Sebuah toko E Commerce memerlukan volume lalu lintas yang baik untuk
mendapatkan pelanggan potensial dan meningkatkan tingkat konversinya. Namun,
untuk menarik pengunjung, situs web E Commerce harus menawarkan yang terbaik
dari segalanya. Tidak hanya fitur yang baik, tetapi keamanan yang baik sama
pentingnya. Transaksi online sebagian besar penuh dengan beberapa keraguan di
pihak pengunjung. Yaitu mereka diwajibkan untuk memberikan informasi sensitif
seperti informasi kartu kredit dll untuk membuat transaksi online. Oleh karena
itu, orang berpikir dua kali sebelum mempercayai sebuah website. Ini membuat
tugas sedikit lebih keras untuk situs web. Sebuah website harus memiliki
struktur yang kuat dan aman untuk menjamin pengunjung tentang keamanan mereka.
Harus bisa meyakinkan pengunjung bahwa informasi mereka akan aman dan mereka
dapat melakukan pembelian tanpa khawatir tentang apapun.
Oleh karena itu, keamanan sangat penting atau situs web tidak akan mendapatkan
setiap pelanggan potensial. Dan tanpa pelanggan potensial, bisnis akan pergi ke
saluran pembuangan. E Comerce menjanjikan berbagai macam keuntungan yang
didapatkan,tetapi dilain pihak terdapat pula kelemahan dan resiko dalam E
Comerce diantaranya:
- Kehilangan segi financial secara langsung karena kecurangan
- Pencurian informasi rahasia yang berharga
- Kehilangan kesempatan bisnis karena gangguan pelayanan
- Penggunaan akses ke sumber oleh pihak yang tidak berhak
- Kehilangan kepercayaan dari para konsumen
- Kerugian-kerugian yang tidak terduga
- Pencurian informasi rahasia yang berharga
- Kehilangan kesempatan bisnis karena gangguan pelayanan
- Penggunaan akses ke sumber oleh pihak yang tidak berhak
- Kehilangan kepercayaan dari para konsumen
- Kerugian-kerugian yang tidak terduga
Faktor pendorong muncul dan berkembangnya keamanan e-Commerce:
- Kemajuan infrasutruktur sistem komunikasi
- Meledaknya sistem perdagnagn global
- Sistem perdagangan real time
- Meningkatkan rasa pengertian/penghargaan terhadap segala resiko yang mungkin terjadi
- Tersedianya teknologis sistem keamanan (security)
- Sistem keamanan sebagai aset yang berharga
- Politik
- Pengakuan terhadap pernyataan sah
- Kemajuan infrasutruktur sistem komunikasi
- Meledaknya sistem perdagnagn global
- Sistem perdagangan real time
- Meningkatkan rasa pengertian/penghargaan terhadap segala resiko yang mungkin terjadi
- Tersedianya teknologis sistem keamanan (security)
- Sistem keamanan sebagai aset yang berharga
- Politik
- Pengakuan terhadap pernyataan sah
Secure Electronic Commerce:
adalah E Commerce yang menggunakan prosedur sistem keamanan dan teknik untuk menghadapi resiko yang terjadi. Fungsi-fungsi umumnya antara lain:
- Authentication (Pembuktian keaslian)
- Confidentiality (kerahasiaan)
- Data integrity (integritas data)
Biasanya semua itu diimplementasikan dengan menggunakan teknologi kriptografi seperti enkripsi dan digital signature.
adalah E Commerce yang menggunakan prosedur sistem keamanan dan teknik untuk menghadapi resiko yang terjadi. Fungsi-fungsi umumnya antara lain:
- Authentication (Pembuktian keaslian)
- Confidentiality (kerahasiaan)
- Data integrity (integritas data)
Biasanya semua itu diimplementasikan dengan menggunakan teknologi kriptografi seperti enkripsi dan digital signature.
KONSEP DASAR KEAMANAN E Commerce
Secure Socket Layer
Informasi yang dikirim melalui Internet biasanya menggunakan seperangkat aturan yang disebut TCP / IP (Transmission Control Protocol / Internet Protocol). Informasi ini dibagi menjadi paket-paket dan bernomor secara berurutan. Masing-masing paket dikirim melalui rute yang berbeda. PKI dan SSL menggunakan sertifikat digital untuk memastikan privasi dan otentikasi. Prosedur adalah seperti client mengirimkan pesan ke server, yang menjawab dengan sertifikat digital. Menggunakan PKI, server dan client bernegosiasi untuk membuat sesi kunci, yang merupakan kunci rahasia simetris khusus diciptakan untuk transmisi tertentu. Setelah sesi kunci sepakat, komunikasi berlanjut dengan sesi ini kunci dan sertifikat digital.
PCI, SET, Firewalls and Kerberos : PCI, SET, Firewall dan Kerberos
Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang.
SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography. Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.
Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.
Standar enkripsi yang digunakan e-commerce saat ini adalah SET (Secure Electronic Transaction). Selain digunakan untuk pembayaran dengan credit card, SET juga digunakan untuk pembayaran dengan smartcard. Dengan menggunakan SET, kerahasiaan informasi customer (berupa nama dan nomor kartunya) bisa terjaga dengan baik. SET juga bisa menjaga autotentifikasi atau identitas penjual dan customer, sehingga tidak bisa disalahgunakan oleh sembarang orang.
SET menggunakan suatu kriptografi khusus bernama asymmetric cryptography untuk menjamin keamanan transaksi. Asymmetric cryptography ini juga disebut dengan nama Public-key Cryptography. Enkripsi ini menggunakan dua kunci/key (yaitu kode), satu kunci digunakan untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data tersebut. Kedua kunci tersebut terhubung secara matematis dengan rumus tertentu, sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa di-dekripsi dengan menggunakan kunci pasangannya.
Rincian kartu kredit dapat dikirim secara aman dengan SSL, tetapi sekali tersimpan di server mereka rentan terhadap luar hacking ke server dan jaringan yang menyertainya. Kartu PCI (peripheral component interconnect: hardware) sering ditambahkan untuk perlindungan, oleh karena itu, atau pendekatan lain sama sekali diterapkan: SET (Secure Electronic Transaction). Dikembangkan oleh Visa dan Mastercard, SET menggunakan PKI untuk privasi, dan sertifikat digital untuk autentikasi yang tiga pihak: pedagang, nasabah dan bank. Lebih penting lagi, informasi yang sensitif tidak dilihat oleh para pedagang, dan tidak disimpan di server pedagang.
Firewall (perangkat lunak / perangkat keras) melindungi server, jaringan dan individu PC dari serangan virus dan hacker. Tidak kalah pentingnya adalah perlindungan dari kejahatan atau kecerobohan dalam sistem, dan banyak perusahaan yang menggunakan protokol Kerberos, yang menggunakan kriptografi kunci rahasia simetrik untuk membatasi akses ke karyawan yang berwenang.
Tujuan-tujuan Sistem Keamanan Informasi:
·
Confidentially: menjamin apakah informasi yang
dikirim tersebut tidak dapat dibuka atau tidak dapat diketahui oleh orang lain
yang tidak berhak.
·
Integrity: menjamin konsistensi data tersebut
apakah masih utuh sesuai aslinya atau tidak, sehingga upaya orang-orang yang
tidak bertanggung jawab untuk melakukan penduplikatan dan perusakan data bisa
dihindari.
·
Availability: menjamin pengguna yang sah agar
dapat mengakses informasi dan sumber miliknya sendiri.
·
Legitimate Use: menjamin kepastian bahwa sumber
tidak digunakan oleh orang-orang yang tidak bertanggung jawab.
Sistem Keamanan Informasi:
Merupakan penerapan teknologi untuk mencapai tujuan-tujuan keamanan system informasi dengan menggunakan bidang-bidang utama yaitu:
·
Sistem
Keamanan Komunikasi (Communications security) merupakan perlindungan terhadap
informasi ketika di kirim dari sebuah sistem ke sistem lainnya.
·
Keamanan Komputer (Computer security) adalah
perlindungan terhadap sistem informasi komputer itu sendiri.
·
Keamanan secara fisik seperti pengamanan oleh
penjaga keamanan, pintu yang terkunci, sistem control fisik lainnya, dan sebagainya.
·
Keamanan Personal meliputi kepribadian
orang-orang yang mengoperasikan atau memilki hubungan langsung dengan sistem
tersebut.
·
Keamanan administrative contohnya mengadakan
control terhadap perangkat-perangkat lunak yang digunakan, mengecek kembali
semua kejadian-kejadian yang telah diperiksa sebelumnya dan sebagainya.
·
Keamanan media yang digunakan meliputi
pengontrolan terhadap media penyimpanan yang ada dan menjamin bahwa media
penyimpanan yang mengandung informasi sensitive tersebut tidak mudah hilang
begitu saja.
Konsep Dasar e-Commerce:
·
Security Policy (Kebijaksanaan keamanan yang
digunakan) merupakan satu set aturan yang diterapkan pada semua
kegiatan-kegiatan pengamanan dalam security domain. Security domain merupakan
satu set sistem komunikasi dan computer yang dimiliki oleh organisasi yang
bersangkutan.
·
Authorization (Otorisasi) berupa pemberian
kekuatan secara hukum untuk melakukan segala aktifitasnya
·
Accountability (kemampuan dapat diakses)
memberikan akses ke personal security.
·
A
Threat(ancaman yang tidak diinginkan) merupakan kemungkinan-kemungkinan
munculnya seseorang, sesuatu atau kejadian yang bisa membahayakan aset berharga
khususnya hal-hal yang berhubungan dengan confidentiality, integrity,
availability dan legitimate use.
·
An Attack(serangan yang merupakan realisasi dari
ancaman), pada system jaringan computer ada dua macam attack, yaitu passive
attack dan active attack.
·
Safeguards(pengamanan) meliputi control fisik,
mekanisme, kebijaksanaan dan prosedur yang melindungi informasi berharga dari
ancaman-ancaman yang mungkin timbul setiap saat.
·
Vulnerabilities(lubang-lubang kemaan yang bisa
ditembus)
·
Risk(resiko kerugian) merupakan perkiraan nilai
kerugian yang ditimbulkan oleh kemungkinan adanya attack yang sukses.
- Risk Analysis(analisa kerugian) merupakan proses yang menghasilkan keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar-benar bisa menjamin tingkat keamanan yang diinginkan.
- Risk Analysis(analisa kerugian) merupakan proses yang menghasilkan keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar-benar bisa menjamin tingkat keamanan yang diinginkan.
Threats(ancaman):
·
System Penetration: orang-orang yang tidak berhak,
mendapatkan akses ke sistem computer dan diperbolehkan melakukan segalanya.
·
Authorization Violation: Ancaman berupa
pelanggaran atau penayalahgunaan wewenang legal yang dimiliki oleh seseoarang
yang berhak.
·
Planting: Ancaman yang terencana misalnya Trojan
horse yang masuk secara diam-diam yang akan melakukan penyerangan pada waktu
yang telah ditentukan.
·
Communications Monitoring: penyerang dapat
melakukan monitoring semua informasi rahasia.
·
Communications Tampering: penyerang mengubah
informasi transaksi di tengah jalan pada sebuah jaringan komunikasi dan dapat
mengganti sistem server dengan yang palsu.
·
Denial of Service (DoS): Penolakan service
terhadap client yang berhak.
·
Repudiation: Penolakan terhadap sebuah aktivitas
transaksi atau sebuah komunikasi yang terjadi dikarenakan sesuatu yang bersifat
senagja, kecelakaan ataupun kesalahan teknis lainnya.
Safeguards:
Yang dilakukan safeguards yaitu:
Yang dilakukan safeguards yaitu:
·
Mencegah munculnya threats (ancaman) sebelum
benar-benar terealisasi
·
Meminimalisasikan kemungkinan terjadinya ancaman
tersebut.
·
Mengurangi akibat yang timbul karena ancaman
yang sudah terealisasi.
Security service safe guards:
·
Authentication Service: memberikan kepastian
identitas pengguna.
a. Entity authentication: contohnya password.
b. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis.
a. Entity authentication: contohnya password.
b. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis.
·
Access Control Services: melindungi semua
fasilitas dan sumber-sumber yang ada dari akses-akses yang tidak berhak.
·
Confidentiality Service: memberikan perlindungan
terhadap informasi yang berusaha disingkap oleh orang lain yang tidak berhak.
·
Data Integrity Srevice: perlindungan terhadap
ancaman yang dapat mengubah data item seandainya ini terjadi di dalam lingkungan
security policy.
·
Non-Repudiation Service: melindungi user
melawan ancaman yang berasal dari user berhak lainnya seperti kesalahan
penolakan ketika transaksi atau komunikasi sedang terjadi
