Rabu, 15 Nov 2017 10:07 WIB

Kolom Telematika

Mengenal Teknologi Alat Pembayaran Menggunakan Kartu

Penulis: Satriyo Wibowo, B. Noviansyah, dan Nugroho Gito - detikInet
Foto: Dok. Uber Foto: Dok. Uber
Jakarta - Tulisan ini merupakan tulisan kedua dari tiga tulisan berseri. Artikel pertama bisa dibaca di tautan ini: Ancaman di Balik Tren Akses Keuangan Digital.

Berbeda dengan artikel sebelumnya yang membahas mengenai akses keuangan digital langsung ke server/peladen bank (termasuk layanan ATM) yang artinya berada di dalam lingkungan terkendali, transaksi keuangan menggunakan kartu menggantungkan sistem keamanannya pada pihak ketiga dan fitur keamanan kartu.

Kartu secara umum merupakan alat identitas nasabah bank selain buku tabungan. Kartu lebih mudah dibawa di dalam dompet dan teknologi keamanannya semakin baik. Dalam perkembangannya, teknologi memungkinkan transaksi tanpa kehadiran kartu secara fisik. Nah, bagaimana kita sebagai pengguna bisa yakin akan keamanan transaksi menggunakan kartu?

Kartu ATM merupakan kartu identitas dasar yang menyatakan kita sebagai nasabah suatu bank sehingga berhak mendapat akses ATM bank tersebut. Penambahan fungsi kartu debit pada kartu ATM membuatnya menjadi kartu pembayaran yang paling popular karena dapat digunakan di hampir seluruh pedagang/merchant melalui mesin EDC (Electronic Data Capture).

Kartu debit dan kredit tidak dapat disatukan karena sumber dananya berbeda, kartu debit berasal dari rekening pribadi sementara kartu kredit adalah kartu hutang dimana pembayaran dilakukan terlebih dahulu oleh pihak bank. Keduanya masuk dalam definisi APMK (Alat Pembayaran Menggunakan Kartu) dari BI, sementara Kartu Uang Elektronik tidak termasuk. Uang Elektronik dan produk FinTech lainnya akan dibahas pada artikel selanjutnya.

Perkembangan Teknologi Kartu

Teknologi kartu berkembang dari yang sebelumnya hanya dibekali pita magnet (magnetic stripe/magstripe) menjadi chip EMV, kemudian NFC serta biometric security. Kartu magstripe sangat populer namun rentan sekali terkena kasus pencurian data melalui metode skimming sehingga dilarang diterbitkan lagi per 1 Januari 2022. Untuk meminimalkan risiko tersebut, BI mengeluarkan peringatan keras yang melarang double swiping di merchant dan mengembangkan standar NSICCS sebagai standar nasional teknologi chip pengganti kartu ATM/Debit magstripe.

Berdasarkan ISO7813, data pada kartu ATM/Debit dituliskan pada 3 lajur paralel (track) dibalik lapisan warna hitam pita magnet kartu untuk menjaga integritas seluruh data. Track pertama dan kedua berisi nama, nomor kartu, masa berlaku, dan CSC1 (Card Security Code – CVV Visa, CVC MasterCard) untuk transaksi gesek langsung (CP - Card Present). Track ketiga opsional biasanya kosong. Informasi ini dapat diambil dengan magnetic card reader dan dikloning ke kartu lain.

Teknologi kartu pintar dengan chip dikembangkan oleh EMV, konsorsium Uni Eropa dengan Master Card dan Visa. Dalam chip telah terintegrasi sistem komputer sederhana yang memastikan komunikasi antara kartu dan EDC dalam keadaan aman dan tersandikan sesuai standar ISO7816. Namun demikian, seiring kebutuhan kenyamanan pengguna, berkembang lagi teknologi contactless card berdasarkan standar ISO14443. Dengan adanya teknologi NFC card emulation pada smartphone, teknik tokenisasi dari kartu baru dapat digunakan setelah otentifikasi biometrik sehingga mempercepat waktu akses kartu dan pertukaran data dengan tetap menjaga keamanan.

Anatomi Kartu

Enam belas angka yang tercetak timbul pada kartu debit maupun kredit memiliki standar penomoran internasional. Enam angka pertama dikenal sebagai BIN (Bank Identication Number) dimana angka pertama menunjukkan perusahaan switching (misal 4: Visa, 5: MasterCard, dan 6: Maestro) dan lima angka berikutnya merupakan kode identitas bank penerbit dan tipe kartu (misal Kartu Kredit Mandiri Platinum). Sembilan angka berikutnya merupakan identitas nasabah dengan 1 angka terakhir merupakan checksum untuk memastikan tidak ada nomor identitas yang berurutan.

Informasi yang tercetak fisik maupun tersimpan di dalam chip atau magstripe adalah informasi untuk transaksi gesek langsung dengan men-swipe atau men-dip kartu. Untuk transaksi CNP (Card Not Present) dengan menuliskan informasi kartu saat transaksi online, di bagian belakang tertulis 3 angka CSC2 sebagai otentikasi tambahan yang berbeda dengan CSC1 di dalam magstripe.

Beberapa penerbit kartu kredit menambahkan fitur MFA dengan mengirimkan kode SMS untuk mengotentikasi transaksi yang secara general disebut 3-D Secure (contoh: Verified by Visa dan MasterCard SecureCode) yang melalukan validasi 3 Domain yang dilalui ketika bertransaksi.

Tata Aturan APMK

Di dalam Peraturan Bank Indonesia yang mengatur APMK (Alat Pembayaran Menggunakan Kartu), dikenal adanya istilah issuer (penerbit), acquirer, dan switching atau payment network. Penerbit kartu berhubungan langsung dengan pengguna dan mengelola administrasi penagihan dan hubungan nasabah. Acquirer melekat kepada pedagang dan bertanggung jawab akan pembayaran serta perangkat EDC.

Dalam prakteknya, banyak penerbit kartu dan acquirer secara end-to-end dipegang oleh jaringan bank yang sama (On-Us). Namun ketika antara penjual dan pembeli berbeda bank atau transaksi di luar negeri dengan acquirer berbeda (Off-Us), dibutuhkan perusahaan switching sehingga transaksi dapat dilakukan.

Mengenal Teknologi Alat Pembayaran Menggunakan KartuFoto: Alat Pembayaran Menggunakan Kartu


Ketika mesin EDC berkomunikasi dengan kartu, EDC akan meneruskan data tersebut ke peladen acquirer. Jika acquirer tidak mengenal BIN dari kartu, maka acquirer memiliki default switching berdasarkan Principal kartunya (Visa atau Mastercard).

Principal memiliki semua data BIN yang dikelolanya lalu meneruskan ke peladen penerbit kartu tersebut untuk menanyakan apakah transaksi dengan nominal yang tertera pada EDC dapat diotorisasi atau tidak. Pada proses ini juga penerbit dapat melakukan blokir karena saldo tidak cukup, atau bahkan blokir karena dicurigai adanya fraud akan penggunaan transaksi dilakukan di luar negeri.

Dengan posisi switching yang sangat penting karena sebagai pusat interkoneksi pembayaran, Visa dan Mastercard meraup fee dari pembayaran lisensi BIN, komisi per transaksi, dan interchange settlement. Peraturan Bank Indonesia mengenai National Payment Gateway atau Gerbang Pembayaran Nasional kemudian dibuat untuk memastikan biaya switching transaksi ritel domestik tidak harus ke luar negeri seperti sebelumnya dengan memperkenalkan aturan domestic switching.

Diperkenalkannya teknologi EMV chip memang berhasil menurunkan fraud pada transaksi CP, namun berdasarkan data US Payment Forum, fraud di transaksi CNP diprediksi meningkat. Transaksi CNP di internet merupakan salah satu sumber fraud terbesar karena tentu saja merchant tidak dapat memastikan identitas pemilik kartu secara langsung dan mengandalkan jasa Internet Payment Gateway untuk melakukan verifikasi dan settlement transaksi kartu kredit. Selain itu, serangan kepada peladen merchant sering sekali terjadi untuk mencuri data kartu kredit.

Bagaimana kita mengamankan transaksi keuangan menggunakan kartu? Selain tips umum keamanan berinternet di sini, beberapa tips di bawah ini mungkin bermanfaaat bagi kita.

1. Jaga dan simpan baik-baik kartu jangan sampai rusak atau hilang. Segera laporkan kepada bank jika terjadi untuk mendapatkan penggantian.
2. Tutupi kode CVV2 dibalik kartu kredit selama penggunaan transaksi CP.
3. Simpan dan hancurkan printout slip setelah transaksi di toko serta tagihan kartu kredit untuk mengurangi risiko pengumpulan nomor kartu kredit dari tempat sampah.
4. Pilih penerbit kartu kredit yang memberikan keamanan tambahan dengan mengirimkan kode langsung ke nomor seluler sebagai otentikasi tambahan suatu transaksi.
5. Aktifkan fitur MFA jika ada, minimal notifikasi SMS ketika transaksi.
6. Pastikan tidak terjadi Double Swipe dalam transaksi CP.
7. Berhati-hati menggunakan kartu dengan Magstripe karena mudah dikloning, jangan sampai lepas dari pandangan ketika melakukan transaksi CP, dan lebih baik berjalan sebentar ke meja kasir restoran untuk memberikan kartu kita.

Seaman apapun fitur kartu, apabila kita tidak menjaga kredensial kita sendiri, maka tidak ada artinya semua teknologi keamanan tersebut. Remember, there is no SECURITY without U.


Penulis, Satriyo Wibowo (@sBowo) adalah pengurus Asosiasi Digital Entrepreneur Indonesia, B. Noviansyah (@tintinnya) adalah independent security researcher, dan Nugroho Gito, Arsitek Software Perbankan di IBM. Ketiganya aktif di Indonesia Cyber Security Forum terutama dalam riset-riset yang berkaitan dengan Blockchain. (rou/rou)
-
Load Komentar ...

Redaksi: redaksi[at]detikinet.com
Informasi pemasangan iklan
Hubungi: sales[at]detik.com
News Feed