Keamanan E-Commerce
Didalam transaksi e-commerce bisa terjadi penyadapan, misalnya penyadapan informasi kartu kredit cardholder. Untuk mengatasi hal tersebut, dikembangkan beberapa bentuk sistem pengamanan dalam bertransaksi.
Sistem tersebut menggunakan metode enkripsi atau yang lebih dikenal dengan kriptografi yaitu metode penyajian suatu pesan atau data yang terkirim melalui jaringan publik dengan kunci – kunci (keys) tertentu.
Didalam kriptografi ada empat hal pokok yaitu:
Ø Confidentiality :informasi hanya, untuk dan dimengerti oleh mereka yang berhak
Ø Integrity :informasi tidak dapat diubah ditempat penyimpanan
Ø Non-Repudiation :informasi bisa dipastikan siapa pengirim dan penerimanya
Ø Authentication :pengirim dan penerima bisa saling komfirmasi tentang masing-masing identitas dan asal atau tujuan informasi.
Teknologi kriptografi yang dihasilkan harus berdasarkan pada empat hal tersebut sehingga keamanan informasi dapat terjadi. Ada beberapa teknologi enkripsi yang cukup popular diantaranya:
Secure Socket Layer(SSL)
Digunakan untuk mengamankan komunikasi web HTTP antara browser dan web browser. SSL menggunakan tiga protocol yaitu SSL Handshake Protokol (tempat berlangsungnya session yang terjadi antara client dan SSL server), SSL Change Chiper Spec Protocol (memberikan persetujuan kepada chippersuite ketika session sedang berlangsung), SSL Alert Protokol (menyampaikan pesan error SSL antara SSL server dengan client).
Kombinasi Publik Key/Private Key Publik key
adalah kunci yang dikenal oleh umum,sedangkan private key merupakan kunci yang diketahui oleh pemiliknya. Ada perbedaaan dalam private key dan public key yaitu private key menggunakan satu kunci untuk melakukan proses enkripsi dan deskripsi,sedangkan public key mengunakan kunci yang berbeda.
Private key memiliki keuntungan yaitu operasinya cepat, sedangkan public key mempunyai kekurangan yaitu membutuhkan komputasi yang tinggi dan membutuhkan key repository.
Certification Authority(CA)/digital signature Digital signature
adalah suatu konsep yang memungkinkan penerima informasi untuk menguji terlebih dahulu keaslian informasi yang didapat dan juga untuk menyediakan bahwa data yang diterimanya dalam keadaan utuh. Digital signature sebenarnya bukan merupakan tanda tangan yang kita kenal melainkan suatu cara untuk menandai suatu dokumen sehingga dokumen atau data tersebut tidak hanya mengidentifikasi pengirim, namun memastikan keutuhan dokumen sehingga tidak berubah selama proses transmisi. Certification Authority merupakan pihak ketiga yang dipercaya untuk membangun antara sepasang public atau private key dangan individu. Certification Authority ini akan memberikan suatu sertifikat digital yang menunjukkan identitas dari pengguna.
Secure Electronic Transactions(SET) SET
merupakan gabungan antara teknologi public/ private key dengan digital signature. Pada enkripsi, public key menggunakan enkripsi 56 bit sampai dengan 1024 bit, sehingga tingkat kombinasi enkripsinya pun sangat tinggi. Didalam bertransaksi, CA membuatkan sertifikat digital yang berisi informasi jati diri dan kunci publik cardholder, berikut informasi nomor kartu kredit yang ‘disembunyikan’,sehingga cardholder seperti mempunyai “KTP” digital. Biaya pengembangan infrastruktur SET relative sangat mahal, sehingga ini merupakan salah satu kerugiannya.
Keamanan Dalam Dunia E-Business
Keamanan sangat penting dalam hal apapun termasuk dalam dunia online. Seperti yang telah disurvei oleh Computer Security Institute (CSI), pada perusahaan-perusahaan Amerika Serikat, badaan-badan federal, universitas, dan lembaga keuangan pada masalah keamanan mengungkapkan bahwa:
· 40% memiliki akses tidak sah oleh orang luar
· 70% mengatakan koneksi internet mereka adalah titik serangan
· 85% terdeteksi pelanggaran keamanan dalam 12 bulan terakhir
· 94% terkena virus
· 64% mengalami kerugian financial sebagai akibat dari pelanggaran keamanan
Sekarang ini, kebanyakan bisnis bergantung pada perangkat lunak yang ada. Tanpa itu, banyak fungsi internal sehari-hari dalam berbisnis akan berhenti sama seperti layanknya jika listrik padam. Selain itu, bisnis zaman sekarang lebih meningkatkan penggunaan internet untuk menarik dan melayani pelanggan, mengkoordinasikan dan melakukan transaksi dengan pemasok, dan sebagai sumber informasi tentang pelanggan mereka dan persaingan.
Maka dari itu, perusahaan seharusnya mengembangkan rencana keamanan. Sebuah rencana keamanan merupakan hal yang mutlak bagi perusahaan yang serius tentang perlindungan aset mereka. Berikut adalah langkah-langkahnya.
· Mengidentifikasi siapa yang memiliki rencana keamanan dan proses keamanan sebelum memulai
· Tentukan apa yang beresiko, apa yang layak, dan berapa banyak yang harus anda keluarkan untuk melindunginya
· Evaluasi siapa yang ingin mengakses dan / atau yang ingin menyebabkan kerusakan
· Pastikan apakah kerentanan keamanan perusahaan adalah melalui ujian diri dan audit luar
· Mengevaluasi teknologi dan prosedur untuk menutup lubang dan kencangkan pencegahan
· Edukasi karyawan pada rencana secara terus menerus
· Menilai penggunaan asuransi
· Melakukan audit, menilai kembali dan memperbaiki rencana dan prses secara berkala
Memberikan informasi lebih lanjut tentang pemikiran melalui beberapa daerah kritis rencana keamanan, berikut adalah beberapa hal sebagai pertimbangan.
· Pertimbangkan biaya pertama.
Ini meliputi: lembur / prioritas penggunaan semalam seluruh personel untuk mendiagnosa dan menghentikan serangan, pengguna prioritas karyawan untuk menemukan kerusakan yang terjadi, kehilangan bisnis selama downtime, kerusakan reputasi perusahaan, kehilangan bisnis karena menghindari pelanggan, biaya menyelidiki dan melacak pelaku, biaya langkah-langkah keamanan tambahan, dan lain-lain.
· Pihak yang harus kita curigai.
Ini meliputi: Karyawan, Hacker (baik dan buruk), publisitas hounds, amatir, kompetitor, dan polisi/instansi pemerintah.
Teknologi keamanan dan metode saat ini yang tersedia untuk mengamankan infrastruktur e-business dan aplikasi adalah sebagai berikut.
· Encryption adalah penggunaan alogaritma matematika untuk mengacak data untuk semua adalah memanfaatkan sifat orang untuk mendapatkan informasi.
· Denial of service adalah serangan yang telah dibuat terkenal akhir-akhir ini antara lain di Yahoo, membombardir situs Web dengan jumlah banyak.
· Hacking DNS adalah metode yang sebelumnya diperkenalkan dimana komputer yang rute lalu lintas Internet dikompromikan dan lalu lintas yang ditujukan untuk situs Web ditolak atau diahlihkan.
· Aplikasi Spoofing adalah jika aplikasi dapat terhubung ke bagian belakang perusahaan, mereka(hacker) dapat melakukan banyak kerusakan.
· Listening on the internet adalah ancaman yang memperlambat penerimaan inisial dari kartu kredit melalui internet.
· Pemalsuan Indentitas dimana ID palsu dan surat kepercayaan memungkinkan penjahat untuk melakukan penipuan dalam dunia maya dan te
Sistem keamanan data e-Business dengan menggunakan PRETTY GOOD PRIVACY pada e-Mail
Pada era komunikasi global seperti saat ini perkembangan teknologi informasi sangat pesat sekali. Meningkatnya penggunaan teknologi informasi menjadikan semakin banyak pula aplikasi-aplikasi yang dibutuhkan oleh para pengguna e-business untuk keamanan data khususnya pada e-mail. Salah satu aplikasinya adalah PGP “Pretty Good Privacy” yang merupakan suatu metode enkripsi informasi bersifat rahasia dan transmisi data yang disimpan akan terjamin keamanannya sehingga hanya orang-orang yang berhak saja yang bisa mengaksesnya, informasi ini biasanya berupa e-mail yang sifatnya rahasia.
Untuk itu dengan semakin banyaknya bisnis-bisnis yang ditawarkan lewat internet menjadikan penggunanya mulai waspada baik dalam memasukkan data maupun menerima data lewat e-mail. Dengan adanya Pretty Good Privacy sebagai sistem keamanan data bisa membantu para pengguna bisnis online agar data-datanya terlindungi sehingga meskipun banyak pihak-pihak yang mengaksesnya data masih dalam keadaan aman.
PGP disini menggunakan dua kunci yaitu :
1) Pertama, kunci untuk proses enkripsi (kunci public) disebut kunci public karena kunci yang digunakan untuk enkripsi ini akan diberitahukan kepada umum jadi kuncinya disebarluaskan sehingga banyak orang yang bisa mengaksesnya, orang yang akan mengirimkan e-mail rahasia kepada kita harus mengetahui kunci public ini.
2) Kedua, kunci untuk proses deskripsi (kunci pribadi) disebut kunci pribadi karena kunci ini hanya diketahui oleh kita sendiri dan hanya kita yang menyimpannya sehingga tidak sembarangan orang yang bisa mengaksesnya, data yang kita kirim akan tetap terjaga keasliannya.
Ada beberapa alasan penting mengapa kita perlu menggunakan PGP untuk mengamankan e-mail file kita yaitu:
· Keamanan, kerahasiaan data tetap terjaga sehingga data-data kita akan tetap aman.
· Fleksibel, karena PGP sudah plug-in untuk semua program browser dan banyak digunakan oleh semua program e-mail selain itu PGP ini berjalan pada semua sistem operasi.
· Gratis, PGP dapat diperoleh secara gratis kita bisa mendapatkan aplikasi ini dengan cara mendownload softwarenya pada saat kita terhubung dengan internet dan tidak ada biaya tambahan yang dibebankan.
Masalah keamanan dan kerahasiaan merupakan salah satu aspek yang sangat penting dari suatu sistem informasi. Informasi akan tidak berguna lagi apabila ditengah jalan dibajak atau disadap oleh orang yang tidak berhak. Untuk itu ada tiga hal yang dibutuhkan untuk melindungi data tersebut antara lain:
1. Kerahasiaan, harus dilakukan dengan menjauhkan informasi dari orang-orang yang tidak berhak.
2. Keaslian, hal ini menentukan dengan siapa kita berbicara sebelum memberikan informasi yang sensitif misalnya perjanjian bisnis.
3. Pengakuan, berkaitan dengan tanda tangan sehingga informasi yang ada didalam jaringan internet semakin lengkap dan akurat.
Tidak ada komentar:
Posting Komentar