ini hampir sama dengan pemakaian kartu ATM yang biasa dipakai untuk berbelanja, yaitu pada saat transaksi, uangnya didebet langsung dari account di bank. Untuk pembayaran di internet, user harus memiliki smart card reader. Dalam pemakaiannya, alat khusus ini disambungkan ke port serial di komputer. Pada saat melakukan transaksi, kartu smart card harus digesekkan ke alat tersebut, sehingga chip yang terdapat di kartu dapat dibaca oleh komputer. Untuk softwarenya, digunakan software bernama ewallet. Contoh web site yang telah menyediakan smartcard untuk pembayaran adalah http://www.discvault.com. 7
Smart Card Smart Card Central processing unit (CPU): 8 bit microprocessor dilengkapi cryptographic processor untuk melakukan fungsi cryptographic RAM : Menyimpan data temporal EPROM : Menyimpan data untuk jangka waktu lama seperti cryptographic keys dan software applications. ROM : Menyimpan permanen data seperti system operasi I/O : menyediakan fungsi input/output data 8
Smart Card Contoh : Mondex (http://www.mondex.com) Visa Cash (http://www.visa.com) Proton (http://www.protonworld.com) Keamanan E-commerce 18 9
e-commerce tidak dapat distandarkan dengan pasti, namun secara umum e-commerce merupakan Satu set dinamis teknologi, aplikasi dan proses bisnis yang menghubungkan perusahaan, konsumen dan komunitas tertentu melalui transaksi elektronik dan perdagangan barang, pelayanan dan informasi yang dilakukan secara elektronik. Pilar Keamanan Sistem e-commerce Authentication (keabsahan pengirim) Identitas pengguna/pengirim data teridentifikasi (tidak ada kemungkinan penipuan) Confidentiality (kerahasiaan data) data tidak dapat dibaca oleh pihak yang tidak berhak Integrity (keaslian data) data tidak dapat diubah secara tidak sah Non-Repudiation (anti-penyangkalan) tidak ada penyangkalan pengiriman data (dari pihak penerima terhadap pihak pengirim) 10
Ancaman Keamanan di Internet Enkripsi vs Dekripsi Enkripsi berarti mengkodekan data ke format tertentu menggunakan kunci rahasia 11
Enkripsi vs Dekripsi Dekripsi mengkodekan data yang terenkripsi ke format asli Enkripsi vs Dekripsi 12
Enkripsi vs Dekripsi Contoh: Enkripsi RSA Standar Keamanan di Internet Keamanan untuk Jaringan: Kategori dalam Firewall: Statis: 1. mengijinkan semua lalu lintas data melewatinya, kecuali secara eksplisit dihalangi (blocked) oleh administrator firewall 2. menghalangi semua lalu lintas data yang masuk, kecuali secara eksplisit diijinkan oleh administrator firewall Dinamis: layanan yang keluar masuk ditetapkan untuk periode waktu tertentu (membutuhkan sumber daya manusia yang lebih 13
Standar Keamanan di Internet Keamanan untuk Jaringan: Karakteristik Firewall: penyaringan paket (packet filtering) penerjemahan alamat jaringan (network address translation) proxy peringkat aplikasi (application-level proxies) pemeriksaan keadaan (stateful inspection) VPN (Virtual Private Network) real-time monitoring Standar Keamanan di Internet Keamanan untuk Aplikasi Web S-HTTP dan SSL Keamanan untuk e-mail PEM, S/MIME, dan PGP Keamanan untuk Jaringan Firewall 14
Standar Keamanan di Internet Keamanan untuk Aplikasi Web: S-HTTP secara spesifik dirancang untuk mendukung protokol HTTP (Hypertext Transfer Protokol) dalam hal otorisasi dan keamanan dokumen SSL Melindungi saluran komunikasi di antara 2 protokol bagian bawah dalam tumpukan protokol menurut standar TCP/IP. Dapat juga digunakan untuk transaksi-transaksi selain yang berjalan di Web TERIMA KASIH 30 15
Standar Keamanan di Internet Keamanan untuk e-mail: Privacy-Enhanced Mail (PEM) standar Internet untuk mengamankan e-mail menggunakan kunci publik. saat ini mulai berkurang penggunaannya karena ia tidak dirancang dan dikembangkan untuk menangani surat elektronik yang memiliki berbagai jenis lampiran (misalnya: gambar, suara serta video) Secure MIME (S/MIME) standar baru untuk keamanan e-mail yang menggunakan algoritma-algoritma kriptografi yang telah memiliki hak paten dan dilisensi oleh RSA Data Security Inc bergantung pada berbagai jenis otoritas sertifikat, apakah bersifat global atau perusahaan, untuk memastikan otentikasi Standar Keamanan di Internet Keamanan untuk e-mail: Pretty Good Privacy (PGP) suatu aplikasi populer yang dikembangkan untuk pengiriman pesan dan berkas (file) merupakan aplikasi keamanan yang paling banyak digunakan untuk e-mail, serta menggunakan berbagai standar enkripsi Aplikasi-aplikasi enkripsi/deskripsi PGP tersedia bagi hampir semua sistem operasi dan pesan dapat dienkripsi 16
Standar Keamanan di Internet Firewall melindungi serangan pada protokol individual atau aplikasi melindungi sistem komputer dari Spoofing (program-program merusak yang menyamar sebagai aplikasi yang bermanfaat) menyediakan titik tunggal kendali keamanan bagi jaringan (kontradiksi: Firewall dijadikan titik pusat perhatian Hacker untuk membobol jaringan) Firewall tidak memeriksa adanya virus pada berkas yang masuk, sehingga tidak dapat menjamin integritas data Firewall tidak melakukan otentikasi sumber data Standar Keamanan di Internet 17
Standar Keamanan di Internet Keamanan untuk Jaringan: Kategori dalam Firewall: Statis: 1. mengijinkan semua lalu lintas data melewatinya, kecuali secara eksplisit dihalangi (blocked) oleh administrator firewall 2. menghalangi semua lalu lintas data yang masuk, kecuali secara eksplisit diijinkan oleh administrator firewall Dinamis: layanan yang keluar masuk ditetapkan untuk periode waktu tertentu (membutuhkan sumber daya manusia yang lebih Standar Keamanan di Internet Keamanan untuk Jaringan: Karakteristik Firewall: penyaringan paket (packet filtering) penerjemahan alamat jaringan (network address translation) proxy peringkat aplikasi (application-level proxies) pemeriksaan keadaan (stateful inspection) VPN (Virtual Private Network) real-time monitoring 18