No.1 Contoh Transaksi Online (Prosedur)

PERSYARATAN DAN KLASIFIKASI
SISTEM PERDAGANGAN DI INTERNET

Sebelum membahas secara mendalam mengenai sistem keamanan, akan dianalisis dan dirinci kembali kebutuhan dari suatu sistem perdagangan di Internet (SPI) secara umum. Analisis kebutuhan dari suatu SPI memang harus dibuat secara matang agar SPI tersebut dapat memenuhi kebutuhan keamanan pihak-pihak yang melakukan transaksi di Internet. Bab ini akan membahas mengenai kebutuhan dan klasifikasi-klasifikasi sistem perdagangan.

Kebutuhan Umum

Secara umum, suatu transaksi perdagangan seyogyanya dapat menjamin:

1. Kerahasiaan (confidentiality): Data transaksi harus dapat disampaikan secara rahasia, sehingga tidak dapat dibaca oleh pihak-pihak yang tidak diinginkan.
2. Keutuhan (integrity): Data setiap transaksi tidak boleh berubah saat disampaikan melalui suatu saluran komunikasi.
3. Keabsahan atau keotentikan (authenticity), meliputi:

• Keabsahan pihak-pihak yang melakukan transaksi: Bahwa sang konsumen adalah seorang pelanggan yang sah pada suatu perusahaan penyelengara sistem pembayaran tertentu (misalnya kartu kredit Visa dan MasterCard, atau kartu debit seperti Kualiva dan StarCard misalnya) dan keabsahan keberadaan pedagang itu sendiri.
• Keabsahan data transaksi: Data transaksi itu oleh penerima diyakini dibuat oleh pihak yang mengaku membuatnya (biasanya sang pembuat data tersebut membubuhkan tanda tangannya). Hal ini termasuk pula jaminan bahwa tanda tangan dalam dokumen tersebut tidak bisa dipalsukan atau diubah.

4. Dapat dijadikan bukti / tak dapat disangkal (non-repudiation): catatan mengenai transaksi yang telah dilakukan dapat dijadikan barang bukti di suatu saat jika ada perselisihan.

Klasifikasi-klasifikasi Sistem Perdagangan

Berikut ini akan dijelaskan beberapa macam klasifikasi dari sistem perdagangan yang kita kenal:

1. Berdasarkan Kesiapan Pembayaran

Semua alat pembayaran berdasarkan kesiapan konsumen saat membayar, dapat dikategorikan dalam [Frie 97]:

1. Sistem debit, dimana konsumen harus terlebih dahulu memiliki cadangan dana di suatu tempat, biasanya berupa rekening di suatu bank. Contohnya adalah penggunaan kartu debit dan cek.
2. Sistem kredit, dimana seorang pembeli dapat berhutang dahulu kepada sebuah pihak saat pembelian. Konsumen akan ditagih melalui mekanisme tertentu. Biasanya ada pihak ketiga yang menjadi perantara antara pedagang dengan konsumen. Pedagang akan melakukan proses capture, yakni proses meminta pembayaran dari pihak ketiga yang menjadi perantara tersebut. Contoh pembayaran dengan sistem kredit ini adalah charge card (misalnya American Express) dan kartu kredit (misalnya Visa dan MasterCard).
3. Sistem pre-paid, sesuai dengan namanya, konsumen harus ‘membeli’ dan ‘memiliki’ uang tersebut sebelum membeli sesuatu. Uang logam dan kertas yang diedarkan pemerintah, emas, traveler’s cheque, kupon dan digital cash (seperti CyberCoin, Ecash/CAFE dan Mondex) adalah contoh pembayaran dengan sistem pre-paid. Pembelian uang elektronik pre-paid dapat dilakukan dengan uang kontan, mendebit dari account bank, atau bahkan dengan kartu kredit. Perhatikan bahwa meskipun pembelian awal dilakukan dengan kartu kredit, namun uang elektronik yang dibelinya dengan kartu kredit itu tetaplah dikategorikan dalam sistem pre-paid.

2. Berdasarkan Keterlacakan Transaksi

Kemudian, alat pembayaran – tidak peduli elektronik atau tidak – dapat pula dikategorikan berdasarkan diketahui atau tidaknya identitas pihak-pihak yang melakukan transaksi. Dalam hal ini memang terjadi tarik tambang antara konsumen dengan lembaga pengawas keuangan. Di satu sisi, konsumen ingin privasi mereka terjaga. Konsumen tak ingin orang lain (bahkan lembaga pengawas keuangan) tahu apa yang dibelanjakannya, karena itu sudah dianggap mencampuri urusan rumah tangga orang lain. Sedangkan pihak lembaga pengawas keuangan tentunya ingin segala macam transaksi berjalan sesuai hukum. Jika peredaran uang sulit dilacak, maka ada kemungkinan terjadi pencucian uang (money laundring). Adapun pembagiannya – meskipun dapat terjadi variasi dalam implementasinya – adalah sebagai berikut:

1. Transaksi teridentifikasi terlacak. Keterlacakan transaksi penting dalam transaksi dengan nilai uang yang besar, karena jika terjadi penipuan, maka transaksi tersebut harus bisa dilacak dengan mudah. Jadi, transaksi tersebut meninggalkan jejak. Dengan kartu kredit misalnya, sudah jelas pihak issuer dan aquirer kartu kredit mengetahui identitas konsumen dan pedagang. Dalam kasus tertentu, memang bisa saja konsumen tetap anonim (tidak teridentifikasi) oleh pedagang, namun lembaga keuangan pengelola kartu kredit tetap mengetahui identitas konsumen.
2. Transaksi anonim. Dalam transaksi jenis in, pedagang tidak mengetahui identitas konsumen. Transaksi yang dilakukan seseorang bertopeng yang membeli permen dari seorang pedagang kaki lima dengan uang logam, dapat dikategorikan transaksi anonim. Pedagang kaki lima itu tidak peduli siapa yang membeli permen. Pedagang itupun tidak bisa melacak dari mana uang logam itu berasal. Uang kertas memang agak sedikit berbeda, karena dapat diberi nomor seri. Kadang-kadang dalam pemberian uang tembusan untuk suatu kejahatan seperti penculikan, polisi mencatat urutan nomor seri uang yang diberikan. Dalam beberapa SPI, pihak penerbit uang pun tak pernah mengetahui bagaimana uang elektronik yang diedarkannya dipergunakan oleh konsumen, bahkan pada SPI Ecash/CAFE pihak penerbit uangpun tidak tahu nomor seri uang yang pernah dicetaknya. Transaksi anonim biasanya hanya digunakan untuk pembayaran dengan jumlah uang yang kecil, seperti karcis transportasi kota, membeli minuman kaleng, membeli perangko dan sebagainya.

3. Berdasarkan Status Hukum Pihak-pihak yang Bertransaksi

Yang dimaksud dengan status hukum di sini adalah apakah status pihak-pihak yang melakukan transaksi itu dapat dibedakan menjadi konsumen dan pedagang, dilihat dari kaca mata lembaga keuangan yang menciptakan sistem transaksi.

1. Pada sistem pedagang-konsumen, secara hukum jelas terlihat siapa yang menjadi pedagang dan siapa yang menjadi konsumen. Contohnya sistem transaksi dengan kartu kredit, terlihat jelas ada pedagang (yang menerima merek kartu kredit tertentu) dan konsumen yang menggunakan kartu kredit itu. Pedagang harus terdaftar pada aquirer kartu kredit (umumnya bank yang menyimpan rekening sang pedagang), sedangkan konsumen harus terdaftar pada issuer kartu kredit (yakni lembaga keuangan atau bank yang menerbitkan kartu kredit untuk konsumen). Konsumen sesama pemegang kartu kredit tidak dapat bertransaksi satu sama lain dengan menggunakan kartu kredit yang mereka miliki.
2. Pada sistem peer-to-peer, transaksi tidak perlu dilakukan dengan pedagang yang ‘resmi’ menerima jenis alat pembayaran tertentu, namun bisa dilakukan dengan siapa saja yang mau menerima alat pembayaran tersebut, bahkan antarkonsumen. Dengan sistem pembayaran peer-to-peer, seseorang dapat berhutang pada teman, memberi ‘amplop’ ulang tahun kepada keponakan, mengganti kerugian untuk rekan dan sebagainya. Jadi uang tersebut tidak harus dibelanjakan di ‘toko resmi’. Contoh yang paling jelas adalah uang logam dan uang kertas yang diedarkan bank sentral.

4. Berdasarkan Waktu Konfirmasi Keabsahan Transaksi

Namun khusus untuk perdagangan elekronik, ternyata ada pembagian menjadi sistem perdagangan elekronik yang on-line dan off-line [DaLe 96], yakni:

1. Dengan sistem pembayaran elektronik on-line, setiap dilakukan transaksi, pedagang dapat melakukan pemeriksaan terhadap keabsahaan alat pembayaran yang dipergunakan konsumen sebelum konsumen dapat mengambil barang yang diinginkannya. Jadi minimal ada tiga pihak yang terlibat dalam sistem pembayaran on-line, yakni konsumen, pedagang dan pihak yang melakukan proses otorisasi atau otentikasi transaksi. Pada sistem pembayaran on-line, terjadi proses authorize & wait response, yang durasinya relatif singkat.
2. Kemudian, ada juga sistem pembayaran elekronik off-line. Konsumen dan pedagang dapat melakukan transaksi tanpa perlu ada pihak ketiga untuk melakukan proses otentikasi dan otorisasi saat berlangsungnya transaksi. Sebagai contoh, digital cash yang baik, seharusnya dapat dilakukan off-line, sama halnya dengan uang kontan biasa. Memang pada sistem yang off-line, pedagang dapat menanggung resiko jika sudah menyerahkan dagangannya kepada konsumen dan ternyata hasil otorisasi atau otentikasi membuktikan bahwa pembayaran oleh konsumen yang bersangkutan itu tidak sah. Jadi meskipun dapat dilakukan proses pemeriksaan, namun konsumen dan pedagang umumnya tidak menunggu konfirmasi keabsahan transaksi.

5. Berdasarkan Bagaimana Kepercayaan Diberikan

Yang dimaksud dengan pembagian berdasarkan jenis kepercayaan adalah klasifikasi atas bagaimana satu pihak mempercayai pihak-pihak yang lain dalam suatu sistem transaksi. Sebenarnya tidak ada batasan yang jelas antara sistem yang membutuhkan kepercayaan tinggi satu pihak kepada pihak lain, dengan yang kurang membutuhkan kepercayaan. Pasti ada bagian pada alur transaksi yang membutuhkan kepercayaan satu pihak kepada pihak yang lain. Tidak mungkin membuat suatu sistem transaksi dimana pihak-pihak yang bertransaksi hanya perlu mempercayai diri sendiri dan tidak perlu mempercayai pihak lain sama sekali. Sekalipun suatu sistem transaksi mengklaim bahwa pihak-pihak yang bertransaksi hanya perlu mempercayai diri sendiri, tapi pastilah pihak-pihak yang bertransaksi itu sebelumnya pernah memberikan kepercayaan kepada pihak tertentu (biasanya pihak penjamin).

Dalam realita, umumnya konsumen harus mempercayai sistem yang dibangun oleh pedagang, pihak lembaga keuangan, pihak pengembang atau pihak perantara. Guna memperjelas klasifikasi ini, ada baiknya diberikan sedikit gambaran:

1. Sistem yang memerlukan kepercayaan tinggi kepada pihak lain yang terlibat transaksi. Pada penggunaan kartu debit/ATM misalnya, seorang konsumen harus percaya kepada bank mengenai jumlah uang yang dilaporkan setiap bulan kepadanya. Sangat sulit bagi konsumen untuk membantah bukti bahwa ia telah mengambil sejumlah uang dari ATM, karena ia tidak bisa membuktikan bahwa ia telah mengambilnya atau tidak.
2. Sistem transaksi yang tidak memerlukan kepercayaan tinggi kepada pihak lain yang terlibat transaksi. Selain itu ada pula sistem dimana semua pihak bisa membuktikan keterkaitan/ketidakterkaitannya dalam suatu transaksi, baik itu konsumen, pedagang, maupun bank. Contohnya adalah penggunaan tanda tangan digital pada transaksi elektronik. Jika dilakukan perubahan jenis kartu ATM dari kartu magnetik menjadi kartu chip yang bisa membubuhkan tanda tangan digital, maka dalam sistem baru tersebut setiap transaksi dengan kartu chip itu dapat dijadikan barang bukti yang sah.

Beberapa Syarat Tambahan Untuk SPI

Ada beberapa syarat lagi dari sistem perdagangan di Internet – meskipun tidak mutlak – hal ini sangat tergantung dari berbagai faktor lain yang ikut dipertimbangkan oleh perusahaan pengembang SPI, sehingga dapat berbeda-beda untuk setiap SPI:

1. Jika menggunakan protokol HTTP, dapat berjalan dengan baik pada web browser yang populer seperti Netscape Navigator atau Microsoft Internet Explorer
2. Open, artinya perangkat lunak ataupun perangkat keras sistem perdagangan di Internet tersebut tidak dibuat hanya untuk kepentingan satu pedagang saja, namun sistem perdagangan di Internet tersebut dapat dipergunakan oleh berbagai pedagang.
3. Pada SPI yang membutuhkan perangkat lunak klien khusus, perangkat lunak tersebut harus dibuat pada banyak platform agar pemakaiannya dapat meluas.
4. Sistem perdagangan di Internet tersebut sebaiknya dapat menerima sebanyak mungkin cara pembayaran.
5. Jika proses pembayaran dilakukan secara interaktif (yang tidak/kurang interaktif biasanya menggunakan surat elektronik), proses pengolahan data secara aman tersebut dapat berlangsung dalam waktu yang dapat ditolerir. Jika proses untuk melakukan pengamanan data transaksi yang dikirim saja sudah sangat lama, mungkin metoda yang diterapkan tidak cocok.
6. Ada beberapa SPI yang berusaha untuk tidak terikat pada sebuah protokol perangkat lunak maupun perangkat keras tertentu. Memang pada akhirnya harus ada implementasi lebih kongkrit yang harus dijabarkan. Di sisi lain, ada pula beberapa SPI yang memang dirancang sedemikian rupa untuk memanfaatkan protokol-protokal yang sudah ada.
7. Dalam kasus tertentu, transaksi diharapkan supaya anonim dan tidak dapat dilacak. Sedangkan pada kasus lainnya, justru transaksi tersebut diharapkan jati diri pihak-pihak yang bertransaksi dapat diidentifikasi dan dapat dilacak dengan baik.